Посадова інструкція адміністратора безпеки мереж і систем
|
ТОВАРИСТВО З ОБМЕЖЕНОЮ ВІДПОВІДАЛЬНІСТЮ «_______________» (назва підприємства)
|
ЗАТВЕРДЖУЮ
Директор Товариства з обмеженою відповідальністю «________________» підпис Ім’я ПРІЗВИЩЕ «__» ________ 20__ р. |
ПОСАДОВА ІНСТРУКЦІЯ
адміністратора безпеки мереж і систем
(Код КП – 2139.2)
1. Загальні положення
1.1. Ця посадова інструкція визначає функціональні обов’язки, права та відповідальність адміністратора безпеки мереж і систем.
1.2. Призначення на посаду та звільнення здійснюється наказом керівника підприємства.
1.3. У своїй роботі адміністратор безпеки мереж і систем керується:
- законодавством України у сфері інформаційної безпеки, зокрема Законами України «Про інформацію», «Про захист інформації в інформаційно-телекомунікаційних системах», «Про основні засади забезпечення кібербезпеки України»;
- нормативно-правовими актами НКЦК, Держспецзв’язку, НБУ (у разі фінансових систем);
- внутрішніми положеннями та регламентами підприємства;
- наказами і розпорядженнями керівництва;
- цією посадовою інструкцією.
1.4. Адміністратор безпеки мереж і систем безпосередньо підпорядковується керівнику ІТ-підрозділу / директору з інформаційних технологій / керівнику підприємства (залежно від структури).
1.5. На час відсутності (відрядження, відпустка, тимчасова непрацездатність) його обов’язки виконує інша особа, призначена наказом керівника.
2. Завдання та обов’язки
Адміністратор безпеки мереж і систем зобов’язаний:
2.1. Забезпечувати захист інформації в інформаційних та телекомунікаційних системах підприємства від несанкціонованого доступу, втрати чи спотворення.
2.2. Адмініструвати засоби захисту інформації (фаєрволи, антивірусні системи, VPN, системи виявлення вторгнень, резервного копіювання тощо).
2.3. Контролювати доступ користувачів до мережевих ресурсів, встановлювати політики безпеки, обмеження прав, правила автентифікації.
2.4. Проводити моніторинг мережевої активності, аналіз логів та подій безпеки, виявляти потенційні інциденти кібербезпеки.
2.5. Розробляти та впроваджувати плани резервного копіювання, архівування і відновлення даних.
2.6. Здійснювати оновлення програмного забезпечення, своєчасно встановлювати патчі безпеки.
2.7. Забезпечувати захист персональних даних користувачів відповідно до Закону України «Про захист персональних даних».
2.8. Розробляти та підтримувати внутрішні інструкції, політики та регламенти у сфері інформаційної безпеки.
2.9. Проводити аудит інформаційної безпеки, тестування вразливостей, участь у перевірках ІТ-інфраструктури.
2.10. Надавати консультаційну та технічну підтримку користувачам щодо дотримання правил інформаційної безпеки.
2.11. Вести журнали обліку інцидентів, формувати звіти для керівництва.
2.12. Підтримувати в робочому стані сервери, маршрутизатори, комутатори, точки доступу, забезпечуючи їхню кіберстійкість.
3. Права
Адміністратор безпеки мереж і систем має право:
3.1. Отримувати від керівництва всю необхідну інформацію, доступ до систем і ресурсів, необхідних для виконання посадових обов’язків.
3.2. Вимагати дотримання встановлених політик інформаційної безпеки усіма користувачами.
3.3. Вносити пропозиції щодо вдосконалення систем захисту інформації та підвищення рівня кібербезпеки.
3.4. Призупиняти доступ користувача до системи у випадку порушення правил безпеки (з повідомленням керівництва).
3.5. Підвищувати кваліфікацію, проходити навчання та сертифікацію з питань інформаційної безпеки.
3.6. Вимагати створення належних умов праці, включно з технічним забезпеченням і захищеним робочим середовищем.
4. Відповідальність
Адміністратор безпеки мереж і систем несе відповідальність:
4.1. За невиконання або неналежне виконання покладених обов’язків.
4.2. За порушення вимог законодавства у сфері інформаційної безпеки.
4.3. За розголошення службової чи конфіденційної інформації.
4.4. За несвоєчасне реагування на інциденти безпеки або недбале ведення журналів і звітів.
4.5. За збитки, завдані підприємству внаслідок халатності чи умисних дій.
4.6. За порушення трудової дисципліни, правил внутрішнього розпорядку, охорони праці та техніки безпеки.
5. Повинен знати
Адміністратор безпеки мереж і систем повинен знати:
5.1. Законодавство України у сфері інформаційної безпеки, персональних даних, електронних комунікацій.
5.2. Основи мережевих технологій, протоколів TCP/IP, DNS, VPN, VLAN.
5.3. Принципи побудови корпоративних мереж, серверних систем, хмарних сервісів.
5.4. Методи захисту інформації — шифрування, автентифікація, контроль доступу, IDS/IPS, SIEM.
5.5. Правила налаштування засобів безпеки (фаєрволів, антивірусів, проксі, фільтрів трафіку).
5.6. Основи етичного хакінгу, тестування на проникнення, методики реагування на інциденти.
5.7. Програмні та апаратні засоби резервного копіювання і відновлення.
5.8. Основи управління ризиками, аудитів безпеки та ISO/IEC 27001.
5.9. Правила охорони праці, пожежної та електробезпеки.
6. Кваліфікаційні вимоги
Повна вища освіта відповідного професійного спрямування за освітньо-кваліфікаційним рівнем спеціаліста. Без вимог до стажу роботи.
7. Взаємовідносини (зв’язки) за посадою
7.1. Підпорядковується керівнику ІТ-підрозділу або директору з інформаційних технологій.
7.2. Взаємодіє з:
- системними адміністраторами — щодо налаштування мережевої інфраструктури;
- програмістами — з питань безпечної розробки та тестування;
- користувачами — щодо дотримання політик безпеки;
- відділом кадрів — щодо контролю доступів при прийнятті чи звільненні працівників;
- керівництвом — з питань звітності, оцінки ризиків та планування заходів безпеки.
7.3. Отримує завдання та звітує про виконання безпосередньому керівнику.
7.4. Має підтримувати постійну комунікацію з усіма підрозділами підприємства, що працюють із інформаційними системами.
Коментарів ще немає