В 2025 году тема «кто отвечает за защиту информации» в организациях по-прежнему вызывает споры. И не из-за отсутствия норматива, он есть. А из-за того, что на практике ИБ-функции распределены между ИТ, безопасниками, юристами, DPO и формально назначенными ответственными лицами, чьи должностные инструкции никто не читал.
Между тем, распределение ответственности не равна внутренней бюрократии — она является основой управляемой и защищенной архитектуры.
Кто принимает решения? Кто утверждает регламенты? Кто отвечает перед регулятором? Если на эти вопросы нет четкого ответа, любая утечка или проверка превращается в цепную реакцию: ищут крайних, ссылаются на «не знал», «не согласовали», «не моя зона».
Что говорят регуляторы
Для большинства организаций законодательство четко определяет, что защита информации — это обязанность, а не пожелание. В частности:

152‑ФЗ требует назначения ответственного за организацию обработки и защиту персональных данных (ст. 18.1).
Приказ ФСТЭК № 21 устанавливает требование о наличии уполномоченного лица по обеспечению ИБ в ИСПДн (уровень защищенности 3 и выше).
Постановление Правительства РФ № 1272 от 15.07.2022 закрепляет обязанности заместителя руководителя, отвечающего за ИБ, и положения о подразделениях ИБ в стратегических, госструктурах, КИИ и системообразующих организациях.

Если кратко: должен быть назначен человек или подразделение, уполномоченные на организацию системы защиты информации, и они должны иметь ресурсы, полномочия и прямой доступ к лицам, принимающим решения.
Кто входит в круг ответственности
В типовой организации круг ответственных за ИБ выглядит так:

CISO (или руководитель ИБ-подразделения): стратег, архитектор, управленец. Формирует политику, модель угроз, определяет приоритеты, обеспечивает соответствие требованиям регуляторов и управляет командой. Его зона: выстраивание системы защиты информации, принятие решений, взаимодействие с внешними проверяющими.
DPO (если выделен): обеспечивает соответствие требованиям законодательства в сфере ПДн, контролирует законность обработки, согласие, реагирование на запросы субъектов, документацию. Часто взаимодействует с CISO при анализе рисков, DPIA, моделировании обработки.
ИТ: реализуют техническую сторону: устанавливают СЗИ, контролируют доступы, управляют инфраструктурой. ИТ не отвечают за нормативное соответствие, за архитектуру безопасности, за действия пользователей, если это не входит в зону их ответственности по регламенту.
Юристы и руководство: утверждают регламенты, контролируют риски, обеспечивают правовую поддержку. Их зона: согласование процессов и защита интересов компании при спорных ситуациях.

Когда эта модель не оформлена (в документах, на практике, в системах), ответственность размывается, и в случае инцидента страдает вся структура.
Почему нельзя сваливать все на ИТ
Классическая ошибка воспринимать ИБ как часть ИТ. Это удобно, пока не происходит:

инциденты ИБ;
запрос субъекта с требованием удаления данных;
проверка РКН;
включение в реестр КИИ;
внутреннее расследование или утечка.

ИТ-специалисты не обязаны знать нюансы законодательства, критерии законности обработки, условия трансграничной передачи, правила по 21 приказу ФСТЭК. Это зона DPO и CISO, и если ее нет, то риски принимаются молча.
Как выстраивать ответственность правильно
Хорошая модель ответственности по безопасности информации — это RACI с четким разграничением:

R (Responsible) — кто выполняет;
A (Accountable) — кто несет ответственность;
C (Consulted) — кто консультирует;
I (Informed) — кто должен быть в курсе.

В контексте ИБ:

CISO — Accountable по системе защиты информации.
DPO — Accountable по законности обработки ПДн.
ИТ — Responsible по реализации технических мер.
Юридическая служба — Consulted при формировании политики, договоров, ответов субъектам.
Руководство — Informed и согласующее решения.

Если эта модель закреплена письменно в документах, должностных инструкциях, регламентах, то компания становится управляемой в кризисе. Если нет — начинается «внутренний пинг-понг» при любой нестандартной ситуации.
Что ложится на CISO и DPO в 2025 году
CISO:
Формально и содержательно в обязанности CISO входят:

Разработка и реализация стратегии кибербезопасности компании с учетом ее бизнес-модели, отраслевых рисков, зрелости ИТ-инфраструктуры и требований законодательства. Это включает создание целевой модели защиты, определение ключевых направлений и KPI ИБ.
Определение стандартов, политик безопасности и процедур, направленных на защиту всех информационных ресурсов компании: от внутренних баз данных до облачных сервисов и внешних API. Документы должны быть не «бумажными», а реально применяемыми в работе.
Интеграция стратегии безопасности в общую бизнес-стратегию компании. Это означает, что CISO не работает изолированно, а участвует в ключевых управленческих решениях: от запуска новых продуктов до выхода на новые рынки.
Регулярное проведение внутренних аудитов и участие во внешних проверках, включая аудит соответствия требованиям ФСТЭК, Роскомнадзора, ФСБ, ЦБ РФ и других контролирующих органов. Задача — обеспечить доказуемое соответствие и быть готовым к проверке в любой момент.
Идентификация и оценка рисков информационной безопасности: не только выявление уязвимостей, но и их приоритизация, оценка бизнес-ущерба и выбор модели обработки (избежание, передача, снижение, принятие).
Разработка и внедрение планов реагирования на инциденты, включая назначение ответственных, описание процедур взаимодействия команд, регламентирование сроков уведомлений, работу с РКН и другими органами.
Координация действий при инцидентах, включая ИТ, юридическую службу, PR и подрядчиков. CISO становится кризисным менеджером, который управляет ситуацией не только с технической стороны, но и с позиции сохранения деловой репутации.
Участие в восстановлении работы систем и бизнес-процессов, нарушенных в результате кибер-инцидента. Это включает анализ ущерба, реконфигурацию инфраструктуры, документирование результатов и пересмотр мер защиты.
Расследование инцидентов, включая взаимодействие с правоохранительными органами, если инцидент связан с нарушением закона или повлек значительный ущерб. Важно не только устранить последствия, но и зафиксировать факты для возможной правовой защиты.
Управление безопасностью цепочек поставок: анализ контрагентов, оценка их соответствия требованиям ИБ, внедрение требований к подрядчикам, контроль за тем, чтобы риски «не приходили снаружи».
Выбор, внедрение и администрирование решений в области ИБ: от межсетевых экранов и систем обнаружения вторжений до DLP, SIEM, CASB и решений по управлению доступом. Это не «техническая закупка», а выверенный процесс, увязанный с архитектурой бизнеса.

Таким образом, роль CISO — это центр тяжести всей системы управления информационной безопасностью, а также архитектор, интегратор и управляющий рисками на уровне всей компании. В условиях, когда утечки ПДн могут стоить десятков миллионов рублей штрафов и краха репутации, именно от зрелости этой роли зависит устойчивость бизнеса.
DPO:
Специалист по защите данных (Data Protection Officer, DPO) — это ключевая роль в управлении юридическими рисками, связанными с персональными данными. Его задача состоит не в теоретическом знании 152-ФЗ, а в постоянном контроле за тем, как именно компания обрабатывает данные в действующих процессах. Причем на всех этапах: от момента их сбора до удаления или обезличивания.
На практике DPO выполняет сразу несколько пересекающихся функций:

Оценивает законность обработки персональных данных, включая выбор правового основания (согласие, договор, закон), соответствие целей обработки, допустимость передачи данных третьим лицам, контроль за условиями трансграничной передачи.
Отвечает за корректность и актуальность согласий, их сбор, хранение, отзыв и проверку валидности. DPO должен уметь выявить ситуации, в которых согласие недействительно, и предложить безопасную альтернативу (например, переход на договорную модель).
Контролирует юридическую обвязку всей архитектуры обработки: от договоров с подрядчиками и поручениями на обработку до локальных актов, DPIA (оценки воздействия на защиту ПДн), внутренней документации и положений по работе с жалобами субъектов.
Обеспечивает коммуникацию с субъектами персональных данных: своевременное предоставление информации, реагирование на запросы, управление правами субъектов. DPO — это не «спец по документам», а публичное контактное лицо компании по всем вопросам прайваси.
Взаимодействует с Роскомнадзором и другими надзорными органами, сопровождает проверки, готовит ответы на запросы, участвует в расследовании инцидентов. Его задача — не только снизить риск штрафа, но и обеспечить прозрачность и согласованность позиции компании.
Ведет и актуализирует реестры обработки, реестры согласий, шаблоны, инструкции, протоколы, а также внутренние политики. Это требует не только методической аккуратности, но и умения увязывать документы с реальной практикой бизнеса.
Разбирается как в юридических, так и в технологических аспектах систем обработки данных. Он должен понимать, как устроены ИСПДн, где проходят границы доступа, какие механизмы шифрования и разграничения используются, и как все это связано с правовыми рисками.

По сути, DPO — это мост между ИБ и правом. И если этот мост не построен, возникает опасная изоляция: ИБ работает в своей парадигме угроз, правовики в своей логике соответствия, а данные при этом обрабатываются в живых бизнес-процессах без целостной модели управления рисками.
Вывод
Назначение ответственных — основа архитектуры доверия и защиты. В условиях оборотных штрафов, уголовной ответственности за утечки, требований 187-ФЗ и международных фреймворков у компании просто нет другого выхода, кроме как выстраивать зрелую модель управления информационной безопасностью.
Если вы CISO или DPO, вы строите систему, где ответственность не «размазана», а закреплена. Это не только снижает риски, но и повышает прозрачность, управляемость и устойчивость всего бизнеса.
Хотите выстроить такую модель, от структуры подразделений до внедрения фреймворков, интеграции с ИТ и юристами, подготовки к проверке и KPI по ИБ? Обратитесь к нам, мы говорим с DPO и CISO на одном языке.