Все новости законодательства
у вас на почте

Подпишитесь на рассылки

Все новости законодательства в вашей электронной почте

Подпишитесь на наши рассылки

Войти

Ответственный за информационную безопасность

422
19 ноября

В процессе своей деятельности компании получают и обрабатывают большое количество самой разной информации. Чтобы не допустить бесконтрольного распространения важных сведений и незаконного их использования, нужно обеспечить их безопасность и защиту. Информация преимущественно хранится и передается в электронном виде. В связи с этим требуются особые подходы к обеспечению ее безопасности и защиты от утечки данных. Для выполнения работы, направленной на безопасное хранение информации, назначают ответственного сотрудника. Рассмотрим особенности деятельности ответственного за информационную безопасность.

Над статьей работали:
редактор: Александр Чепенко

Содержание

  1. Ответственный за информационную безопасность в организации
  2. Требования к ответственному за информационную безопасность
  3. Обязанности ответственного за информационную безопасность
  4. Как назначить ответственного за информационную безопасность
  5. Приказ о назначении ответственного за информационную безопасность

Ответственный за информационную безопасность в организации

Ответственный за информационную безопасность — это сотрудник организации, на которого возложены функции по обеспечению защищенности информации, обрабатываемой в компании. Его статус определяется внутренними документами. Их нужно составить в соответствии с требованиями законодательства. Конечная ответственность за информационную безопасность лежит на руководителе организации. Однако именно назначенный сотрудник предпринимает меры по защите сведений и недопущению их несанкционированного распространения.

Необходимость введения такой должности продиктована прежде всего Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных». Статья 18.1 этого закона обязывает оператора при обработке персональных данных принимать необходимые правовые, организационные и технические меры для их защиты. Согласно статье 22.1 Закона от 27.07.2006 № 152-ФЗ в организации, которая работает с персональными данными (оператор), должно быть назначено ответственное лицо за их обработку.

Аналогичные требования содержатся и в других нормативных актах. Так, к примеру, Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» обязывает владельцев и пользователей объектов такой инфраструктуры:

— создавать системы безопасности;
— назначать структурные подразделения и ответственных лиц.

В зависимости от размера компании роль ответственного может выполнять:

— отдельный сотрудник, которому поручено заниматься этой деятельностью на условиях полной занятости;
— совмещающий работник, имеющий, помимо этой, основные обязанности.

В малом бизнесе это чаще всего совмещающая должность, (допустим, системный администратор наряду со своим прямым функционалом обеспечивает информационную безопасность). В крупных корпорациях для защиты обрабатываемой информации нередко создают целые отделы. В этом случае ответственное лицо — это начальник такого подразделения, координирующий работу целой команды.

Требования к ответственному за информационную безопасность

Поскольку должность предполагает высокий уровень доверия и ответственности, к кандидату предъявляется ряд особых требований. Сотрудник, назначенный на рассматриваемую должность, должен:

— иметь профессиональные знания;
— обладать определенными личностными качествами;
— соответствовать установленным формальным критериям.

Профессиональные компетенции являются основой для эффективной работы. По общим правилам специалист должен знать:

1) основы криптографии и сетевой безопасности;
2) принципы построения и администрирования операционных систем;
3) основы устройства и настройки средств защиты информации;
4) работу системы обнаружения и предотвращения вторжений, антивирусные комплексы;
5) способы защиты от целевых атак и реагирования на инциденты.

Кроме того, ответственный за информационную безопасность должен хорошо ориентироваться в законах, регулирующих рассматриваемую сферу правоотношений. Помимо упомянутых выше федеральных законов, к специализированным нормативно-правовым актам можно отнести, к примеру, Приказ ФСТЭК России от 18.02.2013 № 21. Данный документ детализирует состав организационных и технических мер по защите персональных данных при их обработке в инфосистемах.

Важны также личностные качества ответственного. Он должен быть высокоорганизованным, внимательным к деталям и обладать развитым аналитическим мышлением для оценки рисков и прогнозирования угроз. В процессе организации работы по защите информации этому сотруднику придется активно взаимодействовать с коллегами всех уровней. Поэтому существенное значение имеют также его коммуникативные способности и умение объяснять сложные технические процессы простым языком. Понадобится ему и настойчивость для продвижения необходимых, но не всегда популярных мер безопасности.

Формальным требованием зачастую является наличие у сотрудника допуска к государственной тайне и оформление документа о неразглашении конфиденциальной информации. Особенно это касается организаций, работающих с гостайной или в критически важных отраслях.

Обязанности ответственного за информационную безопасность

Деятельность назначенного на описываемую должность сотрудника предполагает проведение организационных, технических и контрольных мероприятий.

В соответствии со статьей 22.1 Закона от 27.07.2006 № 152-ФЗ в круг обязанностей специалиста, отвечающего за информационную безопасность, входит следующее:

1. Внутренний контроль. Назначенный сотрудник должен следить за тем, чтобы компания и ее сотрудники соблюдали законы о персональных данных, включая правила их защиты.

Сюда же можно отнести разработку и актуализацию всей необходимой документации по информационной безопасности:

— политика информационной безопасности, которая является основополагающим документом;
— регламенты по обработке персональных данных;
— инструкции для пользователей по безопасной работе с информационными ресурсами;
— планы по устранению возможных инцидентов.

2. Информирование сотрудников. Ответственный обязан знакомить работников компании с законодательством, внутренними правилами и требованиями по защите персональных данных. Он также организует и проводит обучение и регулярный инструктаж для сотрудников компании с целью формирования у них культуры безопасного поведения.

3. Работа с обращениями. Ответственное лицо должно организовывать и контролировать процесс обработки запросов от граждан (субъектов персональных данных), а также их представителей.

Анализ статьи 11 Закона от 26.07.2017 № 187-ФЗ позволяет также включить в круг необходимых действий такие меры, как:

1) создание и улучшение системы защиты. Специалист должен:

— продумать и разработать действенные меры;
— внедрить их в рабочий процесс;
— постоянно совершенствовать.

Это позволит оградить важные объекты критической информационной инфраструктуры (КИИ) от нежелательного внешнего вторжения;

2) реализация защитных мер. Чтобы обезопасить важные объекты, необходимо предпринимать конкретные практические шаги организационного и технического характера. Первые предполагают, к примеру, разработку регулирующей документации. Вторые — непосредственную реализацию мер защиты. Так, ответственный участвует в подборе, внедрении и настройке программно-аппаратных средств сохранения информации. В частности, он:

— контролирует установку обновлений для операционных систем и прикладного программного обеспечения;
— обеспечивает регулярное резервное копирование важных данных и проверяет работоспособность этой системы;
— настраивает системы разграничения прав доступа к информации в соответствии с принципом минимальных привилегий;
— определяет и устанавливает правильные настройки и параметры для всех программных и аппаратных средств защиты, которые используются для охраны значимых объектов КИИ;

3) мониторинг информационной системы на предмет аномальной активности и потенциальных нарушений. Ответственный проводит внутренние проверки и аудиты на предмет соблюдения сотрудниками установленных правил. В случае возникновения инцидента информационной безопасности именно данный работник:

— координирует действия по его локализации и ликвидации;
— анализирует причины произошедшего;
— разрабатывает меры по недопущению подобных ситуаций в будущем;

4) поддержка контактов и взаимодействия с регуляторами (такими, как Роскомнадзор) при проведении проверок.

Как назначить ответственного за информационную безопасность

Для начала необходимо определить кандидатуру будущего специалиста по безопасности. Руководство компании оценивает имеющихся сотрудников на предмет соответствия требованиям или принимает решение о поиске специалиста на стороне. Если обязанности будут возлагаться на уже работающего сотрудника, важно оценить его текущую нагрузку и получить его письменное согласие, так как это влечет за собой дополнительную ответственность.

Определившись с кандидатурой, следует внести изменения в кадровые документы. Если это новая должность, ее необходимо включить в штатное расписание. Кроме того, надо составить должностную инструкцию для рассматриваемой позиции. В этом документе нужно подробно описать все права, обязанности и степень ответственности сотрудника.

После подготовки документальной базы издается основной распорядительный документ — приказ о назначении ответственного за информационную безопасность.

Приказ о назначении ответственного за информационную безопасность

Приказ — это основной документ, который юридически закрепляет новый статус сотрудника. Распоряжение о назначении должен исходить от руководства компании-оператора.

Документ нужно составить по правилам делопроизводства, принятым в компании.

В шапке приказа нужно указать полное наименование организации, место его составления, дату и регистрационный номер. В названии приказа важно четко прописать его суть. Можно использовать, к примеру, такую формулировку: «О назначении ответственного за обеспечение информационной безопасности и защиту персональных данных».

Далее необходимо обосновать издание приказа. Для этого стоит сослаться на конкретные нормативные правовые акты, которые обязывают организацию обеспечивать безопасность информации. Чаще всего ссылаются на Закон от 27.07.2006 № 152-ФЗ «О персональных данных», а также внутренние документы компании (устав или положение об обработке персональных данных). Указание оснований делает приказ законным и обоснованным.

Распорядительная часть формулируется с использованием глаголов «НАЗНАЧИТЬ», «ВОЗЛОЖИТЬ», «ОБЯЗАТЬ». В этой части указываются:

1) фамилия, имя, отчество назначаемого сотрудника, его основная должность в организации;
2) конкретный объем возлагаемых обязанностей. Удобно сделать отсылку к утвержденной должностной инструкции;
3) лицо, которое обязано ознакомить назначенного сотрудника с приказом под подпись (обычно это начальник отдела кадров или непосредственный руководитель);
4) ответственный за контроль исполнения данного приказа (как правило, это руководитель компании или его заместитель).

Приказ подписывают не только руководитель организации, но также все упомянутые в нем лица, включая назначенного сотрудника. Это позволяет зафиксировать факт их ознакомления с документом. С момента подписания ответственность за информационную безопасность считается официально возложенной.

В своей дальнейшей деятельности ответственный подчиняется напрямую руководству организации (к примеру, генеральному директору). От него же он получает и конкретные задания. В свою очередь, директор обязан предоставить назначенному лицу всю необходимую для работы информацию, требуемую законом.

"Справочник руководителя"

В бесплатном электронном сборнике рассмотрены способы сокращения расходов компании, методы эффективной мотивации персонала, даны наглядные примеры снижения налогов и взносов. Также собрана основная информация о правах и обязанностях руководства компаний, приведены основные меры поддержки бизнеса, предоставляемые государством.

Нажимая на кнопку, вы даете свое согласие на обработку персональных данных и соглашаетесь с политикой обработки персональных данных

Читайте также
эту статью еще не обсуждали
Вы можете оставить первый комментарий

Авторизуйтесь, чтобы оставлять комментарии

Нет аккаунта? Зарегистрируйтесь