Федеральный закон № 152-ФЗ не устанавливает прямого требования вести отдельный журнал обновления антивирусов. Однако оператор персональных данных обязан документально подтверждать выполнение мер по защите ПДн, в том числе использование и своевременное обновление средств защиты информации.
Обоснование по законодательству
- ФЗ-152, ст. 19 — оператор обязан принимать необходимые организационные и технические меры для защиты ПДн, включая использование средств защиты информации.
- Приказ ФСТЭК России № 21 от 18.02.2013 — предусматривает применение сертифицированных средств защиты и их своевременное сопровождение (включая обновления).
- ГОСТ Р 57580.1-2017 (рекомендательный стандарт по защите информации в финансовой сфере) указывает на необходимость документировать мероприятия по защите, включая обновления.
Как фиксировать обновления антивирусов
Хотя журнал не обязателен, важно подтвердить, что обновления действительно выполняются:
- Системные логи антивируса — большинство современных решений автоматически сохраняют даты и версии обновлений.
- Акты внутреннего аудита — фиксируют факт проверки актуальности баз и корректности работы антивирусов.
- Отчёты администратора ИСПДн — могут включать запись о проверке актуальности защитных средств.
- Ведомость (реестр) используемых средств защиты — в ней можно указывать дату последней проверки обновлений.
Практика проверок Роскомнадзора и ФСТЭК
При инспекциях чаще всего проверяют наличие и настройку антивируса, актуальность сигнатурных баз и факт использования сертифицированного ПО. В ряде случаев компании, где отсутствует документальное подтверждение обновлений, получают предписания о необходимости организовать учёт.
Что лучше для компании
- Обязательного журнала нет, но удобно вести электронный журнал обновлений, особенно если антивирус установлен на рабочих станциях без централизованного управления.
- В крупных организациях практикуется журнал администрирования ИСПДн, куда включаются записи о проверках антивирусов, обновлении ОС и иных технических мероприятиях.
- Для малого бизнеса достаточно хранить отчёты из антивируса и периодически формировать акт проверки администратором.
Рекомендации и выводы
Журнал обновления антивирусов не является обязательным документом по закону. Однако для доказательства выполнения требований ФЗ-152 и Приказа ФСТЭК № 21 целесообразно вести внутреннюю фиксацию обновлений — через отчёты, акты или электронный журнал. Это повысит готовность к проверке и снизит риск претензий.
