Контакты
Подписка
МЕНЮ
Контакты
Подписка

Помогите разобраться с ответственными за ЗИ - Форум по вопросам информационной безопасности

Помогите разобраться с ответственными за ЗИ - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Автор: Алексей | 67878 27.12.2016 09:43
Помогите разобраться с количеством ответственных в муниципальном/государственном органе за защиту конфиденциальной информации. И кого лучше назначить на данные должности. Вот список ответственных который удалось найти мне в различных НПА, возникла путаница :
1) Оператор, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки персональных данных (152-ФЗ), здесь понятно назначается один из заместителей руководителя курирующий вопросы ИБ.
2) Организация защиты информации в системах и средствах информатизации и связи возлагается на руководителей органов государственной власти и предприятий заказчиков и разработчиков систем и средств информатизации и связи, руководителей подразделений, эксплуатирующих эти системы и средства, а ответственность за обеспечение защиты информации – непосредственно на пользователя (потребителя) информации (Положение о ГСЗИ). Здесь можно назначить руководителя ИТ подразделения ответственным за организация защиты информации а ответственным за обеспечение защиты будут пользователи данных систем.
3) Ответственность за обеспечение требований по технической защите конфиденциальной информации возлагается на руководителей учреждений и предприятий, эксплуатирующих объекты информатизации. В случае разработки СЗИ или ее отдельных компонент специализированным предприятием, в учреждении (на предприятии), для которого осуществляется разработка (предприятие-заказчик), определяются подразделения (или отдельные специалисты), ответственные за организацию и проведение (внедрение и эксплуатацию) мероприятий по защите информации в ходе выполнения работ с использованием конфиденциальной информации.(СТР-К) Ответственным за обеспечение требований по технической защите конфиденциальной информации назначить руководителя учреждения. Отдел ИТ назначить ответственным за организацию и проведение (внедрение и эксплуатацию) мероприятий по защите информации в ходе выполнения работ с использованием конфиденциальной информации.
4) Приказ о назначении ответственного должностного лица (или структурного подразделения) за обеспечение безопасности персональных данных с определением возлагаемых обязанностей (п.14, 16 Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных Постановлением Правительства РФ от 1.11.2012 № 1119). Ответственным за обеспечение за обеспечение безопасность персональных данных в информационной системе назначим руководителя ИТ подразделения.
5) Также еще необходимо назначить ответственного пользователя криптосредств.
6) Ответственный за защиту информации (17 ФСТЭК)

Автор: Адмирал | 67932 30.12.2016 16:23
Откройте Положение о ГСЗИ.
Там четко сказано, что должно быть подразделение или специалист.
Постановление 1119 в части ПДн определяет несколько вариантов (то ли лицо, то ли отдел, то ли на кого-нибудь).

"Ответственным за обеспечение за обеспечение безопасность персональных данных в информационной системе назначим руководителя ИТ подразделения." - нет проблем назначайте.
Только не забудьте в положении об ИТ подразделении включить обязанности в части ОБПДн.
А что в отделе будет этим заниматься - только начальник отдела? (да он повесится).
А в отделе будет назначен еще какой-то специалист, и т.д. и т.п.
В любой конторе должен быть специалист по ЗИ (Положение о ГСЗИ, если есть ГТ), нет ГТ назначьте кого хотите, но только отдайте приказом по организации, включите в его должностной регламент помимо основных обязанностей, также обязанности по ЗИ (учтите положения 32 Решения Гостехкомиссии).
И получим мы нештатного специалиста по ЗИ. Не забудьте повысить квалификацию нештатного специалиста

Автор: WORM, MK | 67936 30.12.2016 19:05
"Откройте Положение о ГСЗИ.
Там четко сказано, что должно быть подразделение или специалист."

Адмирал, вопрос был о специалистах по защите конфиденциалки. Причем здесь Положение о ГСЗИ?

Автор: Адмирал | 67944 31.12.2016 09:39
Вторая часть моего ответа - о конфи.
Прошло несколько лет

Автор: Игорь С. | 108281 01.07.2020 09:34
Соображения следующие.
По поводу назначения ответственных за ЗИ:
- подразделение или ответственный за ЗИ, определяется в зависимости от объема работы, количества ОИ, возможностей организации,
- желательно не совмещать контрольные функции и организационные, так будет эффективней (т.е. функцию по ЗИ не рекомендуется включать в подразделение ИТ, иначе контрольная функция проседает).
По вопросу назначения ответственного за обработку ПДн.
Хочу обратит внимание, что в ФЗ - 152 не сказано, что ответственным за организацию обработки ПДн явл. руководителя по ИБ. Поэтому лучше этого не делать по следующим причинам:
1. Организация обработки ПДн, не одно и то же что обеспечение информационной безопасности ПДн. Это разные функции. занимаются этим разные подразделения.
2. Ни в одном документе по ЗИ, нет такого требования к подразделениям по ЗИ, как организация обработки ПДн.
3. Кроме того, обязанность и ответственность должны быть неразрывны. Иначе, получается, что одни наобрабатывали, а ответственность за них несут другие. Дружок , если обрабатываешь ПДн, то сам и организовывай (пиши НМД, разрабатывай формы, определяй цели и т.д.)
4. Эффективность всегда будет выше, если бы за это отвечал, тот кто реально собирает ПДн. Если ответственным становиться такой руководитель, то землю он роет очень хорошо, т.к. сам определяет цели, разрабатывает документы, формы , согласия и т.д.

Думаю объяснил понятно, почему нехорошо когда ИБ отвечает за организацию обработки ПДн.
Прошло несколько месяцев

Автор: anffan | 108994 22.01.2021 12:50
Я думаю так:
1. П.п. 2 п. 3 ст. 19 152-Ф установлены требования к защите персональных данных, п. 14 которых говорит о необходимости назначения должностного лица (работника), ответственного за обеспечение безопасности персональных данных в информационной системе.
2. П. 4 ст. 19 152-Ф установлено, что состав и содержание необходимых для выполнения требования к защите персональных данных устанавливаются федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий (в нашем случае).
3. П. 9 Пр. ФСТЭК № 17 устанавливает необходимость назначения структурного подразделения или должностного лица (работника), ответственных за защиту информации.

Исходя из того, что ответственными за ИБ должны быть назначены или подразделение или должностное лицо, делаем вывод, что раз структурное подразделение не подчиняется начальнику отдела IT, то и у назначаемого должностного лица, как и у отдела ИБ в случае его создания, подчиненность должна выходить сразу на заместителя ОИВ.
Прошло несколько недель

Автор: Сталуивался | 109029 18.02.2021 12:01
+Если используете/распространяете СкЗИ, то по Инструкции ФАПСИ № 152 - Пользователи СКЗИ, орган криптозащиты, АБ и всё сто с ЭП связано.

Просмотров темы: 10884

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*