📎 Анализ Положения Правительства о заместителе руководителя по ИБ и структурном подразделении
Правительство Российской Федерации 15 июля утвердило Постановление № 1272 «Об утверждении типового положения о заместителе руководителя органа (организации), ответственном за обеспечение информационной безопасности в органе (организации), и типового положения о структурном подразделении в органе (организации), обеспечивающем информационную безопасность органа (организации)». Теперь, когда документ вышел официально, мы решили его проанализировать и поделиться с вами результатами.
Мы обновили страницу нашей горячей линии, добавив туда информация по данному Положению.
Типовое положение о заместителе руководителя органа (организации), ответственном за обеспечение информационной безопасности в органе (организации)
Ответственное лицо наделяется в Организации высокими полномочиями по принятию решений в области ИБ, которые являются обязательными для исполнения всеми сотрудниками Организации.
Квалификационные требования к ответственному лицу
Ответственное лицо должно иметь высшее образование (не ниже уровня специалитета, магистратуры) по направлению обеспечения информационной безопасности. Если ответственное лицо имеет высшее образование по другому направлению подготовки (специальности), он должен пройти обучение по программе профессиональной переподготовки по направлению «Информационная безопасность».
Описанные выше навыки и умения ответственного лица делают невозможным формальное назначение на эту должность человека некомпетентного. К его знаниями предъявляются действительно масштабные требования, которые, зачастую, сложно совместить в одном сотруднике без прохождения им дополнительных профессиональных курсов в области кибербезопасности.
Кроме всего прочего, ответственный должен координировать проектную деятельность организации в области ИБ, что накладывает на него требования по проектному менеджменту. Т.е. на данную позицию, по букве Постановления, должен быть назначен зрелый CISO с достаточно богатым опытом работы.
В сферу обязанностей также входит выявление, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, что предполагает применение соответствующего инструментария в виде SIEM или аналогичных по функциональности систем мониторинга.
Трудовые (должностные) обязанности ответственного лица
Ответственное лицо: …
организует беспрепятственный доступ (в том числе удаленный) должностным лицам Федеральной службы безопасности Российской Федерации и ее территориальных органов к информационным ресурсам, принадлежащим органу (организации) либо используемым органом (организациями), доступ к которым обеспечивается посредством использования информационно-телекоммуникационной сети «Интернет», в целях осуществления мониторинга их защищенности, а также работникам структурного подразделения, осуществляющего функции по обеспечению информационной безопасности;
организует взаимодействие с должностными лицами Федеральной службы безопасности Российской Федерации и ее территориальных органов, в том числе контроль исполнения указаний, данных Федеральной службой безопасности Российской Федерации и ее территориальными органами по результатам мониторинга защищенности информационных ресурсов, принадлежащих органу (организации) либо используемых органом (организациями), доступ к которым обеспечивается посредством использования информационно-телекоммуникационной сети «Интернет»;
Вероятно, последуют дальнейшие разъяснения, как и в каком объеме этот доступ должен быть предоставлен, но требование есть уже сейчас. Далее, впрочем, есть уточнение, что это достигается путем плотного взаимодействия с НКЦКИ (Национальным координационным центром по компьютерным инцидентам).
осуществляет регулярный контроль текущего уровня (состояния) информационной безопасности в органе (организации), а также отвечает за реализацию мероприятий, направленных на поддержание и развитие уровня (состояния) информационной безопасности в органе (организации), в том числе с учетом появления новых угроз безопасности информации и современных способов и методов проведения компьютерных атак;
организует и контролирует проведение мероприятий по анализу и оценке состояния информационной безопасности органа (организации) и контролирует их результаты;
Из чего следует, что в обязанности ответственного лица входит проведение регулярных аудитов ИБ.
Ответственное лицо обеспечивает планирование и реализацию мероприятий по переводу систем и сетей на отечественные средства защиты информации, а также контроль за соблюдением запрета на использование средств защиты информации, странами происхождения которых являются иностранные государства в соответствии с пунктом 6 Указа Президента Российской Федерации «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации».
Так что вопросы импортозамещения тоже на нём, на ответственном лице.
Ответственность ответственного лица
Тут, пожалуй, приведем всю меру и глубину полностью:
3. Ответственное лицо в соответствии с законодательством Российской Федерации несет ответственность:
а) за неисполнение или ненадлежащее исполнение своих обязанностей;
б) за действия (бездействие), ведущие к нарушению прав и законных интересов органа (организации);
в) за разглашение государственной тайны и иных сведений, ставших ему известными в связи с исполнением своих обязанностей;
г) за достижение целей обеспечения информационной безопасности;
д) за поддержание и непрерывное развитие информационной безопасности органа (организации) для исключения (невозможности реализации) негативных последствий;
е) за организацию мероприятий по разработке (модернизации) систем и сетей в части информационной безопасности органа (организации);
ж) за нарушения требований по обеспечению информационной безопасности;
з) за нарушения в обеспечении защиты систем и сетей, повлекшие негативные последствия.
Типовое положение
о структурном подразделении органа (организации), обеспечивающем информационную безопасность органа (организации)
Выборочно, что бросается в глаза, кроме общих положений.
Функции подразделения
Подразделение выполняет следующие функции:
обнаружение, предупреждение и ликвидация последствий компьютерных атак и реагирование на компьютерные инциденты;
представление в Национальный координационный центр по компьютерным инцидентам информации о выявленных компьютерных инцидентах;
Права подразделения
готовить предложения о привлечении к проведению работ по обеспечению информационной безопасности организаций, имеющих лицензии на соответствующий вид деятельности;
Т.е. не всё сам, что плюс.
Вместо заключения
В целом, ничего неожиданного в документе нет. На должности ждут компетентного сотрудника с широкими полномочиями и пугающей ответственностью. Осталось их в должном объеме найти и удостоверится, что они умеют всё, что от них требует Правительство.