А тут дело в том, что хочу не хочу. Руководитель должен своим управленческим решением кого-то определить или назначить самого себя.

Юр. ответственность всегда несет руководитель организации. Но не всегда может располагать ресурсами. Гендир может назначить самостоятельно кого угодно. Я предложил бы CISO, все такии КИИ это ИБ

Это сразу не рассматривали, руководитель у нас даже не вникает в эти процессы.
Теперь делема доказать директору ИТ, что он должен возглавить комиссию.

С точки зрения закона все правильно, CISO должен быть уполномочеными и возглавить комиссию, а как быть, если он не хочет брать ответственность?

:) можно я у вас буду CISO. И буду выбирать, что хочу делать, а что нет :)

видимо ваш CISO далек от ИТ (бывший мвд и тд.) вот и боится. Поговорить с руководителем учреждения, объясните ситуацию. Пусть руководетель примет решение

Коллеги, спасибо за ответы!

Про лицензии ФСТЭК России ничего не говорилось, думаю, они не к месту будут.

Юридически, глава комисси это руководитель учреждения, так как он единолично несет всю ответственность. Только он может принимать такие решения. Назначить приказом можно исполнителя и опять же, ответственность несет руководитель.

Спасибо!

Самое смешное, что CISO - это именно тот, кто должен идти к биг боссу и добиваться "Вовлечённости руководства"

От CISO вообще много зависит

Добрый день! Никто не может поделиться документами из шага 3?

Они не в полной мере типовые. Но вообще - относительно несложно формируются на основании документов, полученных на шаге 2.

Тут, наверное, путаница в термине "руководитель" :)

1. Председателем комиссии нужно назначить хорошего организатора. CIO, CISO, советник гендира - глубого пофиг, какая у человека должность. Но он должен уметь организовывать совместную работу людей из нескольких подразделений, в том числе не подчиненных ему напрямую. Руководитель организации этого не будет делать совершенно точно - слишком мелкий для него вопрос даже в маленькой организации.

2. Утверждать решения комиссии может как руководитель организации, так и ее председатель (если у него есть доверенность). Например, если бы мы были субъектом, то решения комиссии мог бы утверждать я (директор по науке): выданная мне доверенность это позволяет. В маленькой организации проще носить решения на утверждение гендиру.

3. Не стоит включать в комиссию одновременно и гендира (номинальным руководителем), и организатрра (фактическим руководителем). Это усложнит работу организатора

Подскажите, куда посылать перечень КИИ (пустой, скорее всего)

Пустой никуда посылать не надо, а заполненный в ЦА ФСТЭК.

мои местные сказали, что это неправильно, в ЦА ФСТЭК слать, они там его никуда не фиксируют

но при этом другого адреса не дали, сказали потом позвонить)

Я звонила в региональный фстэк, они сказали перечень на имя Лютикова отправлять и им копию.