Федеральный закон от 26.07.2017 N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации"
8) субъекты критической информационной инфраструктуры - государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.
Федеральный закон от 26.07.2017 N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации"
1. Руководителям … юридических лиц, являющихся субъектами критической информационной инфраструктуры Российской Федерации (далее - органы (организации):
а) возложить на заместителя руководителя органа (организации) полномочия по обеспечению информационной безопасности органа (организации)…
2. Возложить на руководителей органов (организаций) персональную ответственность за обеспечение информационной безопасности соответствующих органов (организаций).
Постановление Правительства РФ от 15.07.2022 N 1272 "Об утверждении типового положения о заместителе руководителя органа (организации), ответственном за обеспечение информационной безопасности в органе (организации), и типового положения о структурном подразделении в органе (организации), обеспечивающем информационную безопасность органа (организации)"
1. Настоящее типовое положение определяет полномочия, права и обязанности заместителя руководителя … юридического лица, являющегося субъектом критической информационной инфраструктуры Российской Федерации (далее - орган (организация), ответственного за обеспечение информационной безопасности в органе (организации), в том числе за обнаружение, предупреждение и ликвидацию последствий компьютерных атак, и реагирование на компьютерные инциденты (далее - ответственное лицо).
I. Квалификационные требования к ответственному лицу
6. Ответственное лицо должно иметь высшее образование (не ниже уровня специалитета, магистратуры) по направлению обеспечения информационной безопасности. Если ответственное лицо имеет высшее образование по другому направлению подготовки (специальности), он должен пройти обучение по программе профессиональной переподготовки по направлению "Информационная безопасность".
4. Ответственное лицо входит в состав коллегиальных органов органа (организации).
Причем ответственным должен быть зам руководителя организации (зампред), что указано в Указе Президента №250 от 01 мая 2022 года «О дополнительных мерах по обеспечению информационной безопасности». Вроде хотели это упростить, что бы не зампред был ответственным, а специальное должностное лицо, но эта инициатива не прошла:
ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ ПИСЬМО от 9 сентября 2022 г. N 017-56/8543
По вопросу 2. В соответствии с подпунктом "а" пункта 1 Указа полномочия по обеспечению информационной безопасности, в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты, могут быть возложены только на заместителя руководителя субъекта КИИ. Таким образом, для выполнения требований подпункта "а" пункта 1 Указа недостаточно возложить полномочия по обеспечению информационной безопасности на ответственное лицо с прямым подчинением руководителю (единоличному исполнительному органу) субъекта КИИ.
Вопрос о том что это лицо еще должно входить в состав правления, на мой взгляд дискуссионный, поскольку это требование напрямую в Законе и Указе Президента №250 не прописано, а следует только из ПП №1272, который утверждает типовое положение об ответственном. Типовое положение по логике вещей можно менять и дополнять, сохраняя его основную суть и соблюдая требования нормативных актов. Соответственно по части обязательного вхождения ответственного за информационную безопасность в правление банка можно сделать запрос в ЦБ.
Вопрос о структурном подразделении, находящемся в ведении зам руководителя, который отвечает за информационную безопасность раскрыт в типовом положении об этом подразделении, которое тоже утверждено ПП №1272. Согласно нему:
3. Подразделение подчинено заместителю руководителя органа (организации), ответственному за обеспечение информационной безопасности в органе (организации), либо иным лицам из состава руководства органа (организации) при условии осуществления курирования со стороны руководителя органа (организации).
Вы можете получить краткую бесплатную юридическую консультацию прямо на страницах нашего сайта в Форуме, а так же обменяться своим мнением относительно обсуждаемых там вопросов. Услуга "Заказ звонка" - Вы можете оставить заявку на оказание юридической поддержки с кратким описанием Вашей проблемы, заполнив специальную форму в разделе "Контакты" и наш Дежурный консультант обязательно свяжется с Вами в ближайшее время. Так же Вы можете воспользоваться СМС-сервисом, отправив СМС на наш мобильный номер +7(916) 303-23-23.