Требования к администратору безопасности

Должностная инструкция администратора информационной безопасности вычислительной сети

1.Общие положения

1.1. Настоящая должностная инструкция определяет функциональные обязанности, права и ответственность администратора информационной безопасности вычислительной сети.

1.2. Работник назначается на должность и освобождается от должности в установленном действующим трудовым законодательством порядке, приказом Генерального директора ООО «ХХХ».

1.3. Работник подчиняется непосредственно Руководителю группы информационной безопасности Компании.

1.4. На должность Работника назначается лицо, имеющее высшее профессиональное (техническое) образование по профилю деятельности и стаж работы по специальности не менее 3 (трех )лет, быть абсолютно лояльным и заслуживать полное доверие со стороны руководства Компании.

1.5. Работник должен знать:

1.6. В период временного отсутствия Работника его обязанности возлагаются на сотрудника группы информационной безопасности, определенного и назначенного в установленном порядке. Данное лицо приобретает соответствующие права и несет ответственность за надлежащие исполнение возложенных на него обязанностей.

1.7. Работник подчиняется непосредственно Руководителю группы информационной безопасности.

2.Функциональные обязанности

В должностные обязанности администратора информационной безопасности вычислительной сети входит:

2.1. Обеспечивает информационную безопасность вычислительной сети Компании.

2.2. Разрабатывает правила эксплуатации вычислительной сети, определяет полномочия пользователей вычислительной сети по доступу к ресурсам вычислительной сети, осуществляет административную поддержку (настройку, контроль и оперативное реагирование на поступающие сигналы о нарушениях установленных правил доступа, анализ журналов регистрации событий безопасности и т.п.).

2.3. Участвует в разработке технологии обеспечения информационной безопасности Компании, предусматривающей порядок взаимодействия подразделений Компании по вопросам обеспечения безопасности при эксплуатации вычислительной сети и модернизации ее программных и аппаратных средств.

2.4. Предотвращает несанкционированные модификации программного обеспечения, добавление новых функций, несанкционированный доступ к информации, аппаратуре и другим общим ресурсам вычислительной сети Компании.

2.5. Осуществляет сопровождение и, при необходимости, доработку внедренных программных средств по информационной защите Компании.

2.6. Разрабатывает программы для информационной защиты вычислительной сети и сетевых приложений Компании.

2.7. Разрабатывает способы и методы организации доступа пользователей вычислительной сети к ресурсам вычислительной сети Компании.

2.8. Ведет журналы, необходимые для нормального функционирования вычислительной сети Компании.

2.9. Информирует руководство Компании об уязвимых местах вычислительной сети, возможных путях несанкционированного доступа и воздействия на вычислительную сеть Компании.

3.1. Администратор информационной безопасности вычислительной сети имеет право:

3.2. Работник вправе требовать от Компании оказания содействия в исполнении своих должностных обязанностей.

4. Ответственность

Администратор информационной безопасности вычислительной сети Компании несет административную и уголовную ответственность в соответствии с действующим законодательством Российской Федерации, и нормативными актами в следующих случаях:

4.1. Разглашения сведений, составляющих коммерческую тайну Компании, ставшую ему известной в связи с исполнением должностных обязанностей.

4.2. Использование знаний служебной информации и (или) сведений, содержащих коммерческую тайну, которые стали известны в связи с исполнением должностных обязанностей для занятия любой деятельностью, которая в качестве конкурентного действия может нанести ущерб Компании.

4.3. Неисполнение или ненадлежащее исполнение своих обязанностей, предусмотренных настоящей должностной инструкцией, — в соответствии с действующим трудовым законодательством.

4.4. Нарушение правил техники безопасности и инструкции по охране труда.

4.5. Непринятие мер по пресечению выявленных нарушений правил техники безопасности, противопожарных и других правил, создающих угрозу деятельности Компании и ее сотрудникам.

4.6. Правонарушения, совершенные в период осуществления своей деятельности, в соответствии с действующим гражданским, административным и уголовным законодательством.

4.7. Причинение материального ущерба — в соответствии с действующим законодательством РФ.

5. Условия работы

5.1. Режим работы Работника определяется в соответствии с Правилами внутреннего трудового распорядка, установленными в Компании.

5.2. В связи с производственной необходимостью Работник обязан выезжать в служебные командировки (в т.ч. местного значения).

6. Хранение записей

Настоящая документ не порождает записей.

7. Лист рассылки

Все сотрудники Группы информационной безопасности.

Администратор безопасности

Финансовый словарь Финам .

Смотреть что такое «Администратор безопасности» в других словарях:

администратор безопасности — Лицо, ответственное за определение или выполнение требований одной или более частей стратегии обеспечения безопасности. Рекомендация МСЭ Т X.810. [http://www.rfcmd.ru/glossword/1.8/index.php?a=index&d=4242] Тематики защита информации EN security… … Справочник технического переводчика

Администратор защиты — (Security administrator) это субъект доступа, ответственный за защиту автоматизированной системы от несанкционированного доступа к информации (по руководящему документу «Защита от несанкционированного доступа к информации: Термины и определения») … Википедия

администратор [руководящий орган] системы обеспечения информационной безопасности Взаимоувязанной сети связи Российской Федерации [*] — администратор [руководящий орган] системы обеспечения информационной безопасности ВСС РФ [**] Физическое или юридическое лицо, ответственное за реализацию политики обеспечения информационной безопасности ВСС РФ [**]. Примечание Символ [*]… … Справочник технического переводчика

Администратор баз данных — Администратор базы данных лицо, отвечающее за выработку требований к базе данных, её проектирование, реализацию, эффективное использование и сопровождение, включая управление учётными записями пользователей БД и защиту от несанкционированного… … Википедия

администратор службы безопасности — Человек (или группа людей), имеющий(ие) полное представление об одной или нескольких системах обеспечения безопасности и контролирующий(ие) проектирование и их использование. [Домарев В.В. Безопасность информационных технологий. Системный… … Справочник технического переводчика

администратор по вопросам охраны здоровья и безопасности — (на АЭС) [А.С.Гольдберг. Англо русский энергетический словарь. 2006 г.] Тематики энергетика в целом EN health and safety executiveHSE … Справочник технического переводчика

администратор — 3.1 администратор: Официально назначенное эксплуатантом лицо, ответственное за организацию безопасной эксплуатации аттракциона. Источник: ГОСТ Р 53130 2008: Безопасность аттракционов. Общие требования оригинал документа … Словарь-справочник терминов нормативно-технической документации

Системный администратор — (англ. system administrator), ИТ администратор сотрудник, должностные обязанности которого подразумевают обеспечение штатной работы парка компьютерной техники, сети и программного обеспечения, а также обеспечение информационной… … Википедия

Критерии определения безопасности компьютерных систем — Эту статью следует викифицировать. Пожалуйста, оформите её согласно правилам оформления статей. Критерии определения безопасности компьютерных систем (англ. Trusted Computer System Evaluation Criteria … Википедия

Инструкция администратора по информационной безопасности

Инструкция администратора безопасности ИСПДн определяет должностные обязанности администратора безопасности ИСПДн.

Инструкция администратора безопасности ИСПДн разрабатывается на основании действующих нормативных документов по защите персональных данных.

  • быть утверждена руководителем подразделения ответственного за обеспечение режима безопасности или специально уполномоченным сотрудником;
  • содержать данные о лице, которому непосредственно подчиняется администратор безопасности ИСПДн.
  • в случае уточнения обязанностей администратора безопасности ИСПДн, вследствие специфических особенностей учреждения, в инструкцию должны быть внесены соответствующие изменения.

Администратор безопасности информации назначается из числа сотрудников оператора и обеспечивает правильное использование и функционирование установленных средств защиты информации от несанкционированного доступа.

Инструкция администратора безопасности ИСПДн обычно состоит из 3 разделов: основные функции, права и обязанности администратора безопасности информационной системы персональных данных.

К должностным обязанностям администратора безопасности ИСПДн относят:

Обеспечивать правильное функционирование и поддерживать работоспособность средств и средств защиты информации от несанкционированного доступа;

В случае отказа средств защиты информации от несанкционированного доступа принимать меры по их восстановлению;

Проводить инструктаж пользователей по правилам работы на ПЭВМ, с установленными средствами защиты информации от несанкционированного доступа;

Немедленно докладывать (по подчиненности) ответственному за эксплуатацию ИСПДн, руководителю оператора или лицу, исполняющему его обязанности, о фактах и попытках несанкционированного доступа к персональным данным, о неправомерных действиях пользователей или иных лиц, приводящих к нарушению требований по защите информации, а также об иных нарушениях требований информационной безопасности ИСПДн.

Вносить изменения в документацию ИСПДн в соответствии с требованиями нормативных документов в части, касающейся средств защиты информации от несанкционированного доступа;

Это интересно:  Приказ 68 от 21121994

Проводить работу по выявлению возможных каналов утечки конфиденциальной информации, вести их учёт и принимать меры к их устранению;

Осуществлять не реже одного раза в неделю обновление антивирусных баз на ПЭВМ в ИСПДн;

Контролировать целостность (неизменность, сохранность) программного обеспечения, разрешительной системы доступа, а при обнаружении фактов изменения проверяемых параметров немедленно докладывать по подчинённости;

Вводить полномочия работников в разрешительную систему доступа, обеспечивать их своевременную корректировку;

Регистрировать факты выдачи внешних носителей в журнале учета выдачи внешних носителей.

Требовать от пользователей прекращения обработки информации ИСПДн при появлении информации о возможном проведении технической разведки в отношении ИСПДн.

Контролировать действия пользователей по правильности затирания информации на внешних накопителях информации т.д.

Обоснование наличия администратора безопасности ИСПДн

Уважаемые коллеги! Хочется услышать ваши мнения и, по возможности, ссылки на НМД по следующему вопросу.

Имеется организация — небольшой госорган, в котором требуется провести аттестацию нескольких ИСПДн — бухгалтерия и т.п., и АС (служебная тайна). ГИСами они не признаны, не суть какой там УЗ ПДн или класс АС.
У них в штате нет квалифицированных ИБшников (администратора безопасности) или компьютерщиков, по ИТ находятся на аутсорсинге сторонней организации.
Нужно обоснование для руководства госоргана со ссылкой на нормативные документы о необходимости введения такой должности в штат для обслуживания и администрирования ИСПДн или АС по конфиденциалке.
В РД Гостехкомиссии по АС необходимость администратора (службы ) безопасности появляется только для классов АС по ГТ (2А, 1В и выше).
По ПДн согласно ПП1119 (п.п.14-16) определено необходимость назначения должностного лица, ответственного за обеспечение безопасности ПДн, но = ли это администратору безопасности?
В приказе 17 ФСТЭК (п.18) есть понятие администрирование, но это для ГИС.
Вот и вопрос: чем всё-таки обосновать необходимость наличия такого специалиста в штате?

Dmitriy, Prominform | 53047
«А иметь своего администратора безопасности, или обратиться к лицензиату — вопрос для самостоятельного решения»

Про разделение функций системного администратора и администратора безопасности всё и так очевидно. Вопрос заключается в том, что в штате у этой организации нет ни того, ни другого.
Про привлечение лицензиата вроде всё правильно с формальной точки зрения, т.е. если в штате организации нет своего администратора безопасности, то нужно пользоваться услугами стороннего лицензиата. Но тогда возникает ещё один вопрос — какой лицензируемый вид деятельности по ТЗКИ согласно ПП № 79 подпадает под понятие администрирование СЗИ НСД? Из перечисленных в п.4 этого Положения о лицензировании что-то сложно привязать к данному виду деятельности, так как в этих пунктах нет ключевого слова — «настройка» СЗИ НСД

Для Игоря
» нет ключевого слова — «настройка» СЗИ НСД»
цеплятся к словаи не надо Дмитрий же написал уже
е) установка, . программных (программно-технических) средств защиты информации, . = «настройка» СЗИ НСД».
Настройка СЗИ НСД — это сленг а не термин!

Для Дмитрия
«Администратор — тип руководителя, который способен выявить место сбоя в работе и принять необходимые меры для его устранения.»
А можно узнать откуда такое «пояснение»!? Пункт и название и как это относится к «администратору безопасности информации»?

«Раз вы не знаете чем должен заниматься администратор безопасности, то поясняю»
А еще пункты НМД где написано «администратор безопасности должен. «

> «цеплятся к словаи не надо Дмитрий же написал уже
> е) установка, . программных (программно-технических) средств защиты информации, . = > «настройка» СЗИ НСД».
> Настройка СЗИ НСД — это сленг а не термин!»

sekira, исходная задача доказать плановикам, кадровикам и финансистам, которые визируют решения о договорах и штатных единицах. Их «сверхзадача» — экономия средств, поэтому, без однозначных НМД, ни аттестация, ни оснащение, ни штатная единица в планы финансирования не включаются.
Прошу прощения за повтор тривиальных истин!
Установка — процесс (по договору и пр.) однократный; эксплуатация, контроль и администрирование — постоянный. При отсутствии ведомственных приказов и разъяснений, судя по моему опыту и качеству ответов, задача обоснования корректного решения не имеет.

Для формального выполнения, задачи возлагают «на кого попало» от завхоза до секретаря и бухгалтера.

«sekira, исходная задача доказать плановикам, кадровикам и финансистам, которые визируют решения о договорах и штатных единицах.»

Дак я об этом и говорю. Обосновать нечем! Нет требований в НМД наличия именно» должности в штат для обслуживания и администрирования ИСПДн или АС по конфиденциалке».
«Ответственный за обеспечение безопасности ПДн» не обязан по НМД проводить настройку и установку СЗИ.

Не человека на которого это повесили а именно должности — штатной единицы.
Это уже структура организации и требования вышестоящих организаций.

Dmitriy, Prominform | 53098

Ликбез по поводу функций администратора безопасности и требований к ИС можно было не проводить. Все это прекрасно представляют и к чему Вы привели все эти пункты непонятно. Вопрос состоял совершенно в другом — обоснование со ссылками на НМД наличия в штате данной должности.
Sekira дал исчерпывающий ответ и обсуждать более нечего

«Аттестация ИСПДн осуществляется по приказу ФСТЭК от 11.02.2013г. №17»
Это где такое написано?

«оценка соответствия выполняется по приказу ФСТЭК от 18.02.2013г. № 21»
И здесь поподробнее!? Номер пункта НМД и название где такое написано!?

«Зачастую не смотря на наличие ЭВМ обработка происходит без средств автоматизации»
ФЗ 152 ст. 3 4) автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;
В топку ППр !!

«Администратор защиты (Security administrator)»
Администратор информационной безопасности.

«Чем занимается администратор по безопасности?»
Где написано чем он должен (обязан!) заниматься. Остальное ИМХО.

С учетом написанного выше .

3. Квалификационные характеристики могут применяться в качестве нормативных документов или служить основой для разработки должностных инструкций, содержащих конкретный перечень должностных обязанностей работников с учетом особенностей организации производства, труда и управления, а также их прав и ответственности. При необходимости должностные обязанности, включенные в квалификационную характеристику определенной должности, могут быть распределены между несколькими исполнителями.
При разработке должностных инструкций допускается уточнение перечня работ, которые свойственны соответствующей должности в конкретных организационно-технических условиях, и установление требований к необходимой специальной подготовке работников.
4. Квалификационная характеристика каждой должности имеет три раздела: «Должностные обязанности», «Должен знать», «Требования к квалификации».
В разделе «Должностные обязанности» установлены основные трудовые функции, которые могут быть поручены полностью или частично работнику, занимающему данную должность, с учетом технологической однородности и взаимосвязанности работ, позволяющих обеспечить оптимальную специализацию служащих.»

То есть не должен !
А как решите при организации в своей организации (простите за каламбур. ))) . справочник вам в помощь.

«1. Читайте приказ ФСТЭК № 17 п.17 » Аттестация информационной системы и ввод её в действие». Если у вас система не государственная, но обрабатывает государственные информационные ресурсы, то аттестация по СТР-К (основание СТР-К п. 2.3). »
Приказ 17 для ИС ГИС не для ИСПДН!

«2. Читайте приказ №21. ФСТЭК п.6. Какие документы и как должны быть оформлены — читайте нормативные документы ФСТЭК России, Роскомнадзора и ФСБ России.»
В приказе 21 и в «нормативные документы ФСТЭК России, Роскомнадзора и ФСБ России» ни слова о порядке проведения «оценки соответствия»!

«3.прочитайте определение кто такой Администратор защиты»
Прочитал а теперь кто такой «Администратор информационной безопасности» (автор темы про него спрашивал) и причем тут «администратор защиты» И как связаны РД НСД ФСТЭК и ИСПДн?

» Не поленитесь открыть постановление правительства № 687 от 15 сентября 2008 года и прочитать внимательно пункт 1 и пункт 2 этого действующего документа»

Не поленился прочитать выше.
В целях реализации Федерального закона «О персональных данных» Правительство Российской Федерации постановляет.
ФЗ первичен ППр его исполняет. Если правительство написало ахинею то в соответствии с неахинеей в ФЗ ахинею правительства я исполнять не обязан!

Это интересно:  Трудовой кодекс консультант плюс 2018

«По решению обладателя информации (заказчика) или оператора настоящие Требования могут применяться»
МОГУТ!! Я о чем и говорю. Но не должны! А вы написали должны!

«О том как проводится оценка эффективности»
Все перепутали «оценки соответствия» не «оценка эффективности».

Пр 21 п. 6. Оценка эффективности!! реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию.
И..
ФЗ 152 ст 18 п1 пп 4) осуществление внутреннего контроля и (или) аудита соответствия. обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;
cт 19 п. 1
3) применением прошедших в установленном порядке процедуру оценки соответствия. средств защиты информации;
4) оценкой эффективности . принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных.

Понятно почему вопрос теперь возник?

«Согласно терминологии Администратор безопасности и Администратор защиты одно и то-же.»
Это вы так решили? Где это закреплено? Смысл в том что нигде об этом я и говорю. Все решает оператор, требований иметь администратора защиты или администратора безопасности нет! Как и нет требований что он должен делать! Все решается оператором для каждого конкретного случая.

«Откройте и прочитайте ФЗ.152 (раз на него ссылаетесь) статью 4, пункты 3 и 4. »
Почитал. п. 3 не противоречит ст.3 п.п 4)
по п.4
Конвенция
о защите физических лиц при автоматизированной обработке персональных данных
(Страсбург, 28 января 1981 г.)
ст 2 п с. «автоматическая обработка» включает следующие операции, если они полностью или частично осуществляются с применением автоматизированных средств: накопление данных, проведение логических или/и арифметических операций с такими данными, их изменение, стирание, восстановление или распространение;
Где противоречия с ст.3 п.п 4)?
Так что ППр с ахинеей опять идет лесом ФЗ первичен!

«А, простите, на основании каких документов и методик вы будете оценивать выполнение требований к системе защиты от несанкционированного доступа? «

Все смешалось люди кони.
Для ИСПДн ФЗ 152, ППр 1119, Приказ 21 — в них требования к защите НСД.
РД НСД АС ФСТЭК никоим образом не касается ИСПДН!!
Хотите как оператор что бы касалось пожалуйста но НЕОБЯЗАНЫ!

«а методики оценки соответствия берутся согласно СТР-К »
Да где такое написано?
СТР-К — методичка для оператора ИСПДн которую он может почитать надосуге. Выполнять ее он не обязан!
Еще раз не «оценки соответстия» а оценки эффективности принимаемых мер по обеспечению безопасности персональных данных.

«Создаваемая система защиты должна соответствовать действующим ГОСТам и требованиям, предъявляемым регуляторами.»
ГОСТам нет читайте ФЗ «О техническом регулировании».
Требованиям регуляторов да если есть требования в ФЗ или ППр выполнять требования регуляторов. В ФЗ 152 и ППр 1119 есть отсыл к Приказу 21.
И все ни к РД ни к СТР-К отсыла нет!

Прошу прощения, что вмешиваюсь в ваше бурное обсуждение, но хотелось бы внести дополнение к написанному Sekira.

«а методики оценки соответствия берутся согласно СТР-К «

Оценка соответствия может быть проведена в форме аттестации (для ИСПДн, не являющейся ГИС — не обязательно). В СТР-К нет МЕТОДИК оценки соответствия требований к системе защиты от несанкционированного доступа. Таких официальных методик по НСД вообще нет, за исключением приведенных в ГОСТ РО 0043-004-2013 при проведении аттестации. Но все приложения в этом ГОСТе с методиками аттестационных испытаний, в т.ч. по НСД, являются рекомендуемыми

Дмитрий
В том то и дело, что «с применением автоматизированных средств: . «.
«А когда все эти действия выполняются пользователем (сотрудником) самостоятельно, в ручном режиме. »
Это вы сами придумали? В ФЗ и Конвенции такого нет!

Еще раз ФЗ
ст 3 4) автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;

Есть СВТ автоматизированная — нет СВТ неавтоматизированная

Все остальное додумки трактовки и искажения фактов совместно с ахенеей ППр так и не исправленной.

«С ИСПДн такая же ситуация. Требования есть. Но отдельно для ПДн методик оценки не существует. По этому в связи с тем, что ПДн являются разновидностью конфиденциальной информации, используются методики оценки защищенности применяемые к системе защиты конфиденциальной информации».
Сколько можно подменять действительность своими додумками! Такого нет в НМД — это все придумали вы сами!
Кто вам сказал что должны быть для любой ИСПДн «методики оценки защищенности» . Они создаются для каждой ИСПД при ее аттестации на соответствие требованиям!

«методики оценки защищенности применяемые к системе защиты конфиденциальной информации.»
Ссылку на данное «НМД» в студию пожалуйста. Название дата?

«Эти методики (в том числе «Сборник руководящих документов по защите информации от несанкционированного доступа» Гостехкомиссия Россия, 1998г.).(приложение 1 к СТР-К) для «иных» информационных систем рекомендуемые документы. Не хотите использовать их — разработайте свои, но отвечающие требованиям действующих документов, в том числе и ГОСТ Р 50739-95 «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования» и других документов. Заявление «всё хорошо, потому что мы так решили» при проверке роскомнадзором оператора не проходит.»

Опять все в кучу!!
РД НСД АС ФСТЭК и СТР-К, ГОСТ Р 50739-95 — это ТРЕБОВАНИЯ .
Не методики!

«Заявление «всё хорошо, потому что мы так решили» при проверке роскомнадзором оператора не проходит.»
А это фраза куда !? В доказательство чего? Никто и не собирается так заявлять.
Будьте добры выполнить в соответствии сНМД :
Пр 21 п. 6.
ФЗ 152 ст 18 п1 пп 4)
cт 19 п. 1 4)
ППр 1119 п. 17
В форме аттестации за неимением в НМД четкой альтернативы.

«Если у вас компьютер используется как печатная машинка с памятью, а вы хотите защищать её как автоматизированную систему, это ваше право.»

Это вообще куда сейчас было сказано?
Защищать как ИСПДн!! Не АС! Я обязан это делать в соотвествии с ФЗ 152 18, 19 статья.
Ну и конечно все средства которые я буду использовать как СЗИ я буду использовать сертифицированные.

«Замечательно. Вы являетесь органом по аттестации? У вас есть соответствующая лицензия? По каким документам и методикам будете проводить аттестацию?»

Чтобы проводить аттестацию ИСПДн, не нужно быть органом по аттестации. Достаточно иметь лицензию по ТЗКИ. У нас такая есть.

Не обязательно быть органом по аттестации чтобы проводить аттестацию ИСПД по требованиям безопасности. Достаточно быть лицензиатом по ТКЗИ и иметь пунк в лицензии позволяющий проводить аттестацию.

Да мы уже 10 лет орган по аттестации и имем лицензии по ГТ и ТКЗИ ( это так к слову).

По требованиям ФЗ, ППр, пр 21 с учетом принятого уровня защищенности ИСПДн и принятой Модели угроз для данной ИСПДн.
По методикам согласованным с заказчиком для конкретной ИСПДн.

НМД регламентирующих процесс аттестации ИСПДн нет!

Обычно в ИСПДн входит:
автоматизированная система,
бумажный архив,
вспомогательное оборудование.
Автоматизированная система состоит из:
— аппаратная часть
— программная часть
— вспомогательное оборудование.

а далее модель угроз, классификация, определение типа обработки данных (Автоматизированный, смешанный или без средств автоматизации), требования к СЗ, и т.д.
в ФЗ152 есть определение «Автоматизированная обработка» (ст.3 п.4), а по вопросам обработки информации без использования средств автоматизации этот закон (в ст..4 п.4) отправляет нас к подзаконным актам, вышедшим на основании ФЗ152. Таким является ПП687. Он действует и дает определение обработки информации без использования средств автоматизации. Как вы будете строить систему защиты — учить вас не стану. СЗ ИСПДн, которые построили мы прошли проверку Роскомнадзора.

Это интересно:  Нарушение мирового соглашения ответственность

«СЗ ИСПДн, которые построили мы прошли проверку Роскомнадзора»

Роскомнадзор и ФСТЭК — это две большие разницы. Роскомнадзор не «лезет» в техническую сторону защиты ПДн. Их компетенция — «бумажная» по соблюдению прав субъектов ПДн, а не техническая защита информации. Поэтому — это не аргумент.

«А теперь читайте «Положение по аттестации объектов информатизации по требованиям безопасности информации» п.1.8.»

Само понятие «орган по аттестации» существует и аккредитуется только для аттестации по ГТ. Плохо знаете нормативную базу.
Почитайте ГОСТ РО 0043-003-2012 (п.4.4).

«На сколько понял по состоятельности ПП687 вопросов нет?»

Что касается ПП687, то оно относится к той самой «бумажной» защите, правилам хранения носителей с ПДн и т.п.
В вашем споре с Sekira я тоже придерживаюсь позиции, что любая обработка ПДн с применением СВТ (независимо от технологии этой обработки) — это автоматизированная обработка и ПП687 к ней не имеет отношения

«Обычно в ИСПДн входит: автоматизированная система, бумажный архив, вспомогательное оборудование. Автоматизированная система состоит из: — аппаратная часть — программная часть — вспомогательное оборудование.»
Откуда это? Самодеятельность?
ФЗ 152 ст3. 10) информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
Где тут АС, архив и т.д.
ГОСТ 34.003-90 содержит следующее определение автоматизированной системы: система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.

«а далее модель угроз, классификация, определение типа обработки данных . »
Какая классификация? Уровни защищенности не КЛАССЫ!
ФЗ 152 с 19 п 2 2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

(Автоматизированный, смешанный или без средств автоматизации), требования к СЗ, и т.д. -»
Откуда ЭТО. какой смешанный?

«СЗ ИСПДн, которые построили мы прошли проверку Роскомнадзора. »
ст. 19 9. Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, и федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, решением Правительства Российской Федерации с учетом значимости и содержания обрабатываемых персональных данных могут быть наделены полномочиями по контролю за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при их обработке в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности и не являющихся государственными информационными системами персональных данных, без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

Статья 23. Уполномоченный орган по защите прав субъектов персональных данных
п. 5.1) направлять в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, и федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, применительно к сфере их деятельности, сведения, указанные в пункте 7 части 3 статьи 22 настоящего Федерального закона;

«А теперь читайте «Положение по аттестации объектов информатизации по требованиям безопасности информации» п.1.8. А то что выполняется вами только на основании лицензии на ТЗИ — это «оценка соответствия» —

ППр от 3 февраля 2012 г. N 79
1. Настоящее Положение определяет порядок лицензирования деятельности по технической защите конфиденциальной информации (не содержащей сведения, составляющие государственную тайну, но защищаемой в соответствии с законодательством Российской Федерации), осуществляемой юридическими лицами и индивидуальными предпринимателями.
4. При осуществлении деятельности по технической защите конфиденциальной информации лицензированию подлежат следующие виды работ и услуг:
г) аттестационные испытания и аттестация на соответствие требованиям по защите информации:
средств и систем информатизацИ еще последнюю строчку своего аттестата органа по аттестации прочитайте.
И откуда все таки взялисьслова «ОЦЕНКА СООТВЕТСВИЯ» ИСПДн. Для меня загадка.

Требования к администратору безопасности

Группа компаний «Эшелон» представляет обновленную систему управления событиями информационной безопасности КОМРАД. Новая версия SIEM-системы поддерживает возможность масштабирования и включает ряд новых возможностей.

Я по своей теме:
Это РС БР ИББС-2.3-2010:
6.1.6. Обязанности по администрированию средств защиты и механизмов защиты, реа!
лизующих требования по обеспечению ИБ ИСПДн организации БС РФ, возлагаются приказами
(распоряжениями) на администраторов информационной безопасности ИСПДн.
6.1.7. Порядок действий администратора информационной безопасности ИСПДн и пер!
сонала, занятых в процессе обработки персональных данных, должен быть определен инструк!
циями (руководствами), которые готовятся разработчиком ИСПДн в составе эксплуатационной
документации на ИСПДн.

Ну а вообще требований думаю нигде нет, может быть только будет в СТР-К.

На сколько я понимаю — Определили мы перечень Автоматизированных банковских систем (АБС) в рамках которых обрабатываются ПДн, далее выделили те, которые реализуют банковские инф.тех процессы и те, которые платежные. Соответственно сделали вывод о необходимости классификации АБС как ИСПДн. Описали технололигеский процесс — +- и классифицировали ИСПДн (разработали ИСПДн). Далее необходимо написать инструкции для пользователей и для администраторов, которые будут ими руководствоваться в своей работе.
Причем при использовании СЗИ, работники и должны быть ознакомлены с эксплуатационной а администраторы еще и с технической документацией на СЗИ.

Мне кажется здесь имеется ввиду это.

Как я понимаю, назначить Администратором ИБ или возложить обязоности можно на любого сотрудника организации. Только будет ли он данные функции выполнять без соответствующего обучения. . Так для галочки можно и уборщицу назначить Администратором ИБ.

Требований в дипломе или сертификате, у данного специалиста не требуется. во всяком случае не встречал такого.

Кто вам мешает написать в приказе «Назначить администратором безопасности ИСПДн программиста Иванова Антона Петровича с 01 мая 2013 года.
Администратору безопасности в своей работе руководствоваться инструкцией администратора безопасности, утвержденной от 01 мая 2013 года.»
И всё.
Это фактически не будет должностью. Не надо менять штатное расписание и в трудовой менять ничего не надо.
В каждой организации есть приказ (должен быть, конечно) о назначении ответственного за организацию обработки ПДн примерно такой же формы?
А должности «ответственного за организацию обработки» я еще ни разу не видел.

Если хотите, понимайте это как функциональные обязанности, а не как должностные.

Об утверждении Инструкции по регламентации работы администратора информационной безопасности по обеспечению защиты информации в автоматизированных информационных системах

Об утверждении Инструкции по регламентации работы администратора информационной безопасности по обеспечению защиты информации в автоматизированных информационных системах

Распоряжение территориального управления Выборгского административного района Санкт-Петербурга

Территориальное управление Выборгского административного района Санкт-Петербурга

Инструкция администратора безопасности

Настоящий документ устанавливает обязанности, права и ответственность администратора безопасности информационных систем персональных данных. Данное лицо организует техническую и организационную защиту персональных данных, участвует в определении уровней защищенности персональных данных, разрабатывает систему защиты персональных данных и при должной квалификации настраивает средства защиты.

Выполняемые требования законодательства

— ч.5 «Методики определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» (ФСТЭК)
— ч.3 Постановления Правительства №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»

Как еще называют этот документ?

— Инструкция администратора безопасности персональных данных
— Инструкция администратора безопасности
— Инструкция администратора безопасности информационных систем персональных данных