⚠️ Коллега из отдела продаж сохраняет в личном Google Sheets:
- ФИО клиентов/сотрудников
- Названия компаний
- Контактные данные (телефоны, email)
- Другую рабочую информацию (например, суммы сделок)
Простой вопрос сколько пунктов он нарушил?
Сервисы вроде Google Dorks позволяют за минуты найти тысячи открытых таблиц с пометками «клиенты», «партнеры», «бюджет». И первыми их сканируют не хакеры, а менеджеры по продажам конкурентов. Когда данные хранятся вне контроля компании не просто нарушение формальностей. Это уже передача активов третьим лицам.
Формально компания защищает данные, потому что "так требует Роскомнадзор". Страх перед штрафами мощный, но негативный стимул. Он приводит к формальному подходу. Настоящие мотивы бизнеса должны быть глубже и прагматичнее.
Украденная база с паспортными данными и телефонами сотрудников не просто "утечка ПДн". Это готовый инструмент для точечного фишинга против бухгалтерии, руководства или ИТ-администраторов.
Через взлом одного сотрудника атакующий получает доступ ко всей корпоративной сети.
Утечка данных клиентов уничтожает доверие на годы. Клиент может простить задержку доставки или технический сбой. Утечку его персональных данных не простит никогда. Восстановление репутации стоит дороже любого штрафа. Клиентская база конкурентов стоит дорого, ваша база в их руках бесценна.
Корректно собранные и защищённые данные основа для аналитики и развития. Сегментация клиентов, персонализация предложений, прогнозирование спроса работают на данных. Если данные неполные, неактуальные или компания боится их использовать из-за юридических рисков, преимущество теряется.
Недостаточно защищённые персональные данные руководителей или владельцев (адреса, данные родственников, финансовые документы) используются для шантажа или враждебного поглощения. Корпоративные конфликты часто начинаются с утечки компрометирующей информации о владельцах.
Разработка документации по защите персональных данных часто превращается в формальную бюрократию. Компании копируют шаблоны из интернета, подписывают стопку приказов и складывают в папку для проверяющих. Реальная защита данных от этого не улучшается. Локально-нормативные акты должны быть не формальностью для аудитора, а рабочими инструментами, которые определяют, кто, что и как делает для защиты персональных данных.
Роскомнадзор и другие регуляторы требуют наличие определённого набора документов. Отсутствие обязательных ЛНА приводит к штрафам. Но список требуемых документов не фиксирован жёстко. Конкретный набор зависит от категории информационной системы персональных данных (ИСПДн), объёма обрабатываемых данных, наличия трансграничной передачи и других факторов.
Зачем нужны локально-нормативные акты
ЛНА выполняют несколько функций одновременно. Формальная функция удовлетворение требований регуляторов. Роскомнадзор при проверке запрашивает приказы, положения, инструкции. Отсутствие документов основание для штрафа.
Практическая функция регламентация процессов. ЛНА описывают, кто отвечает за защиту персональных данных, как обрабатываются данные, кто имеет доступ, как реагировать на инциденты, как уничтожать данные после окончания обработки. Без документированных процессов каждый сотрудник действует по своему усмотрению. Это приводит к ошибкам и инцидентам.
Юридическая функция распределение ответственности. Если произошла утечка персональных данных, наличие ЛНА показывает, что компания предприняла организационные меры для защиты. Отсутствие документов усугубляет ответственность. Наличие приказа о назначении ответственного за обработку ПДн, инструкций для сотрудников, журналов учёта доступа показывает, что компания системно подходила к защите.
Образовательная функция для сотрудников. Хорошо написанная инструкция объясняет сотруднику, что можно и что нельзя делать с персональными данными. Почему нельзя передавать базу клиентов на личную почту. Почему нельзя оставлять документы с персональными данными на столе после работы. Почему доступ к системе даётся только после подписания обязательства о неразглашении.
Базовый набор обязательных документов
Существует минимальный набор ЛНА, без которых обработка персональных данных считается нелегитимной. Этот набор обязателен для любой организации, обрабатывающей ПДн, независимо от размера и отрасли.
Акт оценки вреда субъектам персональных данных
Документ, который описывает, какой вред может быть причинён субъектам ПДн при нарушении конфиденциальности, целостности или доступности данных. Оценка вреда определяет уровень защищённости информационной системы (УЗ-1, УЗ-2, УЗ-3, УЗ-4). От уровня защищённости зависит набор требуемых технических мер защиты.
Вред может быть материальным (финансовые потери), моральным (разглашение медицинских данных, информации о судимости), физическим (угроза жизни и здоровью при утечке данных о местонахождении охраняемых лиц). Чем серьёзнее потенциальный вред, тем выше требования к защите.
Акт составляется на каждую информационную систему персональных данных. Если у компании несколько ИСПДн (кадровая система, CRM, бухгалтерская система), для каждой нужен отдельный акт оценки вреда. Документ подписывается комиссией, в которую входят руководители ИТ, информационной безопасности, юридического отдела, владельцы бизнес-процессов.
Приказ о базах данных
Приказ утверждает перечень информационных систем персональных данных, которые эксплуатируются в организации. Для каждой ИСПДн указывается назначение (для чего обрабатываются данные), категории субъектов (сотрудники, клиенты, контрагенты), категории обрабатываемых персональных данных (ФИО, адрес, паспортные данные, биометрия), правовое основание обработки (трудовой договор, согласие субъекта, исполнение договора), уровень защищённости, ответственный за эксплуатацию.
Без этого приказа невозможно понять, какие вообще системы обрабатывают персональные данные в организации. На практике часто выясняется, что кроме официальных систем существуют теневые базы. Отдел продаж ведёт клиентскую базу в Excel на файловом сервере. HR-менеджер хранит резюме кандидатов в личной папке на Google Drive. Маркетинг использует сторонний сервис email-рассылок, куда загружена база подписчиков. Все эти системы тоже ИСПДн и должны быть учтены.
Приказ о назначении ответственного за организацию обработки персональных данных
Приказ назначает конкретное должностное лицо, ответственное за организацию обработки ПДн. Обычно это сотрудник службы информационной безопасности, юридического отдела или ИТ-департамента. Ответственный координирует выполнение требований законодательства, взаимодействует с регуляторами, организует обучение сотрудников, контролирует выполнение требований ЛНА.
Отсутствие назначенного ответственного означает, что обработка персональных данных происходит бесконтрольно. При проверке Роскомнадзора первый вопрос "Кто у вас отвечает за обработку персональных данных?". Если ответа нет, это серьёзное нарушение.
Приказ о комиссии по уничтожению персональных данных
Персональные данные должны уничтожаться после достижения целей обработки или по истечении сроков хранения. Уничтожение происходит не произвольно, а по решению комиссии, которая фиксирует факт уничтожения актом. Комиссия проверяет, что уничтожены все копии данных (в рабочих системах, резервных копиях, архивах), носители физически уничтожены или перезаписаны.
Без формализованной процедуры уничтожения персональные данные накапливаются бесконечно. База клиентов, которые не пользовались услугами пять лет, всё ещё хранится. Резюме кандидатов, не принятых на работу три года назад, лежат в архиве. Это нарушение принципа ограничения хранения. Кроме того, чем больше массив хранимых данных, тем выше риски при утечке.
Приказ о вводе в действие комплекта организационно-распорядительных документов
Приказ, который утверждает весь комплект разработанных ЛНА (положения, инструкции, регламенты) и вводит их в действие. Определяет дату, с которой документы становятся обязательными для исполнения.
Приказ о вводе в эксплуатацию информационных систем персональных данных
Каждая ИСПДн должна быть официально введена в эксплуатацию приказом. До ввода в эксплуатацию система должна пройти аттестацию или оценку соответствия требованиям по защите информации (в зависимости от уровня защищённости). Приказ фиксирует, что система соответствует требованиям, установлены необходимые средства защиты информации, назначены ответственные за эксплуатацию.
Эксплуатация неаттестованной ИСПДн нарушение требований законодательства. На практике многие компании начинают обрабатывать персональные данные в новой системе без формального ввода в эксплуатацию. Купили CRM, загрузили клиентскую базу, начали работать. Формальностей не соблюли. При проверке выясняется, что система не аттестована, средства защиты не сертифицированы, ввода в эксплуатацию не было.
Положения и инструкции для регламентации процессов
После базового набора приказов разрабатываются документы, которые детально описывают процессы обработки и защиты персональных данных. Эти документы регламентируют действия сотрудников и служат основой для контроля исполнения требований.
Положение о защите персональных данных
Центральный документ, который описывает общую систему защиты ПДн в организации. Определяет цели и принципы обработки, категории субъектов и обрабатываемых данных, правовые основания, порядок получения согласия, права субъектов и порядок их реализации, организационную структуру (кто за что отвечает), требования к защите, порядок обработки запросов субъектов, порядок реагирования на инциденты.
Положение должно быть написано так, чтобы любой сотрудник, работающий с персональными данными, мог понять основные правила. Не юридический трактат на 100 страниц, а практический документ с чёткими требованиями. "При получении запроса субъекта ПДн на удаление данных сотрудник в течение одного рабочего дня передаёт запрос ответственному за обработку ПДн. Ответственный в течение 10 рабочих дней проверяет возможность удаления (нет ли законных оснований для продолжения обработки) и организует удаление или направляет субъекту мотивированный отказ".
Инструкция для сотрудников, работающих с персональными данными
Практический документ для сотрудников, который объясняет, что можно и что нельзя делать с ПДн. Инструкция должна быть короткой (5-10 страниц) и понятной. Сотрудник должен прочитать её за 20 минут и понять основные правила.
Типичные требования в инструкции включают запрет на передачу персональных данных третьим лицам без согласования с ответственным, запрет на копирование баз данных на личные устройства или в облачные сервисы, обязанность использовать сложные пароли и не передавать их другим сотрудникам, обязанность блокировать компьютер при отсутствии на рабочем месте, запрет на обсуждение персональных данных в публичных местах (лифт, курилка, кафе), обязанность немедленно сообщать об инцидентах (утеря ноутбука, подозрение на взлом аккаунта, случайная отправка данных не тому адресату).
Каждый сотрудник, допущенный к обработке ПДн, должен ознакомиться с инструкцией под подпись. Факт ознакомления фиксируется в журнале. Если сотрудник нарушил требования инструкции (отправил базу клиентов на личную почту), и это привело к утечке, наличие подписи об ознакомлении усиливает его ответственность. Он не может сказать "я не знал, что нельзя".
Инструкция администратора безопасности информационных систем персональных данных
Специальная инструкция для администраторов, которые обслуживают ИСПДн. Описывает требования к настройке систем защиты, управлению учётными записями, мониторингу событий безопасности, реагированию на инциденты, резервному копированию, обновлению систем.
Администратор имеет привилегированный доступ ко всем данным, поэтому требования к нему жёстче. Обязательное использование отдельной учётной записи для административных действий (не работать под admin в повседневных задачах), логирование всех административных действий, обязательное применение обновлений безопасности в установленные сроки, запрет на удалённое администрирование критичных систем через незащищённые каналы, обязательное использование многофакторной аутентификации для доступа к административным интерфейсам.
Положение об обработке персональных данных
Документ, который детально описывает жизненный цикл персональных данных в организации. Сбор данных (какие данные собираются, на каком основании, как получается согласие, как проверяется возраст субъекта при обработке данных несовершеннолетних), хранение (где хранятся данные, кто имеет доступ, как обеспечивается конфиденциальность), использование (для каких целей используются, можно ли использовать для других целей), передача (кому можно передавать, на каких основаниях, как контролируется соблюдение требований получателями), уничтожение (когда уничтожаются, кто принимает решение, как фиксируется факт уничтожения).
Положение должно покрывать все категории субъектов. Обработка данных сотрудников регулируется трудовым законодательством. Обработка данных клиентов договорными отношениями или согласием. Обработка данных посетителей сайта политикой конфиденциальности и согласием на обработку cookies. Каждая категория требует отдельного описания правил обработки.
Положение о комиссии по определению уровня защищённости
Описывает порядок работы комиссии, которая проводит оценку вреда и определяет уровень защищённости ИСПДн. Состав комиссии (обязательно представители ИТ, ИБ, юридического отдела, владельцы бизнес-процессов), периодичность заседаний (при вводе новых ИСПДн, при существенных изменениях в существующих, не реже одного раза в год для переоценки), порядок принятия решений (простым большинством, единогласно, решающий голос у председателя), порядок документирования (протокол заседания, акт оценки вреда).
Без формализованной работы комиссии оценка вреда превращается в формальность. Один человек (обычно специалист по ИБ) заполняет шаблон акта оценки вреда, ставит подписи "за всех" и подшивает в папку. Реальной оценки не происходит. При формальном подходе часто присваивается УЗ-4 (минимальные требования) всем системам, чтобы снизить затраты на защиту. Потом при инциденте выясняется, что система обрабатывала критичные данные и требовала УЗ-1.
Документы по управлению доступом и разграничению полномочий
Контроль доступа к персональным данным один из ключевых механизмов защиты. Не все сотрудники должны иметь доступ ко всем данным. Принцип минимальных привилегий каждый получает доступ только к тем данным, которые необходимы для выполнения его функций.
Приказ об утверждении границ контролируемой зоны и перечня помещений, где размещены информационные системы персональных данных
Определяет физические границы зоны, где обрабатываются персональные данные. Серверная комната, кабинеты сотрудников, работающих с ПДн, помещения для хранения архивов с документами, содержащими ПДн. Для каждого помещения описываются меры физической защиты (замки, СКУД, видеонаблюдение, охрана), правила доступа (кто имеет право входа, в какое время, нужно ли сопровождение), требования к посетителям (регистрация в журнале, сдача мобильных устройств).
Без определения контролируемой зоны невозможно обеспечить физическую защиту. На практике серверная часто доступна любому сотруднику ИТ-отдела. Ключ висит на гвоздике в подсобке. Кабинеты, где сотрудники работают с персональными данными, не отличаются от обычных. Документы с ПДн лежат на столах, мониторы видны через стеклянные перегородки. Посторонние (курьеры, подрядчики, посетители) свободно ходят по офису.
Приказ об утверждении матрицы доступа к информационным системам персональных данных
Матрица доступа описывает, какие роли существуют в ИСПДн, какие права имеет каждая роль, какие сотрудники (должности) назначаются на роли. Матрица составляется для каждой ИСПДн отдельно.
В кадровой системе роли могут быть такими. Администратор (полный доступ к системе, управление пользователями, настройка), HR-менеджер (просмотр и редактирование данных всех сотрудников, формирование отчётов), руководитель подразделения (просмотр данных сотрудников своего подразделения), сотрудник (просмотр и редактирование только своих данных).
Матрица доступа основа для настройки разграничения прав в системе. Без матрицы права выдаются хаотично.
> "Дайте мне доступ к системе"
> "Какой доступ?"
> "Ну, чтобы я мог работать"
> "Ладно, даю полные права администратора".
Через год в системе 20 администраторов, хотя реально нужно 2.
Приказ об утверждении перечня информационных систем персональных данных
Дублирует приказ о базах данных, но с акцентом на технические характеристики систем. Указывается не только назначение и категории данных, но и технические параметры. Программное обеспечение (название, версия, производитель), аппаратное обеспечение (серверы, СХД, сетевое оборудование), средства защиты информации (антивирус, межсетевой экран, SIEM, DLP), сетевые параметры (IP-адреса, сетевые сегменты, маршруты), ответственные (администратор системы, администратор безопасности, владелец данных).
Приказ об утверждении перечня лиц, допущенных к обработке персональных данных в информационных системах персональных данных других операторов
Если сотрудники компании обрабатывают персональные данные в системах других организаций (аутсорсинг, работа с системами заказчиков, использование облачных сервисов), они должны быть официально допущены к такой обработке. Приказ утверждает список таких сотрудников с указанием, в каких внешних ИСПДн они работают, на каком основании (договор с оператором), какие данные обрабатывают.
Без этого приказа обработка данных в чужих системах происходит бесконтрольно. Разработчик получил доступ к production-базе заказчика для исправления бага. Доступ временный, на один день. Через месяц доступ всё ещё активен, никто не проконтролировал отзыв. Сотрудник уволился, но его аккаунт в облачном сервисе, где хранятся данные клиентов, не заблокирован.
Приказ об утверждении перечня лиц, имеющих право доступа к персональным данным, обрабатываемым в информационных системах персональных данных
Персональный список сотрудников, допущенных к обработке ПДн в каждой ИСПДн. Для каждого сотрудника указывается ФИО, должность, ИСПДн, к которой предоставлен доступ, роль (согласно матрице доступа), дата предоставления доступа, основание (должностная инструкция, приказ о назначении).
Список актуализируется при приёме новых сотрудников, переводе на другую должность, увольнении. Практическая проблема список быстро устаревает. Сотрудник уволился, но в приказе всё ещё числится. Новый сотрудник работает уже месяц, но формально не допущен. Сотрудник перешёл на другую должность, но сохранил доступы с прежней должности плюс получил новые. Накопил избыточные права.
Решение привязать приказ к процессу управления доступом. При создании учётной записи проверяется наличие в приказе. Нет в приказе, доступ не выдаётся до внесения изменений. При увольнении автоматически удаляется из приказа и блокируются все доступы.
Приказ об утверждении перечня персональных данных, обрабатываемых на бумажных носителях
Персональные данные обрабатываются не только в информационных системах, но и на бумаге. Трудовые договоры, личные дела сотрудников, заявления, согласия на обработку ПДн, медицинские книжки, резюме кандидатов. Приказ определяет, какие категории документов содержат ПДн, где они хранятся (архив, сейф, запираемые шкафы), кто имеет доступ, как организован учёт (журналы выдачи дел), как обеспечивается защита (замки, ограничение доступа в помещение), как уничтожаются (шредирование, сжигание, передача специализированной организации).
На практике бумажные документы защищены хуже электронных. Личные дела сотрудников хранятся в обычных шкафах в кабинете HR. Шкаф не запирается. Любой сотрудник, зашедший в кабинет, может открыть и посмотреть. Резюме кандидатов лежат стопкой на столе HR-менеджера. Уборщица, работающая вечером, может сфотографировать. Договоры с клиентами (с паспортными данными, ИНН, адресами) хранятся в отделе продаж в открытом доступе.
Документы по контролю и аудиту
Защита персональных данных требует постоянного контроля. Проверки выполнения требований ЛНА, аудита доступа, анализа инцидентов, оценки эффективности мер защиты.
Приказ об утверждении перечня работников, которым разрешены действия по внесению изменений в конфигурацию информационных систем персональных данных и систем защиты информации
Изменения в конфигурации систем (установка обновлений, изменение настроек безопасности, добавление пользователей, изменение правил межсетевого экрана) должны вносить только уполномоченные сотрудники. Приказ определяет, кто имеет такие права, для каких систем, в каком порядке (требуется ли согласование изменений, тестирование перед внесением в production, документирование изменений).
Без контроля изменений любой сотрудник ИТ может внести изменения, которые снизят защищённость. Администратор для "упрощения работы" отключил логирование административных действий. Разработчик для отладки временно открыл прямой доступ к базе данных из интернета и забыл закрыть. Инженер обновил антивирус без тестирования, обновление оказалось несовместимым, защита перестала работать.
Приказ об оценке вреда, который может быть причинён субъектам персональных данных
Формальное закрепление результатов работы комиссии по оценке вреда. Приказ утверждает акты оценки вреда для всех ИСПДн, определяет уровни защищённости, устанавливает сроки следующей переоценки.
Документы по работе с внешними операторами и трансграничной передаче
Персональные данные часто передаются за пределы организации. Аутсорсинг бухгалтерии (передаются данные сотрудников для расчёта зарплаты), использование облачных сервисов (CRM, email, файловое хранилище), работа с подрядчиками (рекрутинговые агентства, колл-центры, курьерские службы). Передача требует документального оформления.
Приказ об обеспечении безопасности помещений, в которых размещены средства удалённого доступа к информационным системам персональных данных других операторов
Если сотрудники работают с внешними ИСПДн удалённо (через VPN, веб-интерфейс, терминальный доступ), помещения, где происходит такая работа, должны соответствовать требованиям безопасности. Контроль физического доступа (только допущенные сотрудники), защита от несанкционированного наблюдения (экраны не видны посторонним, защитные фильтры на мониторах), защита каналов связи (шифрование трафика), запрет на вынос информации (блокировка USB, запрет на печать, контроль копирования в буфер обмена).
Приказ об утверждении политики в отношении обработки персональных данных
Публичный документ, который размещается на сайте организации и доступен всем субъектам персональных данных. Политика описывает в общих чертах, какие данные собирает организация, для каких целей, на каких основаниях, кому может передавать, как обеспечивает защиту, какие права имеют субъекты и как их реализовать.
Политика должна быть написана понятным языком, без юридического жаргона. Обычный человек должен прочитать и понять, что происходит с его данными. Не "обработка персональных данных осуществляется в соответствии с ФЗ-152 на основании ст. 6 п. 1 для целей, предусмотренных договором", а "мы собираем ваше имя, телефон и email, когда вы регистрируетесь на сайте. Используем эти данные, чтобы обработать ваш заказ и связаться с вами по вопросам доставки. Не передаём ваши данные третьим лицам без вашего согласия, за исключением курьерской службы для доставки заказа".
Приоритизация разработки локально-нормативных актов
Полный комплект ЛНА может включать 30-40 документов. Разработать всё одновременно нереально, особенно для небольших компаний с ограниченными ресурсами. Нужна приоритизация. Какие документы разработать в первую очередь, какие могут подождать, от чего зависит последовательность.
Критичность документа с точки зрения регулятора
Некоторые документы Роскомнадзор проверяет в первую очередь при любой проверке. Отсутствие этих документов приводит к штрафу с высокой вероятностью. Акт оценки вреда субъектам ПДн, приказ о базах данных, положение о защите персональных данных, политика обработки персональных данных (на сайте), приказ о назначении ответственного за обработку ПДн. Эти пять документов минимум первой необходимости. Без них обработка персональных данных формально незаконна.
Вторая группа документы, которые проверяются при углублённой проверке или при расследовании инцидента. Инструкция для сотрудников, матрица доступа, перечень лиц, допущенных к обработке ПДн, положение о комиссии по уничтожению. Если этих документов нет, штраф менее вероятен при обычной проверке, но при инциденте отсутствие усугубит ответственность.
Третья группа документы, которые нужны для операционной деятельности, но их отсутствие не приводит к прямому штрафу. Инструкция администратора безопасности, положение о комиссии по определению УЗ, приказы об утверждении перечней. Эти документы повышают качество процессов, но их можно разработать позже.
Критичность с точки зрения практической защиты
Некоторые документы напрямую влияют на защищённость, даже если регулятор не проверяет их наличие с особым усердием. Матрица доступа и перечень лиц, допущенных к обработке ПДн, критичны для контроля доступа. Без этих документов невозможно организовать нормальное разграничение прав. Инструкция для сотрудников критична для снижения человеческого фактора. Без инструкции сотрудники действуют интуитивно, совершают ошибки.
Положение о комиссии по уничтожению критично для соблюдения принципа ограничения хранения. Без него данные накапливаются бесконечно, что увеличивает риски. Приказ об утверждении границ контролируемой зоны критичен для физической защиты. Без него невозможно контролировать, кто имеет физический доступ к носителям с ПДн.
Зависимость от размера и специфики организации
Малый бизнес (до 50 сотрудников, простая инфраструктура, одна-две ИСПДн) может обойтись минимальным набором документов. Пять критичных документов плюс инструкция для сотрудников. Этого достаточно для базового соответствия и практической защиты. Переусложнение документации в малом бизнесе приводит к тому, что документы существуют только на бумаге, реальные процессы идут иначе.
Средний бизнес (50-500 сотрудников, несколько ИСПДн, более сложные процессы) требует расширенного набора. Добавляются положения по управлению доступом, документы по работе с подрядчиками, регламенты реагирования на инциденты, положение об обучении. Документация усложняется, но остаётся практичной.
Крупный бизнес (500+ сотрудников, множество ИСПДн, сложная инфраструктура, обработка специальных категорий ПДн, трансграничная передача) требует полного комплекта ЛНА. Все категории документов обязательны. Документация детальная, процессы формализованы до мелочей. Без этого невозможно управлять рисками в масштабе.
Специфика отрасли также влияет. Медицинские организации обрабатывают специальные категории персональных данных (сведения о здоровье), что требует усиленных мер защиты и дополнительных документов (положение об обработке биометрических данных, регламент обезличивания медицинских данных для статистики). Финансовые организации подпадают под требования ЦБ РФ, которые дополняют требования по ПДн. Образовательные учреждения обрабатывают данные несовершеннолетних, что требует особого внимания к получению согласия законных представителей.
Поэтапная разработка: практический подход
Этап 1 (первый месяц): критический минимум
Разработать пять обязательных документов. Акт оценки вреда, приказ о базах данных, приказ о назначении ответственного, положение о защите ПДн (краткое, 10-15 страниц), политика обработки ПДн (публичная, на сайт). Этого достаточно, чтобы формально легализовать обработку персональных данных. Если придёт проверка Роскомнадзора, эти документы покажут, что компания осознаёт свои обязанности и предпринимает меры.
Не пытайтесь сразу сделать идеальные документы. Лучше простые работающие документы, чем совершенные, которые будете дорабатывать полгода. Акт оценки вреда на 5 страниц лучше, чем отсутствие акта. Положение о защите ПДн на 10 страниц с основными требованиями лучше, чем 100-страничный опус, который никто не будет читать.
Этап 2 (второй месяц): операционные документы
Разработать документы, которые нужны для повседневной работы. Инструкция для сотрудников (практическая, с конкретными примерами "можно-нельзя"), матрица доступа для всех ИСПДн (кто какие права имеет), приказ о перечне лиц, допущенных к обработке ПДн (кто работает с какими системами), приказ о комиссии по уничтожению (с регламентом работы).
После этих документов можно организовать базовые процессы. Контроль доступа (выдача прав строго по матрице), ознакомление сотрудников с инструкцией (под подпись при приёме на работу), плановое уничтожение устаревших данных (комиссия собирается раз в квартал, составляет акты).
Этап 3 (третий-четвёртый месяц): специализированные документы
Разработать документы для специфических процессов. Если используются облачные сервисы или работаете с подрядчиками, которые обрабатывают ПДн, нужны договоры с условиями обработки и приказы о допуске сотрудников к внешним системам. Если есть удалённая работа, нужны требования к безопасности удалённых рабочих мест. Если планируете трансграничную передачу, нужно положение о трансграничной передаче с обоснованием и мерами защиты.
Если обрабатываете специальные категории ПДн (биометрия, данные о здоровье, судимости), нужны дополнительные положения и усиленные меры защиты. Если у вас сложная распределённая инфраструктура (филиалы в разных городах, несколько дата-центров), нужны документы по обеспечению согласованности мер защиты во всех локациях.
Этап 4 (постоянно): актуализация и доработка
ЛНА не разрабатываются один раз и навсегда. Изменяется законодательство, появляются новые разъяснения регулятора, меняются бизнес-процессы, внедряются новые информационные системы. Документы нужно актуализировать. Минимум раз в год проводить ревизию всех ЛНА, проверять актуальность, вносить изменения.
Типичные причины актуализации. Внедрение новой ИСПДн (нужно провести оценку вреда, внести в перечень, определить матрицу доступа, ввести в эксплуатацию), изменение организационной структуры (переназначение ответственных, изменение состава комиссий), инцидент безопасности (анализ причин показал пробелы в ЛНА, нужно доработать процессы), замечания при проверке или аудите (регулятор указал на недостатки в документах, нужно исправить).
Типичные ошибки при разработке локально-нормативных актов
Практика показывает повторяющиеся ошибки, которые снижают ценность ЛНА и создают проблемы при проверках.
Копирование шаблонов без адаптации
Самая частая ошибка. Скачивают шаблон из интернета, меняют название организации, подписывают, подшивают. Документ не отражает реальные процессы компании. В шаблоне написано про трёхуровневую систему защиты с применением сертифицированных СКЗИ, а в реальности один антивирус и межсетевой экран. В шаблоне описана комиссия из пяти человек, а в компании всего два сотрудника, которые работают с ПДн.
При проверке Роскомнадзор запрашивает документы, описанные в ЛНА. "У вас в положении написано, что ведётся журнал учёта носителей с ПДн. Предъявите журнал". Журнала нет, потому что в реальности процесса нет. "У вас в приказе указана комиссия по уничтожению из четырёх человек. Предъявите протоколы заседаний комиссии за последний год". Протоколов нет, комиссия ни разу не собиралась.
ЛНА должны описывать реальность, а не идеальный мир. Если у вас нет возможности внедрить сертифицированные СКЗИ, не пишите про них в документах. Опишите те меры, которые реально применяете (антивирус, межсетевой экран, парольные политики, обучение сотрудников), и объясните, почему этого достаточно для вашего уровня защищённости (УЗ-4, минимальные требования).
Избыточная детализация
Противоположная ошибка. Документ расписан на 100 страниц с детализацией каждого шага. "Сотрудник, получивший запрос субъекта ПДн на удаление данных, в течение одного рабочего дня (за исключением выходных и праздничных дней согласно производственному календарю) с момента получения запроса (момент определяется по отметке входящей корреспонденции в журнале регистрации или по времени получения email на корпоративный адрес info@company.ru) направляет запрос ответственному за обработку ПДн (Иванову И.И., тел. +7-xxx-xxx-xxxx, email ivanov@company.ru) посредством передачи оригинала документа (при получении запроса на бумажном носителе) либо пересылки email (при получении запроса в электронной форме)".
Избыточная детализация делает документ нечитаемым. Сотрудник не будет читать 100 страниц инструкции. Он прочитает первые две страницы и забросит. Кроме того, излишняя детализация создаёт ригидность. Любое изменение процесса требует переработки документа. Сменился ответственный за обработку ПДн, нужно вносить изменения во все документы, где он поименно указан. Изменился email, нужно править документ.
ЛНА должны быть достаточно общими, чтобы не требовать постоянной переработки, но достаточно конкретными, чтобы быть понятными и применимыми. "Сотрудник, получивший запрос субъекта ПДн, в течение одного рабочего дня передаёт его ответственному за обработку ПДн. Ответственный в течение 10 рабочих дней рассматривает запрос и организует исполнение либо направляет мотивированный отказ". Этого достаточно. Конкретные контакты ответственного, форматы передачи, шаблоны ответов описываются в рабочих инструкциях или хранятся на внутреннем портале, где их легко актуализировать.
Несогласованность документов между собой
ЛНА это система документов. Они должны быть согласованы между собой. В одном документе написано одно, в другом другое, в третьем третье. В приказе о базах данных указано пять ИСПДн. В матрице доступа описаны права для четырёх систем (одна забыта). В приказе о перечне лиц, допущенных к обработке ПДн, перечислены сотрудники для шести систем (добавлена система, которой нет в приказе о базах данных). В акте оценки вреда система Х имеет УЗ-2, в приказе о вводе в эксплуатацию указан УЗ-3.
Несогласованность создаёт путаницу и вопросы при проверке. Регулятор видит противоречия и требует объяснений. Если объяснить не можете, это свидетельствует о формальном подходе к разработке документов.
Решение завести общий реестр объектов (ИСПДн, сотрудники, помещения, носители), который является источником данных для всех ЛНА. При разработке или актуализации документа данные берутся из реестра. Изменения вносятся в реестр, затем каскадно обновляются все связанные документы.
Отсутствие процедур исполнения
ЛНА описывают, что нужно делать, но не описывают, как именно это делать. "Сотрудники должны пройти обучение по вопросам защиты персональных данных". Как организовано обучение? Кто его проводит? В какой форме (лекция, вебинар, самостоятельное изучение материалов)? Как фиксируется факт прохождения (тест, подпись в журнале)? Что делать, если сотрудник не прошёл обучение в установленный срок?
Без процедур требование остаётся декларацией. На бумаге написано "все сотрудники обучены", в реальности обучения не было. При проверке запрашивают подтверждение. "Предъявите протоколы тестирования или журнал прохождения обучения". Ничего нет.
ЛНА должны содержать ссылки на процедуры (рабочие инструкции, регламенты, чек-листы), которые описывают пошаговое исполнение требований. "Обучение проводится согласно Регламенту обучения сотрудников по вопросам защиты ПДн (приложение 3)". В приложении описано, как проходит обучение, какие материалы используются, как тестируются знания, как ведётся учёт.
Формальное согласование без вовлечения исполнителей
ЛНА разрабатывает специалист по ИБ или юрист в изоляции, согласовывает с руководством, утверждает приказом, раздаёт на ознакомление. Сотрудники, которые будут применять эти документы в работе, не участвовали в разработке. В результате документы оторваны от реальности.
Инструкция требует блокировать компьютер при каждом отходе от рабочего места. В колл-центре сотрудник отвечает на 50-70 звонков в день, отходит от места 10-15 раз (в туалет, налить кофе, распечатать документ). Каждый раз блокировать-разблокировать компьютер снижает производительность. Сотрудники игнорируют требование. Специалист по ИБ, разработавший инструкцию, не понимает специфику работы колл-центра.
Решение вовлекать исполнителей в разработку ЛНА. Инструкцию для HR-отдела разрабатывайте вместе с HR. Инструкцию для администраторов вместе с администраторами. Они знают реальные процессы, понимают, какие требования выполнимы, какие создадут проблемы. Получается документ, который реально применим.
Отсутствие механизмов контроля исполнения
ЛНА приняты, всех ознакомили под подпись, документы лежат в папке. Исполняются ли требования? Никто не проверяет. Через год при проверке или аудите выясняется, что требования ЛНА не исполняются. Матрица доступа есть, но права в системах выданы хаотично, без соответствия матрице. Положение о комиссии по уничтожению есть, но данные не уничтожаются, комиссия не собиралась ни разу. Инструкция для сотрудников есть, но никто её не соблюдает.
ЛНА должны содержать механизмы контроля. "Ответственный за обработку ПДн ежеквартально проводит аудит соответствия выданных прав матрице доступа. Результаты аудита оформляются актом. Выявленные несоответствия устраняются в течение 5 рабочих дней". "Комиссия по уничтожению ПДн собирается не реже одного раза в квартал. Заседания комиссии оформляются протоколом. Факт уничтожения данных фиксируется актом с подписями всех членов комиссии".
Механизмы контроля делают ЛНА работающими, а не мёртвыми бумагами.
Практические рекомендации по разработке и внедрению
Несколько практических советов, которые помогут сделать ЛНА реально работающими инструментами.
Начинайте с инвентаризации
Перед разработкой ЛНА проведите инвентаризацию. Какие персональные данные обрабатываете (категории, объёмы, источники)? В каких системах (информационные системы, базы данных, документы на бумаге, таблицы Excel)? Кто имеет доступ (должности, конкретные сотрудники)? Для каких целей обрабатываете (исполнение договоров, выполнение законодательных обязанностей, согласие субъекта)? Кому передаёте (подрядчики, государственные органы, аффилированные компании)?
Инвентаризация покажет реальную картину. Часто выясняется, что данных больше, чем думали. Систем больше. Доступ имеют больше людей. Передача третьим лицам происходит, хотя формально "мы никому не передаём". После инвентаризации можно разрабатывать ЛНА, которые описывают реальность.
Пишите понятным языком
ЛНА не юридические трактаты. Они для сотрудников, которые не юристы и не специалисты по ИБ. Пишите простым языком. Короткие предложения. Конкретные требования. Минимум отсылок к законодательству.
Плохо: "Обработка персональных данных осуществляется в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ 'О персональных данных' с изменениями и дополнениями, Постановления Правительства РФ от 01.11.2012 № 1119, Приказа ФСТЭК России от 18.02.2013 № 21, иных нормативных правовых актов".
Хорошо: "При работе с персональными данными соблюдайте требования законодательства и внутренних инструкций. Не передавайте данные третьим лицам без согласования с ответственным за обработку ПДн".
Структурируйте текст. Заголовки, подзаголовки, нумерованные списки. Выделяйте важные требования. Используйте таблицы для матриц, перечней, классификаций. Добавляйте блок-схемы для описания процессов. "Получен запрос субъекта ПДн > Передать ответственному в течение 1 дня > Ответственный рассматривает 10 дней > Исполнить или отказать с обоснованием > Направить ответ субъекту".
Включайте практические примеры. "Можно: хранить личные дела сотрудников в запираемом шкафу в кабинете HR, доступ только у HR-менеджера и директора. Нельзя: хранить личные дела в открытом шкафу, доступном всем сотрудникам".
Добавляйте приложения с шаблонами. Шаблон согласия на обработку ПДн, шаблон уведомления о начале обработки, шаблон акта уничтожения, шаблон журнала учёта доступа. Сотрудник не думает, как оформить документ, берёт готовый шаблон и заполняет.
Раздать документы на ознакомление под подпись недостаточно. Проведите обучение. Объясните, зачем нужны ЛНА, какие требования критичны, что будет при нарушении. Разберите типичные ситуации. Ответьте на вопросы.
Обучение должно быть регулярным. При приёме новых сотрудников, при изменении ЛНА, при выявлении систематических нарушений. Фиксируйте факт обучения (протокол, подписи, результаты тестирования).
Проводите внутренние аудиты
Не ждите проверки Роскомнадзора. Проводите внутренние аудиты самостоятельно. Ежеквартально или раз в полгода проверяйте исполнение требований ЛНА. Соответствуют ли выданные права матрице доступа? Проводятся ли заседания комиссии по уничтожению? Актуализируются ли перечни ИСПДн и сотрудников? Ведутся ли журналы учёта?
Выявленные несоответствия устраняйте. Если требование ЛНА систематически не исполняется, разберитесь почему. Требование нереалистично? Измените документ. Сотрудники не понимают, как исполнять? Проведите дополнительное обучение. Нет контроля? Назначьте ответственного и установите периодичность проверок.
Внутренний аудит готовит компанию к внешней проверке. Лучше самим найти и исправить проблемы, чем получить штраф от Роскомнадзора.
Локально-нормативные акты по защите персональных данных не бюрократическая формальность, а рабочий инструмент. Правильно разработанные ЛНА регламентируют процессы, распределяют ответственность, обеспечивают контроль, защищают компанию от штрафов и репутационных рисков.
Разработка полного комплекта ЛНА занимает несколько месяцев. Начинайте с критического минимума, который легализует обработку персональных данных и защищает от штрафов при проверке. Постепенно расширяйте комплект, добавляя операционные и специализированные документы. Главное, чтобы документы описывали реальные процессы, а не идеальный мир из шаблонов.
Вовлекайте сотрудников в разработку, обучайте требованиям, контролируйте исполнение. ЛНА, которые лежат в папке и никем не применяются, бесполезны. ЛНА, которые регламентируют работу и реально исполняются, создают систему защиты персональных данных, снижают риски и обеспечивают соответствие законодательству.