20 Марта, 2012

СЗПДн. Распределение ответственности. Часть 1

Andrey Prozorov


Все знают, что 152-ФЗ требует (ст.18.1 1 1)) назначение оператором ПДн ответственного за организацию обработки ПДн. в чьи обязанности входят (далее кратко, подробнее в п.4 ст.22.1 152-ФЗ):
  1. Внутренний контроль обработки и обеспечения ИБ ПДн
  2. Повышение осведомленности и обучение работников
  3. Организация/контроль обработки обращений и запросов субъектов ПДн
При этом П781 (п.13) и Приказ № 58 ФСТЭК России оперируют уже другим термином:  структурное подразделение или должностное лицо (работник),ответственные за обеспечение безопасности ПДн.
С учетом того, что основные документы, регламентирующие обработку и обеспечение безопасности ПДн, пишутся ориентируюсь на мнение регулятора, то стоит использовать оба этих термина. Т.е. или у нас будет 2 ответственных: один за организацию обработки ПДн, а второй - за обеспечение безопасности ПДн, или все же 1 ответственный -за организацию обработки и обеспечение безопасности ПДн. Проверьте свои документы.

Кого назначить ответственным?
name='more'>
Исходя из практики, могу рекомендовать ориентироваться исключительно на свою компанию, а именно на следующие факторы: процессы обработки ИБ и степень их автоматизации, орг.структура, уровень зрелости процессов ИТ и ИБ, порядок взаимодействия подразделений в организации и т.д. Чаще всего ответственным назначается только 1 человек. Обычно это бывает руководитель отдела ИБ, реже ИТ (если отдельного отдела ИБ нет). При этом этот человек должен в общем знать и понимать следующие области знаний о процессах компании, а также обработке и обеспечении безопасности ПДн в целом:
  • требования к обработке ПДн (с использованием средств автоматизации, так и без них);
  • требования к обеспечению безопасности ПДн;
  • процессы обработки ПДн в организации:
    • перечень ПДн;
    • цель и основание для обработки ПДн;
    • перечень лиц, допущенных к обработке ПДн;
    • носители и места хранения ПДн;
    • средства автоматизации обработки ПДн:
      • перечень систем;
      • структура баз данных;
      • принципы и порядок предоставления и изменения прав доступа; 
    • документация, регламентирующая обработку ПДн;
  • система обеспечения ИБ в организации:
    • роли и ответственность за управление и обеспечение ИБ и ИТ 
    • перечень СЗИ и их характеристики, а также другие средства контроля и обеспечения безопасности ПДн;
    • документация, регламентирующая обеспечение безопасности ПДн (ну, или просто информации организации);
  • порядок взаимодействия с регуляторами.
Конечно этот список можно еще расширить и детализировать, но для общего понимания, я полагаю, что достаточно. Исходя из этих знаний, которыми должен обладать ответственный ..., становиться понятно, что крайне нелогично таким ответственным назначать кого-то из высшего руководства (делать им нечего, как вникать в тонкости требований регуляторов), или из отдела кадров или юридического отдела (слишком много про ИТ и ИБ), хотя я встречал такое в своей практике...

Обычным вариантом, как я и говорил выше, является назначение  руководителя ИБ  ответственным за организацию обработки и обеспечение безопасности ПДн . Однако интересным вариантом может быть такой: ответственным за обеспечение безопасности ПДн является руководитель ИБ, он отвечает за: выполнение требований ИБ к ПДн, документирование требований ИБ, составление модели угроз, взаимодействие с регуляторами, обработка обращений субъектов ПДн; ответственным за организацию обработки ПДн является руководитель ИТ, он отвечает за: выполнение требований по обработке ПДн, документирование процессов обработки ПДн, описание ИСПДн, управление доступом к ПДн.
Выбор такой модели обусловлен следующими факторами:
  • руководитель ИТ, как ответственный за автоматизацию процессов компании, лучше разбирается в бизнес-процессах компании, структуре данных а информационных системах, а также отвечает за управление правами доступа к ним;
  • руководитель ИБ обычно имеет опыт и "понимает" требования и подходы регуляторов к ИБ; 
  • построение эффективного взаимодействия между ИТ и ИБ всегда хорошо для компании;
  • четкое распределение ответственности на несколько подразделений может создать рабочую систему обеспечения безопасности ПДн, а не просто выполнение требований регуляторов.
Хотя я такого не встречал...

Более подробно про распределение ответственности за обработку и обеспечение безопасности ПДн во 2й части ...