Все знают, что 152-ФЗ требует (ст.18.1 1 1)) назначение оператором ПДн ответственного за организацию обработки ПДн. в чьи обязанности входят (далее кратко, подробнее в п.4 ст.22.1 152-ФЗ):
- Внутренний контроль обработки и обеспечения ИБ ПДн
- Повышение осведомленности и обучение работников
- Организация/контроль обработки обращений и запросов субъектов ПДн
С учетом того, что основные документы, регламентирующие обработку и обеспечение безопасности ПДн, пишутся ориентируюсь на мнение регулятора, то стоит использовать оба этих термина. Т.е. или у нас будет 2 ответственных: один за организацию обработки ПДн, а второй - за обеспечение безопасности ПДн, или все же 1 ответственный -за организацию обработки и обеспечение безопасности ПДн. Проверьте свои документы.
Кого назначить ответственным?
name='more'>
Исходя из практики, могу рекомендовать ориентироваться исключительно на свою компанию, а именно на следующие факторы: процессы обработки ИБ и степень их автоматизации, орг.структура, уровень зрелости процессов ИТ и ИБ, порядок взаимодействия подразделений в организации и т.д. Чаще всего ответственным назначается только 1 человек. Обычно это бывает руководитель отдела ИБ, реже ИТ (если отдельного отдела ИБ нет). При этом этот человек должен в общем знать и понимать следующие области знаний о процессах компании, а также обработке и обеспечении безопасности ПДн в целом:
- требования к обработке ПДн (с использованием средств автоматизации, так и без них);
- требования к обеспечению безопасности ПДн;
- процессы обработки ПДн в организации:
- перечень ПДн;
- цель и основание для обработки ПДн;
- перечень лиц, допущенных к обработке ПДн;
- носители и места хранения ПДн;
- средства автоматизации обработки ПДн:
- перечень систем;
- структура баз данных;
- принципы и порядок предоставления и изменения прав доступа;
- документация, регламентирующая обработку ПДн;
- система обеспечения ИБ в организации:
- роли и ответственность за управление и обеспечение ИБ и ИТ
- перечень СЗИ и их характеристики, а также другие средства контроля и обеспечения безопасности ПДн;
- документация, регламентирующая обеспечение безопасности ПДн (ну, или просто информации организации);
- порядок взаимодействия с регуляторами.
Обычным вариантом, как я и говорил выше, является назначение руководителя ИБ ответственным за организацию обработки и обеспечение безопасности ПДн . Однако интересным вариантом может быть такой: ответственным за обеспечение безопасности ПДн является руководитель ИБ, он отвечает за: выполнение требований ИБ к ПДн, документирование требований ИБ, составление модели угроз, взаимодействие с регуляторами, обработка обращений субъектов ПДн; ответственным за организацию обработки ПДн является руководитель ИТ, он отвечает за: выполнение требований по обработке ПДн, документирование процессов обработки ПДн, описание ИСПДн, управление доступом к ПДн.
Выбор такой модели обусловлен следующими факторами:
- руководитель ИТ, как ответственный за автоматизацию процессов компании, лучше разбирается в бизнес-процессах компании, структуре данных а информационных системах, а также отвечает за управление правами доступа к ним;
- руководитель ИБ обычно имеет опыт и "понимает" требования и подходы регуляторов к ИБ;
- построение эффективного взаимодействия между ИТ и ИБ всегда хорошо для компании;
- четкое распределение ответственности на несколько подразделений может создать рабочую систему обеспечения безопасности ПДн, а не просто выполнение требований регуляторов.
Хотя я такого не встречал...
Более подробно про распределение ответственности за обработку и обеспечение безопасности ПДн во 2й части ...
