Администратор ИБ - Форум по вопросам информационной безопасности

Ребят, подскажите, пожалуйста, такой вопрос.

В организации есть приказ, о назначении ответственных лиц по разным направлениям (информационным система, типам информации).
Т.е.
Администратор ИБ.
Ответственный за обеспечение защиты ПДн (не путать с ответственным за организацию согласно 152-ФЗ).
Ответственный за защиту информации в ГИС
Ответственный за защиту информации в ИСПДн (и так для каждой испдн).
Ответственный за антивирусную проверку (зачем-то выделен отдельно)

Главное, что везде ОДИН человек и так есть по факту, т.е. в обозримой перспективе никто не будет пересматривать такое положение вещей.

Цель-то - внести изменения в приказ, заменив лицо, но мысль в том, что может быть просто внести в должностную инструкцию все эти направления и не подстраивать приказ под каждое лицо. Т.е. привязать функции к должности, согласно штатному расписанию.

Вопрос:
Допустимо ли такое?

почему нет? можно не в должностную, а сделать просто как отдельное распоряжение. Сделать таблицу в два столбца. в первом столбце указать наименование ИС( ГИС или ИСПДн) - а во втором указать ответственных за обеспечение защиты для этой ИС (по должности). Типа: ИСПДн БУХГАЛТЕРИЯ - Главный бухгалтер. и т.д. утвердить это у руководителя организации и все. т. к. у меня например начали кадры кипишь поднимать - мол им переделывать теперь должностную - а на это нужно распоряжение руководителя...и много разговором было (больше чем дела)...

monk1818
Ну, в моем случае, там как раз совпало, что кадры засуетились, что нужно актуализировать должностную вот и хочу включить туда.

to Автор
" Т.е. привязать функции к должности, согласно штатному расписанию.
Вопрос:
Допустимо ли такое?"
Это не то что допусти, а так и нужно было сдлеать.
Например в нашей организации есть "администратор Иб" и "Ситемный Админ." у них в должностных обязанностях прямо так и прописано, соответственно: "Ответственный за обеспечение защиты ПДн,Ответственный за защиту информации в ГИС, Ответственный за защиту информации в ИСПДн" и "...Ответственный за антивирусную проверку...."

Надо смотреть, что за организация и под какие требования создавались эти приказы. Вполне возможно, что в требованиях будет написано, что ответственный должен быть назначен именно приказом, тогда никакая должностная не спасёт при проверке.

Artem
вопрос еще в том - нужно ли прописывать в должностной каждую операцию из 17-го приказа или все таки ограничиться описаниями в стиле, "обеспечивает защиту в соответствии с требованиями", ну и основные положения про аттестацию, разработку доков, контроль, отчетность. А все приложение из НПА точно копировать туда не нужно.
Кадровичка тоже так считает, но при этом почему-то зацепилась за несколько фраз из старой должностной, типо "смена паролей", "антивирусная проверка" и еще парочка записей. Т.е. пара пунктов из 17 приказа.
Как-то не логично.

Беркут
Обычный гос орган. Доки сделаны были по шлаблону.

to Вопрос
"вопрос еще в том - нужно ли прописывать в должностной каждую операцию из 17-го приказа или все таки ограничиться описаниями в стиле, "обеспечивает защиту в соответствии с требованиями", ну и основные положения про аттестацию, разработку доков, контроль, отчетность. А все приложение из НПА точно копировать туда не нужно."

проблема в том хотите ли вы всё возложить на одного или распределить все функции равномерно на несколько сотрудников, если если первый вариант, тогда подойдут общие формулировки, а сели второй, тогда придётся расписывать подробно, но учтите что критические функции должны дублироваться иначе в случае если один работник например заболел, второй может встать в "позу" типа: -"я делать это не буду у меня такое в инструкции не написано"

так и быть, для примера поделюсь, что написано у меня, тайны тут особой нет))) одни общие формулировки (насколько я знаю эту формулировку взяли тоже из какого то шаблона и лишь подправили) :

2. Обязанности администратора безопасности информации ИСПДн
2.1 Знать и выполнять требования действующих нормативных и руководящих документов, а также внутренних инструкций, руководства по защите информации и распоряжений, регламентирующих порядок действий по защите информации.
2.2 Осуществлять установку, настройку и сопровождение средств защиты информации.
2.3 Участвовать в контрольных и тестовых испытаниях и проверках элементов ИСПДн.
2.4 Участвовать в приемке новых программных средств.
2.5 Обеспечить доступ к защищаемой информации пользователям ИСПДн согласно их правам доступа при получении оформленного соответствующим образом разрешения.
2.6 Уточнять в установленном порядке обязанности пользователей ИСПДн по обработке объектов защиты.
2.7 Вести контроль над процессом осуществления резервного копирования объектов защиты.
2.8 Анализировать состояние защиты ИСПДн и ее отдельных подсистем.
2.9 Контролировать неизменность состояния средств защиты их параметров и режимов защиты.
2.10 Контролировать физическую сохранность средств и оборудования ИСПДн.
2.11 Контролировать исполнение пользователями ИСПДн введенного режима безопасности, а так же правильность работы с элементами ИСПДн и средствами защиты.
2.12 Контролировать исполнение пользователями парольной политики.
2.13 Реализовывать парольную политику.
2.14 Контролировать работу пользователей в сетях общего пользования и (или) международного обмена.
2.15 Своевременно анализировать журнал учета событий, регистрируемых средствами защиты, с целью выявления возможных нарушений.
2.16 Не допускать установку, использование, хранение и размножение в ИСПДн программных средств, не связанных с выполнением функциональных задач.
2.17 Осуществлять периодические контрольные проверки рабочих станций и тестирование правильности функционирования средств защиты ИСПДн.
2.18 Оказывать помощь пользователям ИСПДн в части применения средств защиты и консультировать по вопросам введенного режима защиты.
2.19 Периодически представлять руководству отчет о состоянии защиты ИСПДн и о нештатных ситуациях на объектах ИСПДн и допущенных пользователями нарушениях установленных требований по защите информации.
2.20 В случае отказа работоспособности технических средств и программного обеспечения ИСПДн, в том числе средств защиты принимать меры по их своевременному восстановлению и выявлению причин, приведших к отказу работоспособности.
2.21 Принимать меры по реагированию, в случае возникновения внештатных ситуаций и аварийных ситуаций, с целью ликвидации их последствий.

Artem
Спасибо.