Алексей Ветров
Эксперт по защите данных IC-TECH
Да, регламент по резервному копированию персональных данных обязателен для любой организации, которая ведёт обработку ПДн в электронных системах. Он нужен, чтобы документально закрепить порядок создания копий, сроки их хранения, ответственность сотрудников и процедуры восстановления данных в случае сбоев. Отсутствие такого регламента при проверке Роскомнадзора или ФСТЭК может быть признано нарушением требований безопасности.
Что должно содержаться в регламенте по резервному копированию ПДн
- Цели резервного копирования (сохранность и восстановление ПДн при инцидентах).
- Перечень информационных систем и баз данных, подлежащих копированию.
- Периодичность создания копий (ежедневно, еженедельно и т.д.).
- Место и форма хранения копий (сервер, отдельный носитель, защищённое облако).
- Ответственные лица за создание и хранение копий.
- Порядок восстановления данных из копий.
- Сроки хранения копий и правила их уничтожения.
- Меры защиты копий (шифрование, доступ только для уполномоченных сотрудников).
- Документирование операций (журналы резервного копирования и восстановления).
Что должно содержаться в регламенте по резервному копированию ПДн
- Цели резервного копирования (сохранность и восстановление ПДн при инцидентах).
- Перечень информационных систем и баз данных, подлежащих копированию.
- Периодичность создания копий (ежедневно, еженедельно и т.д.).
- Место и форма хранения копий (сервер, отдельный носитель, защищённое облако).
- Ответственные лица за создание и хранение копий.
- Порядок восстановления данных из копий.
- Сроки хранения копий и правила их уничтожения.
- Меры защиты копий (шифрование, доступ только для уполномоченных сотрудников).
- Документирование операций (журналы резервного копирования и восстановления).
Обоснование по законодательству
- Ст. 19 ФЗ-152 — оператор обязан принимать необходимые меры для предотвращения утраты ПДн.
- Приказ ФСТЭК № 21 от 18.02.2013 — требует документально закрепить меры по обеспечению целостности и доступности ПДн, включая процедуры резервного копирования и восстановления.
- ГОСТ Р 57580.1-2017 — предусматривает обязательное резервное копирование и хранение протоколов восстановления.
Практика проверок Роскомнадзора и ФСТЭК
Инспекторы при проверках часто запрашивают документы, подтверждающие порядок резервного копирования. В организациях, где процесс выполнялся «по факту» без регламента и журналов, фиксировались нарушения. В компаниях, где был утверждённый регламент и вели журналы копирования и восстановления, проверка признавалась успешной.
Что важно учитывать компаниям
- Регламент должен быть утверждён приказом руководителя.
- Он должен учитывать специфику каждой ИСПДн и реальные технические возможности.
- Журнал резервного копирования и журнал восстановления должны вестись параллельно.
- При использовании подрядчиков для бэкапа нужно закрепить порядок в договоре.
Рекомендации и выводы
Да, регламент по резервному копированию ПДн обязателен. Он позволяет компании:
- Обеспечить сохранность данных при сбоях и авариях.
- Подтвердить выполнение требований ФЗ-152.
- Снизить риски утраты или компрометации информации.
Компания ICTech поможет вашей организации разработать регламент по резервному копированию ПДн, подготовить журналы и встроить документы в пакет по ФЗ-152 так, чтобы проверка прошла без нарушений.
Хотите защитить себя от проверок и штрафов?
Разработаем полный пакет документации по обработке персональных данных для вашей организации.
