Должностная инструкция главного специалиста по защите информации <1>
(руководителя отдела систем защиты информации, заместителя руководителя департамента (отдела) исследований и разработок, руководителя департамента (отдела) исследований и разработок)
(профессиональный стандарт «Специалист по безопасности компьютерных систем и сетей»)
1. Общие положения
1.1. На должность главного специалиста по защите информации принимается лицо:
1) имеющее высшее образование — специалитет или магистратура в области информационной безопасности и дополнительное профессиональное образование — программы повышения квалификации в области информационной безопасности или высшее образование — аспирантура (адъюнктура) и дополнительное профессиональное образование — программы повышения квалификации в области информационной безопасности;
2) имеющее опыт не менее пяти лет работы по применению и анализу эффективности средств защиты информации компьютерных систем, в том числе на руководящих должностях не менее трех лет (для имеющих высшее образование — специалитет или магистратура в области информационной безопасности) или не менее трех лет работы по применению и анализу эффективности средств защиты информации компьютерных систем, в том числе на руководящих должностях не менее двух лет (для имеющих высшее образование — аспирантура (адъюнктура));
3) имеющее допуск к государственной тайне (при необходимости).
1.2. Главный специалист по защите информации должен знать:
1) порядок организации работ по защите информации;
2) методы и средства получения, обработки и передачи информации в операционных системах, системах управления базами данных и компьютерных сетях;
3) методы анализа безопасности компьютерных систем;
4) виды атак и механизмы их реализации в компьютерных системах;
5) методы выявления каналов утечки информации;
6) методы и средства защиты информации в компьютерных сетях, операционных системах и системах управления базами данных;
7) принципы построения средств защиты информации компьютерных систем;
8) формальные модели управления доступом;
9) криптографические алгоритмы и особенности их программной реализации;
10) нормативные правовые акты в области защиты информации;
11) руководящие и методические документы уполномоченных федеральных органов исполнительной власти по защите информации;
12) организационные меры по защите информации;
13) национальные, межгосударственные и международные стандарты в области защиты информации;
14) принципы построения систем защиты информации компьютерных систем, в том числе антивирусного программного обеспечения;
15) теоретико-числовые методы и алгоритмы, применяемые в средствах защиты информации;
16) принципы и методы проектирования программно-аппаратного обеспечения;
17) принципы и методы управления проектами в области информационной безопасности;
18) принципы проектирования антивирусного программного обеспечения;
19) методологию и технологии разработки программного и аппаратного обеспечения;
20) методы планирования и организации проведения работ по защите информации и обеспечению государственной тайны;
21) методы проведения специальных исследований и проверок, работ по защите информации;
22) принципы проектирования антивирусного программного обеспечения;
23) Правила внутреннего трудового распорядка;
24) требования охраны труда и правила пожарной безопасности;
25) ____________________________________.
(другие требования к необходимым знаниям)
1.3. Главный специалист по защите информации должен уметь:
1) обобщать научно-техническую литературу, нормативные и методические материалы в области защиты информации;
2) формировать модели угроз и модели нарушителя безопасности компьютерных систем;
3) выявлять наиболее целесообразные подходы к обеспечению защиты информации компьютерной системы;
4) разрабатывать частные политики безопасности компьютерных систем, в том числе политики управления доступом и информационными потоками;
5) применять национальные, межгосударственные и международные стандарты в области защиты информации для оценки защищенности компьютерной системы;
6) применять действующую законодательную базу в области обеспечения компьютерной безопасности;
7) читать и понимать нормативные и методические документы по информационной безопасности на английском языке;
8) осуществлять принятие решений о необходимости использования программно-аппаратных средств защиты информации;
9) проводить исследования с целью нахождения наиболее целесообразных практических решений по обеспечению защиты информации;
10) применять отечественные стандарты в области защиты информации для проектирования средств защиты информации компьютерной системы;
11) разрабатывать архитектуру и интерфейсы средств защиты информации, процедуры восстановления работоспособности средств и систем защиты после сбоев;
12) подбирать и обобщать научно-техническую литературу, методические материалы по программным и аппаратным средствам и способам защиты информации, в том числе на английском языке;
13) использовать приемы защитного программирования;
14) использовать приемы защиты от типовых атак компьютерных систем;
15) применять методы и приемы отладки;
16) применять методы и средства тестирования;
17) _____________________________________.
(другие навыки и умения)
1.4. Главный специалист по защите информации в своей деятельности
руководствуется:
1) ______________________________________;
(наименование учредительного документа)
2) Положением о _________________________;
(наименование структурного подразделения)
3) настоящей должностной инструкцией;
4) ______________________________________.
(наименования локальных нормативных актов, регламентирующих трудовые функции по должности)
1.5. Главный специалист по защите информации подчиняется непосредственно
_______________________________________.
(наименование должности руководителя)
1.6. ___________________________________.
(другие общие положения)
2. Трудовые функции
2.1. Разработка программно-аппаратных средств защиты информации компьютерных систем и сетей:
1) разработка требований к программно-аппаратным средствам защиты информации компьютерных систем и сетей;
2) проектирование программно-аппаратных средств защиты информации компьютерных систем и сетей;
3) разработка и тестирование средств защиты информации компьютерных систем и сетей;
4) сопровождение разработки средств защиты информации компьютерных систем и сетей.
2.2. ___________________________________.
(другие функции)
3. Должностные обязанности
3.1. Главный специалист по защите информации исполняет следующие обязанности:
3.1.1. В рамках трудовой функции, указанной в пп. 1 п. 2.1 настоящей должностной инструкции:
1) определяет угрозы безопасности и их возможные источники;
2) определяет каналы утечки информации;
3) разрабатывает математические модели, реализуемые в средствах защиты информации;
4) осуществляет оценку эффективности реализуемых технических решений;
5) осуществляет оценку технико-экономического уровня реализуемых технических решений;
6) осуществляет выбор средств и методов защиты информации.
3.1.2. В рамках трудовой функции, указанной в пп. 2 п. 2.1 настоящей должностной инструкции:
1) разрабатывает технические задания, эскизные, технические и рабочие проекты работ по защите информации;
2) осуществляет разработку планов и графиков проведения работ по защите информации;
3) осуществляет анализ существующих методов и средств, применяемых для контроля и защиты информации;
4) разрабатывает предложения по совершенствованию существующих методов и средств, применяемых для контроля и защиты информации и повышению эффективности этой защиты;
5) разрабатывает проекты программных и аппаратных средств защиты информации в соответствии с техническим заданием;
6) осуществляет оценку технико-экономического уровня и эффективности предлагаемых и реализуемых технических решений;
7) проводит аттестацию программ и алгоритмов на предмет соответствия требованиям защиты информации.
3.1.3. В рамках трудовой функции, указанной в пп. 3 п. 2.1 настоящей должностной инструкции:
1) осуществляет разработку средств защиты информации в соответствии с техническим заданием;
2) проводит исследование программно-аппаратных средств защиты информации в компьютерных системах;
3) осуществляет разработку программно-аппаратных средств защиты информации в компьютерных системах;
4) выполняет отладку создаваемых средств защиты информации;
5) проводит аттестацию программ и алгоритмов на предмет соответствия требованиям защиты информации;
6) осуществляет разработку математических моделей безопасности компьютерных систем;
7) выполняет контрольные проверки работоспособности и эффективности систем и средств защиты информации.
3.1.4. В рамках трудовой функции, указанной в пп. 4 п. 2.1 настоящей должностной инструкции:
1) осуществляет разработку технических заданий, планов и графиков проведения работ по защите информации в соответствии с действующим нормативными и методическими документами;
2) осуществляет разработку рекомендаций и предложений по совершенствованию и повышению эффективности защиты информации;
3) составляет и оформляет разделы научно-технических отчетов;
4) определяет потребность в средствах защиты информации, составляет заявки на их приобретение с необходимыми обоснованиями и расчетами;
5) осуществляет подготовку предложений по заключению соглашений и договоров с другими учреждениями, организациями, предоставляющими услуги в области защиты информации;
6) выполняет аттестацию программ и алгоритмов на предмет соответствия требованиям защиты информации;
7) выполняет контрольные проверки работоспособности и эффективности систем и средств защиты информации;
8) осуществляет анализ существующих методов и средств, применяемых для контроля и защиты информации;
9) осуществляет разработку предложений по совершенствованию и повышению эффективности методов и средств, применяемых для контроля и защиты информации;
10) осуществляет подготовку проектов нормативных и методических материалов, регламентирующих работу по защите информации;
11) разрабатывает организационно-распорядительные документы по защите информации;
12) осуществляет контроль над работой по оценке технико-экономического уровня разрабатываемых мер по защите информации;
13) осуществляет методическое руководство работой по оценке технико-экономического уровня разрабатываемых мер по защите информации;
14) осуществляет контроль над соблюдением установленного порядка выполнения работ, а также действующего законодательства Российской Федерации при решении вопросов, касающихся защиты информации;
15) осуществляет организацию проведения специальных исследований и контрольных проверок по выявлению возможных каналов утечки информации.
3.1.5. В рамках выполнения своих трудовых функций исполняет поручения своего непосредственного руководителя.
3.1.6. __________________________________.
(другие обязанности)
3.2. ___________________________________.
(другие положения о должностных обязанностях)
4. Права
Главный специалист по защите информации имеет право:
4.1. Знакомиться с проектами решений директора организации, касающихся деятельности отдела.
4.2. Подписывать и визировать документы в пределах своей компетенции.
4.3. Инициировать и проводить совещания по производственно-хозяйственным и финансово-экономическим вопросам.
4.4. Запрашивать и получать от структурных подразделений необходимую информацию, документы.
4.5. Проводить проверки качества и своевременности исполнения поручений.
4.6. Требовать прекращения (приостановления) работ (в случае нарушений, несоблюдения установленных требований и т.д.), соблюдения установленных норм, правил, инструкций; давать указания по исправлению недостатков и устранению нарушений.
4.7. Вносить на рассмотрение руководства организации представления о приеме, перемещении и увольнении работников, о поощрении отличившихся работников и о применении дисциплинарных взысканий к работникам, нарушающим трудовую и производственную дисциплину.
4.8. Требовать от руководства организации оказания содействия в исполнении своих должностных обязанностей и прав.
4.9. ____________________________.
(другие права)
5. Ответственность
5.1. Главный специалист по защите информации привлекается к ответственности:
— за ненадлежащее исполнение или неисполнение своих должностных обязанностей, предусмотренных настоящей должностной инструкцией, — в порядке, установленном действующим трудовым законодательством Российской Федерации, законодательством о бухгалтерском учете;
— правонарушения и преступления, совершенные в процессе своей деятельности, — в порядке, установленном действующим административным, уголовным и гражданским законодательством Российской Федерации;
— причинение ущерба организации — в порядке, установленном действующим трудовым законодательством Российской Федерации.
5.2. ______________________________.
(другие положения об ответственности)
6. Заключительные положения
6.1. Настоящая должностная инструкция разработана на основе Профессионального стандарта «Специалист по безопасности компьютерных систем и сетей», утвержденного Приказом Министерства труда и социальной защиты
Российской Федерации от 01.11.2016 N 598н, с учетом
___________________________________
(реквизиты локальных нормативных актов организации)
6.2. Ознакомление работника с настоящей должностной инструкцией осуществляется при приеме на работу (до подписания трудового договора).
Факт ознакомления работника с настоящей должностной инструкцией подтверждается
__________________________________.
(подписью в листе ознакомления, являющемся неотъемлемой частью настоящей инструкции (в журнале ознакомления
с должностными инструкциями); в экземпляре должностной инструкции, хранящемся у работодателя; иным способом)
6.3. _____________________________.
(другие заключительные положения)
———————————
Информация для сведения:
<1> В соответствии с Профессиональным стандартом «Специалист по безопасности компьютерных систем и сетей», утвержденным Приказом Министерства труда и социальной защиты Российской Федерации от 01.11.2016 N 598н, иное возможное наименование должности — «руководитель отдела систем защиты информации», «заместитель руководителя департамента (отдела) исследований и разработок», «руководитель департамента (отдела) исследований и разработок».