Алексей Ветров
Эксперт по защите данных IC-TECH
Да, акт о восстановлении данных после сбоя рекомендуется оформлять и включать в систему документации по ПДн. Закон прямо не называет этот документ обязательным, однако ст. 19 ФЗ-152 обязывает оператора принимать меры по обеспечению сохранности ПДн, в том числе защищать их от случайной утраты и обеспечивать возможность восстановления. Роскомнадзор в ходе проверок требует подтверждений, что организация не только восстанавливает данные, но и документирует такие действия.
Что фиксируется в акте о восстановлении данных:
- дата и время сбоя;
- описание инцидента (например, технический сбой, отключение электропитания, повреждение базы данных);
- какие персональные данные были недоступны или утеряны;
- сведения о резервных копиях, из которых данные восстановлены;
- лица, ответственные за выполнение процедуры;
- результат восстановления и подтверждение целостности данных.
Что фиксируется в акте о восстановлении данных:
- дата и время сбоя;
- описание инцидента (например, технический сбой, отключение электропитания, повреждение базы данных);
- какие персональные данные были недоступны или утеряны;
- сведения о резервных копиях, из которых данные восстановлены;
- лица, ответственные за выполнение процедуры;
- результат восстановления и подтверждение целостности данных.
Обоснование по законодательству
- Ст. 19 ФЗ-152 — оператор обязан принимать необходимые меры для защиты ПДн, включая предотвращение утраты и возможность восстановления.
- Постановление Правительства РФ № 1119 (требования к обеспечению безопасности ПДн) — предусматривает меры по резервированию и восстановлению данных.
- ГОСТ Р 57580.1-2017 — рекомендует фиксировать действия по восстановлению данных после сбоев.
Практика проверок Роскомнадзора
РКН в ходе проверок уделяет внимание вопросам резервного копирования и восстановления данных. В одном случае организация заявила, что данные восстанавливаются, но не представила документов — это было расценено как нарушение ст. 19 ФЗ-152. В другой компании были акты о восстановлении, подтверждающие, что процедуры выполняются и документируются. Проверка признала систему защиты соответствующей.
Что важно учитывать
- Акт о восстановлении можно вести в бумажной или электронной форме.
- Он может быть частью журнала учёта технических мероприятий.
- Документ должен подписываться ответственным за ПДн и специалистом, выполнявшим восстановление.
- Такие акты нужны не только для проверок, но и для внутреннего контроля целостности ПДн.
Рекомендации и выводы
Да, акт о восстановлении данных после сбоя стоит оформлять. Это подтверждает, что организация:
- выполняет требования ФЗ-152 по обеспечению сохранности ПДн;
- ведёт контроль технических мероприятий;
- документирует действия по восстановлению данных;
- снижает риски претензий Роскомнадзора.
Компания ICTech подготовит для вашей организации шаблон акта о восстановлении данных и встроит его в пакет документов по ФЗ-152. Это позволит подтвердить соблюдение требований закона и пройти проверку без нарушений.
Хотите защитить себя от проверок и штрафов?
Разработаем полный пакет документации по обработке персональных данных для вашей организации.
