Один голос — хорошо, а комиссия — надёжнее 

Назначение комиссии

Приказ и Положение о комиссии по защите информации (ФСТЭК №117)
Приказ о комиссии Положение о комиссии

📄 Приказ и Положение о постоянно действующей комиссии по вопросам защиты информации

Документы разработаны в соответствии с требованиями Приказа ФСТЭК России от 11 апреля 2025 г. № 117 и иных нормативных правовых актов Российской Федерации. Ниже представлены полные тексты приказа о создании комиссии и положения, регламентирующего её деятельность.

Пункт Приказа № 117Реализация в документах
п. 10, 12, 14Создание коллегиального органа (комиссии), назначение председателя из числа ответственных за организацию защиты информации
п. 13Участие комиссии в контроле обработки персональных данных
п. 18 (в целом)Контроль технических мер защиты, участие в испытаниях, оценке соответствия
п. 18.5Анализ угроз, выявление уязвимостей (акты комиссии)
п. 18.7Реагирование на инциденты информационной безопасности
п. 15Персональная ответственность членов комиссии
📌 Дисклеймер
Сайт носит информационный характер и не является официальным разъяснением уполномоченного органа. Документы представлены в виде шаблонов для использования в работе.

ПРИКАЗ

«____» _____________ 20___ г. № ________

О постоянно действующей комиссии по вопросам защиты информации

В соответствии с требованиями Федерального закона от 27 июля 2006 г. № 152‑ФЗ «О персональных данных», Федерального закона от 27 июля 2006 г. № 149‑ФЗ «Об информации, информационных технологиях и о защите информации», а также Приказа ФСТЭК России от 11 апреля 2025 г. № 117 «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений», в целях обеспечения защиты информации, в том числе персональных данных, от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации

ПРИКАЗЫВАЮ:

  1. Создать постоянно действующую комиссию по вопросам защиты информации (далее – комиссия) в следующем составе:
    Председатель комиссии: ответственный за организацию защиты информации (назначается отдельным приказом).
    Члены комиссии:
    • ответственный за защиту информации в информационных системах (администратор безопасности);
    • ответственный за обеспечение безопасности персональных данных;
    • ответственный за эксплуатацию СКЗИ (при наличии);
    • ответственный за техническое обслуживание информационных систем (администратор системы);
    • иные работники по решению руководителя Организации.
  2. Утвердить прилагаемое Положение о постоянно действующей комиссии по вопросам защиты информации (Приложение № 1 к настоящему приказу).
  3. Комиссии в своей деятельности руководствоваться утверждённым Положением и принимать участие в мероприятиях при создании, вводе в эксплуатацию и эксплуатации информационных систем и их подсистем информационной безопасности.
  4. Назначить ответственным за ознакомление с настоящим приказом и Положением ____________________ (должность, Ф.И.О.). Обеспечить доведение документов до всех заинтересованных лиц под роспись.
  5. Ответственность за исполнение настоящего приказа оставляю за собой.
  6. Контроль за исполнением настоящего приказа оставляю за собой.
Руководитель Организации ____________________ /____________________/

Лист ознакомления с приказом (оформляется отдельно по установленной форме)

Приложение № 1
к приказу от __________ № __________

ПОЛОЖЕНИЕ
о постоянно действующей комиссии по вопросам защиты информации

💡 Пояснение для специалиста Приказ ФСТЭК России от 11.04.2025 № 117 (п. 10, 12, 14) требует создания коллегиального органа для контроля за реализацией мер защиты информации. Постоянно действующая комиссия обеспечивает административный и технический надзор, участвует в классификации информационных систем, анализе угроз, реагировании на инциденты и оценке соответствия. В состав комиссии в приоритетном порядке включаются все ответственные лица в области защиты информации, а председателем назначается ответственный за организацию защиты информации. Комиссия оформляет свои решения протоколами (фиксируют процесс обсуждения) или актами (фиксируют результаты мероприятий). Оба документа подписываются всеми членами комиссии, присутствовавшими на заседании или участвовавшими в мероприятии.

1. Общие положения

1. Настоящее Положение определяет статус, состав, задачи, функции, права и организацию деятельности постоянно действующей комиссии по вопросам защиты информации (далее – комиссия) в ____________________ (далее – Организация).

2. Комиссия является постоянно действующим коллегиальным экспертным и совещательным органом, созданным в целях организации и контроля за обеспечением защиты информации, в том числе персональных данных, обрабатываемых в Организации.

3. Комиссия создаётся и осуществляет свою деятельность на основании приказа руководителя Организации.

4. В своей деятельности комиссия руководствуется:

  • Федеральным законом от 27 июля 2006 г. № 149‑ФЗ «Об информации, информационных технологиях и о защите информации»;
  • Федеральным законом от 27 июля 2006 г. № 152‑ФЗ «О персональных данных»;
  • Федеральным законом от 26 июля 2017 г. № 187‑ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»;
  • Приказом ФСТЭК России от 11 апреля 2025 г. № 117 «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений»;
  • иными нормативными и методическими документами ФСТЭК России, ФСБ России;
  • национальными стандартами РФ (ГОСТ Р 50922-2006, ГОСТ Р 56545-2015, ГОСТ Р 56546-2015 и др.);
  • Политикой защиты информации, стандартом защиты информации и иными локальными нормативными актами Организации;
  • эксплуатационной документацией на средства защиты информации;
  • настоящим Положением.

2. Цели и задачи деятельности комиссии

5. Основной целью деятельности комиссии является обеспечение административного и технического контроля за соблюдением требований по защите информации, координация деятельности структурных подразделений и работников Организации в области информационной безопасности.

6. Основными задачами комиссии являются:

а) организация и контроль выполнения требований законодательства РФ и локальных актов при создании, вводе в эксплуатацию, эксплуатации и выводе из эксплуатации информационных систем (далее – ИС);
б) участие в разработке и актуализации организационно-распорядительных и эксплуатационных документов по защите информации;
в) проведение классификации ИС (определение уровня защищённости, категории значимости);
г) анализ угроз безопасности информации, оценка возможных негативных последствий;
д) реагирование на инциденты информационной безопасности;
е) участие в испытаниях подсистем информационной безопасности;
ж) оценка соответствия мер защиты информации установленным требованиям;
з) разработка предложений по совершенствованию защиты информации;
и) контроль за обеспечением уровня защищённости информации;
к) информирование пользователей ИС.

3. Состав комиссии

7. Комиссия формируется из числа работников Организации.

8. В состав комиссии в приоритетном порядке включаются назначенные в Организации ответственные лица в области защиты информации:

  • ответственный за организацию защиты информации;
  • ответственный за защиту информации в ИС (администратор безопасности);
  • ответственный за обеспечение безопасности персональных данных;
  • ответственный за эксплуатацию СКЗИ (при наличии);
  • ответственный за техническое обслуживание ИС (администратор системы).

9. По решению руководителя Организации в состав комиссии могут также включаться иные работники, представители структурных подразделений.

10. Комиссия состоит из председателя, секретаря (при необходимости) и не менее двух членов комиссии.

11. Председателем комиссии приоритетно назначается ответственный за организацию защиты информации. В случае отсутствия в Организации такого лица (или временного отсутствия) председателем назначается заместитель руководителя, курирующий вопросы информационной безопасности, либо иное уполномоченное лицо по решению руководителя Организации.

12. Секретарь комиссии назначается из числа членов комиссии и осуществляет организационно-техническое обеспечение её деятельности.

13. В случае временного отсутствия председателя его обязанности исполняет один из членов комиссии по поручению председателя.

4. Права комиссии

14. Комиссия вправе:

а) запрашивать и получать от структурных подразделений и работников Организации информацию, документы и материалы, необходимые для выполнения своих функций;
б) заслушивать на заседаниях отчёты руководителей и работников по вопросам защиты информации;
в) привлекать к работе комиссии (с правом совещательного голоса) специалистов Организации, а также внешних экспертов, в том числе лицензиатов ФСТЭК России, для проведения независимой оценки, анализа угроз, тестирования на проникновение и т.п.;
г) вносить руководителю Организации предложения о совершенствовании системы защиты информации, о привлечении к ответственности нарушителей, о поощрении работников;
д) проводить проверки состояния защиты информации в структурных подразделениях Организации;
е) участвовать в приёмке в эксплуатацию ИС и средств защиты информации;
ж) принимать решения в рамках своей компетенции, обязательные для исполнения структурными подразделениями и работниками Организации.

5. Организация деятельности и оформление решений комиссии

15. Заседания комиссии проводятся по мере необходимости, но не реже одного раза в квартал. Внеочередные заседания созываются председателем или по требованию не менее одной трети членов комиссии.

16. Заседание правомочно, если на нём присутствует не менее половины членов комиссии.

17. Решения принимаются простым большинством голосов присутствующих. При равенстве голосов голос председателя является решающим.

18. Решения комиссии оформляются одним из следующих способов (в зависимости от характера и цели решения):

1) Протокол заседания комиссии – фиксирует процесс коллегиального обсуждения и принятия решений на заседании. Содержит повестку дня, перечень присутствующих членов комиссии, краткое изложение выступлений, результаты голосования, принятые решения, сроки исполнения и ответственных. Подписывается всеми членами комиссии, присутствовавшими на заседании.

Примеры протоколов: протокол заседания комиссии по анализу инцидента информационной безопасности и определению мер реагирования, протокол заседания комиссии по итогам контрольной проверки состояния защищённости информации.

2) Акт комиссии – фиксирует результаты конкретного мероприятия (проверки, анализа, классификации, испытаний) без обязательного проведения заседания. Содержит состав участников мероприятия, основание, перечень выполненных действий, полученные данные (класс защищённости, перечень угроз, выявленные нарушения), выводы. Подписывается всеми членами комиссии, участвовавшими в проведении мероприятия.

Примеры актов: акт оценки угроз безопасности информации, акт определения класса защищённости ИС, акт проверки состояния защиты информации, акт об инциденте информационной безопасности.

19. Протоколы и акты доводятся до сведения заинтересованных лиц и хранятся в установленном порядке.

6. Ответственность

20. Члены комиссии несут ответственность за неисполнение или ненадлежащее исполнение возложенных на них обязанностей в соответствии с законодательством РФ и локальными актами Организации.

21. Члены комиссии обязаны соблюдать требования по защите информации, в том числе персональных данных, ставших им известными в ходе работы, и несут ответственность за их разглашение.

22. Контроль за исполнением настоящего Положения осуществляет руководитель Организации.

Пожаловаться на контент cайта в Битрикс24