Разработка ОРД под задачи вашего бизнеса: что это значит?

Штраф 500 000 рублей за утечку базы клиентов выписывают и небольшим компаниям, и крупным операторам. В большинстве случаев основанием становится не сам факт инцидента, а отсутствие документации, подтверждающей выстроенный процесс обработки и защиты данных. Технические средства могут стоять, журналы регистрации могут вестись, но без правильно оформленных бумаг доказать это инспектору Роскомнадзора почти невозможно. Именно поэтому организационно-распорядительная документация – то, на что инспектор смотрит в первую очередь.

ОРД простыми словами: что это и зачем

ОРД, или организационно-распорядительная документация, – комплект внутренних документов компании. Описывает, кто, как и на каких основаниях работает с информацией ограниченного доступа. Сюда входят политики, регламенты, приказы, акты, инструкции, согласия субъектов ПДн. По сути, это «дорожная карта» того, как организация выполняет требования 152-ФЗ и подзаконных актов. Грамотная подготовка пакета решает три практические задачи: снижает риск штрафов → ускоряет ответ на запросы регулятора → упрощает обучение сотрудников.

Организация информационной безопасности на предприятии всегда начинается с инвентаризации: где собираются данные, кто к ним обращается, как они хранятся и удаляются. Документ работает только тогда, когда им пользуются. Полка с папками, к которым никто не возвращается между проверками, не защищает данные. Она лишь создаёт иллюзию порядка.

Часто бизнес скачивает шаблоны из интернета и считает вопрос закрытым. На практике такие документы не описывают реальные процессы конкретной компании. При первой же проверке несоответствие между бумагой и тем, что происходит фактически, становится очевидным.

Что входит в обязательный пакет ОРД

Перечень зависит от типа данных, способа обработки и масштаба компании. Подготовка комплекта всегда стартует с верхнеуровневой инвентаризации, и только потом подбирается состав документов. На этом этапе сверяются текущие процессы и требования к информационной безопасности, прописанные в нормативных актах: что-то компания уже выполняет, что-то нужно подтянуть, что-то не относится к её типу деятельности. Минимальный набор, который должен быть у любого оператора ПДн, включает несколько обязательных позиций:

• политика обработки персональных данных;

• приказ о назначении ответственного за организацию обработки ПДн;

• положение о защите персональных данных;

• согласия субъектов на обработку;

• уведомление в Роскомнадзор о намерении обрабатывать ПДн.

Если используются информационные системы, к этому базовому набору добавляются модель угроз, модель нарушителя, акт определения уровня защищённости и оценка эффективности применяемых мер. Каждый документ имеет конкретного адресата: один читают сотрудники, другой запрашивает регулятор, третий нужен подрядчикам. Состав пакета всегда подбирается индивидуально: банку, медцентру и интернет-магазину нужны разные документы.

Что такое политика информационной безопасности и зачем она в комплекте

Это базовый внутренний акт. Он закрепляет цели, принципы и зоны ответственности при работе с информацией. На политику опираются все остальные регламенты, от парольной до резервного копирования. Без актуальной политики любая инструкция повисает в воздухе: непонятно, на каком основании она введена и кто отвечает за её соблюдение. Поэтому подготовка комплекта документов всегда стартует именно с этого верхнеуровневого акта.

Документ работает только тогда, когда им пользуются. Полка с папками, к которым никто не возвращается между проверками, не защищает данные. Она лишь создаёт иллюзию порядка.

Хороший регламент информационной безопасности написан понятным языком и привязан к реальным ролям в компании: бухгалтер, кадровик, системный администратор, руководитель отдела. Если сотрудник прочитал инструкцию и сразу понял, что от него требуется, документ выполняет свою функцию.

Правовая база: на чём строится ОРД

Подготовка комплекта опирается на действующие нормативные акты. Основные законы по информационной безопасности задают рамку, внутри которой формулируются правила работы с данными на уровне конкретного оператора. На эту рамку и опирается ОРД, учитывая положения сразу нескольких ключевых документов:

• Федеральный закон 152-ФЗ. Базовый акт о персональных данных, определяет правила сбора, хранения, передачи и уничтожения сведений о субъектах.

• Федеральный закон 149-ФЗ. Регулирует обращение с информацией, информационными технологиями и защитой информации в целом.

• Постановление Правительства РФ № 1119. Устанавливает уровни защищённости персональных данных и требования к ним.

• Приказы ФСТЭК и ФСБ. Детализируют технические и организационные меры, обязательные к применению.

Это далеко не полный список, но именно эти акты чаще всего цитируются в текстах внутренних документов. Знание правового контекста помогает не переписывать ОРД каждые полгода и закладывать запас прочности при изменении подзаконных актов. Понимать фз по информационной безопасности должен не только юрист, ориентироваться в нём полезно ответственному за обработку ПДн и руководителю IT-службы. Регулятор постоянно уточняет позицию по спорным вопросам: что считать утечкой, как уведомлять Роскомнадзор, в какой срок реагировать. Только за последние два года в 152-ФЗ внесли поправки об ужесточении штрафов и обязательном уведомлении об инцидентах. Сложность ещё и в том, что основные законы в области информационной безопасности обновляются регулярно, и компании приходится пересматривать документацию минимум раз в год.

Инструкции для сотрудников: где они в системе ОРД

Если политика задаёт рамку, то инструкция по информационной безопасности служит рабочим документом повседневного использования. Она объясняет, что делать при подозрении на фишинг, как передавать файлы подрядчику, можно ли работать с домашнего ноутбука. Отдельная инструкция по информационной безопасности для сотрудников распределяется по ролям: для рядового персонала одни правила, для администраторов другие, для топ-менеджмента третьи. С такой инструкцией каждый сотрудник под подпись знакомится при приёме на работу и при существенных изменениях процессов.

Услуга от БИТ.CLOUD: разработка ОРД по информационной безопасности под задачи компании

Самостоятельная подготовка комплекта требует юриста, профильного специалиста по ИБ и времени на согласование с регулятором. Когда внутренних ресурсов не хватает, проще передать задачу профильной команде. БИТ.CLOUD занимается этим направлением 26 лет, и подготовка комплекта документов у нас построена по принципу «не для галочки, а для работы».

Что мы делаем на проекте:

• Аудит — анализируем текущие процессы обработки данных, существующие документы, выявляем пробелы и несоответствия.

• Разработка — готовим недостающие политики, регламенты, модели угроз, приказы и согласия под реальные процессы конкретного бизнеса.

• Согласование — обсуждаем проекты документов с вашими юристами и ответственными за ИБ.

• Внедрение — передаём готовый комплект с инструкцией по применению и обучаем ответственных сотрудников.

• Сопровождение — помогаем подать уведомление в Роскомнадзор, отвечаем на запросы регулятора, поддерживаем актуальность при изменениях в законодательстве.

Каждый комплект адаптируется под отрасль, масштаб и инфраструктуру клиента. Универсальных шаблонов мы не используем: они не выдерживают проверку и не учитывают специфику бизнеса. По итогам работы вы получаете не папку с файлами, а рабочую систему документов, которая интегрирована в процессы компании.

Когда стоит заняться ОРД прямо сейчас

Есть несколько маркеров, по которым понятно: откладывать дальше не стоит. Получено предписание от РКН или ФСТЭК. Появился новый сайт с формой обратной связи. Подписан договор с подрядчиком, которому передаются персональные данные. Компания вышла на рынок другой страны, и это уже трансграничная передача. Документы старше двух лет и не обновлялись после правок в 152-ФЗ. В любом из этих случаев актуальный пакет ОРД защищает от штрафов и спорных ситуаций при проверке. Если хотя бы один пункт совпал с вашей ситуацией, оставьте заявку: наши специалисты подберут оптимальный состав документов и подготовят расчёт по срокам и стоимости.