Конференция по вопросам информационной безопасности Суббота, 23.09.2017, 23:09
| Forum RSS
Меню сайта

Скачать

Поиск

[ Новые сообщения · Участники · Правила форума · Поиск · Forum RSS ]
Страница 1 из 11
Модератор форума: Kostik, anvolkov 
Форум » Персональные данные » Общие вопросы » Про обязанности админа (Защита ПДн входит в его обязанности и при каких условиях?)
Про обязанности админа
kent (Александр)Дата: Среда, 24.11.2010, 17:52 | Сообщение # 1
Рядовой
Группа: Пользователи
Сообщений: 2
Репутация: 0
Статус: Offline
Вопрос прост, уже задан в заголовке, я числюсь программистом , делаю всю ИТ работу в поликлинике, документы по защите ПДн составил все сам, у нас 1 класс ИСПДн, делал я из понимания начальства ,т.к. больше некому и без доп. оплаты, от доброты моей душевной. Но сейчас пришла новая Зам. у гл. врача, с которой обговаривали все вопросы защиты, а новая Зам не в курсе всего, решила что это мое дело и начала нагло требовать того, за что я не получаю ни копейки дополнительно, взяла и переписала мою должностную включив это дело и туда, отдала мне ознакомиться и для дальнейшего утверждения. Я хочу уточнить, а должен ли я соглашаться на это? Какие условия необходимо соблюдать, чтобы сотрудника обязать на выполнению всей работы по защите ПДн. Только не пишите - "не нравится - увольняйтесь", мне нужны адекватные ответы как требует закон. Если даже я обязан этим заниматься, то буду просить надбавку за совместительство инженера по защите информации, но получать одну и ту же сумму и увеличивать нагрузку я не намерен. У меня высшее тех. образование без уклона защиты информации, повышения по этому напрвлению я не проходил.
 
Kostik (Иванов Константин)Дата: Пятница, 26.11.2010, 08:58 | Сообщение # 2
Генералиссимус
Группа: Администраторы
Сообщений: 130
Репутация: 104
Статус: Offline
Точка зрения Заместителя ясна - Вы являетесь наиболее компетентным сотрудником в организации по вопросам информационного взаимодействия внутри Вашей организации, плюс т.к. Вы занимались ПДн, то и в сфере ПДн. Назначить ответственное лицо необходимо (согласно 781 п.п.) вот и назначают Вас.

Но если посмотрим все на то же 781 п.п., то там написано:

"10. Безопасность персональных данных при их обработке в информационной системе
обеспечивает оператор или лицо, которому на основании договора оператор поручает обработку
персональных данных (далее - уполномоченное лицо). Существенным условием договора
является обязанность уполномоченного лица обеспечить конфиденциальность персональных
данных и безопасность персональных данных при их обработке в информационной системе."

т.е. как минимум тут только должностной инструкцией не обойдется, а вот при подписании договора, т.к. это дополнительное соглашение Вы вправе требовать надбавку, т.к. любой труд согласно действующему трудовому законодательству должен быть оплачен.
Смотрим трудовой кодекс:
"Статья 72.1. Перевод на другую работу. Перемещение
Перевод на другую работу - постоянное или временное изменение трудовой функции работника и (или) структурного подразделения, в котором работает работник (если структурное подразделение было указано в трудовом договоре), при продолжении работы у того же работодателя, а также перевод на работу в другую местность вместе с работодателем. Перевод на другую работу допускается только с письменного согласия работника, за исключением случаев, предусмотренных частями второй и третьей статьи 72.2 настоящего Кодекса.
...
Статья 72.2. Временный перевод на другую работу
...
При переводах, осуществляемых в случаях, предусмотренных частями второй и третьей настоящей статьи, оплата труда работника производится по выполняемой работе, но не ниже среднего заработка по прежней работе."

Так что дерзайте. Рекомендую прочитать и другие статьи ТК, которые могут быть связаны. Только не сильно давите на работодателя - Вам же с ним работать еще:)

Плюс ко всему, все то же 781 п.п. гласит:

"12. Мероприятия по обеспечению безопасности персональных данных при их обработке в
информационных системах включают в себя:
...
д) обучение лиц, использующих средства защиты информации, применяемые в
информационных системах, правилам работы с ними;
..."

Т.е. Вы вправе требовать курсы повышения квалификации, для того чтобы выполнить требования постановления, адекватно оценить уровень информационной безопасности организации и минимизировать затраты на внедряемую систему защиты персональных данных.

 
anvolkov (Алексей Волков)Дата: Пятница, 26.11.2010, 15:16 | Сообщение # 3
Генерал-майор
Группа: Модераторы
Сообщений: 143
Репутация: 102
Статус: Offline
Вы должны быть ознакомлены с должностной инструкцией под роспись после изменения функционала, если вы не согласны - можете ее не подписывать и соответственно не делать то, чего не хотите. Если Вас накажут (уволят) за неисполнение обязанностей - обращайтесь в профсоюз, в комиссию по трудовым спорам, если такая есть, или в суд с иском о неправомерном наложении взыскания (увольнения).
 
Andrey_cm (Андрей)Дата: Пятница, 26.11.2010, 15:46 | Сообщение # 4
Лейтенант
Группа: Пользователи
Сообщений: 47
Репутация: 18
Статус: Offline
Тут скорее вопрос по трудовому кодексу, но из ЗИ тоже можно полезное получить.

Положение 93. Положение о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам (утверждено Постановлением Совета Министров Российской Федерации от 15.09.1993 № 912-51). Положение носит гриф Секретно, но урезанную версию можно без проблем найти в интернете.

Статья 18. Организация работ по защите информации на предприятиях осуществляется их руководителями.
В зависимости от объема работ по защите информации руководителем предприятия создается структурное подразделение по защите информации либо назначаются штатные специалисты по этим вопросам (например Администратор информационной безопасности).
Подразделения по защите информации (штатные специалисты) на предприятиях:
- осуществляют мероприятия по защите информации в ходе выполнения работ с использованием сведений, отнесенных к государственной или служебной тайне;
- определяют совместно с заказчиком работ основные направления комплексной защиты информации;
- участвуют в согласовании технических (тактико-технических) заданий на проведение таких работ;
- дают заключение о возможности проведения работ с информацией, содержащей сведения, отнесенные к государственной или служебной тайне.
Указанные подразделения (штатные специалисты) подчиняются непосредственно руководителю предприятия или его заместителю. Работники этих подразделений (штатные специалисты) приравниваются по оплате труда к соответствующим категориям работников основных структурных подразделений.
Для проведения работ по защите информации могут привлекаться на договорной основе специализированные предприятия, имеющие лицензии на право проведения работ в области защиты информации.

Я думаю понятны основные пункты, Ответственный - руководитель., и тут гооврится чисто о штатных специалистах.

Есть конечно у нас приказ 58
ст. 1.3 приказа ФСТЭК России от 19.02.2010 № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных») :
Для выбора и реализации методов и способов защиты информации в информационной системе оператором или уполномоченным лицом может назначаться структурное подразделение или должностное лицо (работник), ответственные за обеспечение безопасности персональных данных.

Как я понимаю, то по 58 приказу может также назначаться внештатный специалист, т.е. Вы как админ, можете быть внештатным спецом по ЗИ.

PS Честно скажу, не знаю, права она или нет. Но руководствоваться нужно тем, что я описал. Плюс трудовое законодательство.

Добавлено (26.11.2010, 15:46)
---------------------------------------------
Да забыл сказать, что во вступлении Положения 93 написано
Настоящее Положение является документом, обязательным для выполнения при проведении работ по защите информации, содержащей сведения, составляющие государственную или служебную тайну, в органах (аппаратах, администрациях) представительной, исполнительной и судебной властей Российской Федерации, республик в составе Российской Федерации, автономной области, автономных округов, краев, областей, городов Москвы и Санкт-Петербурга и в органах местного самоуправления (далее именуются – органы государственной власти), на предприятиях и в их объединениях, учреждениях и организациях независимо от их организационно-правовой формы и формы собственности (далее именуются – предприятия).

Гос тайна и ДСП. Проблема этого документа в том, что он написан в 93м году, и пока есть спор, кто ответственный за его переработку, мы считаем что под ДСП понимается любая защищаемая законом информация конфиденциального характера. Если вы вспомните, то указ президента о перечне сведений конфиденциального характера был подписан 6 марта 1997 года.

Сообщение отредактировал Andrey_cm - Пятница, 26.11.2010, 20:22
 
kent (Александр)Дата: Пятница, 26.11.2010, 23:31 | Сообщение # 5
Рядовой
Группа: Пользователи
Сообщений: 2
Репутация: 0
Статус: Offline
Константин привел неплохой документ, я его не встречал
Так вот ,в нем написано:

Безопасность персональных данных при их обработке в информационной системе
обеспечивает оператор или лицо, которому на основании договора оператор поручает обработку
персональных данных (далее - уполномоченное лицо).

Вопрос - если перевести на русский язык, это уп. лицо кто: Зам., Гл.врач, т.к. она в свою очередь подчиняется фонду обяз.мед. страхования или это уже Я ?

Этот вопрос возник из след. фраз этого постановления:

Для разработки и осуществления мероприятий по обеспечению безопасности
персональных данных при их обработке в информационной системе оператором или
уполномоченным лицом может назначаться структурное подразделение или должностное лицо
(работник),
(ТО ЕСТЬ Я) ответственные за обеспечение безопасности персональных данных.

и след. фраза, далее по тексту:

Содержание электронного журнала
обращений периодически проверяется соответствующими должностными лицами (работниками)
оператора или уполномоченного лица.

Так конкретно у кого в договоре должен быть пункт по защите ПДн? Может быть так, что Зам. имеет этот пункт и получает доплату (условно говоря), а она просто как бы озадачила меня и контролирует защиту вписавмне это в обязанности?

Добавлено (26.11.2010, 23:31)
---------------------------------------------
так что вопрос еще пока открыт, т.к. я и раньше, когда работал в ГУВД гл. специалистом и там каждый месяц из москвы присылали нормативные документы и приказы ,которыми и пополнялась моя должностная инструкция, совсем не спрашивали меня о моем желании эти приказы туда вносить (о новых мероприятиях, производимые ежемесячно, еженедельно или ежедневно). Но там дело ясное, погоны и прочие дела лишающие работников всякого права на голос..

Сообщение отредактировал kent - Пятница, 26.11.2010, 23:32
 
Форум » Персональные данные » Общие вопросы » Про обязанности админа (Защита ПДн входит в его обязанности и при каких условиях?)
Страница 1 из 11
Поиск:

Copyright Ivanov Konstantin © 2017Используются технологии uCoz