В первой части статьи я писал про очевидную, но очень важную роль в обработке и обеспечении безопасности ПДн - ответственного за организацию обработки и обеспечение безопасности ПДн.В этой части я расскажу про свой вариант распределения ролей/областей ответственности.
name='more'> 1. Роли или должности?
При документировании системы защиты ПДн первым вопросом обычно идет: "В документах будем писать роли или должности?". Приверженцы западных систем менеджмента чаще отвечают: "конечно роли", а государственные компании: "только должности". У той и у другой системы есть свои плюсы и минусы, поэтому имеет смысл использовать обобщенную схему.
«+» | · У одного сотрудника может быть несколько ролей, одна роль может быть у нескольких сотрудников (даже с разными должностями) · Легко назначать роли сотрудникам · Наименование ролей часто понятнее и благозвучнее названия должности | · Привычно · Однозначное понимание собственных задач и области ответственности сотрудниками |
«-» | · Если много ролей (особенно, если они используются и в других системах управления (СМК, СУИБ …)), то можно запутаться. Желательно иметь матрицу соответствия ролей конкретному человеку/должности | · Если название должности меняется, то необходимо переделывать все документы, где она встречается · Наименование ролей часто понятнее и благозвучнее названия должности |
«Роли» | «Должности» |
2. Перечень ролей и ответственности
К выбору конкретные наименования ролей/ответственных следует подойти крайне осторжно, они будут фигурировать в последующем во всех документах.
Исходя из текущего состояния нормативных документов по ПДн в РФ, а также своего опыта, я рекомендую использовать такие наименования:
- Ответственный за организацию обработки и обеспечение безопасности ПДн
- Руководитель структурного подразделения (по сути, владелец информационного ресурса, системы)
- Администратор ИС (информационной системы) и Администратор СЗИ (средства защиты информации), иногда можно просто обойтись одним термином - Администратор системы
- Аудитор (контролер) СЗПДн
- Пользователь (ПДн, информационной системы)
- Субъект ПДн
Иногда отдельно выделяют Ответственного за реагирование на запросы субъектов ПДн, хотя часто этими вопросами занимается сам Ответственный за организацию обработки и обеспечение безопасности ПДн. Смотрите сами...
При таком подходе мы не слишком "мудрим" с ролями: 1) - обязательная; 2) - не роль, а скорее описание группы лиц; 3), 4), 5) созданы для удобства написания документов, при этом 3) и 5) уже обычно используются в организации; 6) - наименование в соответствии с законом.
Это самый минимум наименований ролей/ответственных, который подойдет для большинства организаций. Да, он может быть расширен, если какие либо процессы ИТ и ИБ в организации требуют большого числа исполнителей и согласующих лиц.
3. Документирование ролей и ответственности.
Рекомендую документировать ответственность следующими способами:
- разработать документ "Положение о распределении ответственности за обработку и обеспечение безопасности ПДн" (далее - Положение);
- внести необходимые дополнения в должностные инструкции сотрудников, обрабатывающих ПДн, и сотрудников, ответственных за обеспечение ИТ и ИБ.
- при необходимости разработать соответствующие ролевые инструкции и памятки.
В Положении необходимо прописать полный перечень ролей и указать за что они отвечают, какие задачи решают. Для каждой роли необходимо указать кому может назначаться данная роль.
Для администраторов (информационных систем и средств защиты) желательно создать единый перечень с указанием наименования системы/СЗИ, ответственного лица и перечнем лиц, имеющих административный доступ к ней (некое подобие Матрицы доступа), при этом этот перечень не обязательно официально утверждать в компании, он носит скорее информационный характер для понимания системы в целом, однако следует регулярно проверять его актуальность. Назначать администраторов следует соответствующим приказом.
В должностные инструкции следует общими словами прописать те функции и задачи в области обработки и обеспечения безопасности ПДн, которые выполняет соответствующий сотрудник.
Инструкции, как я полагаю, следует писать только в случае необходимости, причем желательно под конкретные процедуры (например, резервное копирование и восстановление информации), а не под роли (например, инструкция администратору ИБ). По возможности инструкции следует заменять краткими памятками (они удобнее для восприятия и не всегда требуют официального утверждения).
Более подробно про документацию системы обработки и обеспечения безопасности ПДн в одном из следующих постов.
