Вначале следует отметить, что никакие правовые нормы, определяющие метод управления и защиты персональных данных в организации, не предусматривают назначение лица в качестве ASI. И Европейский регламент о защите данных (GDPR), и Закон о защите персональных данных определяют только функции контроллера данных, уполномоченных лиц и, при необходимости, предусматривают назначение сотрудника по защите данных (DPO).
Кто такое и откуда взялось понятие администратора информационных систем (АСИ)?
Что ж, это функция, которая была разработана и считалась чрезвычайно важной в предыдущем правовом государстве, действовавшем до 25 мая 2018 года. Как показала практика, лицо, выполняющее функцию DPO в организации, очень часто не обладает достаточными знаниями в области безопасности ИКТ и не знает, какие технические и организационные меры будут уместны в том или ином случае. Таким образом, ASI появился в составе команды, занимающейся внедрением или обслуживанием системы защиты персональных данных. Лицо, выполняющее такую функцию, должно быть инструментом в руках DPO и должно постоянно сотрудничать с сотрудником по защите данных, обеспечивая, таким образом, безопасность обрабатываемых данных с точки зрения ИКТ.

Аутсорсинг системный администратор

Какие требования должен выполнять лицо, назначенное для выполнения функции ASI?
Лицо, действующее в качестве администратора ИТ-системы, может быть сотрудником, нанятым в компании на основании гражданского законодательства или трудового договора (лицо внутри организации) или кем-то вне ее (так называемый аутсорсинг ASI). Следует отметить, что такой человек должен, прежде всего, обладать соответствующими знаниями в области ИТ, а также быть в курсе новых угроз и решений по информационной безопасности, появляющихся на рынке. Для получения профессиональных знаний в этом вопросе рекомендуется обучение и участие в конференциях и других встречах по таким вопросам. Также не стоит забывать о формальностях, связанных с выполнением функции администратора ИТ-системы. Если это человек из организации, он должен быть уполномочен на обработку персональных данных). В обоих случаях необходимо также обеспечить, чтобы соглашение или другие нормативные акты, определяющие тип сотрудничества, содержали положения, касающиеся конфиденциальности данных.