Алексей Ветров
Эксперт по защите данных IC-TECH
Да, такой протокол нужен. Проверка уровня защищённости баз данных с персональными данными — это обязательная мера в рамках выполнения требований по безопасности информации. Без документального подтверждения оператор не сможет доказать выполнение обязанностей по ФЗ-152 и приказам регуляторов (ФСТЭК, ФСБ).
Обоснование по законодательству
- Ст. 19 ФЗ-152 — оператор обязан принимать необходимые меры для защиты ПДн, включая контроль эффективности применяемых средств.
- Приказ ФСТЭК № 21 — требует проведения контроля эффективности мер защиты в ИСПДн и фиксации результатов в организационно-распорядительных документах.
- ГОСТ Р 57580.1-2017 — предписывает периодическую проверку защищённости ИТ-систем и оформление результатов актами или протоколами.
- Приказ ФСБ № 378 — устанавливает обязательность использования и контроля корректного применения СКЗИ, если оно используется.
Практика проверок Роскомнадзора и ФСТЭК
При проверках оператора просят предоставить подтверждения, что:
- проведена классификация ИСПДн;
- определён уровень защищённости;
- проведена проверка мер защиты (технических и организационных);
- результаты проверки зафиксированы документально.
В организациях, где такой протокол отсутствует, регулятор указывает на нарушение ст. 19 ФЗ-152 и требует его составления.
Что должно содержаться в протоколе
- дата и место проведения проверки;
- состав комиссии или ответственных лиц;
- описание проверяемой базы данных и её категории;
- применяемые меры защиты (средства, регламенты, организационные меры);
- выявленные несоответствия и замечания;
- вывод о соответствии базы данных установленному уровню защищённости;
- подписи членов комиссии.
Рекомендации и выводы
Да, протокол о проверке уровня защиты баз данных является обязательным документом. Он фиксирует, что оператор действительно контролирует эффективность мер безопасности и может подтвердить это при проверке.
Компания ICTech разработает для вашей организации полный комплект документов по защите баз данных: от определения уровня защищённости и регламентов до готовых форм протоколов проверок. Это позволит пройти аудит Роскомнадзора или ФСТЭК без претензий.
Хотите защитить себя от проверок и штрафов?
Разработаем полный пакет документации по обработке персональных данных для вашей организации.
