Алексей Ветров
Эксперт по защите данных IC-TECH
Да, правила разграничения доступа к персональным данным являются обязательным документом для любой организации, обрабатывающей ПДн. Они фиксируют, какие сотрудники и подразделения имеют право работать с конкретными категориями данных, на каких основаниях и в каком объёме. Без таких правил невозможно подтвердить выполнение требований ФЗ-152 о защите информации и контроле за действиями персонала.
Что должно быть в правилах разграничения доступа к ПДн
- Категории персональных данных (например: кадровые данные сотрудников, клиентские базы, медицинские сведения).
- Списки должностей/подразделений, имеющих доступ к каждой категории.
- Уровни доступа: просмотр, редактирование, передача, администрирование.
- Порядок предоставления и отзыва прав доступа (на основании приказов, заявок).
- Правила документирования фактов предоставления и отзыва доступа (журналы, электронные логи).
- Ответственные лица за контроль доступа и соблюдение правил.
- Меры ответственности за нарушения.
Что должно быть в правилах разграничения доступа к ПДн
- Категории персональных данных (например: кадровые данные сотрудников, клиентские базы, медицинские сведения).
- Списки должностей/подразделений, имеющих доступ к каждой категории.
- Уровни доступа: просмотр, редактирование, передача, администрирование.
- Порядок предоставления и отзыва прав доступа (на основании приказов, заявок).
- Правила документирования фактов предоставления и отзыва доступа (журналы, электронные логи).
- Ответственные лица за контроль доступа и соблюдение правил.
- Меры ответственности за нарушения.
Обоснование по законодательству
- Ст. 19 ФЗ-152 — оператор обязан принимать меры для предотвращения несанкционированного доступа к ПДн.
- Приказ ФСТЭК России № 21 от 18.02.2013 — требует разграничивать доступ к ИСПДн и закреплять порядок документально.
- ГОСТ Р 57580.1-2017 — предусматривает обязательное установление правил разграничения прав пользователей.
- Методические рекомендации Роскомнадзора — указывают, что наличие правил разграничения доступа является критерием соблюдения организационных мер защиты.
Практика проверок Роскомнадзора
Инспекторы регулярно проверяют, как в организации регламентирован доступ к ПДн. Там, где доступ предоставлялся устно или «по умолчанию» всем сотрудникам отдела, фиксировались нарушения. В компаниях, где были утверждённые правила разграничения, журналы доступа и приказы о предоставлении прав, проверка проходила успешно.
Что важно учитывать компаниям
- Документ должен быть утверждён приказом руководителя.
- Разграничение должно быть не формальным, а соответствовать реальным бизнес-процессам.
- Важно закрепить не только предоставление, но и отзыв прав доступа при увольнении или переводе сотрудника.
- Лучше вести электронные логи в ИСПДн, а также журналы доступа в бумажном виде.
Рекомендации и выводы
Да, правила разграничения доступа к ПДн обязательны. Они позволяют компании:
- Исключить несанкционированный доступ к данным.
- Подтвердить выполнение требований ФЗ-152 и Приказа ФСТЭК № 21.
- Избежать претензий при проверке Роскомнадзора.
Компания ICTech разработает для вашей организации правила разграничения доступа к ПДн, поможет выстроить систему учёта доступа и включит документы в пакет по ФЗ-152, чтобы минимизировать риски нарушений.
Хотите защитить себя от проверок и штрафов?
Разработаем полный пакет документации по обработке персональных данных для вашей организации.
