Обоснование по законодательству
- Ст. 18.1 ФЗ-152 — оператор обязан закреплять порядок доступа к ПДн и вести учёт действий сотрудников.
- Ст. 19 ФЗ-152 — требует фиксировать все действия с персональными данными и предотвращать несанкционированный доступ.
- Приказ ФСТЭК № 21 — устанавливает обязанность учитывать действия пользователей в информационных системах ПДн.
- ГОСТ Р 57580.1-2017 — указывает на необходимость журналирования событий информационной безопасности, включая доступ и изменение данных.
Практика проверок Роскомнадзора
РКН при проверках часто запрашивает журналы учёта действий сотрудников именно в электронных системах. В компаниях, где такого учёта нет, указывают на нарушение требований ст. 19 ФЗ-152. При этом допускается, что часть функций журналирования может выполнять сама система (логи доступа и действий пользователей). Но если система не ведёт такие логи автоматически, организация обязана организовать отдельный журнал учёта.
Что фиксировать в журнале
- Дата и время доступа.
- ФИО или идентификатор сотрудника.
- Вид операции (просмотр, изменение, копирование, удаление).
- Категория данных или база, к которой был доступ.
- Основание доступа (служебная необходимость, поручение).
- Подпись сотрудника (для бумажного журнала).
Рекомендации и выводы
Да, журнал работы с электронными базами ПДн необходим, и его отсутствие приравнивается к отсутствию контроля за обработкой данных. Он может быть в бумажной форме, но удобнее — в автоматическом виде через систему логирования.
Компания ICTech поможет вашей организации организовать журналирование доступа к электронным базам, включая автоматическую систему логов и внутренние журналы. Это обеспечит выполнение требований ФЗ-152 и снизит риски штрафов.
