Чек-лист для проверки Роскомнадзора: Минимальный набор документов по 152-ФЗ

Этот блок доказывает, что вы открыто уведомили государство и общественность о своей работе с данными.

▌ 1. Уведомление об обработке ПДн

Суть: Официальное письмо в Роскомнадзор о том, что ваша компания является оператором ПДн.

Типовая ошибка: Забыли подать или не актуализировали данные. Если вы поменяли цели обработки

(например, добавили рассылку) или юридический адрес, нужно подать информационное письмо об изменениях.

Для проверки: Распечатанная копия Уведомления с отметкой о регистрации в реестре РКН.

▌ 2. Политика в отношении обработки ПДн

Суть: Документ, описывающий общие принципы работы с данными, права субъектов и меры защиты.

Требование: Она должна быть общедоступной. Обычно ее размещают на сайте компании в отдельном разделе (например, в футере).

Типовая ошибка: Политика есть, но до нее невозможно добраться с главной страницы сайта, или она не соответствует реальным процессам (например, упоминает биометрические данные, которые вы не собираете).

Эти документы показывают, что у вас есть ответственные лица и понятные правила для сотрудников.

▌ 3. Приказы о назначении ответственных

Суть: Приказ руководителя о назначении Ответственного за организацию обработки ПДн.

Требование: Ответственный должен быть один, а его обязанности четко прописаны в должностной инструкции (включая регулярное обучение сотрудников).

Типовая ошибка: Назначили человека, который не имеет ни квалификации, ни реальных полномочий для выполнения этих обязанностей.

▌ 4. Положение о порядке обработки ПДн

Суть: Самый важный внутренний документ. Детально описывает, кто, зачем, сколько времени и как обрабатывает ПДн (например, бухгалтерия — данные сотрудников, отдел продаж — данные клиентов).

Требование: Должно быть приведено в соответствие с Приказом ФСТЭК № 21 (если вы защищаете ИСПДн) и соответствовать вашей реальной практике.

Для проверки: Документ, утвержденный руководителем, и Листы ознакомления с ним всех сотрудников, имеющих доступ к ПДн.

Это доказательства того, что вы защищаете данные и получаете на них законное право.

▌ 5. Согласие субъектов ПДн

Суть: Доказательство того, что вы работаете с данными на законном основании.

Требование: Согласие должно быть конкретным. Если собираете данные для рассылки, цель должна быть указана как "маркетинговая рассылка", а не просто "обработка".

Типовая ошибка: Использование одного "общего" согласия для совершенно разных целей (например, для трудоустройства и для передачи данных третьим лицам).

▌ 6. Акты классификации и Модель угроз

Суть: Документы, определяющие уровень защищенности ваших информационных систем (ИСПДн) и риски.

Требование: Должны быть разработаны в соответствии с Постановлением Правительства РФ № 111 и Приказом ФСТЭК № 21. Именно эти документы определяют, какие конкретные средства защиты(антивирус, межсетевой экран и т.п.) вы должны использовать.

Типовая ошибка: Документы разработаны, но не отражают фактическую ситуацию (например, в модели указан уровень защиты 3, а установлены лишь минимальные СЗИ).

Чтобы пройти проверку РКН, сосредоточьтесь на трех вещах:

1. Наличие: У вас должны быть все шесть базовых документов.
2. Актуальность: Все документы должны соответствовать текущему законодательству и вашим реальным процессам.
3. Ознакомление: Сотрудники должны быть под роспись ознакомлены с внутренними политиками.

Запишитесь на консультацию по Информационной безопасности — и давайте сделаем ваш бизнес надежным и безопасным.

Переходите на сайт агентства — там вас ждут кейсы, которые уже работают, и стратегии, которые выстроят ваш путь к росту.