Контакты
Подписка
МЕНЮ
Контакты
Подписка

Помогите разобраться с ответственными за ЗИ - Форум по вопросам информационной безопасности

Помогите разобраться с ответственными за ЗИ - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Автор: Алексей | 67878 27.12.2016 09:43
Помогите разобраться с количеством ответственных в муниципальном/государственном органе за защиту конфиденциальной информации. И кого лучше назначить на данные должности. Вот список ответственных который удалось найти мне в различных НПА, возникла путаница :
1) Оператор, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки персональных данных (152-ФЗ), здесь понятно назначается один из заместителей руководителя курирующий вопросы ИБ.
2) Организация защиты информации в системах и средствах информатизации и связи возлагается на руководителей органов государственной власти и предприятий заказчиков и разработчиков систем и средств информатизации и связи, руководителей подразделений, эксплуатирующих эти системы и средства, а ответственность за обеспечение защиты информации – непосредственно на пользователя (потребителя) информации (Положение о ГСЗИ). Здесь можно назначить руководителя ИТ подразделения ответственным за организация защиты информации а ответственным за обеспечение защиты будут пользователи данных систем.
3) Ответственность за обеспечение требований по технической защите конфиденциальной информации возлагается на руководителей учреждений и предприятий, эксплуатирующих объекты информатизации. В случае разработки СЗИ или ее отдельных компонент специализированным предприятием, в учреждении (на предприятии), для которого осуществляется разработка (предприятие-заказчик), определяются подразделения (или отдельные специалисты), ответственные за организацию и проведение (внедрение и эксплуатацию) мероприятий по защите информации в ходе выполнения работ с использованием конфиденциальной информации.(СТР-К) Ответственным за обеспечение требований по технической защите конфиденциальной информации назначить руководителя учреждения. Отдел ИТ назначить ответственным за организацию и проведение (внедрение и эксплуатацию) мероприятий по защите информации в ходе выполнения работ с использованием конфиденциальной информации.
4) Приказ о назначении ответственного должностного лица (или структурного подразделения) за обеспечение безопасности персональных данных с определением возлагаемых обязанностей (п.14, 16 Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных Постановлением Правительства РФ от 1.11.2012 № 1119). Ответственным за обеспечение за обеспечение безопасность персональных данных в информационной системе назначим руководителя ИТ подразделения.
5) Также еще необходимо назначить ответственного пользователя криптосредств.
6) Ответственный за защиту информации (17 ФСТЭК)

Автор: Адмирал | 67932 30.12.2016 16:23
Откройте Положение о ГСЗИ.
Там четко сказано, что должно быть подразделение или специалист.
Постановление 1119 в части ПДн определяет несколько вариантов (то ли лицо, то ли отдел, то ли на кого-нибудь).

"Ответственным за обеспечение за обеспечение безопасность персональных данных в информационной системе назначим руководителя ИТ подразделения." - нет проблем назначайте.
Только не забудьте в положении об ИТ подразделении включить обязанности в части ОБПДн.
А что в отделе будет этим заниматься - только начальник отдела? (да он повесится).
А в отделе будет назначен еще какой-то специалист, и т.д. и т.п.
В любой конторе должен быть специалист по ЗИ (Положение о ГСЗИ, если есть ГТ), нет ГТ назначьте кого хотите, но только отдайте приказом по организации, включите в его должностной регламент помимо основных обязанностей, также обязанности по ЗИ (учтите положения 32 Решения Гостехкомиссии).
И получим мы нештатного специалиста по ЗИ. Не забудьте повысить квалификацию нештатного специалиста

Автор: WORM, MK | 67936 30.12.2016 19:05
"Откройте Положение о ГСЗИ.
Там четко сказано, что должно быть подразделение или специалист."

Адмирал, вопрос был о специалистах по защите конфиденциалки. Причем здесь Положение о ГСЗИ?

Автор: Адмирал | 67944 31.12.2016 09:39
Вторая часть моего ответа - о конфи.
Прошло несколько лет

Автор: Игорь С. | 108281 01.07.2020 09:34
Соображения следующие.
По поводу назначения ответственных за ЗИ:
- подразделение или ответственный за ЗИ, определяется в зависимости от объема работы, количества ОИ, возможностей организации,
- желательно не совмещать контрольные функции и организационные, так будет эффективней (т.е. функцию по ЗИ не рекомендуется включать в подразделение ИТ, иначе контрольная функция проседает).
По вопросу назначения ответственного за обработку ПДн.
Хочу обратит внимание, что в ФЗ - 152 не сказано, что ответственным за организацию обработки ПДн явл. руководителя по ИБ. Поэтому лучше этого не делать по следующим причинам:
1. Организация обработки ПДн, не одно и то же что обеспечение информационной безопасности ПДн. Это разные функции. занимаются этим разные подразделения.
2. Ни в одном документе по ЗИ, нет такого требования к подразделениям по ЗИ, как организация обработки ПДн.
3. Кроме того, обязанность и ответственность должны быть неразрывны. Иначе, получается, что одни наобрабатывали, а ответственность за них несут другие. Дружок , если обрабатываешь ПДн, то сам и организовывай (пиши НМД, разрабатывай формы, определяй цели и т.д.)
4. Эффективность всегда будет выше, если бы за это отвечал, тот кто реально собирает ПДн. Если ответственным становиться такой руководитель, то землю он роет очень хорошо, т.к. сам определяет цели, разрабатывает документы, формы , согласия и т.д.

Думаю объяснил понятно, почему нехорошо когда ИБ отвечает за организацию обработки ПДн.

Просмотров темы: 7271

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*