ГрамотаИБ ГрамотаИБ

Как распределить обязанности по информационной безопасности в небольшой организации

Кто и за что отвечает за информационную безопасность в маленькой компании: должен ли директор делать всё сам, какие роли обязательно назначить приказом (ответственный за организацию обработки ПДн, ответственный за безопасность в ИСПДн, ответственный за СКЗИ), можно ли совмещать роли, допустимо ли поручить ведение журнала учёта СКЗИ бухгалтеру и что делать, если системный администратор не в штате, а приходящий или на аутсорсе. Разбираем поручение на обработку, лицензию подрядчика и типичные ошибки.

В небольшой компании нет отдела информационной безопасности, и возникает резонный вопрос: кто всем этим должен заниматься? Должен ли директор делать всё сам, можно ли поручить журнал учёта СКЗИСредство криптографической защиты информации — Шифровальное (криптографическое) средство; применение и учёт регулируют приказы ФСБ. бухгалтеру и что делать, если системный администратор приходящий или вообще на аутсорсе? Разберём, как грамотно распределить роли в маленькой организации, чтобы и закон выполнить, и не перегрузить одного человека.

Должен ли директор делать всё сам

Нет. Руководитель отвечает за организацию в целом и за то, что меры приняты, утверждает документы и назначает ответственных, но выполнять все задачи лично он не обязан и на практике не может. Его роль — распределить обязанности приказами и контролировать, что они выполняются. Более того, защита информации — это система ролей, и закон прямо предполагает назначение конкретных ответственных лиц, а не возложение всего на первое лицо.

Какие роли нужно назначить

В зависимости от того, что у вас есть (ПДнПерсональные данные — Любая информация, относящаяся к прямо или косвенно определённому физическому лицу (субъекту ПДн)., ИСПДнИнформационная система персональных данных — Совокупность персональных данных в базах данных и обеспечивающих их обработку информационных технологий и технических средств., СКЗИ), приказом назначаются ответственные:

  • Ответственный за организацию обработки ПДн (статья 22.1 152-ФЗ). Обязателен для оператора-организации. Контролирует соблюдение законодательства о ПДн, доводит до руководства проблемы, работает с обращениями субъектов. Это организационная, а не техническая роль — её часто берёт на себя сам директор или, например, юрист, кадровик, офис-менеджер.
  • Ответственный за обеспечение безопасности ПДн в ИСПДн (по приказу ФСТЭКФедеральная служба по техническому и экспортному контролю — Регулятор технической защиты информации (ИСПДн, ГИС, КИИ); ведёт реестр сертифицированных СЗИ. №21). Отвечает за то, что технические и организационные меры защиты в системе реально приняты и поддерживаются: контролирует доступы, учёт средств защиты, документы и работу подрядчика. Это организационно-техническая роль, и это не обязательно именно системный администратор.
  • Ответственный за СКЗИ (Инструкция ФАПСИ №152) — если в организации применяются средства криптозащиты (электронная подпись, VPN). По инструкции создаётся орган криптографической защиты, а если для маленькой организации это нецелесообразно — назначаются ответственные пользователи (ответственные лица). Они ведут поэкземплярный учёт, отвечают за хранение и правила пользования.

Если организация — субъект КИИКритическая информационная инфраструктура — Информационные системы и сети госорганов и организаций ключевых отраслей; режим защиты установлен 187-ФЗ., добавляются ответственные за безопасность значимых объектов. Полный комплект ролей и документов — в обзоре «Документы по защите информации».

Можно ли совмещать роли

В маленькой компании — да, один человек может совмещать несколько ролей, и это нормально. Директор нередко сам становится ответственным за организацию обработки ПДн, а бухгалтер — ответственным за СКЗИ. Закон не требует под каждую роль отдельного сотрудника. Разумные оговорки: не стоит сваливать всё на одного человека формально (роль без реального исполнения — это нарушение при проверке); по возможности не совмещать в одном лице исполнение и контроль там, где это критично; а внутренний учёт СКЗИ и контроль доступа лучше закреплять за сотрудником оператора, а не за приходящим специалистом. Но сам по себе принцип совмещения для малого бизнеса допустим.

Журнал учёта СКЗИ у бухгалтера — допустимо?

Да, это допустимо. Требования вести поэкземплярный учёт СКЗИ «только силами ИТ-специалиста» в законодательстве нет. Журнал ведёт назначенный приказом ответственный, и им вполне может быть бухгалтер — тем более что чаще всего именно он пользуется электронной подписью и токеном для сдачи отчётности. Но допустимо это при условии, что бухгалтер назначен приказом, ознакомлен и проинструктирован и реально способен выполнять эти обязанности:

  • назначьте бухгалтера ответственным за СКЗИ приказом;
  • ознакомьте его под подпись с правилами пользования СКЗИ и порядком хранения;
  • проведите инструктаж (при необходимости — обучение);
  • обеспечьте условия: опечатываемый сейф или шкаф, отдельное хранение PIN, поэкземплярный учёт.

Подробно порядок учёта — в статьях «Учёт и хранение СКЗИ» и «Как хранить токены электронной подписи».

Если администратор не в штате

Приходящий или аутсорсовый системный администратор — обычная ситуация для малого бизнеса. Технические задачи отдать на сторону можно, но есть нюансы:

  • Ответственность остаётся на вас. Оператором персональных данных и стороной, отвечающей перед Роскомнадзором, остаётся ваша организация. Передать ответственность подрядчику нельзя.
  • Внешний админ, обрабатывающий ваши данные, — это обработчик. Если подрядчик получает доступ к ПДн или выполняет с ними операции по вашему поручению, с ним оформляют поручение на обработку (статья 6 часть 3 152-ФЗ): перечень действий с ПДн, цели, обязанность соблюдать конфиденциальность и требования к безопасности (статья 19 152-ФЗ). Не всякое обслуживание инфраструктуры автоматически является обработкой — если доступ к данным технически исключён, поручение может и не требоваться. Отдельное соглашение о неразглашении полезно, но обязательны именно условия о конфиденциальности и безопасности в самом поручении или договоре.
  • Внутренний ответственный — лучше из работников. Само администрирование можно отдать на аутсорс, но ответственного, подотчётного руководству, разумно оставить из числа сотрудников (это может быть и директор). Подрядчик выполняет, сотрудник отвечает за организацию.
  • Лицензия подрядчика. Если внешняя компания оказывает лицензируемые услуги по технической защите конфиденциальной информации (по Положению, утверждённому Постановлением Правительства №79), у неё должна быть лицензия ФСТЭК. При этом обычное администрирование, настройка рабочих мест или помощь пользователям к таким услугам относятся не всегда. Отдельно: если подрядчик настраивает или обслуживает СКЗИ, может вставать вопрос лицензии ФСБФедеральная служба безопасности — Регулятор криптографической защиты информации и взаимодействия с ГосСОПКА. на работы с криптосредствами. Для собственных нужд оператору лицензия не требуется.
  • СКЗИ остаются под вашим учётом. Экземпляры криптосредств и журнал учёта ведёт ваш ответственный; доступ внешнего специалиста к ним — под контролем и по правилам.

Что оформить

  • Приказы о назначении ответственных (за организацию обработки ПДн, за безопасность в ИСПДн, за СКЗИ).
  • Должностные обязанности и инструкции под каждую роль, ознакомление под подпись.
  • Поручение на обработку и NDA с внешними подрядчиками, имеющими доступ к данным.
  • Журналы (поэкземплярный учёт СКЗИ, учёт носителей, ознакомления) — за ними закреплён конкретный человек.

Типичные ошибки

  • Всё на директоре. Один человек номинально отвечает за всё, реально ничего не ведётся.
  • Никого не назначили. Нет приказа об ответственном за организацию обработки ПДн — само по себе нарушение.
  • Внешний админ без поручения. Подрядчик годами имеет доступ к базе с ПДн без договора-поручения и NDA.
  • Журнал СКЗИ никто не ведёт. Токены есть, подпись используется, а поэкземплярного учёта нет, потому что «это не наша задача».
  • Роль для галочки. Назначили ответственного, но не ознакомили, не обучили и обязанностей не дали.

Главное

Директор не обязан и не может делать всё сам — его задача распределить роли приказами и контролировать исполнение. В небольшой организации роли можно совмещать: бухгалтер вполне законно ведёт журнал учёта СКЗИ, если назначен приказом и ознакомлен с правилами. Приходящего или аутсорсового админа, если он работает с вашими данными, оформляют как обработчика с поручением на обработку, а ответственность за данные остаётся на операторе; если подрядчик оказывает лицензируемые услуги по технической защите информации, нужна лицензия ФСТЭК (а по криптосредствам — ФСБ), тогда как для собственных нужд оператора лицензия не требуется. ГрамотаИБ помогает определить нужные роли под ваш профиль и сформировать приказы, инструкции и поручения — попробовать можно в сервисе.

Попробовать ГрамотаИБ

Читайте также

Все по теме «Организация и комплаенс» →

Документы по защите информации: ПДн, ИСПДн, ГИС, КИИ и СКЗИ — какой комплект нужен

Обзор документов по защите информации в разрезе режимов: персональные данные (152-ФЗ), ИСПДн (ПП-1119 и приказ ФСТЭК №21), государственные информационные системы (приказ ФСТЭК №117, ранее №17), критическая информационная инфраструктура (187-ФЗ, ПП-127, приказы №235 и №239) и СКЗИ (ПКЗ-2005, Инструкция ФАПСИ №152, приказ ФСБ №378). Что обязательно у любого оператора, что добавляется при автоматизированной обработке, в ГИС, у субъекта КИИ и при использовании криптографии. Перечни базовые и уточняются по конкретной системе, классу и уровню защищённости.

Как не допустить утечку персональных данных и коммерческой тайны

Профилактика утечек персональных данных и коммерческой тайны: почему большинство утечек идёт от своих сотрудников и небрежности, а не от хакеров, и какие организационные и технические меры реально снижают риск. Разграничение доступа, режим коммерческой тайны, NDA, контроль носителей и подрядчиков, обучение людей и порядок при увольнении.

Может ли малый бизнес сам выполнить требования РКН, ФСТЭК и ФСБ

Честный разбор: что в защите персональных данных малый бизнес реально делает своими силами и бесплатно, а где нужен лицензиат. По трём регуляторам — Роскомнадзор (организационная часть), ФСТЭК (техническая защита ИСПДн, лицензия и аттестация) и ФСБ (СКЗИ и криптография). Когда подрядчик действительно необходим, а когда это лишние расходы.

Зачем нужна «бумажная безопасность»: организационные меры, а не только антивирус

Почему для защиты персональных данных недостаёт технических средств (антивирус, резервное копирование), и закон требует организационных мер — политик, приказов, регламентов и журналов. Что в первую очередь проверяют Роскомнадзор и ФСТЭК.