Прямого требования в законе о ведении отдельного журнала для проверки лицензий и сертификатов на средства защиты персональных данных (СКЗИ, антивирусы, системы контроля доступа и др.) нет. Однако обязанность оператора — использовать только сертифицированные и лицензированные средства защиты, а также документально подтверждать этот факт при проверке.
Обоснование по законодательству
- ФЗ-152, ст. 19 — оператор обязан принимать меры по защите ПДн, в том числе использовать прошедшие оценку соответствия средства защиты.
- Приказ ФСТЭК № 21 от 18.02.2013 — прямо указывает, что применяемые средства защиты информации должны быть сертифицированы.
- ФЗ-149 «Об информации…» — закрепляет обязательность применения сертифицированных средств защиты при работе с ПДн.
- Нормативные акты ФСБ и ФСТЭК — устанавливают лицензионные требования для организаций, которые самостоятельно эксплуатируют СКЗИ.
Как фиксировать проверку лицензий
Хотя отдельный журнал законом не предусмотрен, организация должна быть готова показать:
- Копии лицензий и сертификатов на используемые средства защиты.
- Приказ о назначении ответственного за контроль актуальности лицензий и сертификатов.
- Отчёты или акты внутреннего аудита, где зафиксирована проверка наличия и актуальности лицензий.
- Ведомость или реестр используемых средств защиты, в котором отражены их наименования, версии, срок действия сертификатов.
Практика проверок Роскомнадзора и ФСТЭК
При проверках контролёры не требуют отдельный журнал, но часто просят показать:
- перечень применяемых средств защиты и их сертификаты;
- документы, подтверждающие, что средства обновляются и используются в соответствии с назначением.
Некоторые компании для удобства ведут журнал учёта сертифицированных средств защиты, где указывают название ПО/оборудования, номер и срок действия сертификата, дату проверки актуальности. Такой документ не обязателен, но он помогает подтвердить системный подход к защите ПДн.
Рекомендации и выводы
Журнал проверки лицензий на средства защиты ПДн вести необязательно, но наличие внутреннего реестра или акта аудита повышает готовность к проверкам. Минимально необходимо иметь копии сертификатов и назначить ответственного приказом.
