У чому полягає робота системного адміністратора?

У чому полягає робота системного адміністратора?

Належне управління та захист персональних даних у компанії є фундаментальним для будь-якої організації. Кожна компанія повинна дотримуватися як Європейського регламенту захисту даних (RODO), так і Закону про захист даних. Однак, ні один, ні інший закон не визначають обов’язку наймати працівника на посаду ASI, тобто контролера інформаційних систем. Вони лише визначають функції контролера даних, уповноважених осіб або відповідального за захист даних. Тож звідки з’явився адміністратор інформаційних систем і що передбачає його робота?

Хто такий системний адміністратор (ASI)?

Контролер інформаційних систем – це особа, яка зобов’язана керувати інформаційною системою (яка використовується при обробці персональних даних). Основним завданням є зв’язок з Уповноваженим із захисту даних. Відповідальний за захист даних відповідає за захист персональних даних, що обробляються організацією, з точки зору ІКТ-безпеки. Ця позиція була особливо актуальною до 25 травня 2018 року.

Однак було визнано, що спеціаліст із захисту даних (DPO) дуже часто не володіє достатніми знаннями щодо ІТ-безпеки. З цієї причини серед персоналу, який займається управлінням та захистом персональних даних, з’явилася посада адміністратора ІТ-систем. Системний адміністратор відповідає за безпеку персональних даних і повинен запобігати доступу сторонніх осіб до системи, в якій обробляються персональні дані.

Важливо усвідомлювати, що кожна секунда збою в роботі сайту чи сервера означає втрату продуктивності, недоотриманий дохід і величезні витрати через простої. Враховуючи велику кількість операційних систем, мережевих конфігурацій та проблем безпеки, про які слід знати, бути успішним системним адміністратором означає, що системний адміністратор (ASI) повинен постійно збагачувати свої знання про ІКТ-системи.

Хто може бути системним адміністратором (ASI)?

Особа, яка бажає стати ASI, повинна володіти необхідними знаннями в галузі “інформаційних технологій” (ІТ), а також постійно цікавитися новими загрозами та рішеннями на тему безпеки даних, що з’являються на ринку. Ці знання можна отримати, відвідуючи спеціалізовані навчальні курси, конференції та інші зустрічі, які тісно пов’язані з цією темою.

Існує також низка різних видів формальностей, пов’язаних з роботою адміністратора ІТ-систем. Особа, яка працює всередині компанії, отримує повноваження на обробку персональних даних. Якщо ви хочете надати такі права зовнішній особі, вам потрібно включити відповідні положення в договір.

Ідеальний кандидат на посаду системного адміністратора повинен мати досвід роботи з базами даних, мережами, оновленням апаратного та програмного забезпечення, проектуванням мереж, інфраструктурою локальної мережі, усуненням збоїв у роботі мережі та користувачів, а також вміти зрозуміло спілкуватися. Він або вона також буде в курсі останніх протоколів безпеки для локальних і глобальних мереж (WAN) і зможе навчити користувачів, як поводитися з підозрілими електронними листами і як дотримуватися принципу конфіденційності інформації.

У чому полягає робота системного адміністратора?

Першочерговим завданням контролера ІТ-систем є співпраця з відповідальним за захист даних. Ця співпраця відбувається з точки зору контролю за дотриманням правил захисту даних компанії в частині, що стосується безпеки ІКТ, і включає в себе ряд завдань, серед яких можна виділити наступні:

Співпрацювати над підготовкою, впровадженням та дотриманням працівниками документів, пов’язаних із захистом персональних даних

Перш за все, це стосується керівництва з управління ІТ-системою. Положення RODO прямо не вказують на достатність процедур у такому документі (на відміну від положень, що застосовувалися раніше). Важливим для RODO є так званий принцип підзвітності, згідно з яким системний адміністратор зобов’язаний впроваджувати відповідні технічні та організаційні гарантії, які повинні бути продемонстровані в рамках проведеного аудиту. Згідно з RODO, кожна компанія повинна прийняти відповідну політику, але сфера застосування цієї політики знову ж таки не визначена. Сфери, які повинні регулюватися організаційними гарантіями в рамках відповідної документації, були надані Президентом Органу з питань захисту даних.

2. співпраця у проведенні періодичних перевірок

Йдеться про контроль за дотриманням положень RODO, інформаційно-роз’яснювальну роботу, навчання працівників, які беруть участь в обробці персональних даних та інших пов’язаних з цим процесах. Однак у нормативних актах нічого не сказано про те, з якою періодичністю мають проводитися такі заходи. Практика застосування нормативних актів, що діяли до прийняття RODO, вказувала на те, що через труднощі, які часто виникають, трудомісткий характер впровадження заходів безпеки та їх модифікацій, а особливо з огляду на швидкість появи нових загроз та розвиток технологій, такі перевірки ІТ-систем повинні проводитися щонайменше раз на рік.

3. захист систем від шкідливого програмного забезпечення

Завданням шкідливих програм і хакерів часто є саме отримання доступу до даних. Адміністратор повинен подбати про те, щоб дані не потрапили до рук сторонніх осіб. Антивірусні програми з актуальною вірусною базою мають важливе значення і повинні бути встановлені не лише на ІКТ-системах компанії, але й на робочих системах, чи то на смартфонах, чи то на планшетах.

4. співпраця в процесі аналізу ризиків

Аналіз ризиків – це процес, під час якого розглядаються сфери, які не були захищені або потребують кращого захисту, оскільки існуючі виявляються недостатніми. Йдеться саме про ті, де існує найбільша ймовірність можливих загроз, що означає вищі ризики щодо безпеки персональних даних. RODO тут також не уточнює, як часто цей процес повинен проводитися. Є лише твердження, що це постійний процес, а не одноразовий. У Керівних принципах Робочої групи зазначено, що аналіз ризиків варто проводити щонайменше раз на три роки.

5. адаптація систем обробки даних до вимог RODO

Це передбачає забезпечення можливості реалізації права на перенесення даних, обмеження обробки або заперечення проти маркетингової діяльності. Тут варто пам’ятати про можливість перевірки дати та часу надання або відкликання такої згоди.

6. співпраця у забезпеченні безперервності роботи системи

ASI також має завдання захистити самі персональні дані разом із програмним забезпеченням, яке використовується для їх обробки, що передбачає регулярне створення резервних копій. Крім того, ASI також повинен подбати про зберігання цих копій, щоб вони не потрапили до чужих рук і не були змінені, пошкоджені або знищені. У більшості випадків резервні копії зберігаються на зовнішніх носіях і надійно захищені в місцях, де заборонений несанкціонований доступ, або в пожежонебезпечних зонах.

7. Захист від загроз з публічної мережі

Такий захист передбачає впровадження фізичних або логічних запобіжників, які захищають від несанкціонованого доступу та програмного забезпечення. Це можуть бути брандмауери, спам-фільтри, віртуальні локальні мережі, пристрої для доступу до виробничих мереж та інші рішення, які враховують конкретні технології та фінансові ресурси.

8. забезпечення аварійного електропостачання та захисту від збоїв

Раптове припинення роботи обладнання та програм для обробки персональних даних часто призводить до втрати або витоку даних. Найчастіше тут використовуються пристрої типу ДБЖ, які підтримують мережу та сервери критично важливих систем до їх безпечного вимкнення. Важливо також впровадити систему сповіщення про перехід на аварійне живлення.

9. нагляд за ремонтом та виведенням з експлуатації комп’ютерного обладнання

Обладнання та носії даних, які підлягають виведенню з експлуатації, ремонту або передачі особі, яка не має права обробляти дані на них, повинні бути очищені від даних таким чином, щоб їх неможливо було відновити в будь-який спосіб. Це має бути зроблено під контролем системного адміністратора, щоб гарантувати, що все буде зроблено правильно.

10. перевірка та технічне обслуговування обладнання та систем, що використовуються для обробки персональних даних

Перевірка та обслуговування повинні проводитися лише з використанням програмного забезпечення, яке має підтримку виробника та регулярно оновлюється. Процес перевірки та оновлення повинен застосовуватися не лише до систем, що використовуються на серверному обладнанні та робочих станціях.

11. безпека приміщень, де обробляються дані

Зазначені приміщення повинні бути захищені від несанкціонованого проникнення або інших випадкових подій.

Варто зазначити, що перелічені завдання – це не всі обов’язки ASI. Це лише його основні завдання. Часто обсяг гарантій, які він/вона впроваджує та контролює, є більшим, ніж зазначено в нормативних документах, а його діяльність пов’язана з іншими нормативними документами, а не лише безпосередньо з RODO.

Безпечна мережа необхідна – гарантуйте її зараз!

Співпраця між DPO та ASI не принесе користі для захисту даних, якщо в компанії відсутня якісна комп’ютерна мережа та інтернет-зв’язок. Це може забезпечити ITH, який пропонує професійні мережеві та інтернет-послуги, які зараз доступні в рамках антикризового щита як Freemium-послуги, якими можна користуватися до 31 грудня 2022 року.

В рамках щита можна спробувати послуги ITH, такі як оптоволоконне з’єднання, публічна IP-підмережа та хостинг всього за один злотий, а вже потім вирішити, чи варто продовжувати користування послугами. Група ITH є, мабуть, першим повністю гнучким телекомунікаційним оператором, який об’єднує низку партнерів, що також пропонують різноманітні послуги, пов’язані з побудовою мережі компанії та її захистом. ITH забезпечує повну безпеку з’єднання.

Все, що вам потрібно зробити, це вибрати найбільш підходящий пакет і перевірити, чи покривається місцезнаходження вашої компанії щитом ITH. Якщо так, то встановлення послуги ITH Net відбудеться приблизно через 7 днів після замовлення. Придбати послуги дуже просто, а самі послуги можуть бути ідеально адаптовані до потреб вашої компанії. Не варто зволікати, адже залишилося не так багато часу, щоб спробувати послуги ITH за такою привабливою акційною пропозицією. Варто ознайомитися з послугами до того, як вам доведеться за них платити.