ДОЛЖНОСТНАЯ ИНСТРУКЦИЯ

главного специалиста по технической защите информации


1. Общие положения


1.1. Настоящая должностная инструкция определяет функциональные, должностные обязанности, права и ответственность главного специалиста по технической защите информации подразделения «Новые технологии» (далее - Главный специалист по технической защите информации) ЗАО «Ассоциация специалистов информационных систем» (далее Учреждение).

1.2. На должность главного специалиста по технической защите информации назначается лицо, удовлетворяющее следующим требованиям к образованию и обучению:

  • Высшее образование - аспирантура (адъюнктура);
  • Дополнительное профессиональное образование - программы повышения квалификации в области технической защиты информации;
  • Высшее образование - специалитет или магистратура в области информационной безопасности и;

с опытом практической работы:

  • Руководитель структурного подразделения по технической защите информации: не менее пяти лет в области технической защиты информации, в том числе на руководящих должностях не менее двух лет;
  • Главный специалист по технической защите информации: не менее пяти лет в области технической защиты информации, в том числе на руководящих должностях не менее трех лет;

Особые условия допуска к работе главного специалиста по технической защите информации :

  • Наличие допуска к государственной тайне (при необходимости);

1.3. Главный специалист по технической защите информации должен знать:

  • Порядок аттестации объектов информатизации на соответствие требованиям по защите информации;
  • Нормативные правовые акты, методические документы, национальные стандарты в области защиты информации ограниченного доступа и аттестации объектов информатизации на соответствие требованиям по защите информации;
  • Принципы построения и основные характеристики технических средств защиты акустической речевой информации от утечки по техническим каналам;
  • Способы защиты акустической речевой информации от утечки по техническим каналам;
  • Технические каналы утечки информации, возникающие за счет побочных электромагнитных излучений от основных технических средств, за счет наводок информативных сигналов на цепи электропитания и заземления основных технических средств и систем, вспомогательные технические средства и системы, их кабельные коммуникации, а также создаваемые методом «высокочастотного облучения» основных технических средств и систем и за счет возможно внедренных электронных устройств перехвата информации в основных технических средствах и системах;
  • Порядок организации технического обслуживания и ремонта технических, программных (программно-технических) средств защиты информации;
  • Технические каналы утечки акустической речевой информации;
  • Состав и содержание организационно-распорядительных документов, определяющих мероприятия по защите информации (концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации, положение по защите информации от утечки по техническим каналам, технический паспорт на объект информатизации (выделенное помещение), акты категорирования объектов информатизации, акты классификации автоматизированных систем, приказы, инструкции);
  • Способы реализации несанкционированного доступа к информации и специальных программных воздействий на информацию и ее носители в автоматизированных системах;
  • Современные информационные технологии (операционные системы, базы данных, вычислительные сети);
  • Методы и методики контроля защищенности информации от утечки за счет побочных электромагнитных излучений и наводок;
  • Методы защиты информации от несанкционированного доступа и специальных программных воздействий на нее;
  • Средства контроля защищенности информации от утечки за счет побочных электромагнитных излучений и наводок;
  • Программные (программно-технические) средства защиты автоматизированных систем от несанкционированного доступа к информации и специальных программных воздействий на нее;
  • Технические средства защиты информатизации от утечки за счет побочных электромагнитных излучений и наводок;
  • Средства контроля защищенности информации от несанкционированного доступа;
  • Администрирование системы защиты информации от несанкционированного доступа;
  • Методы и методики контроля защищенности информации от несанкционированного доступа и специальных программных воздействий;
  • Методы защиты информации от утечки по техническим каналам;
  • Способы реализации несанкционированного доступа к информации и специальных программных воздействий на информацию и ее носители в автоматизированных системах;
  • Принципы построения и основные характеристики технических средств защиты речевой информации от утечки по техническим каналам;
  • Методы защиты информации от утечки по техническим каналам;
  • Порядок создания автоматизированных систем в защищенном исполнении;
  • Средства контроля защищенности информации от несанкционированного доступа;
  • Методы защиты информации от несанкционированного доступа и специальных программных воздействий на нее;
  • Нормативные правовые акты, методические документы, национальные стандарты в области защиты информации ограниченного доступа и аттестации объектов информатизации на соответствие требованиям по защите информации;
  • Методы и методики контроля защищенности информации от утечки за счет побочных электромагнитных излучений и наводок;
  • Технические средства защиты информатизации от утечки за счет побочных электромагнитных излучений и наводок;
  • Методы и методики контроля защищенности информации от несанкционированного доступа и специальных программных воздействий;
  • Современные информационные технологии (операционные системы, базы данных, вычислительные сети);
  • Порядок аттестации объектов информатизации на соответствие требованиям по защите информации;
  • Способы защиты акустической речевой информации от утечки по техническим каналам;
  • Состав и содержание организационно-распорядительных документов, определяющих мероприятия по защите информации (концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации, положение по защите информации от утечки по техническим каналам, технический паспорт на объект информатизации (выделенное помещение), акты категорирования объектов информатизации, акты классификации автоматизированных систем, приказы, инструкции);
  • Средства контроля защищенности информации от утечки за счет побочных электромагнитных излучений и наводок;
  • Программные (программно-технические) средства защиты автоматизированных систем от несанкционированного доступа к информации и специальных программных воздействий на нее;
  • Технические каналы утечки акустической речевой информации;
  • Стандарты ЕСКД, ЕСТД и ЕСПД;
  • Технические каналы утечки информации, возникающие за счет побочных электромагнитных излучений от основных технических средств, за счет наводок информативных сигналов на цепи электропитания и заземления основных технических средств и систем, вспомогательные технические средства и системы, их кабельные коммуникации, а также создаваемые методом «высокочастотного облучения» основных технических средств и систем и за счет возможно внедренных электронных устройств перехвата информации в основных технических средствах и системах;
  • Стандарты ЕСКД, ЕСТД и ЕСПД;
  • Методы и методики контроля защищенности информации от несанкционированного доступа и специальных программных воздействий;
  • Технические средства защиты информации от утечки за счет побочных электромагнитных излучений и наводок;
  • Способы реализации несанкционированного доступа к информации и специальных программных воздействий на информацию и ее носители в автоматизированных системах;
  • Технические каналы утечки акустической речевой информации;
  • Современные информационные технологии (операционные системы, базы данных, вычислительные сети);
  • Принципы построения и основные характеристики технических средств защиты акустической речевой информации от утечки по техническим каналам;
  • Методы защиты информации от несанкционированного доступа и специальных программных воздействий на нее;
  • Организационно-распорядительная документация по защите информации на объекте информатизации;
  • Порядок создания автоматизированных систем в защищенном исполнении;
  • Порядок аттестации объектов информатизации на соответствие требованиям по защите информации;
  • Методы защиты информации от утечки по техническим каналам;
  • Средства контроля защищенности информации от несанкционированного доступа;
  • Средства контроля защищенности информации от утечки за счет побочных электромагнитных излучений и наводок;
  • Технические каналы утечки информации, возникающие за счет побочных электромагнитных излучений от основных технических средств, счет наводок информативных сигналов на цепи электропитания и заземления основных технических средств и систем, а также наводок информативных сигналов на вспомогательные технические средства и системы, их кабельные коммуникации, а также посторонние проводники, создаваемые методом «высокочастотного облучения» основных технических средств и систем, а также за счет возможно внедренных электронных устройств перехвата информации в основных технических средствах и системах;
  • Эксплуатационная документация на систему защиты информации;
  • Методы и методики контроля эффективности защиты информации от утечки за счет побочных электромагнитных излучений и наводок;
  • Нормативные правовые акты, методические документы, национальные стандарты в области защиты информации ограниченного доступа и аттестации объектов информатизации на соответствие требованиям по защите информации;
  • Способы защиты акустической речевой информации от утечки по техническим каналам;
  • Программные (программно-технические) средства защиты автоматизированных систем от несанкционированного доступа к информации и специальных программных воздействий на нее;

1.4. Главный специалист по технической защите информации должен уметь:

  • Организовывать и проводить расследования инцидентов информационной безопасности и выявленных нарушений мер защиты информации;
  • Администрировать систему защиты информации от несанкционированного доступа;
  • Проводить контроль (мониторинг) состояния системы защиты информации;
  • Организовывать проведение и руководить выполнением работ по устранению неисправностей и ремонту технических, программных (программно-технических) средств защиты информации, входящих в состав системы защиты информации организации;
  • Организовывать проведение и руководить выполнением работ по техническому обслуживанию технических и программно-технических средств защиты информации, входящих в состав системы защиты информации организации;
  • Организовывать установку и настройку технических, программных (программно-технических) средств защиты информации, входящих в состав системы защиты информации организации, в соответствии с техническим проектом и инструкциями по эксплуатации;
  • Организовывать приемочные испытания системы защиты информации;
  • Организовывать ввод системы защиты информации в эксплуатацию;
  • Разрабатывать программы и методики предварительных испытаний системы зашиты информации;
  • Организовывать и сопровождать аттестацию объектов вычислительной техники и выделенных (защищаемых) помещений на соответствие требованиям по защите информации;
  • Подготавливать объекты вычислительной техники и выделенные (защищаемые) помещения к аттестации по требованиям безопасности информации;
  • Разрабатывать и реализовывать организационные меры, обеспечивающие эффективность системы защиты информации;
  • Организовывать опытную эксплуатацию и доработку системы защиты информации;
  • Организовывать проведение специальных исследований и специальных проверок технических средств обработки информации ограниченного доступа;
  • Разрабатывать организационно-распорядительные документы, определяющие мероприятия по защите информации в организации;
  • Организовывать обучение персонала использованию технических, программных (программно-технических) средств защиты информации;
  • Определять степень участия персонала в обработке (обсуждении, передаче, хранении) информации, характер взаимодействия работников между собой;
  • Анализировать данные о назначении, функциях, условиях функционирования основных технических средств и систем, установленных на объектах информатизации, и характере обрабатываемой на них информации;
  • Разрабатывать эксплуатационную документацию на объект информатизации и средства защиты информации, а также организационно-распорядительную документацию по защите информации (приказы, инструкции и других документы);
  • Разрабатывать модели угроз безопасности информации в организации;
  • Проводить предпроектное обследование объектов вычислительной техники и выделенных (защищаемых) помещений;
  • Анализировать сведения, обсуждаемые в выделенных (защищаемых) помещениях;
  • Разрабатывать аналитическое обоснование необходимости создания системы защиты информации в организации;
  • Разрабатывать техническое задание на создание системы защиты информации в организации;
  • Разрабатывать разрешительную систему доступа к информационным ресурсам, программным и техническим средствам автоматизированных (информационных) систем организации;
  • Определять перечень информации (сведений) ограниченного доступа, подлежащих защите в организации;
  • Определять условия расположения объектов информатизации относительно границ контролируемой зоны;

1.5. Главный специалист по технической защите информации назначается на должность и освобождается от должности приказом генерального директора Учреждения в соответствии с действующим законодательством Российской Федерации.

1.6. Главный специалист по технической защите информации подчиняется генеральному директору Учреждения и начальнику подразделения «Новые технологии»


2. Трудовые функции


  • 2.1. Сопровождение системы защиты информации в ходе ее эксплуатации.
  • 2.2. Ввод в эксплуатацию системы защиты информации в организации.
  • 2.3. Создание системы защиты информации в организации.


3. Должностные обязанности


  • 3.1. Администрирование системы защиты информации от несанкционированного доступа.
  • 3.2. Руководство разработкой предложений по совершенствованию организационных и технических мероприятий по технической защите информации и оценке их эффективности, совершенствованию системы технической защиты информации в организации.
  • 3.3. Организация работ по участию сотрудников подразделения в расследовании нарушений требований и норм технической защиты информации в организации и разработка предложений по предупреждению нарушений.
  • 3.4. Организация мероприятий по выводу из эксплуатации систем информатизации и утилизации их элементов.
  • 3.5. Организация выполнения работ по устранению неисправностей и ремонту технических, программных (программно-технических) средств защиты информации, входящих в состав системы защиты информации организации.
  • 3.6. Организация выполнения работ по техническому обслуживанию технических и программно-технических средств защиты информации.
  • 3.7. Организация контроля состояния системы защиты информации.
  • 3.8. Разработка и реализация организационных мер, обеспечивающих эффективность системы защиты информации.
  • 3.9. Организация приемочных испытаний системы защиты информации.
  • 3.10. Подготовка объектов вычислительной техники и выделенных (защищаемых) помещений к аттестации по требованиям безопасности информации.
  • 3.11. Ввод системы защиты информации в эксплуатацию.
  • 3.12. Организация проведения инструктажа руководящего состава и обучения персонала по вопросам технической защиты информации.
  • 3.13. Организация установки и настройки технических, программных (программно-технических) средств защиты информации, входящих в состав системы защиты информации организации, в соответствии с техническим проектом и инструкциями по эксплуатации.
  • 3.14. Организация проведения специальных исследований и специальных проверок технических средств обработки информации ограниченного доступа.
  • 3.15. Разработка организационно-распорядительных документов, определяющих мероприятия по защите информации в организации.
  • 3.16. Разработка программы и методики предварительных испытаний системы зашиты информации.
  • 3.17. Организация опытной эксплуатации и доработки системы защиты информации.
  • 3.18. Организация и сопровождение аттестации объектов вычислительной техники и выделенных (защищаемых) помещений на соответствие требованиям по защите информации.
  • 3.19. Разработка технического задания на создание системы защиты информации.
  • 3.20. Анализ данных о назначении, функциях, условиях функционирования технических средств обработки информации ограниченного доступа, установленных на объектах информатизации, и характере обрабатываемой на них информации.
  • 3.21. Разработка модели угроз безопасности информации в организации.
  • 3.22. Определение перечня выделенных (защищаемых) помещений, в которых происходит обсуждение сведений ограниченного доступа.
  • 3.23. Определение перечня информации (сведений) ограниченного доступа, подлежащих защите в организации.
  • 3.24. Разработка аналитического обоснования необходимости создания системы защиты информации в организации.
  • 3.25. Организация проведения научных исследований по вопросам технической защиты информации, выполняемых в организации.
  • 3.26. Анализ сведений, обсуждаемых в выделенных (защищаемых) помещениях.
  • 3.27. Определение перечня объектов информатизации, на которых производится обработка информации ограниченного доступа.
  • 3.28. Предпроектное обследование объектов вычислительной техники и выделенных (защищаемых) помещений.


Изменить трудовые функции


4. Права


Главный специалист по технической защите информации имеет право:

4.1. Запрашивать и получать необходимую информацию, а так же материалы и документы, относящиеся к вопросам деятельности главного специалиста по технической защите информации .

4.2. Повышать квалификацию, проходить переподготовку (переквалификацию).

4.3. Вступать во взаимоотношения с подразделениями сторонних учреждений и организаций для решения вопросов, входящих в компетенцию главного специалиста по технической защите информации .

4.4. Принимать участие в обсуждении вопросов, входящих в его функциональные обязанности.

4.5. Вносить предложения и замечания по вопросам улучшения деятельности на порученном участке работы.

4.6. Обращаться в соответствующие органы местного самоуправления или в суд для разрешения споров, возникающих при исполнении функциональных обязанностей.

4.7. Пользоваться информационными материалами и нормативно-правовыми документами, необходимыми для исполнения своих должностных обязанностей.

4.8. Проходить в установленном порядке аттестацию.


5. Ответственность


Главный специалист по технической защите информации несет ответственность за:

5.1. Неисполнение (ненадлежащее исполнение) своих функциональных обязанностей.

5.2. Невыполнение распоряжений и поручений генерального директора Учреждения.

5.3. Недостоверную информацию о состоянии выполнения порученных заданий и поручений, нарушении сроков их исполнения.

5.4. Нарушение правил внутреннего трудового распорядка, правила противопожарной безопасности и техники безопасности, установленных в Учреждении.

5.5. Причинение материального ущерба в пределах, установленных действующим законодательством Российской Федерации.

5.6. Разглашение сведений, ставших известными в связи с исполнением должностных обязанностей.

За вышеперечисленные нарушения главный специалист по технической защите информации может быть привлечен в соответствии с действующим законодательством в зависимости от тяжести проступка к дисциплинарной, материальной, административной, гражданской и уголовной ответственности.


Настоящая должностная инструкция разработана в соответствии с положениями (требованиями) Трудового кодекса Российской Федерации от 30.12.2001 г. № 197 ФЗ (ТК РФ) (с изменениями и дополнениями), профессионального стандарта «Специалист по технической защите информации» утвержденного приказом Министерства труда и социальной защиты Российской Федерации от 1 ноября 2016 г. № 599н и иных нормативно–правовых актов, регулирующих трудовые отношения.


Скачать в формате MS Word
Поделиться должностной инструкцией в соцсетях:
Вконтакте Фейсбук Мой Мир@mail.ru Одноклассники Твиттер