Зачем нужна «бумажная безопасность»: организационные меры, а не только антивирус

«Бумажная безопасность» — это организационно-распорядительная документация по защите информации: политики, приказы, регламенты, инструкции, согласия и журналы. Её часто недооценивают: кажется, что достаточно поставить антивирус и настроить резервное копирование. Но закон и проверяющие смотрят в первую очередь на документы.

Почему технических средств недостаточно

Федеральный закон 152-ФЗ (ст. 18.1 и 19) требует от оператора принимать и правовые, и организационные, и технические меры. Приказ ФСТЭКФедеральная служба по техническому и экспортному контролю — Регулятор технической защиты информации (ИСПДн, ГИС, КИИ); ведёт реестр сертифицированных СЗИ. №21 для ИСПДнИнформационная система персональных данных — Совокупность персональных данных в базах данных и обеспечивающих их обработку информационных технологий и технических средств. прямо включает организационные меры (политику, распределение ответственности, управление доступом, реагирование на инциденты) наравне с техническими. Антивирус и бэкап закрывают лишь часть технических мер — без организационной основы они не образуют систему защиты, которую требует закон.

Что в первую очередь проверяют Роскомнадзор и ФСТЭК

При проверке инспектор начинает с документов: есть ли политика обработки ПДнПерсональные данные — Любая информация, относящаяся к прямо или косвенно определённому физическому лицу (субъекту ПДн)., назначен ли ответственный, оформлены ли согласия, разработана ли модель угроз, ведутся ли журналы. Отсутствие документа фиксируется как нарушение независимо от того, установлен ли антивирус. Парадокс в том, что компания с надёжной техникой, но без документов получает штраф, а компания со скромной техникой, но с порядком в документах проходит проверку.

Базовый набор организационных документов

• Политика в отношении обработки ПДн — публикуется и определяет цели, основания и принципы обработки;
• Приказ о назначении ответственного за организацию обработки ПДн;
• Согласия субъектов и иные правовые основания обработки;
• Модель угроз безопасности информации — см. методику ФСТЭК 2021;
• Положение о защите ПДн, инструкции пользователям и администратору;
• Журналы — учёта носителей, инструктажей, обращений субъектов, регистрации событий;
• Обязательства о неразглашении и перечень лиц, допущенных к обработке;
• Акты уничтожения ПДн и носителей по достижении цели обработки.

Организационные и технические меры работают только вместе

Технические средства приносят пользу лишь тогда, когда вокруг них выстроены правила. Антивирус защищает, если регламент запрещает его отключать и назначен ответственный за обновления. Резервное копирование спасает, если есть регламент с периодичностью, проверкой восстановления и контролем доступа к копиям. Разграничение доступа имеет смысл, если оформлена матрица доступа и приказ о допуске. Без организационной части техника превращается в набор настроек, которые никто не поддерживает.

С чего начать

1. определите, какие ПДн и где вы обрабатываете (инвентаризация);
2. назначьте ответственного и утвердите политику обработки;
3. оформите согласия и информирование субъектов;
4. составьте модель угроз и подберите меры под объект;
5. заведите журналы и регламенты, затем настройте технические средства под них.

ГрамотаИБ ведёт оператора по этому пути: формирует перечень нужных документов под ваш профиль обработки и помогает их подготовить автоматически — попробовать можно в сервисе.