Назначение ответственных

Очень важный этап. Нужно назначить ответственность и распределить обязанности.

Нам понадобиться несколько ответственных:

Зачем нужен Кого назначить Как лучше назначить
Ответственный за защиту информации в организации

Отвечает за организацию мероприятий, направленных на защиту информации глобально во всей организации:

  • организацию обработки защищаемой информации (как с применением средств автоматизации, так и без них) в соответствии с требованиями Политики ИБ, в том числе разработка документов на основе Политики ИБ, планирование мероприятий, согласование документов, влияющих на информационную безопасность;
  • контроль исполнения требований Политики ИБ в структурных подразделениях Общества.

На эту роль может быть назначен как отдельный сотрудник, так специализированное структурное подразделение (например отдел защиты информации).

Не рекомендуется назначать на эту роль тех сотрудников, которые отвечают за эксплуатацию информационных систем (системные администраторы, ИТ отделы). Подобное назначение может привести к саботированию исполнения требований ИБ, так требования эти зачастую усложняют жизнь таким сотрудникам.

Мы уже назначили его в Политике ИБ. Но если Вы решили исключить эту норму из документа, то целесообразно назначить ответственного отдельным документом.

В случае, если на роль назначается отдельный сотрудник, то его права, обязанности и ответственность лучше прописать в должностной инструкции. В этом случае ответственного назначаем приказом.

В случае, если на роль назначается специализированное подразделение, то рекомендуется разработать отдельное положение, раскрывающее права и обязанности такого подразделение (Положение об отделе, Положение о департаменте). Приказ о вводе положения и будет документом о назначении ответственного.

Ответственный за эксплуатацию информационных систем.

Отвечает за правильную эксплуатацию и техническое обслуживание прикладных программных и аппаратных компонентов, поддержание их в работоспособном состоянии. Либо отвечает за организацию такой эксплуатации (зависит от масштабов организации).

Это может быть как отдельный сотрудник, так и подразделение. Зависит от масштабов организации. (Директор ИТ департамента, ИТ отдел, системный администратор).

Вполне возможно, что в Вашей организации есть несколько сложных информационных систем. Вполне возможно, что у Вас есть специализированные отделы по эксплуатации каждой из систем (например отдел 1С, отдел СЭД и пр.). В этом случае целесообразно назначить нескольких ответственных. Каждый будет отвечать за свою систему (группу систем).

В случае, если на роль назначается отдельный сотрудник, то его права, обязанности и ответственность лучше прописать в должностной инструкции. В этом случае ответственного назначаем приказом.

В случае, если на роль назначается специализированное подразделение, то рекомендуется разработать отдельное положение, раскрывающее права и обязанности такого подразделение (Положение об отделе, Положение о департаменте). Приказ о вводе положения и будет документом о назначении ответственного.

Ответственный за организацию обработки персональных данных

Отвечает за организацию обработки персональных данные в соответствии с требования законодательства, нормативных документов регуляторов и внутренних документов организации:

  • организацию обработки персональных данных (как с применением средств автоматизации, так и без них) в соответствии с требованиями законодательства, нормативных документов регуляторов и внутренних документов организации, в том числе разработка документов на основе Политики ИБ, планирование мероприятий, согласование документов, влияющих на интересы субъектов персональных данных;
  • контроль исполнения требований по работе с персональными данными, контроль исполнения Политики ИБ (в части защиты персональных данных) в структурных подразделениях Общества.

ФЗ-152 устанавливает общие требования по обеспечению безопасности персональных данных.

Требования к защите персональных данных при их обработке в информационных системах персональных данных, утверждённые Постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119 детализирует требования по безопасности при автоматизированной обработке персональных данных.

Пункт 14 Требований предусматривает необходимость назначения должностного лица (работника), ответственного за обеспечение безопасности персональных данных в информационной системе.

Исходя из требований ПП-1119 это должен быть именно отдельный сотрудник (работник). Возложить ответственность на подразделение в данном случае не возможно.

Ответственный назначается приказом руководителя организации. Пример приказа приведён ниже.

Его права и обязанности можно вписать в должностную инструкцию, а можно сделать отдельный документ — Положение об ответственном за организацию обработки персональных.

Ответственный за ведение конфиденциального делопроизводства
Отвечает за ведение конфиденциального делопроизводства (получение, учёт, передача, отправка, хранение документов, содержащих коммерческую тайну) На эту роль целесообразно назначить того же работника, который ведет обычное делопроизводство в вашей организации. Или нескольких работников, если у Вас очень интенсивный обмен конфиденциальными документами. Назначается приказом руководителя. Руководствуется Инструкцией по конфиденциальному делопроизводству и иными документами по режиму коммерческой тайны.

Шаблон приказа здесь.

Вы можите оставить комментарий, или поставить трэкбек со своего сайта.

Написать комментарий

XHTML: Вы можете использовать эти теги: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">