Общество с ограниченной ответственностью "Бета"
ООО "Бета"
Должностная инструкция специалиста по защите информации в компьютерных системах и сетях
№ 108-ДИ
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящая Должностная инструкция определяет должностные обязанности, права и ответственность Администратора безопасности компьютерных систем и сетей ООО "Бета".
1.2. Администратор безопасности компьютерных систем и сетей назначается на должность и освобождается от должности приказом генерального директора ООО "Бета" по представлению руководителя IT-отдела.
1.3. Администратор безопасности компьютерных систем и сетей подчиняется непосредственно руководителю IT-отдела.
1.4. На должность Администратора безопасности компьютерных систем и сетей назначается лицо, имеющее высшее образование – специалитет или магистратура в области информационной безопасности и опыт практической работы не менее одного года, дополнительное профессиональное образование по программам повышения квалификации в области информационной безопасности.
1.5. Администратор безопасности компьютерных систем и сетей должен знать:
– принципы построения компьютерных систем и сетей;
– методы и методики оценки безопасности программно-аппаратных средств защиты информации;
– принципы построения:
– программно-аппаратных средств защиты информации;
– подсистем защиты информации в компьютерных системах;
– методы оценки эффективности политики безопасности, реализованной в программно-аппаратных средствах защиты информации;
– методы и средства оценки корректности и эффективности программных реализаций алгоритмов защиты информации;
– методы анализа программного кода с целью поиска потенциальных уязвимостей и недокументированных возможностей;
– способы анализа применяемых методов и средств защиты информации на предмет соответствия политике безопасности;
– национальные, межгосударственные и международные стандарты в области защиты информации;
– нормативные правовые акты в области защиты информации;
– руководящие и методические документы уполномоченных федеральных органов исполнительной власти по защите информации;
– организационные меры по защите информации;
– принципы построения компьютерных систем и сетей;
– модели безопасности компьютерных систем;
– виды политик безопасности компьютерных систем и сетей;
– принципы построения средств криптографической защиты информации;
– национальные, межгосударственные и международные стандарты в области защиты информации;
– возможности используемых и планируемых к использованию средств защиты информации;
– уязвимости компьютерных систем и сетей;
– криптографические методы защиты информации;
– принципы построения систем управления базами данных;
– средства анализа конфигураций;
– национальные стандарты на проведение научно-исследовательских и опытно-конструкторских работ, сертификационных испытаний и создание систем защиты информации;
– способы организации работ при проведении сертификации программно-аппаратных средств защиты;
– принципы построения средств криптографической защиты информации;
– формальные модели безопасности компьютерных систем и сетей;
– принципы построения систем обнаружения компьютерных атак;
– методы обработки данных мониторинга безопасности компьютерных систем и сетей;
– порядок создания и структура отчета, создаваемого по результатам проверок;
– способы обнаружения и нейтрализации последствий вторжений в компьютерные системы;
– криптографические протоколы, применяемые в компьютерных сетях;
– форматы хранения информации в анализируемой компьютерной системе;
– основные форматы файлов, используемые в компьютерных системах;
– особенности хранения конфигурационной и системной информации в компьютерных системах;
– уязвимости компьютерных систем и сетей;
– технологии поиска и анализа следов компьютерных преступлений, правонарушений и инцидентов;
– порядок фиксации и документирования следов компьютерных преступлений, правонарушений и инцидентов;
– нормы уголовного и административного права в сфере компьютерной информации;
– характеристики правонарушений в области связи и информации;
– виды преступлений в сфере компьютерной информации;
– порядок проведения экспертизы вычислительной техники и носителей компьютерной информации с учетом нормативных правовых актов;
– способы обнаружения и нейтрализации последствий вторжений в компьютерные системы;
– методы анализа систем обеспечения информационной безопасности объектов информатизации на базе компьютерных систем в защищенном исполнении;
– порядок подготовки научно-технических экспертных заключений по результатам выполненных работ по информационно-аналитической и технической экспертизе компьютерных систем;
– методы проведения расследования компьютерных преступлений, правонарушений и инцидентов;
– методы анализа остаточной информации и поиска следов для фиксации компьютерных инцидентов;
– криптографические алгоритмы и особенности их программной реализации.
1.6.В своей деятельности Администратор безопасности компьютерных систем и сетей руководствуется:
– локальными нормативными актами ООО "Бета", в том числе Правилами внутреннего трудового распорядка;
– приказами (распоряжениями) генерального директора ООО "Бета" и непосредственного руководителя;
– правилами по охране труда, технике безопасности, производственной санитарии и противопожарной защите;
– настоящей Должностной инструкцией.
1.7. В период временного отсутствия Администратора безопасности компьютерных систем и сетей его обязанности возлагаются на должностное лицо, назначаемое приказом генерального директора ООО "Бета".
2. ДОЛЖНОСТНЫЕ ОБЯЗАННОСТИ
Администратор безопасности компьютерных систем и сетей выполняет следующие должностные обязанности:
2.1. Проведение контрольных проверок работоспособности и эффективности применяемых программно-аппаратных средств защиты информации:
– оценка работоспособности применяемых программно-аппаратных средств защиты информации с использованием штатных средств и методик;
– оценка эффективности применяемых программно-аппаратных средств защиты информации с использованием штатных средств и методик;
– определение уровня защищенности и доверия программно-аппаратных средств защиты информации.
2.2. Разработка требований по защите, формирование политик безопасности компьютерных систем и сетей:
– формирование политик безопасности компьютерных систем;
– консультирование по вопросам безопасности компьютерных систем;
– разработка профилей защиты и заданий по безопасности;
– разработка технических заданий на создание средств защиты информации;
– принятие решения о необходимости защиты информации, содержащейся в информационной системе;
– классификация информационной системы по требованиям защиты информации;
– определение угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в компьютерной системе и сети;
– разработка модели угроз безопасности информации;
– задание требований к защите информации компьютерной системы;
– разработка руководящих документов по защите информации в организации.
2.3. Проведение анализа безопасности компьютерных систем:
– определение уровня защищенности и доверия в компьютерных системах;
– оценка рисков, связанных с осуществлением угроз безопасности в отношении компьютерных систем;
– оценка соответствия механизмов безопасности компьютерной системы требованиям существующих нормативных документов, а также их адекватности существующим рискам;
– подготовка аналитического отчета по результатам проведенного анализа;
– формулирование предложений по устранению выявленных уязвимостей.
2.4. Проведение сертификации программно-аппаратных средств защиты информации и анализ результатов:
– проведение теоретических исследований уровней защищенности компьютерных систем и сетей;
– проведение экспериментальных исследований уровней защищенности компьютерных систем и сетей;
– проведение сертификационных испытаний с использованием инструментальных средств;
– подготовка аналитического отчета по результатам проведенных сертификационных испытаний;
– формулирование выводов по оценке защищенности.
2.5. Проведение инструментального мониторинга защищенности компьютерных систем и сетей:
– выполнение анализа защищенности компьютерных систем с использованием сканеров безопасности;
– выполнение анализа защищенности сетевых сервисов с использованием средств автоматического реагирования на попытки несанкционированного доступа к ресурсам компьютерных систем и сетей;
– составление отчетов по результатам проверок.
2.6. Проведение экспертизы при расследовании компьютерных преступлений, правонарушений и инцидентов:
– определение свойств аппаратных средств в составе компьютерной системы и их фактического и первоначального состояния;
– классификация свойств аппаратных средств в составе компьютерной системы;
– диагностика причин, условий изменения свойств (эксплуатационных режимов) аппаратных средств в составе компьютерной системы;
– определение характеристик операционной системы и используемых технологий системного программирования;
– анализ функциональных свойств программного обеспечения;
– исследование алгоритма программного продукта и типов поддерживаемых аппаратных платформ;
– определение причин, целей и условий изменения свойств (состояния) программного обеспечения;
– индивидуальное отождествление оригинала программы (инсталляционной версии) и ее копии на носителях данных компьютерной системы;
– установление групповой принадлежности программного обеспечения;
– выработка предложений по устранению выявленных уязвимостей;
– выявление индивидуальных признаков программы, позволяющих впоследствии идентифицировать ее автора, а также взаимосвязи с информационным обеспечением исследуемой компьютерной системы;
– установление вида, свойств и состояния информации (фактического и первоначального, в том числе до ее удаления и модификации) в компьютерной системе;
– определение причин и условий изменения свойств исследуемой информации;
– определение механизма, динамики и обстоятельств события по имеющейся информации на носителе данных или ее копиям;
– установление участников события, их роли, места, условий, при которых была создана, модифицирована или удалена информация;
– установление соответствия либо несоответствия действий с информацией специальному регламенту (правилам);
– составление экспертного заключения.
3. ПРАВА
Администратор безопасности компьютерных систем и сетей имеет право:
3.1. Требовать от своего непосредственного руководителя и генерального директора ООО "Бета" содействия в исполнении должностных обязанностей и реализации прав.
3.2. Повышать свою квалификацию.
3.3. Запрашивать лично или по поручению непосредственного руководителя от работников отчеты и документы, необходимые для выполнения должностных обязанностей.
3.4. Знакомиться с проектами решений генерального директора ООО "Бета", касающимися деятельности Администратора безопасности компьютерных систем и сетей.
3.5. Представлять на рассмотрение своего непосредственного руководителя предложения по вопросам своей деятельности, в том числе ставить вопросы о совершенствовании своей работы, улучшении организационно-технических условий труда, повышении размера зарплаты, оплате сверхурочных работ в соответствии с законодательством и положениями, регламентирующими систему оплаты труда работников ООО "Бета".
3.6. Получать от работников ООО "Бета" информацию, необходимую для ведения своей деятельности.
4. ОТВЕТСТВЕННОСТЬ
Администратор безопасности компьютерных систем и сетей несет ответственность:
4.1. За неисполнение или ненадлежащее исполнение своих обязанностей, предусмотренных настоящей Должностной инструкцией, – в соответствии с действующим трудовым законодательством.
4.2. За другие правонарушения, совершенные в период ведения своей деятельности (в т. ч. связанные с причинением материального ущерба и ущерба деловой репутации ООО "Бета"), – в соответствии с действующим трудовым, гражданским, административным и уголовным законодательством.
5. УСЛОВИЯ РАБОТЫ
5.1. Режим работы Администратора безопасности компьютерных систем и сетей определяется в соответствии с Правилами внутреннего трудового распорядка, установленными вООО "Бета".
5.2. Работодатель проводит оценку эффективности деятельности Администратора безопасности компьютерных систем и сетей в соответствии с Комплексом мероприятий по оценке эффективности, утверждаемым приказом генерального директора ООО "Бета".
Должностная инструкция разработана в соответствии с приказом генерального директора ООО "Бета" № 1-Пр от 01.06.2015.
Должностную инструкцию составила:
Начальник отдела кадров _________________________ Е.В. Васильева
С инструкцией ознакомлен:
________________ С.С. Михалков
Юрист _________________________ Н.А. Павлов