В условиях цифровизации и роста киберугроз защита персональных данных (ПДн) становится приоритетом для организаций. Федеральный закон №152-ФЗ «О персональных данных» и связанные с ним нормативные акты, такие как Постановление Правительства РФ №1119, обязывают операторов ПДн вести строгий учёт доступа к данным, чтобы минимизировать риски утечек и обеспечить соответствие требованиям регуляторов.
Ведение регистра учета доступа к персональным данным — это не просто формальность, а важный элемент системы информационной безопасности (ИБ). В этой статье мы расскажем, что такое регистр, зачем он нужен и как его правильно вести.
Что такое регистр учёта доступа к ПДн и зачем он нужен?
Регистр учёта доступа к персональным данным — это документ или электронная система, в которой фиксируются все действия, связанные с доступом к ПДн в информационных системах персональных данных (ИСПДн). Согласно пункту 8 статьи 19 Федерального закона №152-ФЗ, оператор обязан обеспечить регистрацию и учёт всех действий с ПДн, включая:

Кто получил доступ (ФИО, должность, полномочия).
К каким данным был предоставлен доступ (категория ПДн, конкретная система).
Какие действия совершались (просмотр, изменение, копирование и т.д.).
Когда и каким образом доступ был предоставлен (дата, время, способ).

Цели ведения регистра
Соответствие законодательству
Регуляторы, такие как Роскомнадзор, проверяют наличие и корректность регистра во время аудитов. Отсутствие регистра или его неправильное ведение может привести к штрафам до 300 тысяч рублей (статья 13.11 КоАП РФ).
Контроль доступа
Регистр помогает выявить несанкционированный доступ или утечки данных.
Расследование инцидентов
В случае утечки или кибератаки регистр позволяет восстановить цепочку событий и определить виновных.
Прозрачность процессов
Регистр демонстрирует сотрудникам и регуляторам, что организация серьёзно относится к защите данных.
В 2024 году производственная компания в Калуге столкнулась с утечкой клиентских данных. Благодаря ведению регистра учёта доступа специалисты по ИБ быстро установили, что утечка произошла из-за неправомерного копирования базы данных сотрудником, не имевшим соответствующих полномочий. Это позволило оперативно устранить проблему и избежать штрафа от Роскомнадзора.
Теоретическая основа: требования регуляторов
Ведение регистра учета доступа к ПДн регулируется следующими нормативными актами:

Федеральный закон №152-ФЗ «О персональных данных» (статья 19): Устанавливает общие требования к защите ПДн, включая необходимость регистрации всех действий с данными в ИСПДн.
Постановление Правительства РФ от 01.11.2012 №1119: Определяет уровни защищенности ПДн и конкретные меры, включая автоматическую регистрацию действий в электронном журнале для 1-го и 2-го уровней защищенности.
Приказ ФСТЭК РФ от 18.02.2013 №21: Уточняет организационные и технические меры, включая ведение журнала безопасности для фиксации изменений полномочий сотрудников.
Приказ ФСБ РФ и ФСТЭК РФ от 31.08.2010 №416/489: Устанавливает требования к защите информации в ИСПДн, включая использование сертифицированных средств защиты для регистрации доступа.

Ключевые требования к регистру:

Автоматизация: Для ИСПДн 1-го и 2-го уровней защищенности регистрация должна быть автоматической (например, через SIEM-системы или DLP-решения).
Полнота данных: Регистр должен содержать информацию о пользователе, времени, действиях и объекте доступа.
Хранение: Данные регистра должны храниться не менее 3 лет (в соответствии с рекомендациями ФСТЭК).
Конфиденциальность: Доступ к самому регистру должен быть ограничен и защищен.
Уровни защищенности ПДн: Согласно Постановлению №1119, уровни защищенности зависят от типа угроз и объёма обрабатываемых данных. Например, для 1-го уровня (высокий риск угроз) требуется создание специального подразделения по ИБ и автоматическая регистрация всех действий. Для 3-го уровня достаточно назначения ответственного лица.

Практические шаги по ведению регистра
Шаг 1: Определите перечень ИСПДн и пользователей

Проведите аудит всех информационных систем, где обрабатываются ПДн (CRM, ERP, базы данных сотрудников, клиентские порталы и т.д.).
Составьте список сотрудников и подрядчиков, имеющих доступ к ПДн. Укажите их роли и полномочия.
Утвердите перечень лиц, которым доступ необходим для выполнения служебных обязанностей (требование Постановления №1119).

Шаг 2: Настройте технические средства регистрации

Используйте сертифицированные средства защиты информации (СЗИ), прошедшие оценку соответствия требованиям ФСБ и ФСТЭК. Например, межсетевые экраны не ниже 4-го класса или системы обнаружения вторжений (IDS/IPS) не ниже 4-го класса для 3-го уровня защищенности.
Внедрите SIEM-системы (например, MaxPatrol SIEM, KUMA или RuSIEM) для автоматической регистрации событий. Они фиксируют входы в систему, изменения данных и попытки несанкционированного доступа.
Настройте DLP-системы (например, InfoWatch или Solar Dozor) для отслеживания операций с ПДн, таких как копирование или передача данных.

Для малого бизнеса с ограниченным бюджетом подойдёт RuSIEM в бесплатной версии (RvSIEM), которая позволяет вести базовый журнал событий. Для крупных компаний рекомендуем MaxPatrol SIEM с готовыми правилами корреляции.
Шаг 3: Разработайте организационные меры

Утвердите положение о ведении регистра учёта доступа — документ, описывающий, кто, как и где фиксирует действия с ПДн. Укажите ответственных за ведение и контроль регистра.
Создайте инструкцию для сотрудников, где простым языком объясните, как работать с ПДн и почему важно фиксировать доступ.
Назначьте ответственное лицо или подразделение по ИБ, как того требует Постановление №1119 для 1-го и 2-го уровней защищенности.

Шаг 4: Настройте журнал безопасности

Для автоматизированных ИСПДн настройте электронный журнал безопасности в SIEM-системе. Он должен фиксировать:

– Время и дату входа/выхода.
– Идентификатор пользователя (логин, ФИО, IP-адрес).
– Тип действия (чтение, запись, удаление).
– Объект доступа (конкретная база данных или файл).

Для неавтоматизированных систем (например, бумажных документов) ведите журнал вручную в формате Excel или бумажной книги учета.

Шаг 5: Обеспечьте контроль и аудит

Регулярно (раз в квартал) проверяйте записи в регистре на предмет аномалий, таких как несанкционированный доступ или необычная активность.
Проводите обучение сотрудников по правилам работы с ПДн и использованию регистра (требование статьи 18.1 152-ФЗ).
Храните данные регистра не менее 3 лет в защищенном виде (например, в зашифрованном хранилище).

Шаг 6: Интеграция с Роскомнадзором

Убедитесь, что ваша организация зарегистрирована в Реестре операторов ПДн Роскомнадзора. Если регистр ведется в рамках новой ИСПДн, подайте уведомление через портал ведомства.
Включите информацию о ведении регистра в Политику обработки ПДн, которая должна быть опубликована на сайте компании (требование статьи 18.1 152-ФЗ).

Типичные ошибки и как их избежать

Отсутствие автоматизации: Ведение бумажного журнала для ИСПДн 1-го или 2-го уровня защищенности недопустимо. Решение: внедрите SIEM-систему, даже если это базовая версия, такая как RuSIEM.
Неполные записи: Регистр должен включать все действия, включая неудачные попытки входа. Решение: настройте SIEM на фиксацию всех событий, включая ошибки аутентификации.
Игнорирование обучения: Сотрудники могут не понимать важности регистра. Решение: проводите регулярные инструктажи и проверяйте знания через тесты.
Отсутствие резервного копирования: Данные регистра могут быть утрачены при сбоях. Решение: настройте ежедневное резервное копирование на защищенный сервер.

Заключение
Ведение регистра учета доступа к персональным данным — это не просто требование закона, а ключевой инструмент для защиты бизнеса от утечек и штрафов. Правильная организация регистра позволяет контролировать действия с ПДн, оперативно реагировать на инциденты и демонстрировать регуляторам соответствие требованиям 152-ФЗ. Используйте автоматизированные решения, такие как SIEM-системы, проводите обучение сотрудников и регулярно проверяйте журнал безопасности. Если вы только начинаете, обратите внимание на сервисы вроде 152DOC, которые упрощают создание необходимых документов и журналов.
Начните с аудита ваших ИСПДн и внедрения базовых мер уже сегодня. Защита персональных данных — это инвестиция в репутацию и стабильность вашей организации!
Автор статьи: Филиппова Анастасия Вячеславовна, специалист по информационной безопасности — Астрал. Безопасность