Автор: Вопрос | 95249 | 21.06.2018 04:49 |
Ребят, подскажите, пожалуйста, такой вопрос.
В организации есть приказ, о назначении ответственных лиц по разным направлениям (информационным система, типам информации). Т.е. Администратор ИБ. Ответственный за обеспечение защиты ПДн (не путать с ответственным за организацию согласно 152-ФЗ). Ответственный за защиту информации в ГИС Ответственный за защиту информации в ИСПДн (и так для каждой испдн). Ответственный за антивирусную проверку (зачем-то выделен отдельно) Главное, что везде ОДИН человек и так есть по факту, т.е. в обозримой перспективе никто не будет пересматривать такое положение вещей. Цель-то - внести изменения в приказ, заменив лицо, но мысль в том, что может быть просто внести в должностную инструкцию все эти направления и не подстраивать приказ под каждое лицо. Т.е. привязать функции к должности, согласно штатному расписанию. Вопрос: Допустимо ли такое? |
Автор: monk1818 | 95263 | 21.06.2018 09:13 |
почему нет? можно не в должностную, а сделать просто как отдельное распоряжение. Сделать таблицу в два столбца. в первом столбце указать наименование ИС( ГИС или ИСПДн) - а во втором указать ответственных за обеспечение защиты для этой ИС (по должности). Типа: ИСПДн БУХГАЛТЕРИЯ - Главный бухгалтер. и т.д. утвердить это у руководителя организации и все. т. к. у меня например начали кадры кипишь поднимать - мол им переделывать теперь должностную - а на это нужно распоряжение руководителя...и много разговором было (больше чем дела)...
|
Автор: Автор | 95267 | 21.06.2018 09:33 |
monk1818
Ну, в моем случае, там как раз совпало, что кадры засуетились, что нужно актуализировать должностную вот и хочу включить туда. |
Автор: Artem, CRB | 95379 | 22.06.2018 08:05 |
to Автор
" Т.е. привязать функции к должности, согласно штатному расписанию. Вопрос: Допустимо ли такое?" Это не то что допусти, а так и нужно было сдлеать. Например в нашей организации есть "администратор Иб" и "Ситемный Админ." у них в должностных обязанностях прямо так и прописано, соответственно: "Ответственный за обеспечение защиты ПДн,Ответственный за защиту информации в ГИС, Ответственный за защиту информации в ИСПДн" и "...Ответственный за антивирусную проверку...." |
Автор: Беркут | 95381 | 22.06.2018 09:38 |
Надо смотреть, что за организация и под какие требования создавались эти приказы. Вполне возможно, что в требованиях будет написано, что ответственный должен быть назначен именно приказом, тогда никакая должностная не спасёт при проверке.
|
Автор: Вопрос / Автор | 95587 | 25.06.2018 05:07 |
Artem
вопрос еще в том - нужно ли прописывать в должностной каждую операцию из 17-го приказа или все таки ограничиться описаниями в стиле, "обеспечивает защиту в соответствии с требованиями", ну и основные положения про аттестацию, разработку доков, контроль, отчетность. А все приложение из НПА точно копировать туда не нужно. Кадровичка тоже так считает, но при этом почему-то зацепилась за несколько фраз из старой должностной, типо "смена паролей", "антивирусная проверка" и еще парочка записей. Т.е. пара пунктов из 17 приказа. Как-то не логично. Беркут Обычный гос орган. Доки сделаны были по шлаблону. |
Автор: Artem, CRB | 95590 | 25.06.2018 08:28 |
to Вопрос
"вопрос еще в том - нужно ли прописывать в должностной каждую операцию из 17-го приказа или все таки ограничиться описаниями в стиле, "обеспечивает защиту в соответствии с требованиями", ну и основные положения про аттестацию, разработку доков, контроль, отчетность. А все приложение из НПА точно копировать туда не нужно." проблема в том хотите ли вы всё возложить на одного или распределить все функции равномерно на несколько сотрудников, если если первый вариант, тогда подойдут общие формулировки, а сели второй, тогда придётся расписывать подробно, но учтите что критические функции должны дублироваться иначе в случае если один работник например заболел, второй может встать в "позу" типа: -"я делать это не буду у меня такое в инструкции не написано" так и быть, для примера поделюсь, что написано у меня, тайны тут особой нет))) одни общие формулировки (насколько я знаю эту формулировку взяли тоже из какого то шаблона и лишь подправили) : 2. Обязанности администратора безопасности информации ИСПДн 2.1 Знать и выполнять требования действующих нормативных и руководящих документов, а также внутренних инструкций, руководства по защите информации и распоряжений, регламентирующих порядок действий по защите информации. 2.2 Осуществлять установку, настройку и сопровождение средств защиты информации. 2.3 Участвовать в контрольных и тестовых испытаниях и проверках элементов ИСПДн. 2.4 Участвовать в приемке новых программных средств. 2.5 Обеспечить доступ к защищаемой информации пользователям ИСПДн согласно их правам доступа при получении оформленного соответствующим образом разрешения. 2.6 Уточнять в установленном порядке обязанности пользователей ИСПДн по обработке объектов защиты. 2.7 Вести контроль над процессом осуществления резервного копирования объектов защиты. 2.8 Анализировать состояние защиты ИСПДн и ее отдельных подсистем. 2.9 Контролировать неизменность состояния средств защиты их параметров и режимов защиты. 2.10 Контролировать физическую сохранность средств и оборудования ИСПДн. 2.11 Контролировать исполнение пользователями ИСПДн введенного режима безопасности, а так же правильность работы с элементами ИСПДн и средствами защиты. 2.12 Контролировать исполнение пользователями парольной политики. 2.13 Реализовывать парольную политику. 2.14 Контролировать работу пользователей в сетях общего пользования и (или) международного обмена. 2.15 Своевременно анализировать журнал учета событий, регистрируемых средствами защиты, с целью выявления возможных нарушений. 2.16 Не допускать установку, использование, хранение и размножение в ИСПДн программных средств, не связанных с выполнением функциональных задач. 2.17 Осуществлять периодические контрольные проверки рабочих станций и тестирование правильности функционирования средств защиты ИСПДн. 2.18 Оказывать помощь пользователям ИСПДн в части применения средств защиты и консультировать по вопросам введенного режима защиты. 2.19 Периодически представлять руководству отчет о состоянии защиты ИСПДн и о нештатных ситуациях на объектах ИСПДн и допущенных пользователями нарушениях установленных требований по защите информации. 2.20 В случае отказа работоспособности технических средств и программного обеспечения ИСПДн, в том числе средств защиты принимать меры по их своевременному восстановлению и выявлению причин, приведших к отказу работоспособности. 2.21 Принимать меры по реагированию, в случае возникновения внештатных ситуаций и аварийных ситуаций, с целью ликвидации их последствий. |
Автор: Вопрос | 95593 | 25.06.2018 09:14 |
Artem
Спасибо. |
Просмотров темы: 4252