Эксперты компании продолжают отвечать на вопросы читателей и заказчиков.
Сегодня затронем тему квалификации кадров, а именно - руководящих должностей в ИБ на объектах КИИ.
Вопрос: нужно ли назначать зам.руководителя по ИБ и осуществлять его переподготовку, если в организации нет значимых объектов КИИ?
Ответ экспертов компании:
Требования о назначении заместителя руководителя организации ответственным за обеспечение информационной безопасности устанавливается Указом Президента РФ от 1 мая 2022 г. N 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации».
Данный указ распространяется на:
· федеральные органы исполнительной власти или высшие исполнительные органы государственной власти субъектов РФ;
· государственные фонды;
· государственные корпорации или организации, созданные на основании федеральных законов;
· стратегические предприятия, стратегические акционерные общества или системообразующие организации российской экономики;
· юридические лица, являющиеся субъектами критической информационной инфраструктуры РФ.
Указ не содержит уточнений о наличии или отсутствии у субъекта КИИ значимых объектов КИИ.
Поэтому требование о возложении на заместителя руководителя органа (организации) полномочия по обеспечению информационной безопасности органа (организации), в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты обязательно для всех субъектов КИИ.
Квалификационные требования к заместителю руководителя организации, ответственному за обеспечение информационной безопасности в организации, установлены Постановлением Правительства РФ от 15 июля 2022 г. N 1272 «Об утверждении типового положения о заместителе руководителя органа (организации), ответственном за обеспечение информационной безопасности в органе (организации), и типового положения о структурном подразделении в органе (организации), обеспечивающем информационную безопасность органа (организации)»:
Пункт 6 Типового положения о заместителе руководителя органа (организации), ответственном за обеспечение информационной безопасности в органе (организации): «Ответственное лицо должно иметь высшее образование (не ниже уровня специалитета, магистратуры) по направлению обеспечения информационной безопасности. Если ответственное лицо имеет высшее образование по другому направлению подготовки (специальности), он должен пройти обучение по программе профессиональной переподготовки по направлению «Информационная безопасность».»
Таким образом, даже в случае отсутствия значимых объектов КИИ необходимо назначить заместителя руководителя организации, ответственного за обеспечение информационной безопасности в организации, и организовать его переподготовку при необходимости.
Рекомендуем ориентироваться на образовательные программы, согласованные со ФСТЭК России.
