Документ предоставлен КонсультантПлюс
Ответ: Ответственный за информационную безопасность в организации назначается из числа работников посредством издания руководителем (иным уполномоченным лицом) соответствующего приказа.
Перечень устанавливаемых должностных обязанностей определяется в отдельно издаваемой должностной инструкции ответственного лица.
После ознакомления назначенного ответственного лица с вышеуказанными локальными актами он считается назначенным ответственным за данное направление деятельности.
Обоснование: В соответствии с ч. 1 ст. 8 ТК РФ работодатели, за исключением работодателей — физических лиц, не являющихся индивидуальными предпринимателями, принимают локальные нормативные акты, содержащие нормы трудового права, в пределах своей компетенции в соответствии с трудовым законодательством и иными нормативными правовыми актами, содержащими нормы трудового права, коллективными договорами, соглашениями.
Согласно абз. 5 и 7 ч. 1 ст. 22 ТК РФ работодатель имеет право требовать от работников исполнения ими трудовых обязанностей, соблюдения правил внутреннего трудового распорядка, требований охраны труда, а также принимать локальные нормативные акты (за исключением работодателей — физических лиц, не являющихся индивидуальными предпринимателями).
Таким образом, назначение ответственного за информационную безопасность как возложение дополнительных обязанностей осуществляется работодателем (иным уполномоченным лицом) посредством издания соответствующего приказа (о назначении лица, ответственного за информационную безопасность).
Конкретный перечень должностных обязанностей определяется в должностной инструкции ответственного лица, издаваемой отдельно.
С вышеуказанными документами работодатель должен ознакомить назначенного работника.
В соответствии с п. п. 14 — 16 Требований к защите персональных данных при их обработке в информационных системах персональных данных, утв. Постановлением Правительства РФ от 01.11.2012 N 1119, назначение должностного лица (работника), ответственного за обеспечение безопасности персональных данных в информационной системе (информационную безопасность), необходимо только при обеспечении 1-го, 2-го и 3-го уровней защищенности, а также в компаниях — субъектах критической инфраструктуры и системообразующих организациях.
Постановлением Правительства РФ от 15.07.2022 N 1272 утверждены Типовое положение о заместителе руководителя органа (организации), ответственном за обеспечение информационной безопасности в органе (организации), и Типовое положение о структурном подразделении в органе (организации), обеспечивающем информационную безопасность органа (организации), которое определяет полномочия, права и обязанности заместителя руководителя федерального органа исполнительной власти, высшего исполнительного органа субъекта РФ, государственного фонда, государственной корпорации (компании) и иной организации, созданной на основании федерального закона, стратегического предприятия, стратегического акционерного общества и системообразующей организации российской экономики, юридического лица, являющегося субъектом критической информационной инфраструктуры РФ, ответственного за обеспечение информационной безопасности в органе (организации), в том числе за обнаружение, предупреждение и ликвидацию последствий компьютерных атак, и реагирование на компьютерные инциденты (п. 1).
Е.И. Зайцев
Прокуратура Советского района г. Брянска
Документ в СПС КонсультантПлюс: «Как назначить ответственного за информационную безопасность в организации?»
