Добавить в корзинуПозвонить
Найти в Дзене
Синтез закона и технологий
25 подписчиков

Кто в ответе? Люди, отделы и их полномочия

4
5 мин
В предыдущей статье мы разобрали, с чего начать: назначить ответственного, выделить ресурсы и разработать Политику защиты информации. Теперь — о том, кого именно назначать, в каком статусе и с какими полномочиями. Здесь есть два возможных сценария. Всё зависит от типа вашей организации. Мы уже упоминали Указ Президента №250 от 01.05.2022 в прошлой статье. Если ваша организация относится к федеральным органам власти, государственным корпорациям, стратегическим предприятиям или субъектам КИИ, то для вас действует Постановление Правительства №1272 от 15.07.2022. Этот документ утвердил типовое положение о заместителе руководителя, ответственном за обеспечение информационной безопасности. Что это значит на практике: Кроме того, этим же постановлением утверждено типовое положение о структурном подразделении, обеспечивающем информационную безопасность. То есть, если масштаб организации требует отдельного отдела (службы) по ИБ, вы можете создать его, руководствуясь этим шаблоном. Кстати, Поста
Оглавление

В предыдущей статье мы разобрали, с чего начать: назначить ответственного, выделить ресурсы и разработать Политику защиты информации. Теперь — о том, кого именно назначать, в каком статусе и с какими полномочиями.

Здесь есть два возможных сценария. Всё зависит от типа вашей организации.

Сценарий 1. Вы подпадаете под Указ №250

Мы уже упоминали Указ Президента №250 от 01.05.2022 в прошлой статье. Если ваша организация относится к федеральным органам власти, государственным корпорациям, стратегическим предприятиям или субъектам КИИ, то для вас действует Постановление Правительства №1272 от 15.07.2022.

Этот документ утвердил типовое положение о заместителе руководителя, ответственном за обеспечение информационной безопасности. Что это значит на практике:

  • Ответственным может быть только заместитель руководителя. Назначить рядового специалиста недостаточно — нужен именно заместитель.
  • Требования к квалификации — высшее образование (не ниже специалитета или магистратуры) по направлению информационной безопасности. Если у заместителя другое образование — он обязан пройти профессиональную переподготовку по направлению «Информационная безопасность».
  • Подчинение — непосредственно руководителю организации.
  • Полномочия закрепляются в должностном регламенте или инструкции. Типовое положение требует чётко описать обязанности, права и ответственность этого лица.

Кроме того, этим же постановлением утверждено типовое положение о структурном подразделении, обеспечивающем информационную безопасность. То есть, если масштаб организации требует отдельного отдела (службы) по ИБ, вы можете создать его, руководствуясь этим шаблоном.

Кстати, Постановление №1272 было принято во исполнение Указа Президента №250. Эти два документа работают в связке — сначала Указ, затем конкретизирующее его Постановление.

Сценарий 2. Вы не подпадаете под Указ №250

Для остальных государственных учреждений, ГУП и организаций действуют общие правила Приказа ФСТЭК №117 (пункты 17–24).

По пунктам 17–18 требований:

  • Либо руководитель назначает приказом ответственного за организацию защиты информации.
  • Либо руководитель становится ответственным сам.

Кого можно назначить:

  • штатного ИБ-специалиста (если есть);
  • системного администратора;
  • юриста, который разбирается в 152-ФЗ;
  • любого толкового сотрудника — главное, чтобы он понимал, что это не «галочка», а реальная работа.

Как оформить:

  • Издать приказ о назначении.
  • Внести обязанности в должностную инструкцию или трудовой договор.
  • Указать, что этот сотрудник организует, управляет и контролирует защиту информации.

Нужен ли отдельный отдел?

Пункт 19 требований №117 даёт три варианта:

  • создать «с нуля» новое подразделение по защите информации;
  • возложить эти обязанности на уже существующее структурное подразделение;
  • назначить отдельных специалистов.

Выбор за вами. Но если создаёте отдел — действуйте по Постановлению №1272 (даже если формально не подпадаете под Указ №250, типовое положение — хороший ориентир).

Важный нюанс про подрядчиков (MDR). Пункт 24 требований №117 разрешает привлекать сторонние организации (аутсорсинг) для проведения мероприятий по защите информации. Но:

  • У такой организации обязательно должна быть лицензия ФСТЭК на техническую защиту конфиденциальной информации.
  • Конкретные меры и объём работ определяет сама организация-заказчик.
  • Работники вашего отдела по защите информации обязаны участвовать в приёмке выполненных работ и услуг.

Квалификация специалистов — обязательное требование

Пункт 20 требований №117 устанавливает чёткое правило: не менее 30% работников структурного подразделения по защите информации должны иметь:

  • профильное образование в области информационной безопасности (по специальности или направлению подготовки), либо
  • пройти профессиональную переподготовку в области информационной безопасности.

Постановление №1272 для ответственного лица — заместителя руководителя — требует высшего образования (не ниже специалитета, магистратуры) по направлению ИБ. Если образование другое — обязательна переподготовка.

Кадровый вопрос — не формальность. Проверяющие будут проверять.

Какую численность отдела планировать?

ФСТЭК на конференции в феврале 2026 года представила проект типовых межотраслевых норм труда (разработан Минтрудом совместно с Минцифры, ФСТЭК и ФСБ). Ориентировочные трудозатраты в расчёте на одну организацию:

  • организация и контроль деятельности по защите информации — 60 человеко-часов в год
  • разработка Политики защиты информации — 120 человеко-часов
  • разработка внутренних стандартов — 120 человеко-часов
  • разработка внутренних регламентов — 80 человеко-часов
  • выделение ресурсов — 20 человеко-часов.

Это ориентиры, но они помогают понять масштаб работы. Один человек «по совместительству» может не справиться.

Роль остальных сотрудников

Пункты 21–22 требований №117 прямо обязывают всех пользователей ИС и IT-подразделения участвовать в защите информации:

  • Пользователи ИС обязаны соблюдать внутренние стандарты и регламенты, проходить обучение и тренировки.
  • IT-подразделения (эксплуатация, сопровождение, поставка комплектующих) — также обязаны проводить мероприятия по защите информации в рамках своей работы.

Это не только обязанность отдела безопасности. ИБ — задача всей организации.

Что по итогу делать завтра

Проверьте, подпадает ли ваша организация под Указ №250.

Да — готовьте приказ о назначении ответственным заместителя руководителя. Оформляйте это отдельным распорядительным документом. Если нужно — создавайте структурное подразделение по типовому положению.

Нет — назначайте ответственного из числа сотрудников приказом. Вносите обязанности в должностную инструкцию.

И для всех:

  • Оцените, справится ли один человек с объёмом работы (60+ часов в год только на организацию и контроль, плюс документы, плюс текучка). Если нет — закладывайте штатную единицу или отдел.
  • Планируйте бюджет на обучение или переподготовку, чтобы выполнить требование «30% с профильным образованием».

Подписывайтесь, чтобы не пропустить следующие статьи

В ближайших выпусках:

  • внутренние стандарты и регламенты: что писать, чтобы не ошибиться;
  • как определить класс защищённости вашей ИС за один вечер;
  • управление уязвимостями: жёсткие сроки и ответственность.

Если нужна помощь с оформлением документов или расчётом штатной численности — заходите на synlawtech.ru. Там же можно пройти экспресс-тест на готовность к проверкам (за 3 минуты) или заказать бесплатную консультацию.

Появились вопросы? Пишите в комментариях — разберём в следующих статьях.

Бизнес и финансы
1,13 млн интересуются