Распределение обязанностей: распределение должностных обязанностей работников разного уровня, порядок составления и подписания приказов, руководство для руководителя

Каждый грамотный руководитель обязан уметь правильно распределять обязанности между своими подчиненными. Только в этом случае вверенная ему структура (компания, отдел, цех) будет работать исправно и достигать желаемых результатов. В данной статье будет подробно рассмотрен термин «распределение обязанностей», принципы и практические рекомендации, связанные с ним.

Общие положения о данном термине

Нужно понять, почему руководителям важно уметь распределять обязанности. Стоит пойти от обратного: если начальник не может грамотно распределить задачи между подчиненными, каждый не будет заниматься своим делом – наступит путаница, которая заметно усложнит рабочий процесс и тогда общая цель (в хорошей компании подчиненные работают на одну корпоративную цель) либо будет достигнута нескоро, либо не будет достигнута вообще.

Если же начальник правильно раздал обязанности сотрудникам и каждый из них четко знает то, что ему нужно делать и что лучше не затрагивать, нужные результаты будут довольно быстро достигаться.

Теоретически, если управленец умеет работать с небольшим коллективом, то он сможет справиться и с крупным – нет разницы между тем, раздавать обязанности 200 людям или 20. На практике все иначе: у компаний разных масштабов есть свои особенности в распределении обязанностей.

В небольших организациях один сотрудник может справляться сразу с несколькими обязанностями (совмещать должность бухгалтера и финансиста, например), ведь объем нагрузки это позволяет.

В крупных фирмах, где через одного человека проходит огромное количество информации, лучше нанять на должности финансиста и бухгалтера двух разных людей. Так удастся увеличить эффективность работы сотрудников.

В итоге распределение полномочий подразумевает определение не только масштаба полномочий тех или иных сотрудников, отделов, но и конкретные описания этих задач. Например, распределение обязанностей по охране труда подразумевает, что каждый из сотрудников, трудящихся на предприятии, будет соблюдать в своей сфере технику безопасности: электрики не будут ремонтировать включенные в сеть приборы, токари не станут трогать руками лезвие на полном ходу. Это основа основ.

Нюансы в отделе бухгалтерии

Каждый вид финансовой деятельности предполагает, что им будет заниматься и нести за него ответственность, конкретный специалист.

В связи с этим бухгалтерия должна иметь следующих сотрудников (приведенный перечень не является исчерпывающим):

• главбух;
• его заместитель;
• бухгалтер по расчету заработной платы;
• кассир;
• ревизор;
• бухгалтер по основным средствам.

Главбух подчиняется непосредственно руководителю. Его должностные обязанности состоят в контроле всех финпотоков, соблюдении рациональности при использовании ресурсов компании, обеспечении целостности собственности организации и разработке стратегий, которые повысят уровень доходов.

На подобную должность может претендовать человек с высшим экономическим образованием, имеющий более 10 лет работы в бухгалтерии. Когда главный бухгалтер уходит в отпуск или болеет, выполнение его обязанностей ложится на плечи заместителя, который не только получает полномочия своего непосредственного начальника, но и будет нести ответственность, если допустит в работе промах.

Просто так без проверки уйти с предприятия главный бухгалтер не может. Это позволяет не взвалить всю ответственность на нового сотрудника, устроившегося в организацию. Уволиться работник сможет только после того, как будет проведена полная проверка и подбиты все итоги, а директор поставит подпись под соответствующим документом, тем самым удостоверив его правильность и законность составления.

Остальные специалисты выполняют одинаковые обязанности в своей узкой отрасли, а именно:

• Ведут бухучет и учет операций, связанных с хоздеятельностью. Это предполагает осуществление контроля основных средств и расходов, наблюдение за ходом продаж и производства, недопущение критических ситуаций в компании, которые будут связаны с финансовыми потоками.
• Контролируют бумаги, которые приходят с производства и проводят их сверку с имеющимися данными.
• Отражают информацию по проведенным операциям на соответствующих счетах учета.
• Составляют отчетность и калькуляцию по продукции, которая производится, для выявления мест, где появляются излишние затраты.
• Подготавливают отчетность и все необходимые для этого документы.

Дополнительно работниками этого отдела производится формирование базы, в которой хранится вся финансовая информация. Они отвечают за постоянное наблюдение за тем, как функционирует предприятие. Именно в их обязанности входит отслеживание того, чтобы параметры не выходили за пределы нормы в вопросах количество-качество, а также соблюдение плановых показателей.

Пример распределения

Распределение обязанностей касается работников разных уровней. Задачи у руководства фирмы и у исполнительного персонала могут быть (чаще всего так и есть) совершенно разные. Чтобы лучше это понять, стоит рассмотреть обязанности работников сети магазинов.

Что должен выполнять генеральный директор организации?

1. Разрабатывать план развития фирмы на будущее совместно, например, со своими партнерами, если они есть.
2. Решать вопросы привлечения дополнительных инвестиций.
3. Руководить начальниками, располагающимися в иерархической лестнице ниже его.

Какие обязанности у директора по разнице?

1. Обеспечение грамотной логистики.
2. Обеспечение бесперебойной работы объектов сети в техническом плане.
3. Открытие новых объектов сети.
4. Анализ эффективности работы отдельных магазинов организации.

Чем занимается коммерческий директор?

1. Определяет ассортимент продукции сети.
2. Организует разработку стандартов размещения продукции в магазинах.
3. Добивается поставок на наиболее выгодных условиях. Работает с поставщиками продукции и оборудования.
4. Поднимает уровень продаж при помощи проведения рекламных кампаний.

О распределении обязанностей администрации, то есть руководящего состава, будет рассказано подробнее далее.

Обязанности финансового отдела:

1. Распределение финансовых потоков.
2. Ведение финансового учета.
3. Работа с налоговой службой.
4. Расчет наиболее выгодного уровня цен на различные категории товаров.

Есть также сотрудники, которые непосредственно работают на торговых точках, обслуживают клиентов и выполняют свои обязанности, которые описаны в их должностной инструкции.

Образец приказа о распределении обязанностей

Главный бухгалтер подчиняется руководителю учреждения и контролирует все финансовые потоки, обеспечивая рациональное использование ресурса предприятия.

Естественно, что ни один руководитель не может совмещать свои непосредственные обязанности (решение финансовых и технических вопросов) с неусыпным контролем над деятельностью подчиненных. Однако этого от него никто и не требует.

Если работодателю необходима должность с определенным набором обязанностей, а работник на такое изменение не согласен, то работодатель вправе ввести в штатное расписание новую должность, а ненужную сократить.

Заместитель руководителя по административно-хозяйственной деятельности — руководство отделом материально-технического и хозяйственного обеспечения, организация работы транспорта, эксплуатация здания.

Должностная инструкция

Все обязанности работников прописаны в должностной инструкции. Этим документом всегда нужно руководствоваться при выполнении рабочих задач, потому что некоторые поручения начальства могут не соответствовать написанным положениям.

Подобные инструкции составляются на основе государственной системы документационного обеспечения управления, которая устанавливает обязательные для всех требования к составлению документов, касающихся управления персоналом и организации работы.

Также у должностной инструкции есть еще несколько побочных задач:

1. Исключение конфликтных ситуаций в коллективе. Благодаря этому улучшается психологический климат в команде и повышается эффективность работы ее членов.
2. Разгрузка сотрудников, которые негласно выполняют дополнительные обязанности.
3. Создание комфортной обстановки для руководителей, которые, благодаря наличию должностной инструкции, точно знают, с кого и за что можно спросить.
4. Аналогично для сотрудников. Они будут знать, за что и кто с них может спросить.

Содержание документа

Что содержит стандартная должностная инструкция:

1. Общие положения. В данном пункте описывается сфера деятельности, в которой в дальнейшем предстоит работать специалисту на данной должности. Также в нем содержится перечень документов, которые регулируют осуществление обязанностей работника.
2. Функции. Этот раздел содержит положения, которые устанавливают направление деятельности сотрудника.
3. Обязанности. Описываются задачи, которые предстоит выполнять гражданину, занимающему ту или иную должность.
4. Права. Соответственно, описываются права, которыми обладает сотрудник на том или ином рабочем посту.
5. Ответственность. В данном подразделе документа описывается, что грозит сотруднику, если он не справится с выполнением порученных ему этим же документом обязанностей или не реализует предоставленные ему должностной инструкцией права.

Приказ о распределении обязанностей между руководящим составом выпускает генеральный директор организации. Иными словами, так обозначаются полномочия тех, кто представляет главного управляющего на различных направлениях. Осуществляется распределение обязанностей заместителей гендиректора.

Можно ли возложить на работника дополнительные обязанности и как это сделать?

Следует сказать, что работники организации в некоторых случаях могут оставить свои автографы об ознакомлении не непосредственно в самом приказе, а в отдельном акте или ведомости (это особенно актуально в крупных компаниях, где большое количество персонала).

Направление и контроль за деятельностью заведующих учебными кабинетами по оснащению наглядными пособиями, средствами ТСО, дидактическим материалами.

Важно учесть, что при возложении дополнительной работы на сотрудника необходимо заключать дополнительное либо отдельное соглашение, заключаемое в рамках норм трудового законодательства. На номер и дату этого документа необходимо сослаться в первом пункте приказа. Если совместитель или основной работник не нужен, то весь функционал по свободной должности «раскидывают» по работникам, используя нормы ст. 60.2 ТК РФ. Сколько работников будет выполнять работу — один, два или больше — решает работодатель; в любом случае последнее слово остается за ним.

Секретарь хранит подобные документы организации или лицо, которое уполномочено вести в организации документооборот.

Координирует и контролирует подготовку и оформление государственных контрактов, участие в аукционах, конкурсах, котировках на официальном сайте госзакупок по курируемым направлениям деятельности.

Принимает участие в разработке планов текущих и капитальных ремонтов основных фондов (здания, системы водоснабжения, воздухопроводов и других сооружений), составлении смет хозяйственных расходов.

Это профессиональный сайт для юристов и кадровиков, которые решают трудовые конфликты. Чтобы обеспечить качество материалов и защитить авторские права редакции, мы вынуждены размещать лучшие статьи в закрытом доступе.

Составление должностной инструкции

Выбор сотрудника, которого назначат ответственным за составление должностной инструкции, зависит от масштаба фирмы, то есть не только от финансовых оборотов, но и от количества сотрудников, которые в ней трудоустроены.

При этом тех, кто работает по контракту, учитывать не нужно. Их обязанности и так определены в заключенном соглашении.

Если компания, для которой составляется данный документ, большая по размерам и состоит из множества структурных отделов, то руководитель каждого из подразделений сам составляет инструкцию для своих подчиненных. Например, приказ о распределении обязанностей по охране труда выпускает директор, отвечающий за охрану труда на предприятии.

Как лучше разбить компанию на отделы, чтобы руководителям удобнее было распределять обязанности между своими сотрудниками, будет описано далее.

Если компания маленькая и в ее штате трудится не более 25 человек, то можно доверить составление инструкции специалисту кадрового отдела. Таким образом, в задачи последнего будет входить не только ведение трудовых книжек и составление штатного расписания, но и составление такого документа, как должностная инструкция.

Методы распределения по отделам

Обязанности по различным структурам компании могут распределяться минимум по пяти различным принципам, описанным далее.

1. Принцип разделения отделов на основе равных по численности групп. Данным принципом при распределении обязанностей между сотрудниками руководствуются, когда штат компании состоит из работников, чьи профессиональные навыки не отличаются, при этом, для выполнения той или иной задачи требуется строго определенное количество сотрудников.
2. Принцип, базирующийся на основных функциях отделов. Пожалуй, это самый популярный принцип, который используют при распределении обязанностей между отделами. Отделы формируются, исходя из задач, которые им предстоит выполнять: производственные задачи, маркетинговые, кадровые или финансовые.
3. Территориальный принцип. Им руководствуются, когда отделы находятся на различных территориях (в разных районах, например).
4. Принцип, по которому распределение обязанностей руководителем между отделами осуществляется в зависимости от выпускаемой продукции. Этот принцип разделения обязанностей очень популярен на быстро развивающихся предприятиях, которые постоянно расширяют производимый ассортимент товаров. Благодаря ему исключается путаница между отделами и каждый из них становится фактически небольшим предприятием внутри фирмы.
5. Принцип, основывающийся на предпочтениях потребителя. Чаще всего он применяется в сфере предоставления услуг, где клиенты (возможно, даже косвенно, но все же) играют решающую роль в функционировании компании.

Какой принцип применять каждому руководителю у себя в компании — дело исключительно индивидуальное.

Профиль должности

Чтобы грамотно произвести распределение обязанностей сотрудников, нужно составить для каждой из должностей так называемый профиль, который содержит информацию о том, что должен знать и уметь работник, занимающий данный пост.

Обычно этот профиль содержит навыки, личные качества и знания, которыми обязан обладать гражданин, чтобы занимать ту или иную должность.

Чтобы лучше понимать, о чем идет речь, стоит вернуться к примеру о сети магазинов и составить профиль должности, например, для консультанта торгового зала в данной компании.

Что должен знать сотрудник, который претендует на эту должность?

1. Базовую информацию о самой компании.
2. Признаки, характеризующие данный бренд.
3. Ассортимент товаров, которые можно найти в магазине.
4. Трудовые обязанности.
5. Правила обслуживания посетителей объекта.

Что обязан уметь сотрудник, претендующий на должность консультанта торгового зала в данной сети магазинов?

1. Общаться. Если человек не может грамотно связать двух слов, как ему взаимодействовать с клиентами для извлечения выгоды?
2. Продавать. Если консультант в торговом зале не умеет продавать, какая выгода от него копании?
3. Работать в команде. Как уже было сказано выше, сотрудники в хорошей компании работают на достижение одной корпоративной цели, а в данной ситуации без командной работы не обойтись.

Иногда в профиль сотрудника включают информацию о том, что он хочет и что он сможет. Первое – для предоставления ему какой-либо мотивации (уметь правильно мотивировать – еще одна важная задача управляющего), второе – для определения его потенциала.

Оценочные листы

Профиль должности имеет непосредственное отношение к распределению должностных обязанностей, но как узнать, подходит ли данный кандидат на ту или иную должность? Справится ли он с вверенными ему обязанностями? Для этого существуют оценочные листы.

С их помощью, как понятно из названия, проверяется, насколько кандидат на должность соответствует предъявляемым требованиям. Каждое умение (например, умение продавать, общаться и т. д.) оцениваться по определенной шкале от минимального результата до максимального.

По итогу подсчитывается суммарный балл, и результаты отправляются сотрудникам, которые принимают решение о найме на работу.

Комплектность документов

Если опираться на законодательство по защите информации, то там мало где сказано — какие конкретно документы мы должны разрабатывать, поэтому приходится опираться на различные косвенные намеки.

Для примера приведем часть 2 статьи 19 закона №152-ФЗ «О персональных данных». Обычным текстом будет текст закона, курсивом – примечания автора.

2. Обеспечение безопасности персональных данных достигается, в частности:
1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных; (нужна модель угроз)

2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных; (организационные меры по большей части и есть наши документы, плюс здесь нас отправляют читать дальше подзаконные акты)

3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

5) учетом машинных носителей персональных данных; (очевидно нужен некий журнал учета и разработанные правила учета машинных носителей)

6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер; (необходимо разработать некие правила обнаружения инцидентов и устранения их последствий, возможно, необходимо назначить группу реагирования на инциденты)

7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним; (нужны правила резервирования и восстановления)

установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных; (разработка системы допуска к данным, можно сделать на основе ролей в системе, так же само программное обеспечение должно уметь вести логи кто когда и к каким данным обращался)

9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных. (нужен некий план периодического контроля, плюс, наверное, журнал, в котором будут фиксироваться результаты такого контроля)

Данным примером нам хотелось показать разницу: как написан закон и что по факту он от нас требует. Здесь мы не видим прямого требования «оператор должен разработать модель угроз», но эта необходимость все равно следует из текста 152-ФЗ, так как выполнение любого требования подтверждается документально.
Более конкретно о комплектности и содержании ОРД нам говорит ФСТЭК. В 2014 году этот регулятор выпустил методический документ «Меры защиты информации в государственных информационных системах». Документ без сарказма отличный, если вам было что-то непонятно по порядку выполнения мер 17-го, 21-го или другого приказа ФСТЭК (да, хоть документ и предназначен для ГИС, но меры по большей части у ФСТЭКа совпадают), обратитесь к этому документу, возможно, станет сильно понятнее.

Так вот, в этом документе ФСТЭК более расширенно расписывает меры по обеспечению безопасности информации и очень часто можно встретить такой текст:

Правила и процедуры идентификации и аутентификации пользователей регламентируются в организационно-распорядительных документах по защите информации. (ИАФ.1)
Правила и процедуры управления учетными записями пользователей регламентируются в организационно-распорядительных документах оператора по защите информации. (УПД.1)

Правила и процедуры управления информационными потоками регламентируются в организационно-распорядительных документах оператора по защите информации. (УПД.3)

Отлично, уже что-то, но этих правил и процедур целый вагон.
В итоге пришлось запилить себе примерно такую табличку, в которую выписались все требования из всех документов и делались примечания и отметки о выполнении, невыполнении.

Главная мысль этого раздела – есть гора требований в законодательстве по защите информации, выполнение многих из них нужно подтвердить документально. Делать ли под каждое требование отдельный документ или слить все в одну большую «Политику ИБ» — решать каждому. Все дополнительное, что нам нужно в документах прописать не по требованиям, а исходя из практической необходимости, дописываем без каких-либо проблем.

Кстати, обратите внимание, что в таблице и в самих документах некоторые разделы или абзацы помечены «К1» или «К2+». Это означает что раздел или абзац необходим только для информационных систем 2 класса и выше или для первого (максимального класса). Все что не помечено – выполняется во всех государственных информационных системах и ИСПДн.

Также очевидно, что например некоторые разделы или даже целые документы могут быть упразднены, если этого требуют структурно-функциональные характеристики информационной системы или иные исходные условия. Например, убираем положение о видеонаблюдении, если его нет. Или убираем все разделы, связанные с защитой средств виртуализации, если она не применяется.

Наши шаблоны разбиты на 4 папки:

Общее

– документы, которые необходимо разработать для всех систем (по мере применимости), будь то ИСПДн, ГИС, АСУ ТП или объект КИИ.

Только ГИС

– документы для государственных информационных систем или муниципальных информационных систем, тут только уникальные документы, нужные для ГИС и МИС.

ПДн

– документы по защите персональных данных и во исполнение законодательства по защите персональных данных. Если, например, у нас ГИС, в которой обрабатываются персональные данные, то мы должны сделать документы из всех папок.

СКЗИ

– документы, связанные с использование криптографических средств, нужны для исполнения нормативных документов ФСБ, разрабатываются для всех систем, в которых применяются сертифицированные криптографические средства защиты информации.

Рассмотрим далее подробнее документы, откуда они появились и какие требования выполняют.

Общие

01 Приказ о назначении ответственных лиц и инструкции этим лицам

Этим приказом назначаются: ответственный за организацию обработки персональных данных и администратор безопасности.
Необходимость назначения первого обусловлена статьей 18.1 федерального закона:

1. Оператор обязан принимать меры… К таким мерам могут, в частности, относиться:
1) назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных;

Администратор безопасности – необходимость этого товарища обусловлена например пунктом 9 приказа ФСТЭК №17:

Для обеспечения защиты информации, содержащейся в информационной системе, оператором назначается структурное подразделение или должностное лицо (работник), ответственные за защиту информации.

Отличаются эти лица тем, что «ответственный» больше по бумажной части, а «администратор» по технической.
Для того чтобы ответственный и администратор понимали свои задачи и полномочия им полагаются инструкции.

02 Приказ о назначении группы реагирования на инциденты информационной безопасности (ГРИИБ) и инструкция по реагированию

Сокращение ГРИИБ хоть и немного смешное, но вполне себе официальное, введено ГОСТ Р ИСО/МЭК ТО 18044-2007 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности».
Необходимость документов необходима целым рядом нормативно-правовых документов. Например, той же статьей 19 закона «О персональных данных». Но более подробно реагирование на инциденты раскрывается в приказах ФСТЭК.

Приказ ФСТЭК №17:
18.2. В ходе выявления инцидентов и реагирования на них осуществляются:

• определение лиц, ответственных за выявление инцидентов и реагирование на них;
• обнаружение и идентификация инцидентов, в том числе отказов в обслуживании, сбоев (перезагрузок) в работе технических средств, программного обеспечения и средств защиты информации, нарушений правил разграничения доступа, неправомерных действий по сбору информации, внедрений вредоносных компьютерных программ (вирусов) и иных событий, приводящих к возникновению инцидентов;
• своевременное информирование лиц, ответственных за выявление инцидентов и реагирование на них, о возникновении инцидентов в информационной системе пользователями и администраторами;
• анализ инцидентов, в том числе определение источников и причин возникновения инцидентов, а также оценка их последствий;
• планирование и принятие мер по устранению инцидентов, в том числе по восстановлению информационной системы и ее сегментов в случае отказа в обслуживании или после сбоев, устранению последствий нарушения правил разграничения доступа, неправомерных действий по сбору информации, внедрения вредоносных компьютерных программ (вирусов) и иных событий, приводящих к возникновению инцидентов;
• планирование и принятие мер по предотвращению повторного возникновения инцидентов.

Этими же документами закрывается ряд организационных мер, например РСБ.1 «Определение событий безопасности, подлежащих регистрации, и сроков их хранение» и РСБ.2 «Определение состава и содержания информации о событиях безопасности, подлежащих регистрации». Все эти вещи можно указать в инструкции по реагированию на инциденты, чтобы не плодить отдельные документы.

03 Инструкция пользователя

Основное правовое обоснование необходимости такой инструкции это все места в законодательстве, где сказано про инструктаж пользователей по вопросам информационной безопасности. Например, часть 1 статьи 18.1 закона «О персональных данных»:

6) ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.

Косвенная необходимость такого документа – юридическое оформление ответственности пользователей за возможные инциденты информационной безопасности. Как показывает практика, в случаях когда таких инструкций не существует и (или) пользователь с ней не ознакомлен, пользователь, нарушивший требования ИБ скорее всего не будет привлечен к ответственности.
Что касается самого документа, здесь мы решили не грузить пользователей не нужной им ерундой, сделать документ не слишком сложным для восприятия и полезным не только в отношении ИБ на предприятии, но и в вопросах ИБ в личной жизни. Например, описали методы социальной инженерии с примерами.

05 Политика информационной безопасности

Наверное, один из наиболее объемных документов из всего набора. Помните выше мы писали о документе «Меры защиты информации в ГИС» и про большое количество «правил и процедур», которые необходимо прописать в ОРД? Собственно «Политика ИБ» это и есть, по сути, сборник всех таких правил и процедур.
Тут, пожалуй, стоит остановиться на слове «Политика». Нам часто говорят, что у нас «Политика» слишком целенаправленная, а на самом деле документ с таким названием должен быть более абстрактным и высокоуровневым. Может и так, но у нас как у безопасников все-таки в первую очередь с техническим бэкграундом слово «Политика» ассоциируется, например, с групповыми политиками домена, что уже в свою очередь ассоциируется с конкретными правилами и настройками.

На самом деле, как будет называться такой документ – не важно. Если не нравится слово «Политика» можно переименовать в «Правила и процедуры информационной безопасности». Это не главное. Главное, что в этом документе должны быть уже четко и конкретно прописаны эти самые правила и процедуры.

Здесь остановимся немного поподробнее.

Если открыть документ и начать с ним работать, можно заметить, что в некоторых местах нет конкретных заготовок текста, а вместо этого стоит сухое «Описать». Это потому, что некоторые вещи нельзя описать так, чтобы текст подходил одновременно хотя бы для половины конкретных информационных систем. Для каждого случая лучше эти разделы описывать отдельно. Вот почему мы до сих пор скептически относимся к различным автоматическим «заполняторам» документов.

По основному тексту должно быть в целом все понятно, хотелось бы немного остановиться на приложениях.

Заявка на внесение изменений в списки пользователей

Многим кажется такая процедура отслеживания пользователей и их полномочий в системе сильно бюрократизированной, однако мы часто встречались с ситуациями, когда именно такой подход помогал продвинуться в расследовании инцидентов информационной безопасности. Например, необходимо было установить — какие полномочия были выданы пользователю изначально. Когда были подняты заявки из приложения к политике ИБ, выяснилось, что у одной учетной записи было несанкционированное повышение полномочий.

В любом случае – делать такую процедуру регистрации пользователей или нет, решать каждому оператору самостоятельно. Здесь, наверное, сразу стоит оговориться, что явно делать именно так, как описано в нашем образце политики ИБ не требуется каким-либо законодательным актом. В шаблоне документа приведен скорее самый жесткий и депрессивный вариант. А далее каждый для себя решает сам – где ослабить гайки, а где подкрутить еще сильнее.

Положение о разграничении прав доступа и перечень лиц

Разграничение прав доступа пользователей – мера очевидная для любого системного администратора. Дополнительно ее необходимость подкреплена мерами из приказов ФСТЭК: УПД.2 «Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа», УПД.4 «Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы» и некоторых других.

Поскольку в подавляющем количестве случаев оптимально использовать именно ролевую модель разграничения доступа, то и указанные приложения к политике ИБ заточены именно под этот случай.

Перечень лиц. Нас часто спрашивают, можно ли указывать здесь не конкретных людей, а должности. Особенно часто этот вопрос звучит от представителей больших организаций с большой текучкой кадров. Наш ответ – можете попробовать, но любой регулятор вам расскажет о принципе «персональной ответственности» и о том, что «главного бухгалтера» наказать нельзя, а «Марью Ивановну» можно.

Список разрешающих правил взаимодействия с внешними сетями

Правила создаются в основном во исполнение меры УПД.3 «Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами».

Поскольку, как уже было сказано, шаблоны заточены под самый депрессивный вариант, здесь тоже часто таблица заполняется «белыми списками». Но можно вписывать любые другие правила, если «белые списки» не обусловлены каким-нибудь особым требованием законодательства. Форма таблицы тоже примерная, можно переделывать под своё видение как угодно.

Список разрешенного программного обеспечения

Список создается во исполнение меры ОПС.3 «Установка (инсталляция) только разрешенного к использованию программного обеспечения и (или) его компонентов». Соответственно, чтобы знать какое ПО у нас в системе разрешено, должен быть утвержден список.

Часто список применяется для того чтобы понять, не установил ли пользователь что-нибудь ненужное себе на рабочий компьютер. Хотя по-хорошему саму возможность что-то самостоятельно устанавливать рядовым пользователям нужно устранять.

Далее идут списки ПО и пользователей для удаленного доступа. Заполняются, если есть такой доступ и да, это тоже требования ФСТЭК.

Порядок резервирования

Здесь даже наверное требования ФСТЭК приводить не нужно. Все понимают важность бэкапов и все помнят поговорку «есть 2 типа сисадминов: те, которые делают бэкапы и те, которые будут делать бэкапы». Однако на практике при аудите информационных систем часто случается такое, что админы говорят, что бэкапы у них точно делаются, но вопросы «что именно, куда именно и как часто бэкапится» остаются без ответа.

Актуальная таблица из приложения 10 к политике ИБ поможет избежать таких ситуаций.

Что касается требований по резервированию (хотя на самом деле требования больше относятся к восстановлению), то их тоже немало. Например, часть 2 статьи 19 федерального закона «О персональных данных»:

Обеспечение безопасности персональных данных достигается, в частности:
7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

Или требование от ФСТЭК:

ОДТ.4 Периодическое резервное копирование информации на резервные машинные носители информации

План обеспечения непрерывности функционирования информационной системы
Здесь мы постарались собрать заготовку различных вариантов факапов нештатных ситуаций и вариантов реагирования на них. Естественно, это примерный список, ненужное можно убирать, нужное добавлять.

Требование ФСТЭК, которое этим планом мы частично выполняем:

ОДТ.3 Контроль безотказного функционирования технических средств, обнаружение и локализация отказов функционирования, принятие мер по восстановлению отказавших средств и их тестирование

06 Приказ о контролируемой зоне и положение о контролируемой зоне

Необходимость этих документов обусловлена требованием ФСТЭК: ЗТС.2 «Организация контролируемой зоны, в пределах которой постоянно размещаются стационарные технические средства, обрабатывающие информацию, и средства защиты информации, а также средства обеспечения функционирования».
Здесь мы часто встречаемся с заблуждением, что контролируемой зоной можно считать только те помещения, которые оборудованы системами СКУД, видеонаблюдением и т. д., но это не так. Контролируемая зона, это территория, на которой исключается несанкционированный доступ к элементам информационной системы посторонними лицами. То есть по сути это может быть помещение и без видеонаблюдения и СКУД, но с проинструктированным единственным сотрудником, который «бдит», а когда уходит из кабинета, выгоняет всех посторонних и закрывает кабинет на ключ.

07 План мероприятий по обеспечению безопасности…

План мероприятий можно разбить на 2 части – список разовых мероприятий по ИБ и список периодических мероприятий. Раз есть 2 части, то есть и две основные цели.
Нам часто задают такой вопрос: «А вот мы бедная государственная организация, требований по ИБ много, денег на их выполнение нет, а на носу проверка, что нам делать?». Ну, если совсем все плохо – то хотя бы составить план мероприятий. Так можно показать проверяющим, что вы в курсе о том, какие шаги вам нужно предпринять, но по какой-то причине ещё не. Это о разовых мероприятиях.

Вторая часть – периодические мероприятия, это выполнение ряда требований по постоянному внутреннему контролю информационной безопасности. Например, часть 1 статьи 18.1 закона «О персональных данных»:

1. Оператор обязан принимать меры… К таким мерам могут, в частности, относиться:
4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;

08-14 Журналы…

Журналы 08-10 это журналы учета носителей информации. По ФСТЭКу есть три вида таких носителей:

• жесткие диски в стационарных компьютерах, серверах, моноблоках и т. д.;
• носители информации в различных портативных устройствах (ноутбуки, нетбуки, планшеты, фотоаппараты и т. д.);
• съемные машинные носители (флешки, съемные HDD, карты памяти).

Мы очень хотели не плодить разные журналы и сделать один универсальный для учета всех возможных носителей информации. Но у разных типов носителей есть разные параметры. Например, у портативных устройств необходимо отмечать возможность использования устройства за пределами контролируемой зоны. В итоге общий журнал получался перегруженным, и мы решили все-таки сделать три разных. Тем более, часто бывает, что в информационной системе используется только стационарные устройства, поэтому необходимость в журналах 09 и 10 отпадает сама собой.
Остальные журналы появились скорее не из прямых требований, а по косвенным причинам. У нас есть план периодических мероприятий и проверяющие хотят видеть отметки о каждом проведенном мероприятии. Так появились и остальные журналы.

И последнее, что хотелось бы сказать о журналах. Мы посчитали важным добавить в каждый журнал инструкцию по его заполнению. Буквально по каждому столбцу описать, что туда вписывать, иногда даже с примерами. Это на самом деле избавило нас от огромного количества одинаковых вопросов по заполнению.

Только ГИС

01 Приказ необходимости защиты информации

Нас часто спрашивают, зачем вообще нужен такой приказ. Дело в том, что 17-м приказом ФСТЭК первым мероприятием по формированию требований к защите информации установлено некое «принятие решения о необходимости защиты информации, содержащейся в информационной системе». А как мы помним, исполнение таких требований нужно подтверждать документально, вот и появился такой приказ, которым мы «принимаем решение».
Обратите внимание, что для государственных и для муниципальных информационных систем шаблоны разные.

02-03 Приказ о классификации и акт классификации

Классификация государственной информационной системы очень важный этап формирования требований к системе защиты информации. От того какой мы класс установим, будет зависеть и количество требований, которые нам нужно выполнить.
Приказом мы назначаем комиссию по классификации, а актом эта комиссия фиксирует параметры информационной системы и на основе исходных данных присваивает первый, второй или третий класс защищенности.

Единственное на что необходимо обратить внимание – если в ГИС обрабатываются, в том числе персональные данные, то для них тоже необходимо в этом же акте определить их уровень защищенности.

04 Приказ о вводе в действие

В соответствии с 17-м приказом ФСТЭК, государственная (или муниципальная) информационная система может быть введена в действие только на основании аттестата соответствия требованиям по безопасности информации.

ПДн

01 Положение о защите и обработке ПДн

Основной документ по защите персональных данных, где мы стараемся прописать максимум аспектов обработки ПДн, предусмотренных законодательством. Здесь мы прописываем, чьи данные, какие данные и с какими целями мы обрабатываем. Права и обязанности субъектов ПДн, права и обязанности оператора ПДн и так далее. В целом наполнение этого документа во многом основано на многочисленных пожеланиях проверяющих, а не на каких-то конкретных требованиях законодательства.

02 Правила рассмотрения запросов

Глава 3 закона «О персональных данных» полностью посвящена правам субъекта персональных данных. Субъект ПДн имеет право писать различные запросы оператору ПДн, например, уточнить какие его данные и с какой целью обрабатываются, попросить прекратить обработку его персональных данных и т. д. Законом так же обозначены максимальные сроки, в которые оператор ПДн должен уложиться с ответом.
Соответственно, неплохо было бы иметь под рукой внутренний документ, регламентирующий правила и сроки рассмотрения таких запросов, а также имеющий в своем составе шаблоны ответов субъектам (как положительных, так и отрицательных). Это сильно упростит жизнь ответственному за организацию обработки персональных данных.

03 Приказ об утверждении перечня лиц

Нам необходимо определить, кто и к каким персональным данным имеет доступ. Если по доступу в информационные системы у нас уже разработан такой же документ в составе политики ИБ, то дублировать одно и то же здесь не требуется. Но нужно обратить внимание на то, что здесь помимо лиц, допущенных к автоматизированной обработке ПДн в автоматизированных системах необходимо указывать и тех, кто допущен к неавтоматизированной обработке ПДн (например, к бумажным папкам с личными делами сотрудников). Здесь так же, как и в политике ИБ регуляторы хотят видеть именно пофамильные списки.

04 Политика в отношении обработки персональных данных

Не путать с политикой ИБ! Тут можно резонно спросить: «А зачем нам еще одна политика?».
Часть 2 статьи 18.1 Федерального закона «О персональных данных»:

Оператор обязан опубликовать
или иным образом
обеспечить неограниченный доступ
к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.

Итак, это документ, который должен быть разработан и должен быть опубликован для всех желающих. Но мы не хотим особо много рассказывать о принимаемых мерах по защите персональных данных, поэтому для выполнения требований законодательства создаем отдельный документ, где максимально абстрактно описываем все, что только можно абстрактно описать.

05-06 Приказ об определении уровня защищенности персональных данных и соответствующий акт

Здесь все то же самое, что и с классификацией ГИС. Важно: если речи идет о ГИС с персональными данными, то эти два документа не нужны, так как определение уровня защищенности ПДн уже входит в акт классификации ГИС. На самом порядке определения уровня защищенности ПДн останавливаться не будем, на эту тему уже и так много написано.

07 Правила обработки ПДн без использования средств автоматизации

Так почему-то исторически сложилось, что в вопросах защиты персональных данных много внимания уделяется этому относительно информационных систем и часто операторы забывают, что есть еще требования и по защите ПДн, обрабатываемых без использования средств автоматизации.
Такой обработке ПДн посвящено целое постановление Правительства РФ. Рассматриваемый внутренний документ как раз призван выполнить требования этого постановления. Тут главное — внимательно смотреть какие положения относятся к реальной ситуации, а какие – нет. Например, если нет проходной, на которой вахтер записывает проходящих на территорию в журнал, то соответствующие положения, касающиеся таких журналов нужно убрать.

Здесь есть еще один важный момент, который нужно прояснить. Многих могут ввести в ступор следующие положения рассматриваемого здесь постановления Правительства:

1. Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее — персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
2. Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.

Может сложиться впечатление, что во многих случаях обработка ПДн в том числе в информационных системах должна считаться неавтоматизированной. Но эту странность пофиксили введением в закон «О персональных данных» следующего определения:

4) автоматизированная обработка
персональных данных — обработка персональных данных
с помощью средств вычислительной техники
;

Постановление Правительство не может противоречить Федеральному закону. В итоге, неавтоматизированная обработка ПДн – все, что вне информационных систем (в основном – бумажные носители).

08 Приказ о комиссии по уничтожению ПДн и форма акта уничтожения

Документ по большей части относится к неавтоматизированной обработке, то есть, например, к уничтожению личных дел сотрудников, срок хранения которых истек. Эти документы лучше утвердить, даже если вы еще ничего не уничтожали, т. к. проверяющие часто требуют их наличия.

09 Приказ об утверждении мест хранения ПДн

Еще один документ по неавтоматизированной обработке. Здесь нужно определить места хранения тех же личных дел сотрудников в бумажном виде и ответственного за это место хранения. Местом хранения может быть шкаф, сейф, стеллаж и т. д.

10 Форма согласия субъекта на обработку его ПДн

Для случаев, когда с субъектов ПДн необходимо получать согласие в письменной форме. Здесь при изменении шаблона главное помнить, что содержание письменного согласия на обработку ПДн строго регламентировано частью 4 статьи 9 Федерального закона «О персональных данных».

11 Положение о видеонаблюдении

Документ, который требуют проверяющие, если видят в помещениях видеокамеры. Какими-то явными положениями законодательства не регламентировано. Документ простой, определяем цели видеонаблюдения и прочие очевидные вещи. Единственное, что мы сюда важное вставили — это комментарий представителей Роскомнадзора о том, что видеоизображение не является биометрическими ПДн, а то у всех проверяющих разное мнение на этот счет.

12 Форма соглашения о неразглашении персональных данных

Подписывают наши сотрудники, допущенные к обработке ПДн (как к автоматизированной, так и неавтоматизированной).

13 Журнал учета обращений граждан

Работает в связке с правилами рассмотрения запросов субъектов ПДн. Все поступающие запросы регистрируем – здесь. Проверяющие требуют наличие журнала, даже если не было ни одного запроса.

СКЗИ

Здесь представлены документы, учитывающие требования ФСБ по обращению с криптосредствами. Соответственно, они не нужны, если криптография не применяется. Поскольку многие требования довольно старые и достаточно жесткие (один из руководящих документов аж от 2001 года), мы постарались как-то сбалансировать внутренние документы, чтобы и вам и нам, как говорится. Но проверяющие от ФСБ у нас ребята самые непредсказуемые, поэтому эти документы у нас часто дополняются и изменяются.

Примеры оценки навыков

Например, умение общаться для консультанта может оцениваться следующим образом:

• 1 балл: затруднительно вступает в контакт, предпочитает монолог диалогу, ко всем контактирующим с ним лицам имеет одинаковый подход;
• 2 балла: легко вступает в контакт, чаще использует диалог в качестве формы общения, по большей части подстраивается под характер собеседника;
• 3 балла: легко вступает в контакт, использует для общения диалоги, умело владеет навыками психологии общения.

Как выглядит оценочная характеристика умения продавать:

• 1 балл: знания о продукте и представляемой компании ограничиваются лишь необходимым минимумом, первым в зале на контакт не идет, чувствует напряжение, в сложных ситуациях не следует стандартам, прописанным в инструкции, отдает инициативу в диалоге с покупателем, не способен работать с сомнениями и возражениями, которые высказывает покупатель, легко выходит из себя, результат продаж за определенный период ниже среднего;
• 2 балла: использует знания о продукте и компании, содержащиеся в методическом пособии, своевременно получает новую информацию, по большей части проявляет инициативу в диалоге с покупателем, сам начинает общение, в зале активен, выясняет потребности клиентов при помощи вопросов, активно взаимодействует с покупателем на протяжении всего периода продажи товара или услуги, в сложной ситуации не теряется, профессионально подходит к решению конфликтов, результат продаж за определенный период средний;
• 3 балла: хорошо знаком не только с информацией о продуктах данной компании, но и с товарами конкурентов, своевременно получает новые знания, изучает дополнительную литературу, при общении с клиентами берет инициативу на себя, подробно выясняет детали, которые требуются клиенту, грамотно описывает те или иные товары, активно работает с покупателем на всем периоде продажи, хорошо находит выход из сложных ситуаций, предупреждает возникающие конфликты, лидер по продажам за определенный период.

Итог

Подводя итог теме распределения полномочий, стоит обозначить положения, которые описываются в данной статье, при помощи тезисов:

1. Каждому руководителю нужно уметь распределять обязанности между подчиненными, чтобы вверенный отдел или компания в целом работали лучше и без организационных проблем.
2. Каждый сотрудник должен иметь строго определенный перечень прав, обязанностей и уровень ответственности за нереализацию прав и невыполнение обязанностей. Этот перечень и уровень обозначены в должностной инструкции.
3. Приказ о распределении обязанностей между руководящим составом выпускает гендиректор. Таким образом, именно главный управляющий в целом определяет задачи каждого сотрудника. Почему? Потому что распределением обязанностей между заместителями занимается он.
4. Должностную инструкцию составляет либо руководитель отдела в крупной компании, либо сотрудник кадрового аппарата в небольшой фирме. Например, приказ о распределении обязанностей по охране труда выпускает начальник отдела по охране труда.
5. Отделы в компании, для удобства распределения полномочий внутри них между сотрудниками, могут делиться по пяти принципам: равенству численности групп, выполняемым функциям, территориально, в зависимости от выпускаемой продукции, в зависимости от предпочтений клиентов.
6. Чтобы удобнее распределять обязанности между должностями, составляется профиль должности, в котором содержится информация о том, что должен знать и уметь сотрудник (иногда – что сможет и что хочет работник).
7. Все критерии оцениваются при помощи особого документа – оценочного листа, который определяет, можно ли поручать данному сотруднику ту или иную обязанность или нет.

Еще раз стоит напомнить, что распределение функциональных обязанностей – важнейшая часть организации работы не только какого-нибудь отдела, но и фирмы в целом, потому что именно благодаря распределению задач каждый сотрудник четко понимает, что от него требуют, и старается достичь поставленной перед ним цели.

Эффективное распределение обязанностей

Итак, суть деятельности руководителя – в организации совместной работы людей. Чтобы она была слаженной и максимально эффективной, следует с самого начала указать каждому сотруднику его место как на служебной лестнице, так и в организации в целом (то есть объяснить служебные обязанности и права, предупредить об ответственности).

Положение об о возложении функций по обеспечению безопасных условий и охраны труда между руководителями и специалистами исполнено для полноценного предприятия.

Иногда в организациях может сложиться такая ситуация, когда одному сотруднику необходимо выполнять не только свою работу, но и работу временно отсутствующего коллеги. На следующий день Глебовой вручено уведомление о том, что в ее должностную инструкцию будут внесены изменения в связи с предстоящим закрытием обособленного подразделения. Глебова выразила свое предварительное согласие на изменения соответствующей записью на уведомлении.

Организовать разработку и обеспечить выделение финансовых средств на реализацию мероприятий по обеспечению здоровых и безопасных условий труда.

Вышеуказанным руководителям перед подписанием представлять проекты распоряжений для визирования заведующему сектором правовой и кадровой работы Зиневич Е.К.

Определение перечня обязанностей сотрудника — полномочие руководителя организации. Письмо Роструда РФ от 31.10.2007 № 4412-6 подтверждает право работодателя принимать и вносить изменения в штатное расписание организации и должностные инструкции сотрудников.