Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

В России хотят создать мегарегулятора информационной безопасности, взяв пример с США

18/11/2017

В рамках реализации программы «Цифровая экономика» предлагается определить единый госорган, ответственный за требования к средствам информационной безопасности.

Реклама

Партнеры

Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1
Ответить
RSS
Администратор ИБ, основание назначения администратора ИБ
Доброе время суток! Подскажите, пожалуйста, на основании какого нормативного документа назначается Администратор информационной безопасности (ИБ)?
Я по своей теме:
Это РС БР ИББС-2.3-2010:
6.1.6. Обязанности по администрированию средств защиты и механизмов защиты, реа!
лизующих требования по обеспечению ИБ ИСПДн организации БС РФ, возлагаются приказами
(распоряжениями) на администраторов информационной безопасности ИСПДн.
6.1.7. Порядок действий администратора информационной безопасности ИСПДн и пер!
сонала, занятых в процессе обработки персональных данных, должен быть определен инструк!
циями (руководствами), которые готовятся разработчиком ИСПДн в составе эксплуатационной
документации на ИСПДн.

Ну а вообще требований думаю нигде нет, может быть только будет в СТР-К.
Цитата
Николай пишет:
которые готовятся разработчиком ИСПДн в составе эксплуатационной
документации на ИСПДн.
Поправьте если ошибаюсь: я не встречал ни одного софта, который бы назывался ИСПДн. Бухгалтерия, ЗиК, Предприятие, CRM, АБС и т.п. По факту это ИСПДн, но что-то я не видел в ЭД инструкций/руководств именно администратора ИБ - просто администратора - да, есть места, относящиеся к ИБ, но выделенных не видел.
На сколько я понимаю - Определили мы перечень Автоматизированных банковских систем (АБС) в рамках которых обрабатываются ПДн, далее выделили те, которые реализуют банковские инф.тех процессы и те, которые платежные. Соответственно сделали вывод о необходимости классификации АБС как ИСПДн. Описали технололигеский процесс - +- и классифицировали ИСПДн (разработали ИСПДн). Далее необходимо написать инструкции для пользователей и для администраторов, которые будут ими руководствоваться в своей работе.
Причем при использовании СЗИ, работники и должны быть ознакомлены с эксплуатационной а администраторы еще и с технической документацией на СЗИ.

Мне кажется здесь имеется ввиду это....
Цитата
Николай пишет:
которые готовятся разработчиком ИСПДн в составе эксплуатационной документации на ИСПДн.
У разработчиков я этого не встречал. А самим, да, писать приходится.
Например,в рамках аттестации АС, для заказчиков готовится шаблоны документы ОРД. Один из их - Приказ о назначении Администратора безопасности информации. Подписывается руководителем предприятия.
Евгений,
Это по СТР-К и РД гостехкомиссии? просто если нет требования - зачем делать больше?)
Спрошу я топикстартеровский вопрос в другом виде:
Кто может быть назначен Администратором ИБ?
ЕМНИП это должен быть гражданин с образованием безопасника, или сертификатами о прохождении курсов по Обработке ПДн. При этом сертификаты должны быть ФСТЭКовские.
Если же мы назначаем на эту должность эникейщика (как часто оно бывает) или просто админа, или первого попавшегося работника, то формулировка должна звучать:
Возложить обязанности администратора ИБ.
Прав я или нет? В счете всех последних изменений законодательства.
И еще дополнение: назначить кого-то мы можем если у нас есть такая должность. Если должности с названием "Администратор ИБ" у нас нет, то мы можем только возложить обязанности.
Как я понимаю, назначить Администратором ИБ или возложить обязоности можно на любого сотрудника организации...Только будет ли он данные функции выполнять без соответствующего обучения..... :D ...Так для галочки можно и уборщицу назначить Администратором ИБ.

Требований в дипломе или сертификате, у данного специалиста не требуется.....во всяком случае не встречал такого. :D
Вот потому я и писал ЕМНИП:)
На уборщицу можно возложить. А назначить можно только обученного человека.
Назначить можно на штатную должность, которая предполагает наличие квалификационных требований для ее замещения, обязательных требований по квалификации нет (по крайней мере для частного сектора, если только не получать лицензию ФСБ или ФТЭК). Поэтому написать можно такое, что 4 класса церковно-приходской будет достаточно :D
З.Ы. А серьезно - есть такая штука, как единый справочник должностей, и если должность инженерная, то как минимум техникум + опыт, и образование техническое, а вот специальность ИБ не обязательно, IT вполне подойдет. Если спец нужен не для галочки, то и требования будут адекватные, и на учебу направят.
Цитата
Сергей С. пишет:
Назначить можно на штатную должность,
Этот тот вариант, если имеется штатная должность: "Администратор ИБ". Понятно, что она есть не всегда. А есть обычный сисадмин, электронщик и прочие эникейщики.
И потому имеет значение, что мы напишем в приказе о назначении (выполнении обязанностей) "Администратором ИБ" этого сисадмина, электронщика, энийкейшика, уборщицы
Цитата
IvanovSV пишет:
И потому имеет значение, что мы напишем в приказе о назначении (выполнении обязанностей) "Администратором ИБ"
Кто вам мешает написать в приказе "Назначить администратором безопасности ИСПДн программиста Иванова Антона Петровича с 01 мая 2013 года.
Администратору безопасности в своей работе руководствоваться инструкцией администратора безопасности, утвержденной от 01 мая 2013 года."
И всё.
Это фактически не будет должностью. Не надо менять штатное расписание и в трудовой менять ничего не надо.
В каждой организации есть приказ (должен быть, конечно) о назначении ответственного за организацию обработки ПДн примерно такой же формы?
А должности "ответственного за организацию обработки" я еще ни разу не видел.

Если хотите, понимайте это как функциональные обязанности, а не как должностные.
Изменено: Сергей - 25.04.2013 10:02:21
Цитата
Сергей пишет:
Кто вам мешает написать в приказе "Назначить администратором безопасности ИСПДн программиста Иванова Антона Петровича с 01 мая 2013 года.
Цитата
Сергей С. пишет:
Назначить можно на штатную должность, которая предполагает наличие квалификационных требований для ее замещения,
О том и разговор, что многие кадровики с малым опытом работы это и путают. Назначить можно на штатную должность. А возложить обязанности - на уборщицу.
Так что правильный приказ будет звучать скорее всего следующим образом: Возложить обязанности администратора безопасности ИСПДн на программиста Иванова Антона Петровича с 01 мая 2013 года.

А потом в самом окончании процесса мы вспомним про Постановление 79...
Страницы: 1
Ответить
Читают тему (гостей: 2, пользователей: 0, из них скрытых: 0)
Форма ответов
 
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.
Прикрепить картинку