Во второй части этого цикла статей уже было сказано, что основным массивом данных, который мы должны предоставить проверяющим из РКН — это комплект внутренней документации организации по защите персональных данных. У всех, кто первый раз сталкивается с вопросом подготовки такого комплекта документов сразу возникает ряд вопросов:
- каким должен быть состав документов и их содержание?
- где взять образцы документов, от чего оттолкнуться?
- делать все самим, пригласить специалистов или воспользоваться сайтами-заполняторами шаблонов?
Давайте с каждым вопросом попробуем разобраться отдельно.
Четкий состав, и, тем более, содержание документов не установлены ни в одном законодательном акте по защите ПДн. В федеральном законе о персональных данных напрямую говорится только о необходимости разработки «Модели угроз безопасности» и публикации «Политики в отношении обработки персональных данных». Все остальное описано неоднозначно, примерно в таком духе:
Оператор обязан принимать меры… К таким мерам могут, в частности, относиться:
1) назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных;
2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
…
4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;
И так далее. Поскольку прямого указания выпускать тот или иной документ нет, читать и понимать 152-ФЗ следует именно так: если написано про осуществление внутреннего контроля, то для выполнения этого требования должны быть разработаны документы, определяющие план, порядок такого контроля, а также некие акты или журналы, в которых отражены результаты контроля. Проверяющих не устроит рассказ о том, что вы выполнили требование по назначению ответственного за организацию обработки персональных данных просто устно обозначив такую ответственность одному из сотрудников. Должна быть бу-маж-ка! В этом конкретном случае — приказ о назначении такого ответственного.
Здесь можно вспомнить постановление правительства РФ № 211, в котором приведен робкий перечень документов. Но мы на нем, по крайней мере, в этой публикации подробно останавливаться не будем. Потому что во-первых: этот перечень достаточно куц и не перекрывает даже малой части всех требований законодательства. А во-вторых: это постановление относится только к государственным и муниципальным органам, а всем остальным операторам ПДн его положения выполнять не обязательно (я бы даже сказал — противопоказанно).
Ну и если с составом документов хоть как-то можно разобраться, выискивая намеки в законодательстве на тот или иной документ, то по их содержанию законодатели предоставили нам волю для воображения (ага, огромное нечеловеческое спасибо, блин!). То есть примерных шаблонов, образцов на законодательном уровне (еще раз подчеркну — именно на законодательном уровне, а не на уровне инициатив отдельных ведомств) просто нет. От слова «вообще». Поэтому не стоит особо удивляться, если разные организации или специалисты предложат вам разный набор документов. Это нормально. Я даже больше скажу, я сам сейчас занимаюсь переделыванием набора документов, потому что изменилось видение на организационную часть защиты информации и персональных данных. О разных подходах к документам и почему я решил этим заняться, я планирую написать в одной из следующих статей.
Мы дошли до следующего вопроса — если с составом и, тем более, с содержанием документов не совсем все ясно, то от чего оттолкнуться? В статье на хабре, я уже приводил примерный перечень документов. Здесь я этого делать не буду по одной простой причине — я дам ссылку на комплект шаблонов. В этом архиве я собрал некоторую подборку документов с просторов интернета и частично из своих старых наработок. Отдельно для государственных информационных систем (так как там даже при обработке только персональных данных нужно учесть некоторые специфические вещи) и отдельно для чистых ИСПДн. Сразу скажу, в документах могут встречаться огрехи, опечатки, устаревшие определения, и именно эти шаблоны я давно не использую в своей работе, но как база, от которой можно отталкиваться вполне подойдет.