Обязателен ли приказ о назначении администратора информационной системы?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Да, назначение администратора информационной системы (ИС), в которой обрабатываются персональные данные, является обязательной организационной мерой. Закон прямо не использует термин "приказ о назначении администратора", но требования ФЗ-152 и Постановления Правительства № 1119 обязывают оператора закреплять распределение полномочий и ответственности за безопасность ПДн документально.

Администратор ИС отвечает за техническое сопровождение, настройку прав доступа, установку средств защиты информации, контроль за работой системы и устранение сбоев. Для подтверждения выполнения требований закона эти функции должны быть возложены на конкретное лицо официальным приказом руководителя организации.

Обоснование по законодательству

• Ст. 18.1 ФЗ-152 — оператор обязан назначить лиц, ответственных за организацию обработки и защиту ПДн.
• Ст. 19 ФЗ-152 — оператор должен принимать организационные и технические меры для защиты ПДн.
• Постановление Правительства РФ № 1119, п. 2, пп. «б», «е» — требует разграничивать доступ пользователей к ИС и назначать ответственных за обеспечение безопасности ПДн.
• ГОСТ Р 57580.1-2017 и методические рекомендации ФСТЭК — предусматривают закрепление полномочий администраторов систем в организационно-распорядительных документах.

Практика проверок Роскомнадзора

На проверках Роскомнадзор и ФСТЭК нередко запрашивают приказы о назначении администраторов ИС и документы, подтверждающие разграничение доступа. В одной организации администрированием занимался фактически IT-специалист, но приказа не было. Проверка признала это нарушением организационных мер защиты. Там, где приказ оформлен и обязанности прописаны в должностной инструкции, претензий не возникало.

Что важно учитывать компаниям

• Приказ должен содержать: ФИО и должность сотрудника, обязанности по администрированию ИС, ответственность за выполнение требований безопасности ПДн.
• В крупных компаниях может быть несколько администраторов (по системам или направлениям), но ответственность всё равно фиксируется приказом.
• Обязанности администратора лучше дополнительно прописать в должностной инструкции и регламенте администрирования ИС.

Рекомендации и выводы

Да, приказ о назначении администратора информационной системы обязателен. Он фиксирует, кто отвечает за техническую защиту ПДн, и подтверждает выполнение требований ФЗ-152. Рекомендуем:

1. Издать приказ о назначении администратора ИС.
2. Закрепить его полномочия в должностной инструкции и внутреннем регламенте.
3. Обеспечить ведение журналов администрирования и контроля доступа.
4. Включить приказ в общий пакет документов по ПДн для предъявления при проверках.

Компания ICTech поможет вашей организации правильно оформить приказ о назначении администратора ИС, разработать должностные инструкции и регламенты, чтобы исключить риски претензий Роскомнадзора и ФСТЭК.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге