Должностная инструкция администратора по обеспечению безопасности информации

Видео:Информационная безопасность. Основы информационной безопасности.Скачать

Администратор Информационной Безопасности. Положение

Положение об Администраторе Информационной Безопасности.

1. Список сокращений

АС – автоматизированная система.

ИБ – информационная безопасность.

Информация – в документе: информация, подлежащая защите, представленная в виде электронных документов или иных совокупностей данных, хранящаяся на электронных носителях и/или циркулирующая в сетях передачи данных организации.

ЛВС – локальная вычислительная сеть.

НСД – несанкционированный доступ к информации.

ОС – операционная система.

ОТСС – основные технические средства и системы.

РС – рабочая станция, компьютер.

СВТ – средство вычислительной техники.

СЗИ – средства защиты информации.

СУБД – система управления базами данных.

2. Общие положения

2.1. Настоящее положение разработано на основе «Политики информационной безопасности».

2.2. Положение определяет основные задачи, функции, обязанности, права и ответственность Администратора информационной безопасности автоматизированной системы (далее – администратор ИБ).

2.3. Администратор информационной безопасности назначается приказом и является лицом, выполняющим функции по защите информации обрабатываемой, передаваемой и хранимой при помощи средств вычислительной техники в пределах зоны своей ответственности.

2.4.

В своей деятельности Администратор ИБ руководствуется требованиями действующих федеральных законов, общегосударственных и ведомственных нормативных документов по вопросам защиты информации и контролирует их выполнение администраторами локальной вычислительной сети (далее – ЛВС), администраторами систем управления базами данных (далее – СУБД) и пользователями автоматизированной системы (далее – АС).

2.5. Настоящее Положение является дополнением к действующим нормативным документам по вопросам защиты информации и не исключает обязательного выполнения их требований.

3. Задачи и функции Администратора информационной безопасности

3.1 Основными задачами Администратора ИБ являются:

• контроль эффективности защиты информации;
• сопровождение СЗИ от несанкционированного доступа (далее – НСД) и основных технических средств и систем (далее – ОТСС);
• контроль разграничения доступа.

3.2 Для выполнения поставленных задач на Администратора ИБ возлагаются следующие функции:

3.2.

1 Контроль соответствия действий пользователей АС (разработчиков, эксплуатационного персонала) требованиям «Политики информационной безопасности» на всех стадиях жизненного цикла АС.

3.2.

2 Участие на стадии проектирования (внедрения) АС в разработке технологии обработки информации ограниченного доступа (далее – информации) по вопросам:

• организации порядка учета, хранения и обращения с документами и носителями информации;
• определения степени секретности отдельных документов, носителей и массивов информации;
• подготовки инструкций, определяющих задачи, функции, ответственность, права и обязанности администраторов и пользователей АС по вопросам защиты информации, а также ответственных по защите информации в процессе автоматизированной обработки информации.

3.2.

3 Сопровождение СЗИ от НСД к ней, в том числе средств криптографической защиты информации, на стадии эксплуатации АС, включая ведение служебной информации СЗИ от НСД (управление ключевой системой, сопровождение правил разграничения доступа), оперативный контроль за функционированием СЗИ от НСД.

3.2.

4 Контроль соответствия общесистемной программной среды стандарту (контроль целостности программного обеспечения) и проверка включаемых в АС новых программных средств.

3.2.

5 Оперативный контроль за ходом технологического процесса обработки информации.

3.2.

6 Методическое руководство работой администраторов и пользователей АС в вопросах обеспечения информационной безопасности.

4. Обязанности Администратора информационной безопасности

4.1 Для реализации поставленных задач и возложенных функций Администратор ИБ ОБЯЗАН:

4.1.1 Сопровождать СЗИ от НСД и ОТСС:

4.1.1.1 Вести учет и знать перечень установленных в подразделениях ОТСС, СЗИ от НСД и перечень задач, решаемых с их использованием.

4.1.1.2 Осуществлять непосредственное управление режимами работы и административную поддержку функционирования (настройку и сопровождение) применяемых на рабочих станциях (далее – РС) специальных программных и программно-аппаратных СЗИ от НСД.

4.1.1.3 Присутствовать при внесении изменений в конфигурацию (модификации) аппаратно-программных средств, защищенных РС и серверов, осуществлять проверку работоспособности системы защиты после установки (обновления) программных средств АС.

4.1.1.4 Периодически проверять состояние используемых СЗИ от НСД, осуществлять проверку правильности их настройки (выборочное тестирование).

4.1.1.5 Контролировать комплектность средств вычислительной техники (далее – СВТ) и изменения аппаратно-программной конфигурации.

4.1.1.6 Периодически – не реже 1 раза в год контролировать целостность печатей (пломб, наклеек) на устройствах, защищенных РС, где таковые печати (пломбы, наклейки) имеются.

4.1.1.7 Вести журнал учета нештатных ситуаций, фактов вскрытия и опечатывания, защищенных СВТ, выполнения профилактических работ, установки и модификации аппаратных и программных СЗИ.

4.1.1.8 Проводить периодический инструктаж сотрудников подразделения (пользователей АС) по правилам работы с используемыми СЗИ.

4.1.2 Организовывать разграничения доступа:

4.1.2.1 Знать перечень защищаемых информационных ресурсов и участвовать в разработке системы их защиты.

4.1.2.2 Разрабатывать совместно с администраторами АС решения по:

• составу доменов сети, системы доверительных отношений между ними;
• составу групп (локальных и глобальных) каждого домена;
• приписке пользователей с одинаковыми требованиями, статусом безопасности и характером решаемых задач к соответствующим группам;
• определению информационных связей между сегментами сети и требований к изоляции сегментов с использованием средств аппаратной безопасности сегментов;
• определению списка устройств, логических дисков, каталогов общего пользования на серверах с указанием состава допущенных к ним пользователей и режимом допуска;
• осуществлению контроля использования разделяемых ресурсов, процессом печати на общих принтерах;
• разработке порядка пользования электронной почты (использованию СЗИ при передаче закрытых документов);
• разработке порядка выхода пользователей в Сети общего пользования (далее – Сети) и использованию встроенных СЗИ от НСД в сервисных программах;
• определению режимов использования СЗИ: защита паролей, защита в протоколах передачи данных, кодирование файлов, подтверждение подлинности электронных документов (электронная подпись), подключение дополнительных алгоритмов криптографической защиты;
• разработке политики аудита: определение состава регистрируемых событий и списка лиц, имеющих допуск к журналам аудита.

4.1.2.3 Осуществлять учет и периодический контроль состава и полномочий пользователей различных РСАС.

4.1.2.4 Контролировать и требовать соблюдение установленных правил по организации парольной защиты в АС.

4.1.2.5 Осуществлять оперативный контроль работы пользователей, защищенных РС, анализировать содержимое журналов событий операционных систем (далее — ОС) и СЗИ от НСД этих РС, адекватно реагировать на возникающие нештатные ситуации.

4.1.2.6 Принимать участие в работах по внесению изменений в аппаратно-программную конфигурацию серверов и РСАС. Контролировать соблюдение сотрудниками подразделений автоматизации утвержденного порядка проведения работ по установке и модернизации аппаратных и программных средств РС и серверов.

4.1.2.7 Контролировать выполнение требований по обеспечению безопасности информации при организации технического обслуживания РС и отправке их в ремонт (контролировать стирание информации на магнитных носителях).

4.1.2.8 Организовывать учет, хранение, прием и выдачу персональных идентификаторов и ключевых дискет ответственным исполнителям, осуществлять контроль правильности их использования.

4.1.2.9 Осуществлять периодический контроль порядка учета, создания, хранения и использования резервных и архивных копий массивов данных.

4.1.2.10 По указанию руководства своевременно и точно отражать изменения в организационно-распорядительных и нормативных документах по управлению СЗИ от НСД, установленных на РСАС.

Видео:Должностные инструкции - Елена А. ПономареваСкачать

Должностная инструкция специалиста по защите информации

Должностная инструкция специалиста по защите информации [наименование организации, предприятия и т. п.]

Настоящая должностная инструкция разработана и утверждена в соответствии с положениями Трудового кодекса Российской Федерации и иных нормативных актов, регулирующих трудовые правоотношения в Российской Федерации.

I. Общие положения

1.1. Специалист по защите информации относится к категории специалистов, принимается на работу и увольняется с нее приказом руководителя предприятия по представлению начальника отдела по защите информации.

1.2.

На должность специалиста по защите информации I категории назначается лицо, имеющее высшее профессиональное (техническое) образование и стаж работы в должности специалиста по защите информации II категории не менее [значение] лет; на должность специалиста по защите информации II категории — лицо, имеющее высшее профессиональное (техническое) образование и стаж работы в должности специалиста по защите информации либо других должностях, замещаемых специалистами с высшим профессиональным образованием, не менее [значение] лет; на должность специалиста по защите информации — лицо, имеющее высшее профессиональное (техническое) образование, без предъявления требований к стажу работы.

1.3. Специалист по защите информации непосредственно подчиняется [вписать нужное].

1.4. В своей деятельности специалист по защите информации руководствуется:

— законодательными и нормативными документами по вопросам обеспечения защиты информации;

— методическими материалами, касающимися соответствующих вопросов;

— уставом предприятия;

— правилами трудового распорядка;

— приказами и распоряжениями директора предприятия (непосредственного руководителя);

— настоящей должностной инструкцией.

1.5. Специалист по защите информации должен знать:

— законодательные акты, нормативные и методические материалы по вопросам, связанным с обеспечением защиты информации;

— специализацию предприятия и особенности его деятельности;

— технологию производства в отрасли;

— оснащенность вычислительных центров техническими средствами, перспективы их развития и модернизации;

— систему организации комплексной защиты информации, действующей в отрасли;

— методы и средства контроля охраняемых сведений, выявления каналов утечки информации, организацию технической разведки;

— методы планирования и организации проведения работ по защите информации и обеспечению государственной тайны;

— технические средства контроля и защиты информации, перспективы и направления их совершенствования;

— методы проведения специальных исследований и проверок, работ по защите технических средств передачи, обработки, отображения и хранения информации;

— порядок пользования реферативными и справочно-информационными изданиями, а также другими источниками научно-технической информации;

— достижения науки и техники в стране и за рубежом в области технической разведки и защиты информации;

— методы и средства выполнения расчетов и вычислительных работ;

— основы экономики, организации производства, труда и управления;

— основы трудового законодательства Российской Федерации;

— правила и нормы охраны труда, техники безопасности, производственной санитарии и противопожарной защиты;

— [вписать нужное].

1.6. Во время отсутствия специалиста по защите информации (командировка, отпуск, болезнь и пр.) его обязанности исполняет лицо, назначенное в установленном порядке. Данное лицо приобретает соответствующие права и несет ответственность за надлежащее выполнение возложенных на него обязанностей.

II. Функции

На специалиста по защите информации возлагаются следующие функции:

2.1. Обеспечение комплексной защиты информации, соблюдения государственной тайны.

2.2. Участие в обследовании, аттестации и категорировании объектов защиты.

2.3. Разработка организационно-распорядительных документов, регламентирующих работу по защите информации.

2.4. Определение потребности в технических средствах защиты и контроля.

2.5. Проверка выполнения требований нормативных документов по защите информации.

III. Должностные обязанности

Для выполнения возложенных на него функций специалист по защите информации обязан:

3.1. Выполнять сложные работы, связанные с обеспечением комплексной защиты информации на основе разработанных программ и методик, соблюдения государственной тайны.

3.2. Проводить сбор и анализ материалов учреждений, организаций и предприятий отрасли с целью выработки и принятия решений и мер по обеспечению защиты информации и эффективному использованию средств автоматического контроля, обнаружения возможных каналов утечки сведений, представляющих государственную, военную, служебную и коммерческую тайну.

3.3. Анализировать существующие методы и средства, применяемые для контроля и защиты информации, и разрабатывать предложения по их совершенствованию и повышению эффективности этой защиты.

3.4. Участвовать в обследовании объектов защиты, их аттестации и категорировании.

3.5. Разрабатывать и готовить к утверждению проекты нормативных и методических материалов, регламентирующих работу по защите информации, а также положений, инструкций и других организационно-распорядительных документов.

3.6. Организовывать разработку и своевременное представление предложений для включения в соответствующие разделы перспективных и текущих планов работ и программ мер по контролю и защите информации.

3.7. Давать отзывы и заключения на проекты вновь строящихся и реконструируемых зданий и сооружений и другие разработки по вопросам обеспечения защиты информации.

3.8.

Участвовать в рассмотрении технических заданий на проектирование, эскизных, технических и рабочих проектов, обеспечивать их соответствие действующим нормативным и методическим документам, а также в разработке новых принципиальных схем аппаратуры контроля, средств автоматизации контроля, моделей и систем защиты информации, оценке технико-экономического уровня и эффективности предлагаемых и реализуемых организационно-технических решений.

3.9. Определять потребность в технических средствах защиты и контроля, составлять заявки на их приобретение с необходимыми обоснованиями и расчетами к ним, контролировать их поставку и использование.

3.10. Осуществлять проверку выполнения требований межотраслевых и отраслевых нормативных документов по защите информации.

IV. Права

Специалист по защите информации имеет право:

4.1. Знакомиться с проектами решений руководства предприятия, касающимися его деятельности.

4.2. Вносить на рассмотрение руководства предложения по совершенствованию работы, связанной с обязанностями, предусмотренными настоящей инструкцией.

4.3. Получать от руководителей структурных подразделений, специалистов информацию и документы, необходимые для выполнения своих должностных обязанностей.

4.4. Привлекать специалистов всех структурных подразделений предприятия для решения возложенных на него обязанностей (если это предусмотрено положениями о структурных подразделениях, если нет — с разрешения руководителя предприятия).

4.5. Требовать от руководства предприятия оказания содействия в исполнении своих должностных обязанностей и прав.

V. Ответственность

Специалист по защите информации несет ответственность:

5.1. За неисполнение (ненадлежащее исполнение) своих должностных обязанностей, предусмотренных настоящей должностной инструкцией, в пределах, определенных трудовым законодательством Российской Федерации.

5.2. За совершенные в процессе осуществления своей деятельности правонарушения — в пределах, определенных административным, уголовным и гражданским законодательством Российской Федерации.

5.3. За причинение материального ущерба — в пределах, определенных трудовым, уголовным и гражданским законодательством Российской Федерации.

https://www.youtube.com/watch?v=Cn_9FxS_Ztc

Должностная инструкция разработана в соответствии с [наименование, номер и дата документа].

Руководитель структурного подразделения

[инициалы, фамилия]

[подпись]

[число, месяц, год]

Согласовано:

Начальник юридического отдела

[инициалы, фамилия]

[подпись]

[число, месяц, год]

С инструкцией ознакомлен:

[инициалы, фамилия]

[подпись]

[число, месяц, год]

🔍 Видео

Всё, что нужно знать о должностных инструкциях за 6 минутСкачать

Типовая должностная инструкцияСкачать

Должностная инструкция. Правила оформления!Скачать

Про должностные инструкции - Елена А. ПономареваСкачать

Права и обязанности охранников. Документы, задержания, помощь.Скачать

Содержание должностной инструкции. Методика разработки | Боровкова Елена Алексеевна. РУНОСкачать

Должностная инструкция приемщика - администратора в Сервисном ЦентреСкачать

Должностная инструкция главного механикаСкачать

Системный администратор на собеседованииСкачать

Плюсы и минусы должности специалиста по охране трудаСкачать

Виды инструктажейСкачать

Инструктажи по БДД - ответы на вопросыСкачать

Должностные инструкции - 2022Скачать

Специалист по информационной безопасности — кто это и как им стать | GeekBrainsСкачать

Должностные инструкции: как сделать ДИ, разбор понятие "трудовая функция" и как проще оформлять ДИСкачать

Технические мероприятия при производстве работ в электроустановкахСкачать

9 Охрана труда и техника безопасностиСкачать

Виды и порядок проведения инструктажей по БДДСкачать