Алексей Ветров
Эксперт по защите данных IC-TECH
Да, регламент резервного копирования персональных данных является обязательным элементом организационно-технической защиты. ФЗ-152 и Постановление Правительства РФ № 1119 прямо обязывают оператора обеспечивать целостность и восстановление персональных данных в случае инцидентов. Это невозможно без закреплённого порядка резервного копирования.
Регламент должен описывать:
- какие данные подлежат резервному копированию;
- периодичность создания копий;
- средства и носители, используемые для хранения копий;
- правила хранения и защиты резервных копий;
- порядок проверки восстановления данных;
- ответственность сотрудников за выполнение процедур.
Документ оформляется в виде локального акта и утверждается руководителем.
Регламент должен описывать:
- какие данные подлежат резервному копированию;
- периодичность создания копий;
- средства и носители, используемые для хранения копий;
- правила хранения и защиты резервных копий;
- порядок проверки восстановления данных;
- ответственность сотрудников за выполнение процедур.
Документ оформляется в виде локального акта и утверждается руководителем.
Обоснование по законодательству
- Ст. 19 ФЗ-152 — оператор обязан принимать меры по предотвращению несанкционированного доступа и обеспечивать сохранность ПДн.
- Постановление Правительства РФ № 1119, п. 2, подп. «г» — требует от оператора обеспечения сохранности ПДн и возможности их восстановления.
- ГОСТ Р 57580.1-2017 и методические рекомендации ФСТЭК — закрепляют обязанность документировать порядок резервного копирования и восстановления информации.
Практика проверок Роскомнадзора и ФСТЭК
При проверках регламент резервного копирования часто запрашивается вместе с журналами администрирования. В одной компании копии создавались, но порядок документально не был оформлен — Роскомнадзор указал на нарушение организационных мер. В другой организации регламент был утверждён, описаны носители и сроки хранения копий, что признали достаточным подтверждением.
Что важно учитывать компаниям
- Резервное копирование должно проводиться регулярно, а не от случая к случаю.
- Копии должны храниться в защищённых местах, отдельно от основной базы.
- Желательно вести журнал резервного копирования и тестировать восстановление данных.
Рекомендации и выводы
Да, регламент резервного копирования ПДн обязателен: без него компания не сможет доказать выполнение требований ФЗ-152 и Постановления № 1119. Рекомендуем:
- Разработать и утвердить локальный регламент резервного копирования.
- Назначить ответственного за выполнение процедур.
- Вести учёт копий и фиксировать даты восстановления.
- Включить регламент в общий пакет документов по ПДн.
Компания ICTech подготовит для вашей организации регламент резервного копирования ПДн и сопроводительные журналы, чтобы гарантировать соответствие ФЗ-152 и успешно пройти проверку Роскомнадзора или ФСТЭК.
Хотите защитить себя от проверок и штрафов?
Разработаем полный пакет документации по обработке персональных данных для вашей организации.
