Сегодня я постараюсь рассказать о том, как заполнять первый приказ и его приложения.
Предполагаю, что Вы не будете использовать все мои наработки шаблонно, а переработаете их под себя, поэтому в следующих статьях постараюсь описать, как получились положения этого приказа и как их использовать.
Начну с описания самого приказа.
Начну с описания самого приказа.
1. Назначение уполномоченного лица, ответственного за выполнение работ по обеспечению безопасности ПДн в ИСПДн.
Понятно, что данный специалист должен разбираться в общем законодательстве, в законодательстве по защите информации, в нормативных документах регулирующих федеральных структур в области защиты информации, и иметь образование по направлению комплексной защиты информации. Из собственной практики скажу, что мало, где видел, чтобы на этой должности работал уже готовый специалист с высшим образованием в данной области. В муниципальных организациях ответственными назначались юристы, кадровые специалисты, бухгалтера, заместители руководителя; некоторые из них прошли курсы повышения квалификации. Я сам имею высшее образование (математик-программист) с курсами повышения квалификации по комплексной защите персональных данных, и чуть более трех лет опыта работы в данной области. Поверьте: этого вполне хватает, чтобы «руководить» мероприятиями по защите информации, так как в принципе подойдет любой человек, способный разбираться в законодательстве и заниматься делопроизводством. Мое мнение, для организации с малым количеством работников стоит назначать человека, который непосредственно занимается обработкой ПДн. Да, возможно теряется некий контроль за обработкой, но это только на первый взгляд. Контроль всегда должен быть со стороны руководства, потому что именно руководитель организации ответственный за деятельность его работников. Поэтому лучше, если уполномоченное лицо, в области безопасности будет подчиняться либо руководителю, либо первому заместителю руководителя. (В законодательстве по персональным данным это строго не определено, но можно позаимствовать из старенького «Положения 93»).
Понятно, что данный специалист должен разбираться в общем законодательстве, в законодательстве по защите информации, в нормативных документах регулирующих федеральных структур в области защиты информации, и иметь образование по направлению комплексной защиты информации. Из собственной практики скажу, что мало, где видел, чтобы на этой должности работал уже готовый специалист с высшим образованием в данной области. В муниципальных организациях ответственными назначались юристы, кадровые специалисты, бухгалтера, заместители руководителя; некоторые из них прошли курсы повышения квалификации. Я сам имею высшее образование (математик-программист) с курсами повышения квалификации по комплексной защите персональных данных, и чуть более трех лет опыта работы в данной области. Поверьте: этого вполне хватает, чтобы «руководить» мероприятиями по защите информации, так как в принципе подойдет любой человек, способный разбираться в законодательстве и заниматься делопроизводством. Мое мнение, для организации с малым количеством работников стоит назначать человека, который непосредственно занимается обработкой ПДн. Да, возможно теряется некий контроль за обработкой, но это только на первый взгляд. Контроль всегда должен быть со стороны руководства, потому что именно руководитель организации ответственный за деятельность его работников. Поэтому лучше, если уполномоченное лицо, в области безопасности будет подчиняться либо руководителю, либо первому заместителю руководителя. (В законодательстве по персональным данным это строго не определено, но можно позаимствовать из старенького «Положения 93»).
2. Назначение администратора безопасности.
Должность администратора безопасности немного отличается от уполномоченного лица, ответственного за выполнение работ по обеспечению безопасности. Уполномоченное лицо - это скорее менеджер, ведущий документацию по защите информации, проводящий обучение/консультирование работников. Администратором же необходимо выбирать специалиста, имеющего образование в области информационных технологий, желательно прошедшего переподготовку в области технической защиты информации. Такого человека обычно сложно найти в маленькой организации, особенно, если техническое обслуживание отдано сторонней организации. Назначить приходящего инженера администратором безопасности тоже не получится, так как сторонней организации нужна для этого лицензия на техническую защиту конфиденциальной информации.
3. Назначение ответственного за обработку ПДн.
Назначение ответственного за обработку ПДн обусловлено тем, что сама обработка в общем случае не является деятельностью организации. А, как и для любого проекта или направления, следует выбирать некоего менеджера проекта. Если при выборе уполномоченного по безопасности я советовал назначать работника, непосредственно занимающегося обработкой персональных данных, то в случае ответственного за обработку - он просто обязан разбираться в этой области. Именно этот работник должен заниматься уточнением перечней обрабатываемых ПДн, вопросами законности обработки, описанием технологических процессов обработки ПДн.
4. Назначение комиссии.
В статье о проверках у меня указан такой приказ: «Приказ о создании комиссии по проведению классификации информационных систем персональных данных». Из личного опыта, я советую не ограничиваться только классификацией ИСПДн, а назначить комиссию, так сказать, на все случаи жизни. Даже если будет рассматриваться вопрос, в котором данные люди не сильно компетентны, никто не запрещает привлечь в конкретном случае стороннего специалиста. Председателем комиссии мы обычно назначали кого-то из руководства. А в члены комиссии при наличии включали ответственного за безопасность, администратора безопасности, ответственного за обработку ПДн. Кроме них, желательно, включать работников, непосредственно занимающихся обработкой ПДн. Помимо классификации ИСПДн, уничтожения носителей ПДн комиссия может понадобиться в случае аттестации/декларирования соответствия, классификации автоматизированных систем, категорирования защищаемых помещений, а также в случаях проведения внутренних расследований.
Собственно по ответственным мне пока больше нечего добавить. Жестких требований нет, так что всё отдается на Ваше усмотрение.
