Должностная инструкция специалиста по обеспечению безопасности информации в ключевых системах информационной инфраструктуры

Должностная инструкция специалиста по обеспечению безопасности информации в ключевых системах информационной инфраструктуры

На просторах КонсультантПлюс неожиданно нашел довольно занятную форму должностной инструкции специалиста по обеспечению безопасности информации в ключевых системах информационной инфраструктуры. Как говорит неведомый автор, "форма подготовлена с использованием правовых актов по состоянию на 03.02.2014."

Интересные, но местами спорные (дискуссионные) положения. Для тех, кто занимается темой защиты КВО, возможно, будет полезно ознакомиться с осиновыми моментами, они далее.

name='more'>
1.1. Настоящая должностная инструкция определяет функциональные обязанности, права и ответственность специалиста по обеспечению безопасности информации в ключевых системах информационной инфраструктуры _______________ (далее - Организация).

1.5. Специалист по обеспечению безопасности информации в ключевых системах информационной инфраструктуры должен знать:
- законы и иные нормативные правовые акты Российской Федерации, регулирующие отношения, связанные с защитой государственной тайны и иной информации ограниченного доступа; нормативные и методические документы по вопросам, связанным с обеспечением безопасности информации;
- структуру управления, связи и автоматизации и основные элементы ключевой системы информационной инфраструктуры Организации;
- подсистемы разграничения доступа, подсистемы обнаружения атак, подсистемы защиты от преднамеренных воздействий, контроля целостности информации;
- порядок создания защищенного канала между взаимодействующими объектами через систему общего пользования с использованием выделенных каналов связи;
- порядок осуществления аутентификации взаимодействующих объектов и проверки подлинности отправителя и целостности передаваемых через систему общего пользования данных;
- оснащенность Организации основными и вспомогательными техническими средствами и системами, перспективы их развития и модернизации;
- перспективы и направления развития методов и средств технических и программно-аппаратных средств защиты информации от деструктивных информационных воздействий;
- порядок проектирования и аттестации объектов информатизации; контроль эффективности защиты информации на объектах информатизации;
- порядок осуществления контроля использования открытых каналов радиосвязи;
- методы и средства выявления угроз безопасности информации, методики выявления каналов утечки информации;
- методы проведения научных исследований, разработок по технической защите информации;
- порядок обследования ключевых систем информационной инфраструктуры, составления актов проверки, протоколов испытаний, предписаний на право эксплуатации специальных средств обеспечения безопасности информации, а также положений, инструкций и других организационно-распорядительных документов;
- полномочия по вопросам обеспечения безопасности информации, возможности и порядок применения штатных технических средств обеспечения безопасности информации и контроля их эффективности;
- методы анализа результатов проверок, учета нарушений требований по обеспечению безопасности информации;
- методику подготовки предложений, методы и средства выполнения вычислительных работ в интересах планирования, организации и проведения работ по обеспечению безопасности информации и обеспечению государственной тайны;
- достижения науки и техники в стране и за рубежом в области технической разведки и защиты информации;
- методы оценки профессионального уровня специалистов по обеспечению безопасности информации, аттестации специалистов;
- основы трудового законодательства;
- правила по охране труда и пожарной безопасности.

2. ФУНКЦИОНАЛЬНЫЕ ОБЯЗАННОСТИ
Специалист по обеспечению безопасности информации в ключевых системах информационной инфраструктуры:
2.1. Выполняет мероприятия по обеспечению безопасности информации в ключевых системах информационной инфраструктуры.
2.2. Определяет возможные угрозы безопасности информации, уязвимость программного и аппаратного обеспечения, разрабатывает технологии обнаружения вторжения, оценивает и переоценивает риски, связанные с угрозами деструктивных информационных воздействий, способных нанести ущерб системам и сетям вследствие несанкционированного доступа, использования раскрытия, модификации или уничтожения информации и ресурсов информационно-управляющих систем.
2.3. Определяет ограничения по вводу информации, процедуры управления инцидентами нарушения безопасности и предотвращает их развитие, порядок подключения к открытым информационным системам с учетом обеспечения безопасности, связанной с соглашениями о доступе и приоритезации ресурсов, требования к местам резервного хранения, обработки и копирования информации, приоритеты обслуживания по использованию основных и резервных телекоммуникационных сервисов (услуг).
2.4. Разрабатывает процедуры защиты носителей информации, коммуникаций и восстановления информационно-управляющих систем после сбоя или отказа.
2.5. Осуществляет контроль деятельности по обеспечению безопасности информации в ключевых системах информационной инфраструктуры; информационное, материально-техническое и научно-техническое обеспечение безопасности информации; контроль состояния работ по обеспечению безопасности информации в ключевых системах информационной инфраструктуры и их соответствие нормативным правовым актам Российской Федерации.
2.6. Дает отзывы и заключения на проекты вновь создаваемых и модернизируемых объектов и других разработок по вопросам обеспечения безопасности информации в ключевых системах информационной инфраструктуры.
2.7. Участвует в рассмотрении технических заданий на научно-исследовательские и опытно-конструкторские работы по обеспечению безопасности информации в ключевых системах информационной инфраструктуры, оценивает их соответствие действующим нормативным и методическим документам.
2.8. Участвует в работах по внедрению новых средств технической защиты информации.
2.9. Содействует распространению в Организации передового опыта и внедрению современных организационно-технических мер, средств и способов обеспечения безопасности информации в ключевых системах информационной инфраструктуры.
2.10. Проводит оценки технико-экономического уровня и эффективности предлагаемых и реализуемых организационно-технических решений по обеспечению безопасности информации в ключевых системах информационной инфраструктуры.
2.11. Разрабатывает списки доступа персонала на объекты защиты, порядок и правила поведения работников, в том числе при их перемещении, увольнении и взаимодействии с персоналом сторонних организаций.
2.12. Осуществляет руководство и обучение персонала действиям в кризисных ситуациях, включая порядок действий руководящих и других ответственных лиц ключевых систем информационной инфраструктуры.

Alt text

Ваша приватность умирает красиво, но мы можем спасти её.

Присоединяйтесь к нам!

Andrey Prozorov

Информационная безопасность в России и мире