Цей розділ визначає необхідний склад персоналу, їхні обов’язки, кваліфікаційні вимоги, а також режим роботи для забезпечення ефективного функціонування засобу інформатизації. Вимоги дозволяють гарантувати безперебійну роботу засобу інформатизації, швидке реагування на інциденти та підтримку безпеки.
1. Вимоги до чисельності персоналу
Чисельність персоналу визначається залежно від:
- масштабу та складності засобу інформатизації,
- кількості користувачів,
- режиму роботи системи (24/7, робочі години, зміни тощо).
1.1. Основні категорії персоналу
Залежно від функцій, виділяються такі групи фахівців:
| Категорія | Кількість (мінімальна) | Основні обов’язки |
|---|---|---|
| Адміністратор системи | 1-3 | Управління серверною частиною, моніторинг стану системи, резервне копіювання, оновлення ПЗ. |
| Фахівець з інформаційної безпеки | 1+ | Контроль доступу, виявлення вразливостей, аналіз журналів подій, впровадження політик безпеки. |
| Програміст/Розробник | 1+ | Розробка та підтримка програмного забезпечення, усунення помилок, оптимізація продуктивності. |
| Системний аналітик | 1 | Аналіз бізнес-процесів, оновлення технічної документації, оптимізація функціоналу. |
| Оператор технічної підтримки | 1-5 (залежно від навантаження) | Консультація користувачів, реєстрація та вирішення інцидентів, передача складних випадків на вищі рівні підтримки. |
Примітка: У критичних інформаційних системах або при режимі 24/7 може знадобитися змінний графік роботи з черговими адміністраторами.
2. Вимоги до кваліфікації персоналу
Кваліфікаційні вимоги залежать від складності завдань, покладених на кожного фахівця.
2.1. Базові вимоги до всіх співробітників
- Вища освіта або сертифікати за напрямом (інформаційні технології, кібербезпека, системне адміністрування, розробка ПЗ тощо).
- Досвід роботи від 1-3 років залежно від посади.
- Знання законодавчих вимог щодо інформаційної безпеки та захисту даних.
2.2. Спеціалізовані вимоги
| Посада | Додаткові вимоги |
|---|---|
| Адміністратор системи | Знання Linux/Windows Server, хмарних технологій, систем моніторингу (Zabbix, Prometheus). |
| Фахівець з інформаційної безпеки | Сертифікати CISSP, CEH, ISO/IEC 27001; досвід роботи з SIEM, DLP. |
| Програміст/Розробник | Володіння мовами програмування (Java, Python,), робота з базами даних (PostgreSQL, MongoDB). |
| Системний аналітик | Досвід у BPMN, моделюванні бізнес-процесів, написанні ТЗ. |
| Оператор технічної підтримки | Комунікативні навички, робота з ITSM-системами (Jira). |
3. Вимоги до режиму роботи
Режим роботи визначається критичністю системи:
3.1. Стандартний режим (робочі години)
- Робота в будні дні (понеділок-п’ятниця), 9:00-18:00.
- Чергування одного співробітника підтримки у позаробочий час (за необхідності).
- Адміністратори здійснюють оновлення та технічні роботи в регламентні години (наприклад, уночі або у вихідні).
3.2. Режим безперервної роботи (24/7)
- Для критичних систем потрібна змінна робота персоналу (3 зміни по 8 годин або 2 зміни по 12 годин).
- Чергування спеціалістів технічної підтримки для оперативного реагування.
- Автоматизовані засоби моніторингу з оповіщенням чергових адміністраторів.
3.3. Регламент технічного обслуговування
- Планові оновлення – проводяться в регламентні години (наприклад, 00:00 – 05:00).
- Термінові оновлення безпеки – допускається застосування у будь-який час із попередженням користувачів.
4. Вимоги до навчання та сертифікації персоналу
- Регулярне навчання персоналу (не рідше раз на рік).
- Практичні тренування щодо відновлення після кібератак та аварій.
- Сертифікація відповідно до міжнародних стандартів (ISO/IEC 27001, ITIL, CISSP, CCNA, Microsoft Azure, AWS).
Приклад формулювання у ТВ
- Для забезпечення функціонування засобу інформатизації передбачається залучення персоналу з такими ролями: адміністратор системи, фахівець з інформаційної безпеки, розробник, аналітик, оператор технічної підтримки.
- Система працює у режимі 24/7, чергування адміністраторів здійснюється за змінним графіком.
- Всі співробітники повинні мати відповідну освіту та досвід від 1 до 3 років.
- Раз на рік проводиться перекваліфікація персоналу та тренування з реагування на інциденти.
- Адміністратори здійснюють планові оновлення системи у період 00:00 – 05:00, а екстрені оновлення безпеки – за погодженням із керівництвом.