Должностная инструкция по специальности «Специалист по защите информации»
Вы можете скачать должностную инструкцию специалиста по защите информации бесплатно. Должностные обязанности специалиста по защите информации
_____________________________ (Фамилия, инициалы)
(наименование организации, ее ________________________________
утверждать должностную инструкцию)
ДОЛЖНОСТНАЯ ИНСТРУКЦИЯ
СПЕЦИАЛИСТА ПО ЗАЩИТЕ ИНФОРМАЦИИ
I. Общие положения
1.1. Данная должностная инструкция устанавливает права, ответственность и должностные обязанности специалиста по защите информации______________________________________ (далее – «предприятие»). Название учреждения
1.2. Специалист по защите информации относится к категории специалистов.
1.3. Лицо, назначаемое на должность:
— специалиста по защите информации Iкатегориидолжно иметь высшее профессиональное (техническое) образование и стаж работы в должности специалиста по защите информации IIкатегории не менее 3 лет;
— специалиста по защите информации IIкатегории должно иметьвысшее профессиональное (техническое) образование и стаж работы в должности специалиста по защите информации или другихдолжностях,замещаемых специалистами с высшим профессиональным образованием,неменее 3 лет;
— специалистапо защите информации должно иметьвысшее профессиональное (техническое) образование,безпредъявления требования к стажу работы.
1.4. Назначение на должность специалистапо защите информации и освобождение от неё осуществляется на основании приказа директора предприятия по представлению начальника отдела по защите информации.
1.5. Подчиняется специалист по защите информации непосредственно
(начальнику отдела по защите информации, главномуспециалисту по защите информации,иному должностному лицу)
1.6. Если специалист по защите информации отсутствует, то временно его обязанности исполняет лицо, назначенное в установленном порядке, которое несет ответственность за надлежащее исполнение возложенных на него должностных обязанностей.
1.7. В своей деятельности специалист по защите информациируководствуется:
уставом предприятия и настоящей должностной инструкцией;
законодательными и нормативными документами по вопросам обеспечения защиты информации;
методическими материалами, касающимися соответствующих вопросов;
правилами трудового распорядка; приказами и распоряжениями директора предприятия (непосредственного руководителя).
1.8. Специалист по защите информации должен знать:
особенности деятельности предприятия;
технологию производства в отрасли;
законодательные акты, нормативные и методические материалы по вопросам, связанным с обеспечением защиты информации;
оснащенность вычислительных центров техническими средствами, перспективы их развития и модернизации;
систему организации комплексной защиты информации, действующей в отрасли;
методы и средства контроля охраняемых сведений, выявления каналов утечки информации, организацию технической разведки;
методы планирования и организации проведения работ по защите информации и обеспечению государственной тайны;
технические средства контроля и защиты информации, перспективы и направления их совершенствования;
методы проведения специальных исследований и проверок, работ по защите технических средств передачи, обработки, отображения и хранения информации;
порядок пользования реферативными и справочно-информационными изданиями, а также другими источниками научно-технической информации;
методы и средства выполнения расчетов и вычислительных работ;
основы законодательства о труде;
правила и нормы охраны труда, техники безопасности, производственной санитарии и противопожарной защиты;
основы экономики, организации производства, труда и управления;
достижения науки и техники в стране и за рубежом в области технической разведки и защиты информации.
II. Функции
На специалиста по защите информациивозлагаются следующие функции:
2.1. Осуществление разработки организационно-распорядительных документов,регламентирующихработупо защите информации.
2.2. Проверка выполнения требований нормативныхдокументов по защите информации.
2.3. Обеспечение комплексной защиты информации.
2.4. Принятие участия в обследовании,аттестации и категорированииобъектов защиты.
2.5. Определение потребности втехнических средствах защиты и контроля.
2.6. Обеспечение соблюдения государственной тайны.
III. Должностные обязанности
Специалист по защите информацииисполняет следующие должностные обязанности:
3.1. Принимает участие:
— в обследовании объектов защиты,их аттестации и категорировании;
— в рассмотрении технических заданий на проектирование,эскизных, технических и рабочих проектов,обеспечивает их соответствие действующим нормативным и методическим документам;
— в разработке новых принципиальных схем аппаратуры контроля,средств автоматизации контроля, моделей и систем защиты информации,оценке технико-экономического уровня и эффективности предлагаемых и реализуемых организационно-технических решений.
3.2. Осуществляет сложные работы,связанные с обеспечением комплексной защиты информации,на основе разработанныхпрограмм и методик,соблюдения государственной тайны.
3.3. Организует разработку и своевременное представление предложений для включения в соответствующие разделы перспективных и текущих планов работ и программ мер по контролю и защите информации.
3.4. Проводитсбор и анализ материалов учреждений,организаций и предприятий отрасли для того чтобы выработать и принять решения и мер по обеспечению защиты информации и эффективному использованию средств автоматического контроля,обнаружения возможных каналов утечки сведений,представляющих государственную,военную,служебную и коммерческуютайну.
3.5. Проводит анализ существующих методов и средств,применяемых для контроля изащиты информации,а так же разрабатывает предложения по их совершенствованию и повышению эффективности этой защиты.
3.6. Осуществляет разработку и подготовку к утверждению проектов нормативных и методических материалов,регламентирующих работу по защите информации,а также положений,инструкций и других организационно-распорядительных документов.
3.7. Определяет потребность в технических средствах защиты и контроля,составляетзаявки на их приобретение с необходимыми обоснованиями и расчетами к ним, следит за поставкой и использованием.
3.8. Осуществляетпроверку выполнения требований межотраслевых и отраслевых нормативных документовпо защите информации.
3.9. Дает отзывы и заключения на проекты вновь строящихся и реконструируемых зданий и сооружений и другие разработки по вопросам обеспечения защиты информации.
IV. Права
Специалист по защите информации имеет право:
4.1. Обращаться к руководству предприятия:
— с требованиями оказания содействия в исполнении своих должностных обязанностей и прав;
— cпредложениями по совершенствованию работы, связанной с обязанностями, предусмотренными настоящей инструкцией.
4.2. Знакомиться с проектами решений руководства предприятия по вопросам его деятельности.
4.3. Получать от руководителей структурных подразделений, специалистов информацию и документы по вопросам, входящим в его компетенцию.
4.4. Привлекать специалистоввсехструктурных подразделений предприятия для решения вопросов, которые входят в его компетенцию (если это предусмотрено положениями о структурных подразделениях,в ином случае с разрешения руководителя предприятия).
V. Ответственность
Специалист по защите информации несет ответственность:
5.1. В случае причинения материального ущерба, в пределах, которые определены уголовным, гражданским, трудовым законодательством РФ.
5.2. В случае совершения в процессе осуществления своей деятельности правонарушения, в пределах, которые определены уголовным, гражданским, административным законодательством РФ.
5.3. В случае неисполнения или ненадлежащего исполнения своих должностных обязанностей, которые предусмотрены настоящей должностной инструкцией, в пределах, определенных трудовым законодательством РФ.
Руководитель структурного подразделения: _____________ __________________
(подпись) (фамилия, инициалы)
С инструкцией ознакомлен,
один экземпляр получил: _____________ __________________
Специалист по информационной безопасности
Презентация профессии
Специалист по информационной безопасности выполняет сложные работы, связанные с обеспечением комплексной защиты информации на основе разработанных программ и методик, соблюдения государственной тайны. Проводит сбор и анализ материалов учреждений, организаций и предприятий отрасли с целью выработки и принятия решений и мер по обеспечению защиты информации и эффективному использованию средств автоматического контроля, обнаружения возможных каналов утечки сведений, представляющих государственную, военную, служебную и коммерческую тайну. Анализирует существующие методы и средства, применяемые для контроля и защиты информации, и разрабатывает предложения по их совершенствованию и повышению эффективности этой защиты. Участвует в обследовании объектов защиты, их аттестации и категорировании. Разрабатывает и подготавливает к утверждению проекты нормативных и методических материалов, регламентирующих работу по защите информации, а также положений, инструкций и других организационно-распорядительных документов. Организует разработку и своевременное представление предложений для включения в соответствующие разделы перспективных и текущих планов работ и программ мер по контролю и защите информации. Дает отзывы и заключения на проекты вновь строящихся и реконструируемых зданий и сооружений и другие разработки по вопросам обеспечения защиты информации. Участвует в рассмотрении технических заданий на проектирование, эскизных, технических и рабочих проектов, обеспечивает их соответствие действующим нормативным и методическим документам, а также в разработке новых принципиальных схем аппаратуры контроля, средств автоматизации контроля, моделей и систем защиты информации, оценке технико-экономического уровня и эффективности предлагаемых и реализуемых организационно-технических решений. Определяет потребность в технических средствах защиты и контроля, составляет заявки на их приобретение с необходимыми обоснованиями и расчетами к ним, контролирует их поставку и использование. Осуществляет проверку выполнения требований межотраслевых и отраслевых нормативных документов по защите информации.
Тип и класс профессии
Содержание деятельности
определение информации, подлежащей защите; обнаружение возможных источников и каналов утечки информации; анализ существующих методов и средств, применяемых для контроля и защиты информации; разработка и обеспечение программ, реализующих защиту информационных систем; участие в обследовании объектов защиты, их аттестации и категорировании; современные профессии и специальности разработка проектов нормативных и методических материалов, регламентирующих работу по защите информации; заключение соглашений и договоров с другими учреждениями, организациями, предприятиями, предоставляющими услуги в области защиты информации.
Требования к знаниям и умениям специалиста
Требования к индивидуальным особенностям специалиста
Условия труда
Специалисты могут работать как самостоятельно, так и в коллективе. Представители данной профессии работают как в государственных, так и в коммерческих предприятиях, работа в помещении, преимущественно сидя, с использованием компьютера. Специалист по информационной безопасности самостоятельно принимает решения в рамках своей профессиональной компетенции.
Медицинские противопоказания
неврологические и психиатрические заболевания, в том числе нарушения двигательной функции (парезы и параличи), нарушения зрения.
Базовое образование
высшее профессиональное образование
Перспективы карьерного роста
развитие возможно в виде повышения квалификационной категории (1 и 2 категории), либо повышения в должности до начальника отдела или департамента информационной безопасности.
Красноярского края
Профессиограмма
Специалист по защите информации
Презентация профессии
Данная профессия является сравнительно молодой и получившей широкое распространения в связи с внедрением компьютерных и сетевых технологий практически во все организациях – от небольших коммерческих фирм до органов госбезопасности.
Современные компании все чаще сталкиваются с необходимостью обеспечить конфиденциальность данных, предотвратить утечку или несанкционированный доступ к информации. Задача по обеспечению комплексной защиты информации ложится на плечи специалиста по информационной безопасности. Который должен провести аудит существующей системы безопасности, проанализировать информационные риски и в соответствии с этим разработать и внедрить мероприятия по обеспечению информационной безопасности компании, в частности, выбрать, установить и настроить технические средства защиты информации.
Процесс защиты информации сопровождается активным составлением нормативно-технической документации. В обязанности специалиста по защите информации также входит постоянный мониторинг системы информационной безопасности и поддержка технических средств ее защиты. Кроме того, сотруднику, ответственному за безопасность информации, приходится обучать других сотрудников соблюдению основ информационной безопасности. Конечно, список требований достаточно серьезен, однако очевидны и преимущества такой сложной профессии – высокая востребованность таких специалистов на рынке труда.
Преимущества профессии: интересная и высокооплачиваемая работа с современными компьютерными технологиями и техникой.
Ограничения профессии: большая нагрузка на зрение; необходимость постоянно заниматься самообразованием.
Тип и класс профессии
Профессия специалиста по защите информации относится типам «Человек – Знаковая система», «Человек – Техника» и, в какой-то степени, «Человек – Человек». Специалист должен уметь разработать и внедрить комплекс защитных систем для различных коммуникационных сетей и электронных баз данных предприятия. Он должен обладать навыками работы с техническими устройствами, применяемыми в сфере защиты информации. Также данный специалист занимается сопровождением программных комплексов безопасности в организации, поэтому от него требуется, в том числе, умение объяснять, оказывать помощь сотрудникам организации в освоении новых программ.
Профессия «специалист по защите информации» относится к классу эвристических, т.к. связана с анализом, исследованиями и испытаниями, контролем и планированием, конструированием и проектированием.
Содержание деятельности
Специалист по защите информации занимается разработкой охранных систем для различных коммуникационных сетей и электронных баз данных, тестирует и совершенствует собственные и посторонние разработки во избежание рисков утечки сведений, представляющих собой государственную или коммерческую тайны, конфиденциальную информацию.
Область профессиональной деятельности специалиста по защите информации включает: объекты информатизации, включая компьютерные, автоматизированные, телекоммуникационные, информационные и информационно-аналитические системы, информационные ресурсы и информационные технологии в условиях существования угроз в информационной сфере; технологии обеспечения информационной безопасности объектов различного уровня, которые связаны с информационными технологиями, используемыми на этих объектах; процессы управления информационной безопасностью защищаемых объектов.
Основные виды деятельности специалиста:
Аудит и мониторинг системы информационной безопасности компании;
Анализ информационных рисков;
Разработка и внедрение мероприятий по обеспечению информационной безопасности компании;
Осуществление выбора целесообразных оптимальных систем и методов защиты;
Установка, настройка и сопровождение технических средств защиты информации;
Оценка процента потенциальной опасности и вероятности произведения атак;
Разработка защитного программного обеспечения;
Ликвидация вредоносных программ и программ-шпионов;
Проведение процедур по восстановлению и исправлению работы поврежденных программ, файлов;
Анализ степени причиненных убытков;
Обучение и консультирование сотрудников по вопросам обеспечения информационной безопасности;
Составление нормативно-технической документации.
Требования к знаниям и умениям специалиста
Для успешного освоения профессии специалиста по защите информации необходимы базовые знания по математике, физике и информатике.
Пути получения профессии
Получить профессию можно в следующих образовательных организациях: ФГБОУ ВО «Сибирский государственный университет науки и технологий имени академика М.Ф. Решетнева», ФГАОУ ВО «Сибирский федеральный университет» (Институт космических и информационных технологий), ФГБОУ ВО «Красноярский государственный аграрный университет».
Области применения профессии
Область профессиональной деятельности специалиста по защите информации включает: сферы науки, техники и технологии, охватывающие совокупность проблем, связанных с обеспечением защищенности объектов информатизации в условиях существования угроз в информационной сфере.
Перспективы карьерного роста
В сфере IT позиция специалиста по защите информации относится к высшему уровню профессионального роста. На более высокой ступени карьерной лестницы могут стоять только начальники отделов или департаментов информационной безопасности.
Где искать специалиста по информационной безопасности
Хороший специалист по информационной безопасности сегодня на вес золота — направление очень востребованное, а кадров не хватает. Отчасти это связано со сложностью профессии, ведь специалист такого профиля должен знать многое, а уметь и практиковать — еще больше.
Кто такой специалист по ИБ?
Специалист по инфобезопасности заботится о сохранении конфиденциальности данных, обеспечивает предотвращение кибератак и утечки информации, укрепляет безопасность информационных систем. По сути, спецы по ИБ защищают данные, деньги, репутацию компаний и пользователей, а также прикрывают тыл, чтобы другие сотрудники могли спокойно работать и пользоваться IT-инфраструктурой предприятия.
Специалист по информационной безопасности — человек с основательной теоретической базой и солидным практическим опытом в работе с технологиями. Он должен хорошо разбираться в комплаенсе, ведь работа с ИБ неразрывно связана со знанием требований и законодательных норм в области защиты информации. Чтобы быть востребованным экспертом, важно постоянно практиковать и следить за развитием сферы.
Хороший специалист по ИБ должен знать большую часть методик и инструментов киберпреступников и уметь противостоять им. Конечно, методы злоумышленников тоже совершенствуются — около 20 % атак приходится на новые способы взлома, так называемые угрозы нулевого дня. В должностные обязанности специалистов по информационной безопасности входит задача вовремя среагировать и на такие атаки — минимизировать ущерб и сделать все возможное, чтобы компания была готова к ним в будущем.
Основные специальности в области кибербезопасности
Вот три основных специализации в этой сфере:
Пентестер
Пользователей окружают всевозможные приложения — в компьютере, ноутбуке, смартфоне. Ежедневно разрабатывают и презентуют тысячи новых приложений, и далеко не все из них совершенны и далеко не все разработчики ПО могут похвастаться практическими навыками в инфобезе. Разумеется, при таких условиях в приложении могут быть уязвимости, ошибки в самом коде.
Пентестер — эксперт, который исследует мобильные приложения, веб-сайты и автоматизированные системы на наличие уязвимостей. Пентестеров еще называют белыми хакерами — они тоже ищут «слабые места» сервисов и приложений, но делают это чтобы улучшить готовый продукт, сделать его безопасным для будущих пользователей. Пентестеры необязательно работают в команде компании-разработчика, они могут быть фрилансерами и получать вознаграждения за найденную уязвимость.
Специалист по безопасной разработке приложений
Эксперт по безопасной разработке ПО — это одновременно разработчик и безопасник. Он должен хорошо понимать проект, с которым он работает, знать тонкости разработки и при этом уметь находить ошибки и слабые места в самом коде, а также понимать, как их можно устранить.
Такой специалист обычно входит в команду разработчиков, умеет находить потенциально уязвимые места и указывать на них создателям, в работе использует разные инструменты — готовые или собственной разработки. Он умеет проводить аудит безопасности кода и находить типовые ошибки.
Специалист по ИБ широкого профиля
К этой категории относят профессионалов, которые могут быть специалистами в 2-3 направлениях ИБ и при этом неплохо разбираться еще в нескольких смежных дисциплинах, типа программирования. Это настоящие эксперты, которые часто выступают как консультанты или архитекторы сложных проектов.
Опыт и образование
Получить образование по направлению «Информационная безопасность» можно в ВУЗах и колледжах. Но получить диплом — не значит быть хорошим специалистом. Если человек учился «для галочки, ради диплома» — экспертом он вряд ли станет. То же самое с отсутствием практики — специалистами становятся, только когда подкрепляют свои знания практическим опытом.
В кибербезопасность приходят не только после ВУЗа, но и из других профессий. Количество времени, которое придется потратить на погружение в ИБ, сильно зависит от бэкграунда. Если в инфобез приходит человек с «базой» — например, системный администратор с 5-летней практикой, то такой специалист вполне сможет выйти на уровень джуниора за полгода (при условии качественного обучения по 5-7 часов в неделю). Системный администратор понимает, что и как работает — ему не надо тратить время на изучение основной информации, а только получить новые узкоспециальные знания.
Если базы нет — например, специалистом по безопасности информационных систем решил стать человек, который имеет не самую близкую к IT профессию — то до достижения того же уровня ему понадобится минимум 1,5 года (при том же условии — учиться 5-7 часов в неделю).
Как найти хорошего специалиста по ИБ?
Объективно оценить профессионализм специалиста по ИБ можно только на практике — работодателей всегда интересуют реальный опыт, они хотят знать, что человек умеет, с какими задачами сталкивался и как их решал.
Кто изучал рынок, тот понимает — дефицит специалистов по информационной безопасности определенно есть. Часто происходит так: в компании возникает необходимость в таком специалисте, составляют требования к кандидату, передают кадровикам. Чем жестче требования, тем больше шансов, что кандидатов из свободного поиска придет не больше нуля. Почему? Потому что эксперты по ИБ резюме в открытый доступ обычно не вывешивают. Если им захочется поменять работу, они легко ее сменят через свои контакты. Но что делать компании-работодателю?
Если для компании это приемлемо, можно попытаться переманить профессионала из других фирм. Можно рискнуть и взять новичка и попробовать вырастить спеца самостоятельно — взять подходящего кандидата из своих и вложить в него недостающий пакет знаний и навыков. Этот вариант хорош тем, что такому специалисту не придется «акклиматизироваться» — он уже знаком со сложившимися подходами к организации рабочих процессов, продуктом, корпоративной культурой. В качестве потенциальных кандидатов на переквалификацию можно рассматривать безопасников-технарей и разработчиков — они ближе всех к инфобезу.
Специалист по информационной безопасности: подготовка по специальности
Информационная безопасность
Защита информации в сфере IT считается высшим профессиональным уровнем. В условиях жесткой конкурентной борьбы современные компании вынуждены уделять повышенное внимание сохранности данных. В связи с этим возрастает роль специалистов по информационной безопасности. Специалист по информационной безопасности обеспечивает конфиденциальность данных, предотвращает утечку или несанкционированный доступ к информации, принимает непосредственное участие в создании системы защиты информации, ее аудите и мониторинге, анализирует информационные риски, разрабатывает и внедряет мероприятия по их предотвращению. В его компетенцию также входит установка, настройка и сопровождение технических средств защиты информации.
Специалисты по информационной безопасности входят в тройку лидеров среди IT-специальностей в условиях кризиса. В Москве на одну вакансию специалиста по информационной безопасности приходится только два резюме!
Современные специалисты по безопасности должны владеть средствами, которые помогут им провести мониторинг безопасности IT-среды, организовать защиту против известных и вновь возникающих угроз, оперативно выявлять и сдерживать любые атаки, а также проводить восстановительные мероприятия. При этом они должны обеспечить свободный и безопасный доступ к корпоративной информации и ресурсам, организовав виртуальные частные сети, построив несколько уровней защиты, обеспечив отказоустойчивость, мониторинг и контроль. В обязанности специалиста по информационной безопасности также зачастую входит обучение и консультирование сотрудников по вопросам обеспечения информационной безопасности и составление нормативно-технической документации.
Плюсы профессии:
Специалист по информационной безопасности должен знать программно-аппаратное обеспечение, линейки оборудования и продуктов производителей ПО (Windows, Linux, Cisco, EC-Council, Security Certified Program, Check Point, КриптоПро, Лаборатории Касперского).
Всему этому вы научитесь в «Специалисте»!
«Специалист» — лучший российский учебный центр, имеющий авторизацию Microsoft, авторизованный учебный центр Cisco, авторизованный учебный центр «Лаборатории Касперского», авторизованный центр «Крипто-Про», лучший учебный центр по этичному хакингу.
После успешного окончания обучения Вы получите престижное свидетельство Центра «Специалист» и международные сертификаты компаний-производителей программного обеспечения.
Запишитесь на курсы и станьте высококвалифицированным специалистом!