Должностная инструкция специалиста по защите информации в компьютерных системах и сетях

Редакция 1 от 16.02.2022

Общество с ограниченной ответственностью "Бета"
ООО "Бета"

УТВЕРЖДАЮ
Генеральный директор
ООО "Бета"
___________________ А.И. Петров

10.12.2016

 

Должностная инструкция специалиста по защите информации в компьютерных системах и сетях

10.12.2016              108-ДИ

г. Москва

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящая Должностная инструкция определяет должностные обязанности, права и ответственность Администратора безопасности компьютерных систем и сетей ООО "Бета".

1.2. Администратор безопасности компьютерных систем и сетей назначается на должность и освобождается от должности приказом генерального директора ООО "Бета" по представлению руководителя IT-отдела.

1.3. Администратор безопасности компьютерных систем и сетей подчиняется непосредственно руководителю IT-отдела.

1.4. На должность Администратора безопасности компьютерных систем и сетей назначается лицо, имеющее высшее образование – специалитет или магистратура в области информационной безопасности и опыт практической работы не менее одного года, дополнительное профессиональное образование по программам повышения квалификации в области информационной безопасности.

1.5. Администратор безопасности компьютерных систем и сетей должен знать:
принципы построения компьютерных систем и сетей;
методы и методики оценки безопасности программно-аппаратных средств защиты информации;
принципы построения:

программно-аппаратных средств защиты информации;

подсистем защиты информации в компьютерных системах;

методы оценки эффективности политики безопасности, реализованной в программно-аппаратных средствах защиты информации;
методы и средства оценки корректности и эффективности программных реализаций алгоритмов защиты информации;
методы анализа программного кода с целью поиска потенциальных уязвимостей и недокументированных возможностей;
способы анализа применяемых методов и средств защиты информации на предмет соответствия политике безопасности;
национальные, межгосударственные и международные стандарты в области защиты информации;
нормативные правовые акты в области защиты информации;
руководящие и методические документы уполномоченных федеральных органов исполнительной власти по защите информации;
организационные меры по защите информации;
принципы построения компьютерных систем и сетей;
модели безопасности компьютерных систем;
виды политик безопасности компьютерных систем и сетей;
принципы построения средств криптографической защиты информации;
национальные, межгосударственные и международные стандарты в области защиты информации;
возможности используемых и планируемых к использованию средств защиты информации;
уязвимости компьютерных систем и сетей;
криптографические методы защиты информации;
принципы построения систем управления базами данных;
средства анализа конфигураций;
национальные стандарты на проведение научно-исследовательских и опытно-конструкторских работ, сертификационных испытаний и создание систем защиты информации;
способы организации работ при проведении сертификации программно-аппаратных средств защиты;
принципы построения средств криптографической защиты информации;
формальные модели безопасности компьютерных систем и сетей;
принципы построения систем обнаружения компьютерных атак;
методы обработки данных мониторинга безопасности компьютерных систем и сетей;
порядок создания и структура отчета, создаваемого по результатам проверок;
способы обнаружения и нейтрализации последствий вторжений в компьютерные системы;
криптографические протоколы, применяемые в компьютерных сетях;
форматы хранения информации в анализируемой компьютерной системе;
основные форматы файлов, используемые в компьютерных системах;
особенности хранения конфигурационной и системной информации в компьютерных системах;
уязвимости компьютерных систем и сетей;
технологии поиска и анализа следов компьютерных преступлений, правонарушений и инцидентов;
порядок фиксации и документирования следов компьютерных преступлений, правонарушений и инцидентов;
нормы уголовного и административного права в сфере компьютерной информации;
характеристики правонарушений в области связи и информации;
виды преступлений в сфере компьютерной информации;
порядок проведения экспертизы вычислительной техники и носителей компьютерной информации с учетом нормативных правовых актов;
способы обнаружения и нейтрализации последствий вторжений в компьютерные системы;
методы анализа систем обеспечения информационной безопасности объектов информатизации на базе компьютерных систем в защищенном исполнении;
порядок подготовки научно-технических экспертных заключений по результатам выполненных работ по информационно-аналитической и технической экспертизе компьютерных систем;
методы проведения расследования компьютерных преступлений, правонарушений и инцидентов;
методы анализа остаточной информации и поиска следов для фиксации компьютерных инцидентов;
криптографические алгоритмы и особенности их программной реализации.

1.6.В своей деятельности Администратор безопасности компьютерных систем и сетей руководствуется:
– локальными нормативными актами ООО "Бета", в том числе Правилами внутреннего трудового распорядка;
– приказами (распоряжениями) генерального директора ООО "Бета" и непосредственного руководителя;
– правилами по охране труда, технике безопасности, производственной санитарии и противопожарной защите;
– настоящей Должностной инструкцией.

1.7. В период временного отсутствия Администратора безопасности компьютерных систем и сетей его обязанности возлагаются на должностное лицо, назначаемое приказом генерального директора ООО "Бета".

2. ДОЛЖНОСТНЫЕ ОБЯЗАННОСТИ

Администратор безопасности компьютерных систем и сетей выполняет следующие должностные обязанности:
2.1. Проведение контрольных проверок работоспособности и эффективности применяемых программно-аппаратных средств защиты информации:
оценка работоспособности применяемых программно-аппаратных средств защиты информации с использованием штатных средств и методик;
оценка эффективности применяемых программно-аппаратных средств защиты информации с использованием штатных средств и методик;
определение уровня защищенности и доверия программно-аппаратных средств защиты информации.

2.2. Разработка требований по защите, формирование политик безопасности компьютерных систем и сетей:
формирование политик безопасности компьютерных систем;
консультирование по вопросам безопасности компьютерных систем;
разработка профилей защиты и заданий по безопасности;
разработка технических заданий на создание средств защиты информации;
принятие решения о необходимости защиты информации, содержащейся в информационной системе;
классификация информационной системы по требованиям защиты информации;
определение угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в компьютерной системе и сети;
разработка модели угроз безопасности информации;
задание требований к защите информации компьютерной системы;
разработка руководящих документов по защите информации в организации.

2.3. Проведение анализа безопасности компьютерных систем:
определение уровня защищенности и доверия в компьютерных системах;
оценка рисков, связанных с осуществлением угроз безопасности в отношении компьютерных систем;
оценка соответствия механизмов безопасности компьютерной системы требованиям существующих нормативных документов, а также их адекватности существующим рискам;
подготовка аналитического отчета по результатам проведенного анализа;
формулирование предложений по устранению выявленных уязвимостей.

2.4. Проведение сертификации программно-аппаратных средств защиты информации и анализ результатов:
проведение теоретических исследований уровней защищенности компьютерных систем и сетей;
проведение экспериментальных исследований уровней защищенности компьютерных систем и сетей;
проведение сертификационных испытаний с использованием инструментальных средств;
подготовка аналитического отчета по результатам проведенных сертификационных испытаний;
формулирование выводов по оценке защищенности.

2.5. Проведение инструментального мониторинга защищенности компьютерных систем и сетей:
выполнение анализа защищенности компьютерных систем с использованием сканеров безопасности;
выполнение анализа защищенности сетевых сервисов с использованием средств автоматического реагирования на попытки несанкционированного доступа к ресурсам компьютерных систем и сетей;
составление отчетов по результатам проверок.

2.6. Проведение экспертизы при расследовании компьютерных преступлений, правонарушений и инцидентов:
определение свойств аппаратных средств в составе компьютерной системы и их фактического и первоначального состояния;
классификация свойств аппаратных средств в составе компьютерной системы;
диагностика причин, условий изменения свойств (эксплуатационных режимов) аппаратных средств в составе компьютерной системы;
определение характеристик операционной системы и используемых технологий системного программирования;
анализ функциональных свойств программного обеспечения;
исследование алгоритма программного продукта и типов поддерживаемых аппаратных платформ;
определение причин, целей и условий изменения свойств (состояния) программного обеспечения;
индивидуальное отождествление оригинала программы (инсталляционной версии) и ее копии на носителях данных компьютерной системы;
установление групповой принадлежности программного обеспечения;
выработка предложений по устранению выявленных уязвимостей;
выявление индивидуальных признаков программы, позволяющих впоследствии идентифицировать ее автора, а также взаимосвязи с информационным обеспечением исследуемой компьютерной системы;
установление вида, свойств и состояния информации (фактического и первоначального, в том числе до ее удаления и модификации) в компьютерной системе;
определение причин и условий изменения свойств исследуемой информации;
определение механизма, динамики и обстоятельств события по имеющейся информации на носителе данных или ее копиям;
установление участников события, их роли, места, условий, при которых была создана, модифицирована или удалена информация;
установление соответствия либо несоответствия действий с информацией специальному регламенту (правилам);
составление экспертного заключения.

3. ПРАВА

Администратор безопасности компьютерных систем и сетей имеет право:
3.1. Требовать от своего непосредственного руководителя и генерального директора ООО "Бета" содействия в исполнении должностных обязанностей и реализации прав.
3.2. Повышать свою квалификацию.
3.3. Запрашивать лично или по поручению непосредственного руководителя от работников отчеты и документы, необходимые для выполнения должностных обязанностей.
3.4. Знакомиться с проектами решений генерального директора ООО "Бета", касающимися деятельности Администратора безопасности компьютерных систем и сетей.
3.5. Представлять на рассмотрение своего непосредственного руководителя предложения по вопросам своей деятельности, в том числе ставить вопросы о совершенствовании своей работы, улучшении организационно-технических условий труда, повышении размера зарплаты, оплате сверхурочных работ в соответствии с законодательством и положениями, регламентирующими систему оплаты труда работников ООО "Бета".
3.6. Получать от работников ООО "Бета" информацию, необходимую для ведения своей деятельности.

4. ОТВЕТСТВЕННОСТЬ

Администратор безопасности компьютерных систем и сетей несет ответственность:
4.1. За неисполнение или ненадлежащее исполнение своих обязанностей, предусмотренных настоящей Должностной инструкцией, – в соответствии с действующим трудовым законодательством.
4.2. За другие правонарушения, совершенные в период ведения своей деятельности (в т. ч. связанные с причинением материального ущерба и ущерба деловой репутации ООО "Бета"), – в соответствии с действующим трудовым, гражданским, административным и уголовным законодательством.

5. УСЛОВИЯ РАБОТЫ

5.1. Режим работы Администратора безопасности компьютерных систем и сетей определяется в соответствии с Правилами внутреннего трудового распорядка, установленными вООО "Бета".
5.2. Работодатель проводит оценку эффективности деятельности Администратора безопасности компьютерных систем и сетей в соответствии с Комплексом мероприятий по оценке эффективности, утверждаемым приказом генерального директора ООО "Бета".

 

Должностная инструкция разработана в соответствии с приказом генерального директора ООО "Бета"1-Пр от 01.06.2015.

 

Должностную инструкцию составила:

Начальник отдела кадров _________________________ Е.В. Васильева

 

С инструкцией ознакомлен:

10.12.2016 ________________ С.С. Михалков

 

 

Согласовано:

Юрист _________________________ Н.А. Павлов

10.12.2016

 

Спасибо за Вашу заявку!
Закрыть

Интернет-бухгалтерия

Скидка -50% на все годовые тарифы

Подробнее

В сервисе «Моё дело» можно работать с подписью ФНС
Подробнее