Назначение ответственного за информационную безопасность зависит от уровня защищённости персональных данных в организации. 1

Если уровень защищённости не превышает 3, то ответственным может быть назначен любой сотрудник, желательно тот, у которого есть определённые знания и навыки в области информационной безопасности. 1 Это может быть, например, системный администратор, в зону ответственности которого информационная безопасность компании входит по умолчанию. 13

Если обязанности по обеспечению инфобезопасности возлагают на специалиста, в должностные обязанности которого такой функционал не входит, то в штатное расписание нужно ввести новую должность, например, «специалист по защите информации». 13 Сотруднику, которого назначают ответственным, в этом случае оформляют совмещение и доплату. 1

Если компания относится к субъектам критической информационной инфраструктуры, то ответственным за информационную безопасность назначают заместителя руководителя, в том числе если он отвечает за другое направление работы. 3 У такого сотрудника должно быть высшее образование — специалитет или магистратура по направлению обеспечения информационной безопасности. 3

При 4-м уровне защищённости персональных данных в информационных системах назначают специалиста, который будет сообщать в Роскомнадзор о любой хакерской атаке на персональные данные работников и проводить расследование, почему она произошла. 3

Для назначения ответственного за информационную безопасность издают специальный приказ. 13