Бесплатная горячая линия

8 800 301 63 12
Главная - Бухгалтерский учет - Может ли главный бухгалтер быть администратором информационной безопасности

Может ли главный бухгалтер быть администратором информационной безопасности

Должностная инструкция администратора информационной безопасности вычислительной сети

Содержание 1.1. Настоящая должностная инструкция определяет функциональные обязанности, права и ответственность администратора информационной безопасности вычислительной сети.

1.2. Работник назначается на должность и освобождается от должности в установленном действующим трудовым законодательством порядке, приказом Генерального директора ООО «ХХХ». 1.3. Работник подчиняется непосредственно Руководителю группы информационной безопасности Компании.

1.4. На должность Работника назначается лицо, имеющее высшее профессиональное (техническое) образование по профилю деятельности и стаж работы по специальности не менее 3 (трех )лет, быть абсолютно лояльным и заслуживать полное доверие со стороны руководства Компании. 1.5. Работник должен знать:

  1. Принципы построения вычислительных сетей.
  2. Структуру комплексной вычислительной сети Компании, методы и правила резервного копирования информации, принципы администрирования вычислительных сетей.
  3. Принципы функционирования серверов баз данных, репликации между серверами.
  4. Требования режима секретности, сохранности служебной и коммерческой тайны, неразглашения сведений конфиденциального характера.
  5. Правила по охране труда, производственной санитарии и пожарной безопасности.
  6. Постановления, распоряжения, приказы и другие руководящие, методические и нормативные документы, касающиеся методов программирования и использования вычислительной техники при обработке информации.
  7. Перспективы развития вычислительной сети Компании.
  8. Основы экономики, трудового законодательства.

1.6.

В период временного отсутствия Работника его обязанности возлагаются на сотрудника группы информационной безопасности, определенного и назначенного в установленном порядке. Данное лицо приобретает соответствующие права и несет ответственность за надлежащие исполнение возложенных на него обязанностей. 1.7. Работник подчиняется непосредственно Руководителю группы информационной безопасности.

В должностные обязанности администратора информационной безопасности вычислительной сети входит: 2.1. Обеспечивает информационную безопасность вычислительной сети Компании.

2.2. Разрабатывает правила эксплуатации вычислительной сети, определяет полномочия пользователей вычислительной сети по доступу к ресурсам вычислительной сети, осуществляет административную поддержку (настройку, контроль и оперативное реагирование на поступающие сигналы о нарушениях установленных правил доступа, анализ журналов регистрации событий безопасности и т.п.). 2.3. Участвует в разработке технологии обеспечения информационной безопасности Компании, предусматривающей порядок взаимодействия подразделений Компании по вопросам обеспечения безопасности при эксплуатации вычислительной сети и модернизации ее программных и аппаратных средств.

2.4. Предотвращает несанкционированные модификации программного обеспечения, добавление новых функций, несанкционированный доступ к информации, аппаратуре и другим общим ресурсам вычислительной сети Компании. 2.5. Осуществляет сопровождение и, при необходимости, доработку внедренных программных средств по информационной защите Компании.

2.6. Разрабатывает программы для информационной защиты вычислительной сети и сетевых приложений Компании. 2.7. Разрабатывает способы и методы организации доступа пользователей вычислительной сети к ресурсам вычислительной сети Компании. 2.8. Ведет журналы, необходимые для нормального функционирования вычислительной сети Компании.

2.9. Информирует руководство Компании об уязвимых местах вычислительной сети, возможных путях несанкционированного доступа и воздействия на вычислительную сеть Компании.

3.1. Администратор информационной безопасности вычислительной сети имеет право:

  1. сообщать руководителю Группы информационной безопасности обо всех выявленных в процессе осуществления должностных обязанностей недостатках и сбоях информационной безопасности Компании и вносить предложения по их устранению в пределах своей компетенции;
  2. участвовать в проверках и профилактическом обслуживании сторонними специалистами аппаратно–программных средств Компании;
  3. участвовать в разборе конфликтных ситуаций, связанных с нарушением информационной безопасности Компании;
  4. привлекать специалистов соответствующих структурных подразделений Компании к выполнению возложенных на него должностных обязанностей в случаях, предусмотренных организационно – распорядительной документацией в части касающейся работы Группы информационной безопасности Компании.
  5. на предоставление ему работы, обусловленной трудовым договором;
  6. на предоставление ему полной и достоверной информации об условиях труда и требованиях охраны труда на рабочем месте;
  7. на взаимодействие с другими подразделениями Компании для решения оперативных вопросов своей профессиональной деятельности;
  8. на получение материалов и документов, относящихся к своей деятельности, ознакомление с проектами решений руководства Компании, касающимися его деятельности;
  9. представлять на рассмотрение своего непосредственного руководителя предложения по вопросам своей деятельности;
  10. запрашивать и получать от сотрудников Компании информацию и документы, необходимые для выполнения своих должностных обязанностей;
  11. на предоставление ему рабочего места, соответствующего государственным нормативным требованиям охраны труда;
  12. на профессиональную подготовку, переподготовку и повышение своей квалификации в порядке, установленном Трудовым кодексом РФ, иными федеральными законами;

3.2.

Работник вправе требовать от Компании оказания содействия в исполнении своих должностных обязанностей. Администратор информационной безопасности вычислительной сети Компании несет административную и уголовную ответственность в соответствии с действующим законодательством Российской Федерации, и нормативными актами в следующих случаях: 4.1. Разглашения сведений, составляющих коммерческую тайну Компании, ставшую ему известной в связи с исполнением должностных обязанностей.

4.2. Использование знаний служебной информации и (или) сведений, содержащих коммерческую тайну, которые стали известны в связи с исполнением должностных обязанностей для занятия любой деятельностью, которая в качестве конкурентного действия может нанести ущерб Компании.

4.3. Неисполнение или ненадлежащее исполнение своих обязанностей, предусмотренных настоящей должностной инструкцией, — в соответствии с действующим трудовым законодательством.

4.4. Нарушение правил техники безопасности и инструкции по охране труда. 4.5. Непринятие мер по пресечению выявленных нарушений правил техники безопасности, противопожарных и других правил, создающих угрозу деятельности Компании и ее сотрудникам. 4.6. Правонарушения, совершенные в период осуществления своей деятельности, в соответствии с действующим гражданским, административным и уголовным законодательством.
4.6. Правонарушения, совершенные в период осуществления своей деятельности, в соответствии с действующим гражданским, административным и уголовным законодательством.

4.7. Причинение материального ущерба — в соответствии с действующим законодательством РФ.

5.1. Режим работы Работника определяется в соответствии с Правилами внутреннего трудового распорядка, установленными в Компании. 5.2. В связи с производственной необходимостью Работник обязан выезжать в служебные командировки (в т.ч. местного значения). Настоящая документ не порождает записей.

Все сотрудники Группы информационной безопасности.

Специфика работы администратора по безопасности

Чем занимается администратор по безопасности?

Настраивает механизмы защиты ОС и СУБД, конфигурирует межсетевые экраны, средства обнаружения атак, предоставляет пользователям права на доступ к ресурсам сети и к базам данных, анализирует журналы регистрации ОС и средств защиты информации.

В крупной информационной системе функционирует большое число компьютеров: рабочие станции, файловые серверы, серверы баз данных и приложений. Часто корпоративная сеть является гетерогенной, а стало быть, в разных операционных системах и СУБД механизмы защиты настраиваются по-разному.

Поэтому назначение прав доступа сотрудников к корпоративным ресурсам и контроль за их соблюдением в гетерогенных системах — задача трудоемкая и нетривиальная. Для того чтобы выявить попытки несанкционированных действий, необходимо просмотреть все журналы регистрации ОС, СУБД и брандмауэров.

В то же время в силу различного именования пользователей и различной степени подробности регистрируемых событий в разных системах получить представление о реальных действиях сотрудника затруднительно.

Должностная инструкция системного администратора, должностные обязанности системного администратора, образец должностной инструкции системного администратора

  1. 23 декабря 2009

Должностные обязанности системного администратора включают и поддержку рабочего состояния сервера, и обеспечение сетевой безопасности, и помощь пользователям. Кстати, последние были бы не против, если бы в должностной инструкции системного администратора появился и такой пункт:

«Появляться мгновенно, объяснять понятно и выручать незамедлительно»

.

Но наш образец должностной инструкции системного администратора более консервативен.Должностная инструкция системного администратораУТВЕРЖДАЮ Генеральный директор Фамилия И.О. ________________ «________»_____________ ____ г.1. Общие положения1.1. Системный администратор относится к категории специалистов.

1.2. Системный администратор назначается на должность и освобождается от нее приказом генерального директора компании по представлению технического директора / руководителя структурного подразделения.

1.3. Системный администратор подчиняется непосредственно техническому директору / руководителю структурного подразделения. 1.4. На время отсутствия системного администратора его права и обязанности переходят к другому должностному лицу, о чем объявляется в приказе по организации. 1.5. На должность системного администратора назначается лицо, отвечающее следующим требованиям: высшее профессиональное (техническое, математическое, экономическое) образование и стаж аналогичной работы не менее полугода.

1.6. Системный администратор должен знать: — технико-эксплуатационные характеристики, конструктивные особенности, назначение и режимы работы оборудования, правила его технической эксплуатации; — аппаратное и программное обеспечение сетей; — принципы простейшего ремонта аппаратного обеспечения; — нормализованные языки программирования; — действующие стандарты, системы счислений, шифров и кодов; — методы программирования; — системы организации комплексной защиты информации, способы предупреждения несанкционированного доступа к информации. 1.7. Системный администратор руководствуется в своей деятельности: — законодательными актами РФ; — Уставом компании, Правилами внутреннего трудового распорядка, другими нормативными актами компании; — приказами и распоряжениями руководства; — настоящей должностной инструкцией.2. Должностные обязанности системного администратораСистемный администратор выполняет следующие должностные обязанности: 2.1.Устанавливает на серверы и рабочие станции сетевое программное обеспечение.

2.2. Конфигурирует систему на сервере. 2.3. Обеспечивает интегрирование программного обеспечения на файл-серверах, серверах систем управления базами данных и на рабочих станциях. 2.4. Поддерживает рабочее состояние программного обеспечения сервера и рабочих станций.

2.5. Регистрирует пользователей, назначает идентификаторы и пароли. 2.6. Обучает пользователей работе в сети, ведению архивов; отвечает на вопросы пользователей, связанные с работой в сети; составляет инструкции по работе с сетевым программным обеспечением и доводит их до сведения пользователей. 2.7. Контролирует использование сетевых ресурсов.

2.8. Организует доступ к локальной и глобальной сетям. 2.9. Устанавливает ограничения для пользователей по: — использованию рабочей станции или сервера; — времени; — степени использования ресурсов.

2.10. Обеспечивает своевременное копирование и резервирование данных. 2.11. Участвует в восстановлении работоспособности системы при сбоях и выходе из строя сетевого оборудования.

2.12. Проводит мониторинг сети, разрабатывает предложения по развитию инфраструктуры сети.

2.13. Обеспечивает: — сетевую безопасность (защиту от несанкционированного доступа к информации, просмотра или изменения системных файлов и данных); — безопасность межсетевого взаимодействия. 2.14. Готовит предложения по модернизации и приобретению сетевого оборудования. 2.15. Осуществляет контроль за монтажом оборудования специалистами сторонних организаций.

2.16. Выполняет отдельные служебные поручения своего непосредственного руководителя.3. Права системного администратораСистемный администратор имеет право: 3.1. Устанавливать и изменять правила пользования сетью. 3.2. Знакомиться с проектами решений руководства предприятия, касающимися его деятельности.

3.2. Знакомиться с проектами решений руководства предприятия, касающимися его деятельности. 3.3. Представлять руководству предложения по совершенствованию своей работы и работы компании.

3.4. Сообщать своему непосредственному руководителю о всех выявленных в процессе своей деятельности недостатках и вносить предложения по их устранению. 3.5. Запрашивать лично или по поручению руководства предприятии от руководителей структурных подразделений и специалистов информацию и документы, необходимые для выполнения его должностных обязанностей. 3.6. Требовать от руководства создания нормальных условий для выполнения служебных обязанностей и сохранности всех документов, образующихся в результате деятельности компании.

3.7. Принимать решения в пределах своей компетенции.4.

Ответственность системного администратораСистемный администратор несет ответственность: 4.1. За невыполнение и/или несвоевременное, халатное выполнение своих должностных обязанностей. 4.2. За несоблюдение действующих инструкций, приказов и распоряжений по сохранению коммерческой тайны и конфиденциальной информации.

4.3. За нарушение правил внутреннего трудового распорядка, трудовой дисциплины, правил техники безопасности и противопожарной безопасности.

Поделиться:

ИБ. Администратор безопасности VS Лицо, ответственное за безопасность

При распределении ответственности в области ИБ необходимо как-то назвать роли, описать их функции, права, ответственность и назначить конкретным работникам. В НПА часто есть обязанности назначить работников ответственными за что-то, но это не значит, что организации должны именно так называть роли – вообще то, вы вольны выбрать любое наименование роли, лишь бы для ней были прописаны нужные функции и ответственность.

Но по моим наблюдениям, организации стараются назвать роль именно так как указано в НПА, например, “приказываю .

Иванова И.И. назначить лицом, ответственным за обеспечение безопасности объектов КИИ” или “… назначить администратором безопасности объектов КИИ” или “… назначить лицом, ответственным за обеспечение безопасности ПДн” или “… назначить администратором ИБ в системе XXX”.

Понятно, что от смены названия, суть не меняется, но всё-таки интересно, если в вашей организации только один работник занимается ИБ, как называется его роль? Или у вас выделены все эти роли? Или может быть у вас за все ответственность подразделение ИБ?

Загрузка.Аргументы за “лицо, ответственное за безопасность”:· Постановление правительства РФ №1119 пункт 14· Приказ ФСТЭК России № 235, пункт 10, 11, 12, 13, 14· Приказ ФСТЭК России № 21, мера УКФ.3· Приказ ФСТЭК России № 17, пункт 9· Приказ ФСБ России № 378, пункт 17· ГОСТР 57580.1—2017, мера ЖЦ.17· Положение ЦБ РФ № 382-П, пункт 2.2, 2.3.1, 2.14.4, Как правило вместе с лицом, ответственным за обеспечение безопасности упоминаются функции:· Разрабатывать предложения по совершенствованию · Проводить анализ угроз· Обеспечивать реализацию мероприятий, эксплуатацию СЗИ· Разработка и контроль выполнения планов мероприятий · Осуществлять реагирование на инциденты· Координацию деятельности других сотрудников по вопросам ИБАргументы за “администратора безопасности”:· Приказ ФСТЭК России № 239, пункт 12.3 г), пункт 13.3· Приказ ФСТЭК России № 17, пункт 18.1 · Методический документ ФСТЭК России “меры защиты информации в ГИС”, меры УПД.5, ОПС.1, РСБ.3, АВЗ.1, СОВ.1, АНЗ.1, ЗИС.1Как правило вместе с администратором (или администрированием) безопасности упоминаются функции:· Администрирование подсистемы безопасности· Управление учетными записями· Управление СЗИ· Обновление ПО· Мониторинг событий ИБТакже в НПА встречаются упоминания частных ролей “лицо, ответственное за реагирование на инциденты”, “лицо, ответственное за использование СЗИ”, “лицо, ответственное за планирование мероприятий”, “лицо ответственное за контроль”, но они в жизни встречаются гораздо реже.

5. Требования к рабочей станции и инструментальным средствам администратора информационной безопасности

5.1.

Рабочая станция администратора информационной безопасности должна представлять собой специально выделенную для администратора информационной безопасности ПЭВМ, которая является пунктом управления и контроля уровня защиты АИС и ее ресурсов.5.2. Рабочая станция администратора информационной безопасности размещается в изолированном помещении, доступ в которое регулируется правилами внутреннего распорядка.5.3. Инструментальные средства, установленные на рабочей станции администратора безопасности (программные, аппаратные, программно-аппаратные), должны позволять эффективно решать поставленные перед ним задачи.5.4.

В составе АИС должна быть выделена резервная рабочая станция сети для администратора безопасности, которая должна иметь такую же комплектацию, как и основная.Официальныйэлектронный текстТекст документа сверен по:рассылка

5. Права и ответственность Администратора информационной безопасности

5.1. Администратор ИБ имеет право:5.1.1.

Анализировать права доступа к ресурсам на серверах АС и РС пользователей.5.1.2.

Требовать от администраторов и пользователей АС выполнения инструкций по обеспечению безопасности и защите информации в АС.5.1.3. Участвовать в служебных расследованиях по фактам нарушения установленных требований обеспечения информационной безопасности, НСД, утраты, порчи защищаемой информации и технических компонентов АС.5.1.4. Осуществлять оперативное вмешательство в работу пользователя при явной угрозе безопасности информации в результате несоблюдения установленной технологии обработки информации и невыполнения требований по безопасности с последующим докладом руководству.5.1.5.

Производить анализ защищенности АС путем применения специального ПО, осуществления попыток взлома системы защиты АС. Такие работы должны проводиться в часы наименьшей информационной нагрузки с обязательным согласованием с начальником управления автоматизации.5.1.6.

Вносить свои предложения по совершенствованию мер защиты в АС.5.2. Администратор ИБ несет ответственность за:5.2.1.

Реализацию принятой политики информационной безопасности;5.2.2. Программно-технические и криптографические СЗИ, а также за качество проводимых им работ по обеспечению защиты информации в соответствии с функциональными обязанностями.Скачать ZIP файл (22489)Пригодились документы — поставь «лайк» или поддержи сайт материально:4+

Новости

  1. 13 284
  2. 14 ноя 2006

В наше время трудно кого-либо удивить происшествиями в области информационной безопасности. Все чаще мы сталкиваемся с различными угрозами в этой области.

Практически каждый день приносит все новые и новые сведения об атаках хакеров (заметим, только что обнаруженных и нередко успешных), вирусных эпидемиях, атаках со стороны обиженных сотрудников. Именно последние становятся наибольшей угрозой в различных организациях.Картина вырисовывается безрадостная, а выход состоит в создании хорошо подготовленного подразделения — службы защиты информации, или, как ее еще называют, службы компьютерной безопасности.Казалось бы, можно возложить эти задачи на системного администратора или в крайнем случае создать отдельную единицу — администратора информационной безопасности в составе ИТ- подразделений.Допустим, вы решили выбрать один из этих двух вариантов.

Давайте рассмотрим, к чему же это приведет.В первом случае системный администратор, фыркнув про себя, повернется и уйдет, думая, что он и так занимается вопросами информационной безопасности. Но у него и без того масса работы, а следовательно, либо задачи по защите информации будут выполняться в последнюю очередь, либо качество остальной работы заведомо ухудшится.

Кроме того, системный администратор, в силу своего подхода к решению подобных задач, постарается решить ее исключительно техническими методами. И это приведет к тому, что задача решена не будет, так как информационная безопасность — это комплекс организационно-технических мер, и одних лишь технических методов решения здесь недостаточно.Второй вариант лучше предыдущего, но не намного.

В этом случае финансирование защиты информации будет осуществляться по остаточному принципу. Будет ли руководство фирмы прислушиваться к мнению какого-то там администратора информационной безопасности? Тем более если мнение последнего будет противоречить мнению начальника службы ИТ?

А ведь любое предположение администратора информационной безопасности будет «портить жизнь» персоналу ИТ-службы. Как вы думаете, долго ли начальник ИТ-службы будет терпеть самостоятельного администратора информационной безопасности?Служба информационной безопасности должна быть самостоятельным подразделением и подчиняться напрямую первому лицу в организации.«Люди, ведающие воротами, оружием и охраной, зачастую действуют автономно от сотрудников, занимающихся ИТ, — комментирует Крис Кристиансен, аналитик IDC.

— Необходимо, однако, иметь информацию о том, кто был в здании, куда пошел, к каким информационным системам мог получить доступ. Две службы, отвечающие за безопасность, должны работать скоординированно, и тогда каждая из них станет сильнее». Наверное, в будущем мы увидим объединение служб физической и информационной безопасности, однако, на мой взгляд, это эволюционный процесс и на данном этапе еще довольно сложно найти людей, которые были бы специалистами в обоих вопросах.В большинстве случаев специалисты в области информационной безопасности ничего не понимают в безопасности физической, и наоборот, поэтому насильственное слияние двух подразделений будет только мешать работе.
Наверное, в будущем мы увидим объединение служб физической и информационной безопасности, однако, на мой взгляд, это эволюционный процесс и на данном этапе еще довольно сложно найти людей, которые были бы специалистами в обоих вопросах.В большинстве случаев специалисты в области информационной безопасности ничего не понимают в безопасности физической, и наоборот, поэтому насильственное слияние двух подразделений будет только мешать работе.

Печальные свидетельства тому имеются в изобилии.

При подчинении одной службы другой на подчиненной будут просто экономить. Зачем оплачивать то, чего не понимаешь! Мой практический опыт показал, что на данном этапе эти службы должны работать в тесном сотрудничестве, но не быть во взаимном подчинении.Вместе с тем стоит помнить, что не бизнес существует ради безопасности, а безопасность существует ради бизнеса!

На предприятии должна быть создана устойчивая «треугольная» структура — «аудит — служба защиты информации — ИТ-служба».

Необходимо четко определить границы ответственности, чтобы служба информационной безопасности не превратилась в не подвластного никому, все контролирующего монстра.Как только речь заходит о средствах защиты информации, все сразу вспоминают межсетевые экраны и антивирусные программы, но это не панацея.

Какое бы приложение вы ни купили, потребуется человек, который будет его обслуживать. Нет ничего хуже, чем великолепное антивирусное программное обеспечение, которое содержит старые антивирусные базы.

Руководство уверено, что антивирусная защита существует, но ввиду быстрого устаревания антивирусных баз его ценность равна нулю. То же касается и межсетевых экранов.Нетрудно подсчитать, что содержание службы информационной безопасности из трех человек (минимальный состав отдела информационной безопасности — начальник, аналитик и администратор ИБ) обойдется компании намного дешевле возможных убытков.

Следует смириться с тем, что данный отдел никогда не будет приносить явную прибыль, однако его назначение — уменьшить возможные убытки.По сравнению с физической безопасностью информационная находится еще на начальной стадии развития, образно говоря, в младенчестве. Она ориентирована на киберпространство, где все должно быть определено только при помощи нулей и единиц. Это приводит к непониманию со стороны руководства необходимости различных мер защиты.

Чтобы обосновать приобретение соответствующих технических и программных средств, необходимо объяснить их назначение простым и понятным руководству языком.Специалисты, где вы?Существует два пути создания службы информационной безопасности.

Первый — создание отдела информационной безопасности за счет подготовки, реорганизации и перераспределения ИТ-специалистов. Для отражения вирусной атаки можно привлечь собственных программистов, но в этом случае их основная работа окажется невыполненной.

И неизвестно, что обойдется дешевле — набрать новый отдел или дергать своих сотрудников.

«Хорошая безопасность означает предотвращение вирусов и атак, их своевременное обнаружение и немедленную реакцию на них.

Если вы не создаете команду для обеспечения этого процесса, вы подвергаете свою компанию более высокому риску, связанному с последствиями внешних атак», — говорит Девид Соул, исполнительный вице-директор и директор информационной службы страховой компании Zurich North America.На практике трудно оценить урон, который может быть нанесен в результате хакерских атак.

Можно оценить ущерб от вирусной атаки или от потери информации.

Но как подсчитать ущерб, нанесенный репутации организации? Как правильно оценить ущерб от недополученной прибыли?

Многие, и автор этой статьи в их числе, считают, что нельзя отвлекать ИТ-персонал от их прямых обязанностей для решения задач безопасности, потому что решение бизнес-задач отодвинет задачи обеспечения безопасности на задний план. Ведь основное дело компании — получать прибыль, а не обеспечить собственную безопасность.Поиск талантливых профессионалов по безопасности может быть весьма трудным, а переподготовка имеющихся кадров в области ИТ и новичков в области безопасности — долгой и дорогостоящей.

Возможен еще один вариант — привлечение внешних компаний для решения проблем безопасности. Но в этом случае вы должны будете избрать ту компанию, которой вы готовы доверить все свои секреты.Менеджеры, ведущие поиск талантливых, опытных специалистов по безопасности, знают, что их не так много. Разрыв между спросом и предложением на таких специалистов очень велик.Рекомендации по подбору персонала — Вам нужно понять, для чего вы нанимаете специалиста.

Ни один уважающий себя профессионал в области безопасности не захочет работать в компании, которая не понимает, для чего его нанимают. — Будьте готовы, что квалифицированная помощь стоит дорого. — Индустрия безопасности — очень закрытая область, поэтому стоит заранее обратить внимание на специалистов из секретных служб, армии.Университеты, которые имеют хорошие учебные программы с курсами по информационной безопасности, также могут предоставить начинающих специалистов.

— Можно искать специалистов в компаниях, предоставляющих услуги по безопасности.Если вы по тем или иным причинам не желаете или не можете искать специалистов на стороне — обратите внимание на собственный персонал.

Перед вами обязательно встанут вопросы отбора кандидатов и их обучения. Наиболее подходящие кандидаты — сетевые администраторы.

Они обладают хорошими техническими знаниями и некоторым представлением о решении проблем безопасности.

Кандидаты для переподготовки должны быть добровольцами. Нельзя заставить заниматься безопасностью «из-под палки».

При отборе кандидатов обращайте внимание на наличие навыков межличностного общения.

Основное в работе сотрудника информационной безопасности — умение общаться с людьми. Эта работа связана не только и не столько с техникой и технологиями, сколько с умением говорить с людьми, заниматься организационными вопросами, писать документы и даже быть немного психологом! Кроме того, если человек занимается безопасностью, то он должен понимать, что на этой работе друзей у него нет!

Ведь ему всегда нужно понимать, что предают только свои!ИТ-специалисты и значительная часть ИТ-руководителей нередко воспринимают ИТ как привлекательную дорогую игрушку, которую хочется «потрогать», изучить, проверить на прочность и т.

п. Проблемы предприятия, в том числе проблемы информационной безопасности, этих людей волнуют в той степени, в какой позволяют приобретать эти самые игрушки за деньги предприятия.Чтобы ИТ-инженеры стали специалистами по информационной безопасности, должны измениться акценты их сознания. Им следует не развлекаться с ИТ-игрушками, а защищать предприятие. Вероятно, это самое сложное — научить людей мышлению охранников, защитников рубежей своего предприятия или организации.

Это все равно что из разгильдяев мальчишек сделать солдат и офицеров — защитников Отечества.Итак, вы набрали кандидатов в подразделение. Чему их следует учить?В учебную программу должны входить: — теоретические и методологические основы защиты информации; — правовые основы защиты информации; — основы криптографии; — основы сетевой информационной безопасности; — аудит информационной безопасности; — создание организационных документов в области защиты информации (политика безопасности, правила при работе в Internet, правила работы с электронной почтой, политика аутентификации и пр.).Вы скажете, что это слишком много. Можно обойтись лишь антивирусными программами, файерволами, системами обнаружения вторжений и т.

д.На самом деле нет. Попробуем продемонстрировать это на примере использования электронной почты.Предположим, ваш сотрудник систематически передает информацию конкурентам посредством электронной почты.

Что вы можете сделать, если обнаружили это?

Оказывается — ничего! Если вы начнете проверять его почту (организационных документов у вас в фирме нет, напомню), то сразу возникнет вопрос — что нарушил ваш сотрудник? Положение о коммерческой тайне? Так его нет. Положение о недопустимости отсылки подобных документов через Internet? А каких подобных? Кроме того, ведь вы сами нарушаете Конституцию, в частности ее главы о личной переписке.

А каких подобных? Кроме того, ведь вы сами нарушаете Конституцию, в частности ее главы о личной переписке. Пока не принят документ о том, что вся переписка принадлежит фирме, по закону она личная!

Итак, я надеюсь, вы поняли, что без юридически значимых документов вы не сможете привлечь к ответственности вашего сотрудника.

Мало того, еще и вас могут привлечь к суду.Предположим, что вы создали подразделение, нашли хороших работников, теперь вы должны их удержать. Инструменты, признание значимости и высокий уровень оплаты — вот основные факторы успеха.Инструменты.

Профессионалы, работающие в области информационной безопасности, стремятся стать профессионалами с большой буквы, асами своего дела, специалистами на вершине пирамиды. Использование самых новых инструментов и технологий позволит им чувствовать себя на передовых рубежах своей профессии. Если вы обладаете разнообразной информационной средой, не забудьте сказать им об этом.

Среди самых желанных «игрушек» для специалистов по безопасности можно назвать Nessus, LAN Guard, XSpider (сканеры сетевой безопасности), Snort (инструментарий обнаружения атак), RAT (Router Analysis Tool, системный тестер маршрутизаторов).Признание значимости. Для привлечения кандидатов в качестве дополнительных стимулов предложите им оплату переподготовки, сертификации и участия в конференциях.

Рекомендуем прочесть:  Как исправить баланс за 2021

Несмотря на то что большинство экспертов в области информационной безопасности считают, что сертификация не столь необходима, как навыки и опыт, наличие сертификата по окончании курсов поднимает их престиж в глазах учащихся и заставляет относиться серьезнее к процессу обучения. Такие производители инструментов по безопасности, как Symantec, Cisco Systems и Check Point Software Technologies, представляют собственные курсы подготовки по своим продуктам. Но такие курсы стоят очень дорого.

Специалисты по безопасности «расцветают» от признания заслуг. Они могут потерять интерес к работе, если не чувствуют поддержку руководства.

Это, конечно, справедливо для любой категории работающих, но специалисты этого профиля имеют самый широкий доступ ко всем вашим секретам.

Поэтому в спорах между сотрудниками ИТ и сотрудниками ИТ-безопасности необходимо находить золотую середину (безопасность не мешает бизнесу, бизнес не мешает безопасности).

Однако следует помнить о разумной достаточности безопасности. Если ваши секреты стоят 10 тыс. долл., то неразумно покупать систему безопасности за 100 тыс.

долл.Высокий уровень оплаты. Это основной инструмент признания.

Не забывайте, что зарплата специалиста по безопасности должна быть на высоком уровне.Необходимо, чтобы ваши сотрудники регулярно отслеживали угрозы с помощью таких ресурсов, как www.bezpeka.com (Украина), www.security-lab.ru (Россия), www.bugtraq.ru (Россия) и многие-многие другие.Безусловно, ни одна из указанных мер вам не поможет, если ваши специалисты в области ИТ не понимают необходимости введения мер безопасности.Вместе с тем хотелось бы предостеречь сотрудников отделов информационной безопасности от опасности «задрать нос» и мыслей о том, что их будут бояться из-за статуса, а значит, будут слушать и уважать. Решающую роль в обеспечении безопасности будет решать их реальный авторитет как специалистов в своей области, а не статус и тем более не страх!

Для успеха необходимо полноценное взаимодействие со всеми сотрудниками фирмы. Реально информационной безопасностью на фирме занимаются все! Служба ИБ — только контролирует, обучает и управляет усилиями пользователей, от уборщицы до директора.

Первой и главной задачей сотрудников службы является умение зарабатывать реальный авторитет не статусом, не словами, а делами.Литература: 1. Беркман Э. Как подобрать персонал для обеспечения безопасности// ДИС, 2002, № 12. 2. Безмалый В. Ф. Безмалая Е.

В. Создание отдела информационной безопасности, или Строим забор своими руками. http://www.diwaxx.ru/hak/zabor.php.

3. Лукацкий А. В. Информационная безопасность. Как обосновать. Компьютер Пресс, 2000, №11Автор: Владимир Безмалый — руководитель программы подготовки администраторов информационной безопасности учебного центра «Академия БМС Консалтинг»,

Инструкция администратора по информационной безопасности

Инструкция администратора безопасности ИСПДн определяет должностные обязанности администратора безопасности ИСПДн.

Инструкция администратора безопасности ИСПДн разрабатывается на основании действующих нормативных документов по защите персональных данных.

Инструкция должна:

  1. в случае уточнения обязанностей администратора безопасности ИСПДн, вследствие специфических особенностей учреждения, в инструкцию должны быть внесены соответствующие изменения.
  2. содержать данные о лице, которому непосредственно подчиняется администратор безопасности ИСПДн.
  3. быть утверждена руководителем подразделения ответственного за обеспечение режима безопасности или специально уполномоченным сотрудником;

Администратор безопасности информации назначается из числа сотрудников оператора и обеспечивает правильное использование и функционирование установленных средств защиты информации от несанкционированного доступа. Инструкция администратора безопасности ИСПДн обычно состоит из 3 разделов: основные функции, права и обязанности администратора безопасности информационной системы персональных данных.

К должностным обязанностям администратора безопасности ИСПДн относят: 1.Обеспечивать правильное функционирование и поддерживать работоспособность средств и средств защиты информации от несанкционированного доступа; 2.В случае отказа средств защиты информации от несанкционированного доступа принимать меры по их восстановлению; 3.Проводить инструктаж пользователей по правилам работы на ПЭВМ, с установленными средствами защиты информации от несанкционированного доступа; 4.Немедленно докладывать (по подчиненности) ответственному за эксплуатацию ИСПДн, руководителю оператора или лицу, исполняющему его обязанности, о фактах и попытках несанкционированного доступа к персональным данным, о неправомерных действиях пользователей или иных лиц, приводящих к нарушению требований по защите информации, а также об иных нарушениях требований информационной безопасности ИСПДн. 5.Вносить изменения в документацию ИСПДн в соответствии с требованиями нормативных документов в части, касающейся средств защиты информации от несанкционированного доступа; 6.Проводить работу по выявлению возможных каналов утечки конфиденциальной информации, вести их учёт и принимать меры к их устранению; 7.Осуществлять не реже одного раза в неделю обновление антивирусных баз на ПЭВМ в ИСПДн; 8.Контролировать целостность (неизменность, сохранность) программного обеспечения, разрешительной системы доступа, а при обнаружении фактов изменения проверяемых параметров немедленно докладывать по подчинённости; 9.Вводить полномочия работников в разрешительную систему доступа, обеспечивать их своевременную корректировку; 10.Регистрировать факты выдачи внешних носителей в журнале учета выдачи внешних носителей. 11.Требовать от пользователей прекращения обработки информации ИСПДн при появлении информации о возможном проведении технической разведки в отношении ИСПДн.

12.Контролировать действия пользователей по правильности затирания информации на внешних накопителях информации т.д.

Выполняемая работа

Если со стороны посмотреть на банковского администратора информационной безопасности, то может возникнуть образ такого шпиона, который следит в офисе банка за всеми работниками.

Не в буквальном смысле этого слова, а следит за всеми их действиями на рабочих компьютерах. Но этот образ не соответствует действительности.

Может в каких то местах такие обязанности и возлагаются на специалистов по информационной безопасности, но в большинстве банков они занимаются совсем другим. Его основное рабочее время занято двумя делами — ведением многочисленной документации и выдачи носителей сертификатов по безопасному доступу к различным данным.

Настройка такого рода доступа считается основой для защищенной передачи данных внутри информационной системы банка. Таким же образом настраивается для связь с внешними источниками, такими как различные системы электронных денежных переводов, интернет-банки физических и юридических лиц. Процесс происходит в большинстве случаев так — принимается заявка от пользователя, это может быть кассир банка или клиент.

проверяется на корректность заполнения и на её основе формируется еще одна заявка в криптографический отдел.

Там уже происходит генерация ключевых данных и они либо передаются заявителям электронно, либо загружаются на особый носитель, внешне похожие на флэшку, он называются eToken. Их получает администратор информационной безопасности и передает под роспись непосредственно кассовым работникам или в клиентский отдел, которые уже передают их клиентам банка. В случае с системами переводов нужно наоборот подать заявку на формирование их сертификатов для доступа к сервисам переводов.

Естественно, все эти действия по приему передачи оформляются актами приема-передачи, с выдачей инструкций, тоже под роспись. Еще в обязанности администратора информационной безопасности входит администрирование корпоративного антивируса. Надо следить за регулярным его обновлением, проводить удаленно проверки всех установленных в банке компьютеров, анализировать обнаруженные угрозы.
Надо следить за регулярным его обновлением, проводить удаленно проверки всех установленных в банке компьютеров, анализировать обнаруженные угрозы. Работникам других отделов банка требуется выход в интернет.

Для его получения надо написать заявку, на которую свою подпись ставит и администратор информационной безопасности. Он на основе своих инструкций дает разрешение на доступ в интернет. Есть специальные инструкции, где прописано, работникам на каких должностях положен такой доступ.

Так же дело обстоит с правом подключения USB-носителей информации к рабочим компьютерам и настройкой доступа на различные корпоративные ресурсы банка. Еще ему приходится проводить различное тестирование работников банка на знание ими основ информационной безопасности при работе на банковских компьютерах.

Это рутина, но приходится ее выполнять, хотя и не слишком охотно. С клиентами банка администратор информационной безопасности не работает.

Работа с людьми заключается в общении с работниками банка. Кассиры обычно не могут с первого раза корректно настроить свои сертификаты, работники других отделов тоже порой доставляют много хлопот.

Обязанности главного администратора информационной безопасности

Вы здесь Опубликовано 2008-06-27 19:58 пользователем Valeratal 1. Общие положения 1.1. Настоящий документ определяет основные обязанности, права и ответственность главного администратора информационной безопасности организации. 1.2. Главный администратор информационной безопасности является штатным сотрудником службы обеспечения информационной безопасности.

1.3. Главный администратор информационной безопасности назначается приказом руководителя Организации по представлению руководителя службы обеспечения информационной безопасности согласованному с отделом автоматизации.

1.4. Решение вопросов обеспечения информационной безопасности входит в прямые служебные обязанности главного администратора информационной безопасности. 1.4. Главный администратор информационной безопасности обладает правами доступа к любым программным и аппаратным ресурсам и любой информации на рабочих станциях пользователей (за исключением информации, закрытой с использованием средств криптозащиты) и средствам их защиты.

Он несет ответственность за реализацию принятой в ОГАНИЗАЦИИ политики безопасности, закрепленной в Концепции обеспечения информационной безопасности АС и планах защиты подсистем АС. 2. Обязанности администратора информационной безопасности 2.1.

Знать перечень установленных в подразделениях ОРГАНИЗАЦИИ рабочих станций (АРМ) и перечень задач, решаемых с их использованием 2.2. Осуществлять учет и периодический контроль за составом и полномочиями пользователей различных РС АС.

2.3. Осуществлять оперативный контроль за работой пользователей защищенных РС, анализировать содержимое системных журналов всех РС и адекватно реагировать на возникающие нештатные ситуации.

Обеспечивать своевременное архивирование системных журналов РС и надлежащий режим хранения данных архивов. 2.4. Осуществлять непосредственное управление режимами работы и административную поддержку функционирования применяемых на РС АС ОРГАНИЗАЦИИ специальных технических средств защиты от НСД.

2.5. Присутствовать при внесении изменений в конфигурацию (модификации) аппаратно-программных средств защищенных РС и серверов, устанавливать и осуществлять настройку средств защиты РС, соблюдать “Порядок проверки работоспособности системы защиты после установки (обновления) программных средств“ АС ОРГАНИЗАЦИИ. 2.6. Периодически проверять состояние используемых СЗИ НСД, осуществлять проверку правильности их настройки (выборочное тестирование).

2.7. Периодически контролировать целостность печатей (пломб, наклеек) на устройствах защищенных РС. 2.8. Проводить работу по выявлению возможных каналов вмешательства в процесс функционирования АС и осуществления НСД к информации и техническим средствам ПЭВМ. 2.9. Докладывать руководству службы обеспечения информационной безопасности об имевших место попытках несанкционированного доступа к информации и техническим средствам ПЭВМ.

2.10. По указанию руководства своевременно и точно отражать изменения в организационно-распорядительных и нормативных документах по управлению средствами защиты от НСД, установленных на РС АС.

2.11. Проводить занятия с сотрудниками и администраторами безопасности подразделений по правилам работы на ПЭВМ, оснащенных СЗИ НСД, и по изучению руководящих документов по вопросам обеспечения безопасности информации. 2.12. Участвовать в расследовании причин совершения нарушений и возникновения серьезных кризисных ситуаций в результате НСД.

2.13. Участвовать в работе комиссий по пересмотру Планов защиты.

3. Права главного администратора информационной безопасности 3.1.

Требовать от администраторов информационной безопасности выполнения инструкций по обеспечению безопасности и защите информации в АС. 3.2. Проводить служебные расследования по фактам нарушения установленных требований обеспечения информационной безопасности, несанкционированного доступа, утраты, порчи защищаемой информации и технических компонентов АС.

3.3. Непосредственно обращаться к руководителям технологических подразделений с требованием прекращения работы в АС при несоблюдении установленной технологии обработки информации и невыполнении требований по безопасности. 3.4. Вносить свои предложения по совершенствованию мер защиты в АС.

4. Ответственность главного администратора информационной безопасности 4.1.

На главного администратора информационной безопасности возлагается персональная ответственность за программно — технические и криптографические средства защиты информации, средства вычислительной техники, информационно — вычислительные комплексы, сети и автоматизированные системы обработки информации, закрепленные за ним приказом руководителя ОРГАНИЗАЦИИ и за качество проводимых им работ по обеспечению защиты информации в соответствии с функциональными обязанностями. 4.2. Главный администратор информационной безопасности несет ответственность по действующему законодательству за разглашение сведений, составляющих (государственную, банковскую, коммерческую) тайну, и сведений ограниченного распространения, ставших известными ему по роду работы.

Вид документа: Ключевые слова: Рубрика: Оцените публикацию +1 0 -1

Электронная цифровая подпись

Подскажите, по закону администратор безопасности и лицо, имеющее право электронной цифровой подписью не может быть одно и то же лицо. Однако по документам право на ЭЦП закреплено за директором, и администратором безопасности соответственно он является как руководитель.

Что можно сделать в данной ситуации, чтобы не нарушать закон? 03 Февраля 2015, 20:22, вопрос №712506 Татьяна, г. Самара Свернуть Консультация юриста онлайн Ответ на сайте в течение 15 минут Ответы юристов (1) 48 ответов 14 отзывов Общаться в чате Бесплатная оценка вашей ситуации Юрист, г.

Кострома Бесплатная оценка вашей ситуации В соответствии ст.14 и ст.17 Федерального закона от 06.04.2011 № 63-ФЗ «Об электронной подписи» в электронной подписи содержаться общедоступные персональные данные, которые регулируется Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных». В соответствии ст.3 Федерального закона от 06.04.2011 № 63-ФЗ «Об электронной подписи» средство электронной подписи является шифровальным (криптографическим) средством. В соответствии п.2.6 документа

«Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных»

(утв.

ФСБ РФ 21.02.2008 № 149/6/6-622) Обеспечение функционирования и безопасности криптосредств возлагается на ответственного пользователя криптосредств, имеющего необходимый уровень квалификации, назначаемого приказом оператора (далее — ответственный пользователь криптосредств). Допускается возложение функций ответственного пользователя криптосредств на: — одного из пользователей криптосредств; — на структурное подразделение или должностное лицо (работника), ответственных за обеспечение безопасности персональных данных, назначаемых оператором; — на специальное структурное подразделение по защите государственной тайны, использующее для этого шифровальные средства.

Последние новости по теме статьи

Важно знать!
  • В связи с частыми изменениями в законодательстве информация порой устаревает быстрее, чем мы успеваем ее обновлять на сайте.
  • Все случаи очень индивидуальны и зависят от множества факторов.
  • Знание базовых основ желательно, но не гарантирует решение именно вашей проблемы.

Поэтому, для вас работают бесплатные эксперты-консультанты!

Расскажите о вашей проблеме, и мы поможем ее решить! Задайте вопрос прямо сейчас!

  • Анонимно
  • Профессионально

Задайте вопрос нашему юристу!

Расскажите о вашей проблеме и мы поможем ее решить!

+