Что именно проверяют инспекторы
— Наличие средств защиты информации. Проверяют, установлены ли антивирусы, включены ли обновления безопасности, настроены ли файрволы и системы контроля доступа.
— Ограничение доступа к персональным данным. Оценивают, кто имеет доступ к файлам, базам данных, CRM или архивам. Проверяется, есть ли индивидуальные учётные записи, пароли, разграничение прав пользователей.
— Использование лицензионного программного обеспечения. Нелицензионные программы считаются нарушением требований по обеспечению безопасности, так как не гарантируют защиту данных.
— Настройки автозагрузки и хранения данных. Проверяют, не сохраняются ли персональные данные на рабочих столах, внешних носителях, в облачных сервисах без должных мер защиты.
— Шифрование данных и резервное копирование. Наличие шифрования дисков, почты и файлов с ПДн, а также организация резервного копирования с ограничением доступа.
— Политика блокировки и контроля устройств. Наличие автоматической блокировки экрана при отсутствии пользователя, запрет на подключение неавторизованных флеш-накопителей и личных устройств.
— Ведение журналов и учёта носителей. Проверяют, фиксируются ли факты копирования, переноса и уничтожения данных.
Обоснование по законодательству
Федеральный закон № 152-ФЗ «О персональных данных»:
— Ст. 19 ч. 1–2 — оператор обязан принимать необходимые меры по защите персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения и иных неправомерных действий.
— Постановление Правительства РФ № 1119 — устанавливает требования к защите ПДн в ИСПДн, включая организационные и технические меры.
— Приказ ФСТЭК № 21 — определяет состав и содержание мер защиты при работе с ПДн.
Типичные ошибки организаций
— Сотрудники работают с ПДн на личных ноутбуках без защиты.
— Пароли хранятся в открытом виде или общие на несколько сотрудников.
— Антивирусы не обновляются, отсутствует контроль подключения внешних устройств.
— ПДн сохраняются на «рабочем столе» или в облаках без шифрования.
— Не оформлены документы, подтверждающие внедрение мер защиты (акты, журналы, инструкции).
Особенности на практике
Инспекторы Роскомнадзора не проводят полноценный технический аудит, но могут проверить наличие антивируса, лицензионного ПО, настройку паролей, а также запросить документы, подтверждающие, что организация формально внедрила меры защиты (приказы, акты, инструкции). Если при осмотре выявят, что компьютеры не защищены — это считается нарушением ст. 19 152-ФЗ.
Рекомендации и выводы
Роскомнадзор проверяет наличие антивирусов, разграничение доступа, шифрование и соблюдение правил хранения ПДн на рабочих компьютерах. Чтобы избежать претензий, организация должна не только фактически внедрить эти меры, но и документально их оформить — в положении о защите ПДн, инструкциях пользователей и актах внедрения средств защиты.
Если вы хотите, чтобы ваша компания соответствовала всем требованиям по защите персональных данных и прошла проверку Роскомнадзора без штрафов — закажите в ICTech разработку полного пакета документов по обработке и защите ПДн. Мы адаптируем регламенты под ваши процессы, поможем выстроить систему защиты и обучим сотрудников правильной работе с данными. Это обеспечит законность, безопасность и спокойствие при любой проверке.
