Проблема не новая, но ещё актуальна – сколько и каких ответственных нужно назначить, для выполнения требований законодательства в области обработки и защиты ПДн?
Проведя анализ текущего законодательства (152-ФЗ, ПП 1119, ПП 221, ПП 687, приказ ФСТЭК №21, 17, приказ ФСБ №378, приказ ФАПСИ 152, типовые требования ФСБ №149/6/6-622) получаем следующий перечень ответственных лиц (ролей):
· ответственный за организацию обработки персональных данных
· ответственный за определение (и поддержание) целей, правовых оснований, содержания, объема и сроков хранения ПДн, необходимости уведомления РКН
· ответственный за обезличивание персональных данных
· ответственный за направление уведомления в Роскомнадзор и проверку актуальности сведений в реестре операторов персональных данных
· ответственный за пересмотр договоров с субъектами и контрагентами в части обработки персональных данных
· ответственный за получение согласия субъекта на обработку персональных данных
· ответственный за взаимодействие с субъектом ПДн при его обращении или в случаях обязательного информирования
· ответственный за обеспечение безопасности персональных данных в ИСПДн
· ответственный за администрирование СЗИ (явно требуется только для ГИС)
· ответственный за выявление инцидентов и реагирование на них
· ответственный за оценку вреда и определение угроз безопасности персональных данных
· ответственный за обучение и информирование сотрудников, осуществляющих обработку персональных данных
· ответственный за обеспечение сохранности носителей ПДн
· ответственный за обеспечение безопасности помещений с компонентами ИСПДн
· ответственный за контроль выполнения требований по защите персональных данных
· орган криптографической защиты / лицо ответственное за криптографическую защиту / ответственный пользователь криптосредств
Выделены те роли, для которых в явном виде указаны мероприятия, которые необходимо регулярно выполнять. Все задачи по защите ПДн, которые не выделены явно, входят в обязанности ответственного за обеспечение безопасности персональных данных в ИСПДн.
Тут не приведены роли обычных пользователей, администраторов ИСПДн потому что про их обязанности фактически ничего нет в законодательстве. Я бы также добавил их в итоговый перечень ролей, но об этом в следующей заметке. Добавил бы и руководство оператора ПДн как ответственное за перераспределение ответственности.
Приведенную выше ответственность я бы советовал распределять (планировать распределение) на самом раннем этапе работ по организации обработки ПДн и защиты ПДн. В некоторых случаях, когда явно не говорится о назначении лица, можно назначить ответственной за определенные мероприятия комиссию или рабочую группу.
Также рекомендую посмотреть статьи на связанные с данной темы: расчет трудозатрат для организации обработкии обеспечения безопасности ПДн и распределение ролей по ИБ в банке