Обоснование по законодательству
- Ст. 18.1 ФЗ-152: оператор обязан назначить лицо, ответственное за организацию обработки ПДн, и принять локальные акты, регулирующие обработку.
- Ст. 19 ФЗ-152: оператор обязан принимать необходимые правовые, организационные и технические меры для защиты ПДн, включая предотвращение несанкционированного доступа, соблюдение требований безопасности и оценку эффективности принимаемых мер.
- Постановление Правительства № 1119: определяет уровни защищённости ИСПДн и базовые требования к мерам безопасности.
Пример формулировки для небольшого бизнеса
«Назначено лицо, ответственное за организацию обработки ПДн; утверждены локальные акты (политика обработки ПДн, согласия, приказы); установлен порядок доступа сотрудников к ПДн; применяется парольная защита рабочих устройств, антивирусное ПО; обеспечивается резервное копирование; обработка ПДн осуществляется в соответствии с требованиями ФЗ-152 и Постановления Правительства РФ № 1119.»
Пример формулировки для более крупной компании
«Разработан и внедрён пакет организационно-распорядительной документации по защите ПДн; назначен ответственный; ведётся журнал учёта доступа и копирования; доступ сотрудников разграничен по ролям; используются технические средства защиты (антивирус, межсетевой экран, резервное копирование); проводится регулярная оценка эффективности мер защиты; обеспечивается локализация ПДн на территории РФ.»
Рекомендации и выводы
Заполняя этот раздел, не стоит ограничиваться формулировкой «меры не применяются». Даже минимальный набор обязан быть описан. Важно перечислить хотя бы базовые шаги: назначение ответственного, принятие локальных актов, пароли и антивирус. Более крупные компании должны дополнять список мерами в зависимости от своих систем (VPN, разграничение доступа, шифрование, аудит).
Если сомневаетесь, как правильно описать меры по ст. 18.1 и 19 ФЗ-152 в уведомлении, — поможем. Услуга по подаче уведомления в Роскомнадзор
