Алексей Ветров
Эксперт по защите данных IC-TECH
Да, регламент (или положение) по хранению логов в организации желательно утвердить приказом руководителя. Прямого требования в ФЗ-152 о таком документе нет, однако закон и подзаконные акты обязывают оператора фиксировать порядок регистрации и хранения действий пользователей в информационных системах. Без внутреннего регламента компания не сможет доказать, что ведёт учёт логов системно и в соответствии с требованиями.
Обоснование по законодательству
- ФЗ-152, ст. 19, ч. 1, п. 7 — оператор обязан обеспечивать регистрацию и учёт действий пользователей при работе с ПДн.
- Приказ ФСТЭК № 21 от 18.02.2013 — устанавливает требования по обеспечению регистрации событий безопасности и хранению информации о таких событиях.
- ГОСТ Р 57580.1-2017 (рекомендательный) — рекомендует закреплять документально сроки и порядок хранения логов, а также процедуры их анализа.
Что должно быть в регламенте по хранению логов
- Перечень систем, где ведутся журналы событий.
- Сроки хранения логов (обычно не менее 1 года, но можно установить больше).
- Ответственные лица за хранение и анализ логов.
- Порядок доступа к журналам событий и защита их от изменения.
- Периодичность анализа и документирования результатов (акты или отчёты).
Практика проверок Роскомнадзора и ФСТЭК
На практике инспекторы просят показать:
- сами журналы событий (логи);
- документы, где закреплён порядок их ведения и хранения;
- подтверждение регулярного анализа логов.
Если регламент отсутствует, компании дают предписание разработать и утвердить его.
Рекомендации и выводы
Регламент по хранению логов не назван обязательным отдельным документом в законе, но его наличие — важная часть пакета документов по защите ПДн. Утверждение приказом руководителя демонстрирует, что организация системно подходит к безопасности данных и готова к проверкам Роскомнадзора или ФСТЭК.
Компания IC-TECH поможет Вам с разработкой полного пакета документов для соблюдения ФЗ-152 и избегания штрафов и предписаний от регуляторов.
Хотите защитить себя от проверок и штрафов?
Разработаем полный пакет документации по обработке персональных данных для вашей организации.
