ДОЛЖНОСТНАЯ ИНСТРУКЦИЯ
специалиста по защите информации
1. Общие положения
1.1. Настоящая должностная инструкция определяет функциональные, должностные обязанности, права и ответственность специалиста по защите информации подразделения «Автоматизированные технологии» (далее - Специалист по защите информации) ЗАО «Ассоциация специалистов информационных систем» (далее Учреждение).
1.2. На должность специалиста по защите информации назначается лицо, удовлетворяющее следующим требованиям к образованию и обучению:
- Высшее образование - бакалавриат в области информационной безопасности;
с опытом практической работы:
- Для должностей с категорией - опыт работы в должности с более низкой (предшествующей) категорией не менее одного года;
- Для должностей без категорий - опыт работы не требуется;
Особые условия допуска к работе специалиста по защите информации :
- Наличие допуска к государственной тайне (при необходимости);
1.3. Специалист по защите информации должен знать:
- Способы защиты информации от утечки по техническим каналам;
- Основные криптографические методы, алгоритмы, протоколы, используемые для защиты информации в автоматизированных системах;
- Методы контроля эффективности защиты информации от утечки по техническим каналам;
- Руководящие и методические документы уполномоченных федеральных органов исполнительной власти по защите информации;
- Принципы построения систем защиты информации;
- Организационные меры по защите информации;
- Нормативные правовые акты в области защиты информации;
- Программно-аппаратные средства обеспечения защиты информации автоматизированных систем;
- Организационные меры по защите информации;
- Нормативные правовые акты в области защиты информации;
- Методы защиты информации от утечки по техническим каналам;
- Руководящие и методические документы уполномоченных федеральных органов исполнительной власти по защите информации;
- Основные угрозы безопасности информации и модели нарушителя в автоматизированных системах;
- Содержание и порядок деятельности персонала по эксплуатации защищенных автоматизированных систем и подсистем безопасности автоматизированных систем;
- Основные криптографические методы, алгоритмы, протоколы, используемые для защиты информации в автоматизированных системах;
- Программно-аппаратные средства обеспечения защиты информации автоматизированных систем;
- Методы и способы обеспечения отказоустойчивости автоматизированных систем;
- Основные информационные технологии, используемые в автоматизированных системах;
- Руководящие и методические документы уполномоченных федеральных органов исполнительной власти по защите информации;
- Организационные меры по защите информации;
- Нормативные правовые акты в области защиты информации;
- Содержание и порядок деятельности персонала по эксплуатации защищенных автоматизированных систем и подсистем безопасности автоматизированных систем;
- Принципы построения средств защиты информации от утечки по техническим каналам;
- Основные методы управления защитой информации;
- Нормативные правовые акты в области защиты информации;
- Национальные, межгосударственные и международные стандарты в области защиты информации;
- Методы защиты информации от утечки по техническим каналам;
- Основные угрозы безопасности информации и модели нарушителя в автоматизированных системах;
- Руководящие и методические документы уполномоченных федеральных органов исполнительной власти по защите информации;
- Содержание и порядок деятельности персонала по эксплуатации защищенных автоматизированных систем и систем безопасности автоматизированных систем;
- Принципы организации и структура систем защиты программного обеспечения автоматизированных систем;
- Технические средства контроля эффективности мер защиты информации;
- Методы контроля эффективности защиты информации от утечки по техническим каналам;
- Критерии оценки эффективности и надежности средств защиты программного обеспечения автоматизированных систем;
- Принципы формирования политики информационной безопасности в автоматизированных системах;
- Основные меры по защите информации в автоматизированных системах;
- Программно-аппаратные средства защиты информации автоматизированных систем;
- Основные криптографические методы, алгоритмы, протоколы, используемые для защиты информации в автоматизированных системах;
- Технические средства контроля эффективности мер защиты информации;
- Регламент учета выявленных инцидентов;
- Национальные, межгосударственные и международные стандарты в области защиты информации;
- Критерии оценки защищенности автоматизированной системы;
- Принципы построения средств защиты информации от утечки по техническим каналам;
- Регламент устранения инцидентов;
- Регламент информирования персонала автоматизированной системы о выявленных инцидентах;
- Руководящие и методические документы уполномоченных федеральных органов исполнительной власти по защите информации;
- Нормативные правовые акты в области защиты информации;
- Основные криптографические методы, алгоритмы, протоколы, используемые для обеспечения защиты информации в автоматизированных системах;
- Организационные меры по защите информации;
1.4. Специалист по защите информации должен уметь:
- Разрабатывать политики безопасности информации автоматизированных систем;
- Классифицировать и оценивать угрозы безопасности информации для объекта информатизации;
- Разрабатывать предложения по совершенствованию системы управления информационной безопасностью автоматизированных систем;
- Применять инструментальные средства контроля защищенности информации в автоматизированных системах;
- Контролировать события безопасности и действия пользователей автоматизированных систем;
- Применять нормативные документы по противодействию технической разведке;
- Анализировать программные, архитектурно-технические и схемотехнические решения компонентов автоматизированных систем с целью выявления потенциальных уязвимостей безопасности информации в автоматизированных системах;
- Применять технические средства контроля эффективности мер защиты информации;
- Документировать процедуры и результаты контроля функционирования системы защиты информации автоматизированной системы;
- Контролировать эффективность принятых мер по реализации политик безопасности информации автоматизированных систем;
- Классифицировать и оценивать угрозы информационной безопасности;
- Применять программные средства обеспечения безопасности данных;
- Классифицировать и оценивать угрозы информационной безопасности;
- Применять типовые программные средства резервирования и восстановления информации в автоматизированных системах;
- Применять средства обеспечения отказоустойчивости автоматизированных систем;
- Документировать действия по устранению неисправностей в работе системы защиты информации автоматизированной системы;
- Применять нормативные документы по противодействию технической разведке;
- Применять технические средства контроля эффективности мер защиты информации;
- Разрабатывать предложения по совершенствованию системы управления защиты информации автоматизированных систем;
- Определять подлежащие защите информационные ресурсы автоматизированных систем;
- Конфигурировать параметры системы защиты информации автоматизированных систем;
- Оценивать информационные риски в автоматизированных системах;
- Классифицировать и оценивать угрозы безопасности информации;
- Устанавливать и настраивать операционные системы, системы управления базами данных, компьютерные сети и программные системы с учетом требований по обеспечению защиты информации;
- Регистрировать события, связанные с защитой информации в автоматизированных системах;
- Использовать криптографические методы и средства защиты информации в автоматизированных системах;
- Планировать политику безопасности программных компонентов автоматизированных систем;
- Анализировать события, связанные с защитой информации в автоматизированных системах;
- Создавать, удалять и изменять учетные записи пользователей автоматизированной системы;
- Обнаруживать нарушения правил разграничения доступа;
- Устранять нарушения правил разграничения доступа;
- Использовать криптографические методы и средства защиты информации в автоматизированных системах;
- Определять источники и причины возникновения инцидентов;
- Осуществлять контроль обеспечения уровня защищенности в автоматизированных системах;
- Оценивать последствия выявленных инцидентов;
1.5. Специалист по защите информации назначается на должность и освобождается от должности приказом генерального директора Учреждения в соответствии с действующим законодательством Российской Федерации.
1.6. Специалист по защите информации подчиняется генеральному директору Учреждения и начальнику подразделения «Автоматизированные технологии»
2. Трудовые функции
- 2.1. Аудит защищенности информации в автоматизированных системах.
- 2.2. Мониторинг защищенности информации в автоматизированных системах.
- 2.3. Обеспечение работоспособности систем защиты информации при возникновении нештатных ситуаций.
- 2.4. Управление защитой информации в автоматизированных системах.
- 2.5. Администрирование систем защиты информации автоматизированных систем.
- 2.6. Диагностика систем защиты информации автоматизированных систем.
3. Должностные обязанности
- 3.1. Оценка информационных рисков.
- 3.2. Обоснование и контроль результатов управленческих решений в области безопасности информации автоматизированных систем.
- 3.3. Обоснование критериев эффективности функционирования защищенных автоматизированных систем.
- 3.4. Экспертиза состояния защищенности информации автоматизированных систем.
- 3.5. Выработка рекомендаций для принятия решения о повторной аттестации автоматизированной системы или о проведении дополнительных аттестационных испытаний.
- 3.6. Анализ недостатков в функционировании системы защиты информации автоматизированной системы.
- 3.7. Устранение недостатков в функционировании системы защиты информации автоматизированной системы.
- 3.8. Выработка рекомендаций для принятия решения о модернизации системы защиты информации автоматизированной системы.
- 3.9. Выявление угроз безопасности информации в автоматизированных системах.
- 3.10. Принятие мер защиты информации при выявлении новых угроз безопасности информации.
- 3.11. Восстановление после сбоев и отказов программного обеспечения автоматизированных систем.
- 3.12. Создание альтернативных мест хранения и обработки информации на случай возникновения нештатных ситуаций.
- 3.13. Резервирование программного обеспечения, технических средств, каналов передачи данных автоматизированной системы управления на случай возникновения нештатных ситуаций.
- 3.14. Устранение неисправностей в работе системы защиты информации автоматизированной системы.
- 3.15. Обнаружение неисправностей в работе системы защиты информации автоматизированной системы.
- 3.16. Анализ изменения угроз безопасности информации автоматизированной системы, возникающих в ходе ее эксплуатации.
- 3.17. Оценка последствий от реализации угроз безопасности информации в автоматизированной системе.
- 3.18. Составление комплекса правил, процедур, практических приемов, принципов и методов, средств обеспечения защиты информации в автоматизированной системе.
- 3.19. Анализ воздействия изменений конфигурации автоматизированной системы на ее защищенность.
- 3.20. Установка обновлений программного обеспечения автоматизированной системы.
- 3.21. Внесение изменений в эксплуатационную документацию и организационно-распорядительные документы по системе защиты информации автоматизированной системы.
- 3.22. Проведение занятий с персоналом по работе с системой защиты информации автоматизированной системы, включая проведение практических занятий с персоналом на макетах или в тестовой зоне.
- 3.23. Обеспечение безопасности информации с учетом требования эффективного функционирования автоматизированной системы.
- 3.24. Информирование пользователей о правилах эксплуатации автоматизированной системы с учетом требований по защите информации.
- 3.25. Управление полномочиями пользователей автоматизированной системы.
- 3.26. Инструментальный контроль показателей эффективности защиты информации, обрабатываемой в автоматизированных системах.
- 3.27. Расчет показателей эффективности защиты информации, обрабатываемой в автоматизированных системах.
- 3.28. Устранение инцидентов, возникших в процессе эксплуатации автоматизированной системы.
- 3.29. Оценка защищенности автоматизированных систем с помощью типовых программных средств.
- 3.30. Обнаружение инцидентов в процессе эксплуатации автоматизированной системы.
- 3.31. Идентификация инцидентов в процессе эксплуатации автоматизированной системы.
Изменить трудовые функции
4. Права
Специалист по защите информации имеет право:
4.1. Запрашивать и получать необходимую информацию, а так же материалы и документы, относящиеся к вопросам деятельности специалиста по защите информации .
4.2. Повышать квалификацию, проходить переподготовку (переквалификацию).
4.3. Вступать во взаимоотношения с подразделениями сторонних учреждений и организаций для решения вопросов, входящих в компетенцию специалиста по защите информации .
4.4. Принимать участие в обсуждении вопросов, входящих в его функциональные обязанности.
4.5. Вносить предложения и замечания по вопросам улучшения деятельности на порученном участке работы.
4.6. Обращаться в соответствующие органы местного самоуправления или в суд для разрешения споров, возникающих при исполнении функциональных обязанностей.
4.7. Пользоваться информационными материалами и нормативно-правовыми документами, необходимыми для исполнения своих должностных обязанностей.
4.8. Проходить в установленном порядке аттестацию.
5. Ответственность
Специалист по защите информации несет ответственность за:
5.1. Неисполнение (ненадлежащее исполнение) своих функциональных обязанностей.
5.2. Невыполнение распоряжений и поручений генерального директора Учреждения.
5.3. Недостоверную информацию о состоянии выполнения порученных заданий и поручений, нарушении сроков их исполнения.
5.4. Нарушение правил внутреннего трудового распорядка, правила противопожарной безопасности и техники безопасности, установленных в Учреждении.
5.5. Причинение материального ущерба в пределах, установленных действующим законодательством Российской Федерации.
5.6. Разглашение сведений, ставших известными в связи с исполнением должностных обязанностей.
За вышеперечисленные нарушения специалист по защите информации может быть привлечен в соответствии с действующим законодательством в зависимости от тяжести проступка к дисциплинарной, материальной, административной, гражданской и уголовной ответственности.
Настоящая должностная инструкция разработана в соответствии с положениями (требованиями) Трудового кодекса Российской Федерации от 30.12.2001 г. № 197 ФЗ (ТК РФ) (с изменениями и дополнениями), профессионального стандарта «Специалист по защите информации в автоматизированных системах» утвержденного приказом Министерства труда и социальной защиты Российской Федерации от 15 сентября 2016 г. № 522н и иных нормативно–правовых актов, регулирующих трудовые отношения.
Скачать в формате MS Word
Поделиться должностной инструкцией в соцсетях: