עיריית פתח תקווה: דרוש/ה: מנהל/ת מחלקה האחראי/ית על תחום אבטחת מידע באגף המחשוב

הגוף המפרסם: עיריית פתח תקווה/אגף המחשוב

מס’ המכרז: 156/2017

התפקיד: דרוש/ה: מנהל/ת מחלקה האחראי/ית על תחום אבטחת מידע באגף המחשוב

מועד אחרון: 11 בספטמבר 2017

תיאור התפקיד: ניהול אבטחת המידע ברשות המקומית בהתאם להוראות הדין הקיים ולנהלי הרשות המקומית ומדיניותה.

תחומי אחריות:  תכנון מדיניות אבטחת המידע וטיפול בהעברות מידע מול גופים חיצוניים ובקרה על יישומה. תכנון וביצוע סקרי אבטחת מידע. ניהול ההרשאות, ודרכי הגישה למשתמשים.  תכנון ויישום תוכנית התאוששות DRP. ניהול ההגנה על מערכות המידע והתקשורת. כתיבת פרוטוקולים, תהליכים, ארכיטקטורות ופלטפורמות אימות ובקרת גישות טכנולוגיות, גילוי פריצה, ניתוח תעבורת רשת,  יישום אינטרנט, חומת אש מסד נתונים, תוכנות זדוניות וכדומה.

פירוט הביצועים והמשימות העיקריות, הנגזרים מתחומי האחריות:

א. תכנון מדיניות אבטחת המידע ובקרה על יישומה: שמירה ואבטחת המידע ברשות תוך דגש על אבטחת מידע רגיש ו/או מסווג והיבטים נוספים בהתאם להוראות הדין הקיים. הגדרה ואשרור מדיניות אבטחת המידע ברשות בשיתוף מנהל מערכות המידע והנהלת הרשות.  יצירה תחזוקה ורישום של רשימת מאגרי המידע העיקריים של כלל מערכות המידע והתקשורת בהתאם לדרישות החוק.  סיווג נכסי המידע לפי רמת רגישותם והגדרת בקרות אבטחת המידע הנדרשות להם. הערכת סיכוני אבטחת מידע במערכות המידע והתקשורת.  עדכון פרטי הערת הסיכונים עם שינוים משמעותיים בתהליכים במערכות המידע או באיומי אבטחת מידע.  הגדרת דרישות אבטחת המידע ההכרחיות ליישום בתהליך העברת המידע ברשות ואל מחוץ לרשות המקומית. הגדרת אירועי אבטחת המידע וצורת התגובה לאירועים אלה. הנחיית הנהלת הרשות המקומית בהפניית משאבים נאותים להטמעת אמצעי אבטחת מידע ולמיקוד בסקרי סיכוני אבטחת המידע במערכות המידע והתקשורת. הדרכת משתמשים בנושא אבטחת המידע ברשות.  בקרה על יישום נוהלי אבטחת המידע ברשות. אחריות להחתמת עובדים חדשים ברשות המקומית בהתייחסות לאחריות העובד בכל הנוגע להיבטי אבטחת מידע, וילווה בהצהרת סודיות. כתיבת נהלים לכל תהליך המטפל בניהול, הכנסה, תפעול, תחזוקה, והוצאה של מידע ברשות המקומית בהתאם למדיניות וצרכי אבטחת המידע ברשות המקומית ויאשרם עם כתיבתם ו/או שינויים ויפעל להטמעתם.

ב.  תכנון וביצוע סקרי אבטחת מידע: ייזום סקרי אבטחת מידע של מערך מערכות המידע והתקשורת ברשות המקומית, עריכת סקרי אבטחת מידע לפני הטמעת שינויים משמעותיים או כאשר חלו שינויים במערכות המידע והתקשורת ברשות המקומית. בחינת יעילות אמצעי ההגנה שיושמו ברשות המקומית ורמת הגדרות אבטחת המידע במערכות

המידע והתקשורת. ייזום מבחני חדירה [penetration] במערכות המידע והתקשורת להדמיית ניסיונות פריצה ע”י פורצים מתוך ומחוץ לרשות המקומית. הגדרת בקרות פיזיות, בהתאם להערכת הסיכונים, לאבטחת המידע (בקרות אלה יכללו נושאים כגון בקרת גישה, הגנה פיזית של נכסים וכיו”ב). ווידוא כי סקרי אבטחת המידע ומבחני החדירה נערכים ע”י גורם מקצועי, עצמאי, בלתי תלוי וחיצוני לרשות המקומית ידע בטכניקות וכלי תקיפה, טכניקות וכלי אבטחה, ארכיטקטורות אבטחת מידע.

ג. ניהול ההרשאות, ודרכי הגישה למשתמשים: חלוקת סביבת העבודה למעגלי אבטחה/איזורים מאובטחים לפי רמות רגישות. יישום מנגנונים לניהול בקרות גישה במערכות מידע והתקשורת ברשות המקומית תוך מידור מתאים של הרשאות בין הרשות לגורמים חיצוניים.  קביעת אמצעי זיהוי למערכות ושירותים לצורך זיהוי המשתמש תוך הקפדה על מניעת אפשרות העתקה או שחזור פריטי המידע של הרשות המקומית. הגדרת מדיניות סיסמאות ותהליכי גישה למערות מידע והתקשורת ברשות המקומית.

ד.  תכנון ויישום תוכנית התאוששות מאסון Disaster Recovery Plan, DRP: פיתוח תוכנית התאוששות של מערכות המידע והתקשורת ממצבי חירום ומצבי משבר ברשות המקומית.  סיוע בקביעת תהליכים קריטיים שיש להפעיל במצבי משבר וחירום ברשות המקומית, בהתייחס למכלול היחידות של הרשות המקומית ובהתאם לצרכי הרשות. הקמת אתר חירום לצורך הפעלת מערך מערכות המידע והתקשורת ולגיבוי מערך הנתונים, החומרה וכיו”ב ולהפעלתו מרגע התרחשות, האסון,  משבר או מצב חירום.

ה.  ניהול ההגנה על מערכות המידע והתקשורת:  התקנת אמצעים המצמצמים את החשיפה לניסיונות פגיעה, כולל איתור, זיהוי ומניעה. הגדרת דרישות הגיבוי למערכות המידע והתקשורת ברשות המקומית בהתאם לצרכים  השונים של הרשות המקומית. בקרת איכות הגיבויים ואופן אבטחתם.  מתן אישור להעברת מידע בטרם העברת המידע לגוף ציבורי.