Обоснование по законодательству
- Ст. 19 ФЗ-152 — оператор обязан принимать меры по предотвращению несанкционированного доступа к ПДн и реагированию на инциденты.
- Ст. 18.1 ФЗ-152 — требует утверждения внутренних документов, регулирующих порядок действий при нарушениях.
- ГОСТ Р 57580.1-2017 (рекомендательный стандарт по безопасности данных) — указывает на необходимость документирования расследования инцидентов и принятых решений.
Зачем нужны протоколы
- фиксируют дату и обстоятельства инцидента;
- отражают состав комиссии и повестку заседания;
- содержат описание выявленного нарушения и его последствий;
- фиксируют решения (например, блокировка доступа, уничтожение данных, дисциплинарные меры);
- подтверждают исполнение обязанности оператора по реагированию.
Практика проверок Роскомнадзора
В ряде случаев при проверках Роскомнадзор требовал предъявить именно протоколы заседаний комиссии по фактам инцидентов. Например, в компании, где утечка данных сотрудников была устранена, но не зафиксирована документально, нарушение квалифицировали как «отсутствие организационных мер реагирования». При наличии протокола и акта расследования регулятор признаёт меры достаточными.
Рекомендации и выводы
Да, протоколы заседаний комиссии должны составляться при каждом инциденте с ПДн. Они становятся частью доказательной базы, что оператор реагирует на нарушения в соответствии с ФЗ-152.
Вести протоколы можно в бумажном или электронном виде, но с обязательными подписями членов комиссии.
Компания ICTech поможет внедрить систему документирования инцидентов: разработать шаблоны протоколов, актов и регламентов, чтобы ваша организация могла уверенно пройти проверку Роскомнадзора.
