Обоснование наличия администратора безопасности ИСПДн - Форум по вопросам информационной безопасности

Уважаемые коллеги! Хочется услышать ваши мнения и, по возможности, ссылки на НМД по следующему вопросу.

Имеется организация - небольшой госорган, в котором требуется провести аттестацию нескольких ИСПДн - бухгалтерия и т.п., и АС (служебная тайна). ГИСами они не признаны, не суть какой там УЗ ПДн или класс АС.
У них в штате нет квалифицированных ИБшников (администратора безопасности) или компьютерщиков, по ИТ находятся на аутсорсинге сторонней организации.
Нужно обоснование для руководства госоргана со ссылкой на нормативные документы о необходимости введения такой должности в штат для обслуживания и администрирования ИСПДн или АС по конфиденциалке.
В РД Гостехкомиссии по АС необходимость администратора (службы ) безопасности появляется только для классов АС по ГТ (2А, 1В и выше).
По ПДн согласно ПП1119 (п.п.14-16) определено необходимость назначения должностного лица, ответственного за обеспечение безопасности ПДн, но = ли это администратору безопасности?
В приказе 17 ФСТЭК (п.18) есть понятие администрирование, но это для ГИС.
Вот и вопрос: чем всё-таки обосновать необходимость наличия такого специалиста в штате?

"чем всё-таки обосновать необходимость наличия такого специалиста в штате "
Ничем. Только производственной необходимостью и отсутствием доверия и лицензии по ТЗКИ у сторонней организации обслуживающей ваше ИСПДн.

Администратор безопасности не должен быть системным администратором. Это два разных человека. И в разграничении их обязанностей и возможностей кроется ключ к безопасности информации. Для администратора безопасности достаточно пройти курсы повышения квалификации по вопросам безопасности на базе высшего образования (инженерного, технического), и не должен быть "продвинутым компьютерщиком".
Администратор безопасности регулирует разграничение прав доступа всех возможных пользователей информационных систем, с этой целью осуществляет контроль за деятельностью системного администратора (или представителей фирмы осуществляющей обслуживание информационных систем) в рамках его должностных обязанностей, без права ознакомления с обрабатываемой информацией.
Ответственные могут быть назначены или для каждой информационной системы, или для нескольких информационных систем, в рамках одного структурного подразделения организации. Это обусловлено тем, что ответственны за безопасность в отличии от администратора безопасности имеет право ознакомления с обрабатываемой информацией и владеет в полной мере информацией об особенностях обработки защищаемых сведений.
А иметь своего администратора безопасности, или обратиться к лицензиату - вопрос для самостоятельного решения.

Dmitriy, Prominform | 53047
"А иметь своего администратора безопасности, или обратиться к лицензиату - вопрос для самостоятельного решения"

Про разделение функций системного администратора и администратора безопасности всё и так очевидно. Вопрос заключается в том, что в штате у этой организации нет ни того, ни другого.
Про привлечение лицензиата вроде всё правильно с формальной точки зрения, т.е. если в штате организации нет своего администратора безопасности, то нужно пользоваться услугами стороннего лицензиата. Но тогда возникает ещё один вопрос - какой лицензируемый вид деятельности по ТЗКИ согласно ПП № 79 подпадает под понятие администрирование СЗИ НСД? Из перечисленных в п.4 этого Положения о лицензировании что-то сложно привязать к данному виду деятельности, так как в этих пунктах нет ключевого слова - "настройка" СЗИ НСД

"какой лицензируемый вид деятельности по ТЗКИ согласно ПП № 79 подпадает под понятие администрирование СЗИ НСД? Из перечисленных в п.4 этого Положения о лицензировании что-то сложно привязать к данному виду деятельности, так как в этих пунктах нет ключевого слова - "настройка" СЗИ НСД"
В качестве средств защиты от НСД вы можете использовать организационно-документальный метод, специальные программные или программно аппаратные комплексы. Какие средства защиты будет применять оператор - его выбор. Однако и доказывать, что используемые средства нейтрализуют угрозы НСД для системы тоже придётся оператору.
Теперь по вопросу СЗИ.
Установка и настройка СЗИ от НСД попадает под п. 4 пп. е) (ПП № 79): " установка, монтаж, испытания, ремонт средств защиты информации (технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля защищенности информации)."
Раз вы не знаете чем должен заниматься администратор безопасности, то поясняю.
"Администратор - тип руководителя, который способен выявить место сбоя в работе и принять необходимые меры для его устранения."
Деятельность администратора безопасности попадает под пункт 4 пп. а) и б) того же ПП №79.

Для Игоря
" нет ключевого слова - "настройка" СЗИ НСД"
цеплятся к словаи не надо Дмитрий же написал уже
е) установка, ..... программных (программно-технических) средств защиты информации, .... = "настройка" СЗИ НСД".
Настройка СЗИ НСД - это сленг а не термин!

Для Дмитрия
"Администратор - тип руководителя, который способен выявить место сбоя в работе и принять необходимые меры для его устранения."
А можно узнать откуда такое "пояснение"!? Пункт и название и как это относится к "администратору безопасности информации"?

"Раз вы не знаете чем должен заниматься администратор безопасности, то поясняю"
А еще пункты НМД где написано "администратор безопасности должен..."

> "цеплятся к словаи не надо Дмитрий же написал уже
> е) установка, ..... программных (программно-технических) средств защиты информации, .... = > "настройка" СЗИ НСД".
> Настройка СЗИ НСД - это сленг а не термин!"

sekira, исходная задача доказать плановикам, кадровикам и финансистам, которые визируют решения о договорах и штатных единицах. Их "сверхзадача" - экономия средств, поэтому, без однозначных НМД, ни аттестация, ни оснащение, ни штатная единица в планы финансирования не включаются.
Прошу прощения за повтор тривиальных истин!
Установка - процесс (по договору и пр.) однократный; эксплуатация, контроль и администрирование - постоянный. При отсутствии ведомственных приказов и разъяснений, судя по моему опыту и качеству ответов, задача обоснования корректного решения не имеет.

Для формального выполнения, задачи возлагают "на кого попало" от завхоза до секретаря и бухгалтера.

"sekira, исходная задача доказать плановикам, кадровикам и финансистам, которые визируют решения о договорах и штатных единицах."

Дак я об этом и говорю. Обосновать нечем! Нет требований в НМД наличия именно" должности в штат для обслуживания и администрирования ИСПДн или АС по конфиденциалке".
"Ответственный за обеспечение безопасности ПДн" не обязан по НМД проводить настройку и установку СЗИ.

Не человека на которого это повесили а именно должности - штатной единицы.
Это уже структура организации и требования вышестоящих организаций.

теперь ещё раз и по порядку.
1. В регламентирующих документах по защите персональных данных нет требований по наличию Администратора безопасности. Приведенный вами документ "РД Гостехкомиссии по АС" действует только в отношении систем обрабатывающих государственную тайну.
2. Если у вас "муниципальная" или "государственная" информационная система, то аттестация обязательна.
3. Если у вас система "иная", то достаточно проведения оценки соответствия.
4. Аттестация ИСПДн осуществляется по приказу ФСТЭК от 11.02.2013г. №17;
оценка соответствия выполняется по приказу ФСТЭК от 18.02.2013г. № 21 (в этом случае можно обращаться к приказу №17 как к рекомендациям).
5. Если у вас обработка осуществляется без средств автоматизации, то все работы выполняются в соответствии с требованиям ПП. от 15.09.2008г. № 687. (внимательно прочитайте это постановление. Зачастую не смотря на наличие ЭВМ обработка происходит без средств автоматизации).
6. Администратор защиты (Security administrator) — это субъект доступа, ответственный за защиту автоматизированной системы от несанкционированного доступа к информации (по руководящему документу «Защита от несанкционированного доступа к информации: Термины и определения»).
7. Чем занимается администратор по безопасности? Настраивает механизмы защиты ОС и СУБД, конфигурирует межсетевые экраны, средства обнаружения атак, предоставляет пользователям права на доступ к ресурсам сети и к базам данных, анализирует журналы регистрации ОС и средств защиты информации.

8. По вопросу защиты "Служебной тайны" требования как к конфиденциальной информации. Следовательно аттестация по СТР-К.