Описание должности Руководитель группы Организация информационной безопасности

Содержание
  1. Специалист по информационной безопасности
  2. Особенности профессии
  3. Плюсы:
  4. Минусы:
  5. Место работы
  6. Важные качества
  7. Обучение на Специалиста по информационной безопасности
  8. Оплата труда
  9. Ступеньки карьеры и перспективы
  10. Навыки и требования к специалистам по информационной безопасности
  11. Cтатистика
  12. Вакансии
  13. Подводя итоги
  14. Положение об отделе информационной безопасности
  15. Общие положения
  16. Цели, задачи и функции Отдела
  17. Структура Отдела
  18. Взаимоотношения Отдела с другими структурными подразделениями организации
  19. Ответственность
  20. Должностная инструкция специалиста по защите информации
  21. I. Общие положения
  22. II. Функции
  23. III. Должностные обязанности
  24. IV. Права
  25. V. Ответственность
  26. Руководитель отдела информационных технологий (ИТ)
  27. Квалификационные требования
  28. Функциональные обязанности
  29. Профессиональные навыки
  30. Каким должен быть директор по информационной безопасности
  31. Новые обязанности руководителя по ИБ
  32. «Технарь» или бизнес-стратег

Специалист по информационной безопасности

Описание должности Руководитель группы Организация информационной безопасности

Специалисты по информационной безопасности принимают непосредственное участие в создании системы защиты информации, ее аудите и мониторинге, анализируют информационные риски, разрабатывают и внедряют мероприятия по их предотвращению.

Профессия подходит тем, кого интересует информатика (см.выбор профессии по интересу к школьным предметам).В 2020 году центр профориентации ПрофГид разработалточный тестна профориентацию.

Он сам расскажет вам, какие профессии вам подходят, даст заключение о вашем типе личности и интеллекте.

В их компетенцию также входит установка, настройка и сопровождение технических средств защиты информации.

Специалисты по безопасности обучают и консультируют сотрудников по вопросам обеспечения информационной защиты, разрабатывают нормативно-техническую документацию.

Эта должность возникла на стыке двух направлений информационных технологий и технологий обеспечения безопасности. Без сотрудников по информационной безопасности сегодня не могут обойтись ни коммерческие структуры, ни ведомственные организации, такие как ФСБ.

Особенности профессии

Эта профессия возникла на стыке двух направлений: информационных технологий и технологий обеспечения безопасности. Без сотрудников по информационной безопасности сегодня не могут обойтись ни коммерческие структуры, ни ведомственные организации.

Они предотвращают утечку важной информации, подлог данных и некомпетентность (злой умысел) собственных сотрудников.

В государственном масштабе специалисты по информационной безопасности создают системы защиты стратегической информации по обороноспособности страны, формируют секретные базы данных, сохраняют тайну ядерного чемоданчика.

Плюсы:

  • востребованность на рынке труда, так как сфера информационной безопасности стремительно развивается, а значит, спрос на специалистов в этой области будет постоянно расти;
  • высокая оплата труда;
  • возможность освоения самых передовых технологий защиты информации;
  • возможность посещать конференции и семинары;
  • общение с разнообразными специалистами, возможность завязать полезные связи.

Минусы:

  • высокая ответственность, так как приходится отвечать за сохранность всей информации компании;
  • возможны частые командировки.

Место работы

В организациях различных форм собственности, имеющих собственные компьютерные сети и нуждающихся в сохранении корпоративных сведений и важной коммерческой информации.

Важные качества

Коммуникабельность и умение работать в команде. Создание и наладка систем защиты — это коллективная работа нескольких специалистов: руководителя защищаемой компании, аналитика, проектировщиков систем, программистов. Ко всем нужно найти подход и суметь поставить задачу понятным для них языком.

Обучение на Специалиста по информационной безопасности

Предлагаем вам ознакомиться с нашим перечнем ВУЗов информационных технологий (IT).

Специалист по информационной безопасности должен знать все технологии среды WEB, а также понимать способы взламывания доступов и повреждения сетей и проектов.

Оплата труда

Уровень оплаты труда специалиста определяется благосостоянием компании, перечнем должностных обязанностей, опытом работы по специальности, уровнем развития профессиональных навыков.

Ступеньки карьеры и перспективы

Сама по себе эта позиция уже является одной из высших ступеней карьерного роста в сфере IT, выше только должности начальника отдела или департамента информационной безопасности.

Начать карьеру в данной сфере могут IT-специалисты с неполным или законченным высшим образованием, опытом администрирования средств защиты информации и операционных систем Windows или Unix.

Требования работодателей к профессиональным навыкам и умениям начинающих специалистов достаточно серьезные: даже претенденты на сравнительно невысокий доход должны знать законодательство РФ по информационной безопасности, принципы работы сетей и средства криптозащиты, современные программные и аппаратные средства защиты информации, а также технологии обеспечения информационной безопасности. Зарплата, на которую могут рассчитывать молодые специалисты в столице, от 40 тыс.руб.

Следующий уровень – специалист с высшим образованием в сфере информационных технологий или защиты информации, имеющий опыт работы в сфере обеспечения информационной безопасности не менее 2 лет.

Помимо этого претенденты должны иметь опыт проведения аудита и оценки рисков системы информационной безопасности, навыки разработки нормативно-технической документации по информационной безопасности, знать международные стандарты защиты информации и владеть английским языком на уровне, достаточном для чтения технической литературы. Специалисты, соответствующие вышеуказанным требованиям, зарабатывают в Москве до 80 тыс. руб.

Источник: https://www.profguide.io/professions/specialist_in_information_security.html

Описание должности Руководитель группы Организация информационной безопасности

Несмотря на высокую популярность профессии, обилие информационных ресурсов и материалов в открытом доступе рынок испытывает нехватку квалифицированных кадров, особенно связанных с практической информационной безопасностью. В данной статье будет раскрыта тема востребованности специалистов по информационной безопасности, специфика требований и навыков.

Cтатистика

По статистике одного из HR-агенств, специалистам по информационной безопасности в конце 2015 г. предлагали в среднем на 21% больше, чем в январе 2015 г. Это указывает на то, что даже в условиях кризиса квалифицированные специалисты востребованы, более того, рынок ощущает их нехватку.

Действительно, тема информационной безопасности стала как никогда актуальной — это и набирающие обороты (по уровню ущерба и частоте) атаки банковского сектора (SWIFT, корреспондентские счета), увеличивающееся количество таргетированных атак (Advanced Persistent Threat, APT) и т.д.

Даже те компании, штат которых укомплектован специалистами по информационной безопасности, нуждаются в квалифицированной оценке зрелости защитных систем, безопасности периметра, веб-приложений и иных элементов инфраструктуры — показательно всё увеличивающееся количество инициаторов BugBounty программ, причём сумма выплат колеблется от $100 до $20000 за уязвимость.

Вакансии

Исходя из данных, представленных на сайтах по размещению вакансий средний уровень заработной платы специалистов по информационной безопасности с опытом 1-3 года находится на уровне 40.000-70.000 рублей.

Это относится к специалистам начальной группы (junior), с малым опытом работы, по профессиональным требованиям и обязанностям это хорошо видно (здесь и далее представлены «усреднённые» показатели): Обязанности:

  • Администрирование межсетевых экранов Cisco ASA и Kerio Connect;
  • Администрирования сервера антивирусной защиты, мониторинг состояния клиентов, удаление вирусов, тонкая настройка защиты;
  • Поиск уязвимостей с помощью специализированного ПО и их устранение;
  • Мониторинг выхода обновлений для ОС, ПО и сетевого оборудования;
  • Настройка и управление коммутационным оборудованием;
  • Написание скриптов оптимизации управления системами безопасности;
  • Управление инфраструктурой предоставления доступов;
  • Периодический анализ логов.

Требования:

  • Опыт администрирования ОС Windows от 1-го года;
  • Базовые знания ОС Linux от 1-го года, уверенная работа в командной строке;
  • Базовые знания работы сетей. IP адресация, статическая маршрутизация, модели ISO OSI, TCP;
  • Опыт администрирования Active Directory: настройка групповых политик(GPO), управление правами пользователями;
  • Опыт настройки систем защиты от НСД на базе Windows;
  • Опыт настройки антивирусных систем;
  • Опыт разработки сложных конфигураций межсетевого экрана IPTables;
  • Умение настраивать Apache2, nginx, Auditd, MySQL, PostgreSQL, Rsyslog.

Как видно из описания это скорее системный администратор с уклоном в ИБ, нежели «чистый» безопасник. Какую-то определенную конкретику в навыках выделить сложно. Кто ищет кандидатов — компании любой направленности, выделить область сложно.
Специалисты с опытом 3-6 лет относятся уже к middle. Навыков и опыта требуется больше, но и уровень заработной платы гораздо выше. Эти специалисты, как правило, имеют хороший технический бэкграунд (системное администрирование, поиск узявимостей), хорошо знают приложения, техники и методологию. Этих специалистов условно можно разделить на два направления — нападение и защита. Универсалов на этом уровне (пентестер + специалист по обеспечению ИБ) — практически не бывает в природе (либо это уже уровень senior). Средняя вилка — 70.000-100.000 рублей.

Специалист по защите информации:

Обязанности:

  • Настройка и управление подсистемами безопасности;
  • Управление инцидентами безопасности;
  • Настройка и управление коммутационным оборудованием;
  • Написание скриптов оптимизации управления системами безопасности;
  • Управление инфраструктурой предоставления доступов;
  • Анализ логов-файлов и журналов событий;
  • Участие в сопровождении IT-инфраструктуры Заказчика: обеспечение информационной безопасности и защиты персональных данных;
  • Мониторинг и контроль функционирования средств обеспечения ИБ;
  • Поддержка работоспособности, администрирование и обеспечение бесперебойной работы специальных средств защиты информации;
  • Внесение изменений в настройки средств обеспечения безопасного межсетевого взаимодействия при обнаружении признаков атаки на ВС;
  • Контроль нештатной активности внутренних пользователей ВС;
  • Анализ инцидентов ИБ и их решение;
  • Проведение аудитов, подготовка организационно-распорядительной документации и отчетов по ИБ.

Требования:

  • Высшее образование (ИТ, информационная безопасность);
  • Знание принципов построения и функционирования сетей и протоколов стека TCP/IP;
  • Знание модели ISO/OSI;
  • Понимание принципов компьютерной и сетевой безопасности, безопасности web- приложений;
  • Знание принципов работы средств обеспечения безопасности (корпоративные антивирусы,WAF, системы обнаружения вторжений и т.д.);
  • Windows и Linux на уровне администратора;
  • Опыт автоматизации (bash, perl, python);
  • Опыт проведения анализа защищенности;
  • Профессиональные знания используемого в инфраструктуре работодателя профильного ПО (от корпоративных антивирусов до DLP/IDS/IPS/SIEM и т.д).

Пентестер: Обязанности:

  • Выполнение тестирования информационных сред и программных продуктов компании;
  • Тестирование информационных систем на отказоустойчивость;
  • Инструментальный анализ информационных систем;
  • Выявление актуальных угроз по классификации OWASP TOP 10, выработка компенсирующих мер;
  • Тестирование на проникновение;
  • Анализ безопасности исходных кодов программных продуктов.

Требования

  • Опыт работы по выявлению уязвимостей систем;
  • Опыт работы с Burp Suite, Hydra;
  • Опыт работы SQLMap, OpenVAS, Metasploit Framework, Fortify, AppScan;
  • Опыт работы Acunetix, w3af, X-Spider, Max-Patrol, Nmap;
  • Знание принципов построения и работы веб-приложений;
  • Знание типовых угроз и уязвимостей веб-приложений, перечисленных в OWASP Top 10;
  • Навыки ручного и автоматизированного тестирования безопасности веб-приложений;
  • Опыт проведения тестирования на проникновение;
  • Опыт проведения аудита систем ИТ и ИБ.

В требованиях к таким специалистам больше конкретики, заточенной на область применения в той или иной сфере, включая методологии и тип используемого программного обеспечения. Таких специалистов ищут представители e-commerce, финансового сектора, интеграторы, крупные/распределенные ритейл-компании и т.д.
Cпециалисты с опытом работы от 5-6 лет — senior. Как правило это руководящая должность — начальник отдела анализа защищенности; начальник отдела управления информационной безопасности; аналитик; крупный сейл ИБ-вендора; узскопециализированный пентестер. Уровень заработной платы от 120.000 до 200.000 рублей. Людей из этой категории довольно мало, и, как правило, они «на слуху» в отрасли. Это специалисты, хорошо разбирающиеся в предметной области, и, как правило, имеющие экспертную квалификацию в узкой специализации. Приветствуется опыт выступления на конференциях либо другая общественная активность — значит кандидат следит за трендами и получает своевременную оценку профессионального сообщества. Из требований здесь встречаются следующие:

  • Высшее ИБ/ИТ образование;
  • Наличие сертификатов;
  • Наличие публикаций и статей в предметной области;
  • Опыт публичных выступлений;
  • Знание основных методик, классификаций и международных практик (OSSTMM, OWASP, WASC, NIST SP800-115 и др.);
  • Навыки выявления угроз ИБ на основе сведений об уязвимостях (классификация угроз, формирование рекомендаций по устранению уязвимостей и минимизации бизнес-рисков);
  • Знание нормативной базы в части защиты информации: законов и иных нормативных правовых актов РФ, регулирующих отношения, связанные с защитой информации ограниченного доступа (не относящейся к гостайне), руководящих документов ФСТЭК, ФСБ, в том числе по защите банковской тайны, АСУ ТП, коммерческой тайны, знание СТО БР ИББС, PCI DSS, ISO 27xxx;
  • Английский язык;
  • Наличие лидерских качеств, умение добиваться поставленных целей, инициативность, активность, навыки самоорганизации, ответственность;
  • Умение программировать на одном или нескольких скриптовых языках;
  • Экспертные знания профильного ПО (IBM Qradar, Splunk Enterprise, Imperva DAM, Maxpatrol, Symantec Critical System Protection, Tuffin, Gigamon Networks и Cisco ASA. и т.д);
  • Экспертные знания в узкоспециализированных системах: (например SCADA/ERP/SS7/Hardware);
  • Опыт разработки собственных средств/утилит/методик;
  • Опыт разработки технической и аналитической документации;
  • Опыт проведения статистических исследований;
  • Опыт расследования инцидентов безопасности, сбор доказательной базы, форензика;
  • Опыт участия в крупных проектах по анализу защищенности или аудиту информационной безопасности.

Требования представлены в усредненном варианте для вышеперечисленных специалистов. Профессиональные навыки соискателя, как правило, известны и таких людей «хантят» не под определенную задачу, а под целый этап или уровень жизнедеятельности компании. Такого рода специалисты востребованы в финансовой сфере, ИТ-интеграторах, ИБ-вендорах, крупных ИТ-компаниях.
Вершина пирамиды (lead) — специалисты с опытом от 10 лет. К этой категории относятся CTO, CISO, системный архитектор, team lead. Уровень зарплаты от 200.000. Как правило, это известные люди в отрасли информационной безопасности, с обширным опытом и связями. Требования/навыки: здесь обычно смотрят на выполненные проекты, направление деятельности. По навыкам могут запросить полный список с предыдущих позиций (а он обычно обширный к этому этапу), либо просто будет указан необходимый результат работы. В случае этих позиций смотрят уже не на знания, а на достижения. Такие специалисты требуются крупным интеграторам, ИБ-вендорам, крупнейшим технологическим компаниям, финансовой сфере, в государственном секторе.

Подводя итоги

Защита информации для участников рынка становится одной из приоритетных задач. Обеспечить такую защиту только автоматизированными средствами, практически невозможно. Востребованность специалистов в сфере ИБ растет с той же скоростью, с которой развиваются и сами информационные технологии.

Проблема образования и дальнейшего трудоустройства заключается в извечной проблеме «нет работы, потому что нет опыта, потому, что нет работы…» и читать эту фразу можно по кругу бесконечно. Общепризнанный факт, что диплом сам по себе не дает приоритета. К моменту выпуска бОльшая часть знаний уже не котируется.

Наиболее быстрый и удачный выход из ситуации – самообразование.

  • информационная безопасность

Хабы:

  • Информационная безопасность
  • 28 декабря 2017 в 16:23
  • 26 ноября 2016 в 18:52
  • 26 августа 2016 в 20:14

Источник: https://habr.com/ru/post/306336/

Положение об отделе информационной безопасности

Описание должности Руководитель группы Организация информационной безопасности

Защита конфиденциальных данных – одна из приоритетных задач руководства любого предприятия. Для того чтобы сохранить важную информацию в безопасности, нужно создать специальное структурное подразделение, которое будет заниматься этими вопросами.

В свою очередь для создания такого подразделения требуется разработать уставную документацию, регулирующую его работу и наделяющую сотрудников данного подразделения определенными полномочиями.

Ключевой документ называется положение о работе отдела информационной безопасности. 

положения зависит от того, какие функции выполняет организация и насколько важную информацию необходимо защитить.

Так, например, положение банка будет существенно отличаться от аналогичного документа государственной некоммерческой организации.

Однако общая структура положения является общей для всех видов организаций. Ее можно использовать в качестве основы, добавляя нужные пункты и разделы.

Пример такой структуры можно увидеть ниже.

Общие положения

1.1. Отдел информационной безопасности (далее Отдел) представляет собой отдельное структурное подразделение организации. Он формируется, реструктуризируется и ликвидируется приказом руководства организации (директора либо другого уполномоченного лица).

1.2. Отдел находится в подчинении непосредственного начальника, которого назначает на данную должность руководитель организации. В его отсутствие управление осуществляет заместитель начальника либо другое уполномоченное лицо. Вышестоящим начальником Отдела является руководитель организации.

1.3. Работа службы защиты информации выстраивается в соответствии с требованиями законодательства и иных нормативно-правовых актов, в том числе – уставной документации организации. 

1.4. Обязанности сотрудников службы защиты информации, их полномочия и степень ответственности за сохранность информационных ресурсов организации определяются данным положением, уставной документацией организации, условиями трудового договора и должностными инструкциями. 

1.5. Отдел взаимодействует с другими структурными подразделениями организации в пределах своей компетенции. 

Цели, задачи и функции Отдела

2.1. Цель работы Отдела – обеспечить защиту информационных ресурсов организации от намеренного и ненамеренного разглашения, утери, искажения, похищения. 

2.2. В задачи Отдела входит разработка и внедрение системы безопасности, а также контроль за ее работой и анализ эффективности используемых средств защиты информации. 

2.3. В перечень функций службы защиты информации входит:

  • разработка комплексной системы безопасности, включающей использование разнообразных методов и способов защиты конфиденциальной информации от намеренного и ненамеренного разглашения, утери, искажения, похищения; 
  • внедрение режима конфиденциальности и контроль за его соблюдением;
  • взаимодействие с контрагентами, обеспечение конфиденциальности передачи данных и информации, сообщаемой партнерам в процессе открытых переговоров; 
  • разработка документов, предписывающих соблюдение режима конфиденциальности штатными сотрудниками организации и прикомандированными работниками;
  • оценка эффективности внедренной системы защиты информационных ресурсов организации от намеренного и ненамеренного разглашения, утери, искажения, похищения; 
  • проведение аттестации сотрудников с последующим присвоением им необходимой степени допуска к чтению и использованию конфиденциальной информации; 
  • составление актов проверки техники, оборудования, помещений на предмет их соответствия требованиям безопасности; 
  • другие функции, выполнение которых поспособствует реализации целей и задач работы Отдела. 

Структура Отдела

3.1. Сотрудников Отдела нанимают на работу в соответствии со штатным расписанием, установленным кадровой службой и согласованным с вышестоящим руководством организации. Штатное расписание разрабатывается в соответствии с целями и задачами структурного подразделения. 

3.2. В перечень специалистов, которые могут быть сотрудниками Отдела, входят инженеры и техники по защите информации, программисты, системные администраторы, другие специалисты, отвечающие за выполнение отдельных функций по защите информации.

3.3. Обязанности сотрудников службы защиты информации определяет непосредственный начальник Отдела. 
Права и обязанности

4.1. Служба защиты информации уполномочена: 

  • контролировать работу всех сотрудников организации и следить за соблюдением режима конфиденциальности, введенного в организации;
  • пользоваться информацией для служебного пользования, запрашивать ее у сотрудников других структурных подразделений организации;
  • вступать во взаимодействие с органами исполнительной, законодательной и судебной власти для решения правовых вопросов, касающихся функций службы;
  • принимать все необходимые меры для обеспечения защиты конфиденциальной информации;
  • привлекать сторонних специалистов для разработки, внедрения и анализа эффективности системы защиты конфиденциальной информации;
  • давать указания сотрудникам других структурных подразделений организации по вопросам, входящим в компетенцию службы;
  • проводить внутренние служебные расследования при обнаружении фактов намеренного или ненамеренного разглашения, утери, искажения, похищения конфиденциальной информации; 
  • осуществлять другие действия, предусмотренные должностными инструкциями и направленные на реализацию целей и задач службы.

4.2. В обязанности начальника службы защиты информации входит:

  • распределять задачи между подчиненными в соответствии с их специализацией, контролировать скорость и качество их выполнения;
  • участвовать в процессе подбора персонала;
  • разрабатывать проекты по усовершенствованию системы защиты конфиденциальной информации;
  • организовывать обучение сотрудников службы отдела защиты информации и работников других структурных подразделений организации;
  • устанавливать порядок ремонтных работ, направленных на скорейшее восстановление работоспособности системы защиты информации при возникновении технических сбоев или аварий;
  • координировать взаимодействие сотрудников службы защиты информации с работниками других структурных подразделений организации.

4.3. Сотрудники службы защиты информации обязаны:

  • контролировать работу всех сотрудников организации и следить за соблюдением режима конфиденциальности;
  • проводить профилактику намеренного или ненамеренного разглашения, утери, искажения, похищения конфиденциальной информации путем проведения инструктажа сотрудников организации;
  • участвовать в разработке комплексной системы защиты конфиденциальной информации;
  • периодически проверять журналы инструктажа и оборудование организации;
  • проводить аттестацию всех сотрудников организации, проверять их знания в области существующих методов превентивной защиты конфиденциальной информации;
  • выполнять другую работу, направленную на реализацию целей и задач службы защиты информации.

Взаимоотношения Отдела с другими структурными подразделениями организации

Служба защиты информации в пределах свой компетенции взаимодействует с:

5.1. Кадровой службой (для участия в собеседованиях с соискателями на должности, предусматривающими допуск к конфиденциальной информации, отражения в личных делах результатов аттестации и сведений о выявленных нарушениях режима конфиденциальности, изучения личных дел сотрудников организации).

5.2. Бухгалтерией (для предоставления информации о льготах и надбавках, предусмотренных для сотрудников с допуском к конфиденциальной информации, получения информации о расходовании фонда оплаты труда и других данных, необходимых в работе службы защиты информации).

5.3. Финансовой службой (для предоставления плановой документации, касающейся закупки необходимого оборудования).

5.4. Юридическим отделом (для своевременного изучения изменений законодательства, касающихся защиты информации, а также для применения законодательно обоснованных наказаний за нарушение режима конфиденциальности).

5.5. Другими структурными подразделениями (для координации их работы и обеспечения необходимого уровня защиты конфиденциальной информации).

Ответственность

6.1. Ответственность за защиту информационных ресурсов организации от намеренного или ненамеренного разглашения, утери, искажения и похищения несет руководитель Отдела. 

6.2. Ответственность работников службы защиты информации определяется их должностными инструкциями.

16.06.2020

Источник: https://searchinform.ru/informatsionnaya-bezopasnost/osnovy-ib/dokumenty-po-informatsionnoj-bezopasnosti/instruktsii-po-informatsionnoj-bezopasnosti/polozhenie-ob-otdele-informatsionnoj-bezopasnosti/

Должностная инструкция специалиста по защите информации

Описание должности Руководитель группы Организация информационной безопасности

[организационно-правовая форма, наименование организации, предприятия]Утверждаю[должность, подпись, Ф. И. О. руководителя или иного должностного лица, уполномоченного утверждатьдолжностную инструкцию][число, месяц, год]М. П.

Должностная инструкция специалиста по защите информации [наименование организации, предприятия и т. п.]

Настоящая должностная инструкция разработана и утверждена в соответствии с положениями Трудового кодекса Российской Федерации и иных нормативных актов, регулирующих трудовые правоотношения в Российской Федерации.

I. Общие положения

1.1. Специалист по защите информации относится к категории специалистов, принимается на работу и увольняется с нее приказом руководителя предприятия по представлению начальника отдела по защите информации.

1.2.

На должность специалиста по защите информации I категории назначается лицо, имеющее высшее профессиональное (техническое) образование и стаж работы в должности специалиста по защите информации II категории не менее [значение] лет; на должность специалиста по защите информации II категории — лицо, имеющее высшее профессиональное (техническое) образование и стаж работы в должности специалиста по защите информации либо других должностях, замещаемых специалистами с высшим профессиональным образованием, не менее [значение] лет; на должность специалиста по защите информации — лицо, имеющее высшее профессиональное (техническое) образование, без предъявления требований к стажу работы.

1.3. Специалист по защите информации непосредственно подчиняется [вписать нужное].

1.4. В своей деятельности специалист по защите информации руководствуется:

— законодательными и нормативными документами по вопросам обеспечения защиты информации;

— методическими материалами, касающимися соответствующих вопросов;

— уставом предприятия;

— правилами трудового распорядка;

— приказами и распоряжениями директора предприятия (непосредственного руководителя);

— настоящей должностной инструкцией.

1.5. Специалист по защите информации должен знать:

— законодательные акты, нормативные и методические материалы по вопросам, связанным с обеспечением защиты информации;

— специализацию предприятия и особенности его деятельности;

— технологию производства в отрасли;

— оснащенность вычислительных центров техническими средствами, перспективы их развития и модернизации;

— систему организации комплексной защиты информации, действующей в отрасли;

— методы и средства контроля охраняемых сведений, выявления каналов утечки информации, организацию технической разведки;

— методы планирования и организации проведения работ по защите информации и обеспечению государственной тайны;

— технические средства контроля и защиты информации, перспективы и направления их совершенствования;

— методы проведения специальных исследований и проверок, работ по защите технических средств передачи, обработки, отображения и хранения информации;

— порядок пользования реферативными и справочно-информационными изданиями, а также другими источниками научно-технической информации;

— достижения науки и техники в стране и за рубежом в области технической разведки и защиты информации;

— методы и средства выполнения расчетов и вычислительных работ;

— основы экономики, организации производства, труда и управления;

— основы трудового законодательства Российской Федерации;

— правила и нормы охраны труда, техники безопасности, производственной санитарии и противопожарной защиты;

— [вписать нужное].

1.6. Во время отсутствия специалиста по защите информации (командировка, отпуск, болезнь и пр.) его обязанности исполняет лицо, назначенное в установленном порядке. Данное лицо приобретает соответствующие права и несет ответственность за надлежащее выполнение возложенных на него обязанностей.

II. Функции

На специалиста по защите информации возлагаются следующие функции:

2.1. Обеспечение комплексной защиты информации, соблюдения государственной тайны.

2.2. Участие в обследовании, аттестации и категорировании объектов защиты.

2.3. Разработка организационно-распорядительных документов, регламентирующих работу по защите информации.

2.4. Определение потребности в технических средствах защиты и контроля.

2.5. Проверка выполнения требований нормативных документов по защите информации.

III. Должностные обязанности

Для выполнения возложенных на него функций специалист по защите информации обязан:

3.1. Выполнять сложные работы, связанные с обеспечением комплексной защиты информации на основе разработанных программ и методик, соблюдения государственной тайны.

3.2. Проводить сбор и анализ материалов учреждений, организаций и предприятий отрасли с целью выработки и принятия решений и мер по обеспечению защиты информации и эффективному использованию средств автоматического контроля, обнаружения возможных каналов утечки сведений, представляющих государственную, военную, служебную и коммерческую тайну.

3.3. Анализировать существующие методы и средства, применяемые для контроля и защиты информации, и разрабатывать предложения по их совершенствованию и повышению эффективности этой защиты.

3.4. Участвовать в обследовании объектов защиты, их аттестации и категорировании.

3.5. Разрабатывать и готовить к утверждению проекты нормативных и методических материалов, регламентирующих работу по защите информации, а также положений, инструкций и других организационно-распорядительных документов.

3.6. Организовывать разработку и своевременное представление предложений для включения в соответствующие разделы перспективных и текущих планов работ и программ мер по контролю и защите информации.

3.7. Давать отзывы и заключения на проекты вновь строящихся и реконструируемых зданий и сооружений и другие разработки по вопросам обеспечения защиты информации.

3.8.

Участвовать в рассмотрении технических заданий на проектирование, эскизных, технических и рабочих проектов, обеспечивать их соответствие действующим нормативным и методическим документам, а также в разработке новых принципиальных схем аппаратуры контроля, средств автоматизации контроля, моделей и систем защиты информации, оценке технико-экономического уровня и эффективности предлагаемых и реализуемых организационно-технических решений.

3.9. Определять потребность в технических средствах защиты и контроля, составлять заявки на их приобретение с необходимыми обоснованиями и расчетами к ним, контролировать их поставку и использование.

3.10. Осуществлять проверку выполнения требований межотраслевых и отраслевых нормативных документов по защите информации.

IV. Права

Специалист по защите информации имеет право:

4.1. Знакомиться с проектами решений руководства предприятия, касающимися его деятельности.

4.2. Вносить на рассмотрение руководства предложения по совершенствованию работы, связанной с обязанностями, предусмотренными настоящей инструкцией.

4.3. Получать от руководителей структурных подразделений, специалистов информацию и документы, необходимые для выполнения своих должностных обязанностей.

4.4. Привлекать специалистов всех структурных подразделений предприятия для решения возложенных на него обязанностей (если это предусмотрено положениями о структурных подразделениях, если нет — с разрешения руководителя предприятия).

4.5. Требовать от руководства предприятия оказания содействия в исполнении своих должностных обязанностей и прав.

V. Ответственность

Специалист по защите информации несет ответственность:

5.1. За неисполнение (ненадлежащее исполнение) своих должностных обязанностей, предусмотренных настоящей должностной инструкцией, в пределах, определенных трудовым законодательством Российской Федерации.

5.2. За совершенные в процессе осуществления своей деятельности правонарушения — в пределах, определенных административным, уголовным и гражданским законодательством Российской Федерации.

5.3. За причинение материального ущерба — в пределах, определенных трудовым, уголовным и гражданским законодательством Российской Федерации.

Должностная инструкция разработана в соответствии с [наименование, номер и дата документа].

Руководитель структурного подразделения

[инициалы, фамилия] [подпись] [число, месяц, год]

Согласовано:

Начальник юридического отдела

[инициалы, фамилия] [подпись] [число, месяц, год]

С инструкцией ознакомлен:

[инициалы, фамилия] [подпись] [число, месяц, год]

Источник: http://prom-nadzor.ru/content/dolzhnostnaya-instrukciya-specialista-po-zashchite-informacii

Руководитель отдела информационных технологий (ИТ)

Описание должности Руководитель группы Организация информационной безопасности

Руководитель отдела информационных технологий организует работу ИТ-подразделения, решая разнообразные технологические и кадровые вопросы, принимая тактические решения и осуществляя стратегическое планирование.

Эту должность занимает опытный IT-специалист, который получает запросы на цифровое обслуживание от всех сотрудников, определяет схему их удовлетворения, отдает приказы исполнителям и контролирует конечные результаты.

В некоторых фирмах руководитель службы ИТ находится в подчинении у заместителя генерального директора по IT или у другого топ-менеджера. А порой один и тот же человек может совмещать руководство ИТ-департаментом и статус заместителя гендиректора.

До недавних пор целью работы ИТ-специалистов являлось внедрение цифровых технологий на предприятии, ранее работавшем фактически без использования компьютеров.

Сейчас IT-отдел чаще занимается поддержанием существующей системы, ее регулярным совершенствованием, а также управлением ИТ-услугами.  

Квалификационные требования

Руководитель ИТ отдела чаще всего имеет высшее образование в сфере информационных технологий.

Но иногда в его дипломе указана иная техническая специальность (например, инженерная), дополняемая солидным карьерным опытом в IT-сфере.

Опыт для занятия руководящей позиции требуется в любом случае – возглавить службу можно лишь после нескольких лет, проведенных на менее ответственных постах – таких как системный администратор.  

Квалификационные требования к должности руководитель ИТ отдела определены в профессиональном стандарте  Менеджер по информационным технологиям (Утвержден Приказом Минтруда России №716н от 13.10.2014).

Руководитель направления информационных технологий владеет знаниями в следующих областях:      

  • Современное компьютерное и сетевое оборудование;
  • Различные виды программного обеспечения;
  • Программирование;
  • Способы автоматической обработки и хранения информации;
  • Средства коммуникации, интернет-среда;
  • Стандарты технической документации;
  • Базовые сведения о ведении бизнеса;
  • Трудовое законодательство;
  • Управление персоналом;
  • Основы экономики.

В каждой организации этот перечень конкретизируется, ключевые моменты формулируются в описании вакансии и должностной инструкции. Сегодня уже невозможно отлично ориентироваться во всем существующем ПО.

У каждого человека есть своя специализация, которую он описывает в резюме. Руководитель ИТ инфраструктуры обязан соответствовать потребностям фирмы-работодателя.

Начальник ИТ департамента учебного заведения – это не то же самое, что глава службы информационных технологий интернет-провайдера.

Функциональные обязанности

Руководитель направления информационных технологий повседневно планирует текущую работу и прогнозирует долгосрочные перспективы развития.

Он участвует в подборе персонала – обычно это выражается в проведении финальных собеседований с кандидатами, предварительно отобранными кадровиками. Начальник отдела определяет полномочия всех специалистов, распределяет обязанности, отдает приказания и проверяет их исполнение.

Если нужно, глава департамента инициирует переобучение работников. Также он пишет отчеты о деятельности подразделения и составляет аналитические записки.

Руководитель службы ИТ рассматривает предложения по совершенствованию инфраструктуры, поступающие как от топ-менеджеров, так и от подчиненных. Он обязан квалифицированно оценивать все идеи и прогнозировать возможные последствия их реализации. Кроме того, ему самому надо следить за новостями науки и рынка, чтобы вовремя реагировать на происходящие изменения.

Профессиональные навыки

Глава ИТ департамента создает техническую и программную архитектуру компании, поддерживает в рабочем состоянии информационную систему, которая удовлетворяет потребности всех штатных единиц и приносит успех бизнесу. При этом он отчетливо представляет, на какой бюджет можно рассчитывать при закупке техники или найме ИТ-специалистов, как сократить расходы и в каких случаях экономия нежелательна ради сохранения качества.

Нередко начальника IT-подразделения привлекают к руководству проектами. В таком случае ему приходится в течение определенного срока уделять первостепенное внимание реализации некоей конкретной задачи.

Кроме того, руководитель информационной службы обладает способностями лидера и способен правильно обустроить общий трудовой процесс. Он располагает достаточными данными о способностях каждого профессионала, чтобы понимать – кому оптимальнее всего дать то или иное задание.

Чтобы управлять IT-подразделением, необходимо разбираться во всех нюансах его деятельности. Теоретические знания и практические умения начальника позволяют ему при необходимости самостоятельно выполнить большинство действий, которыми он руководит. Благодаря этому он может давать исполнителям ценные советы и устанавливать разумные временные рамки.  

При взаимодействии с топ-менеджерами глава ИТ-направления может четко ответить на все вопросы, связанные с информационной структурой бизнеса. Он понятно формулирует суть возникших проблем и может потребовать выдачи дополнительных ресурсов или изменения неких процессов в деятельности организации.

Наконец, начальник умеет составлять документы, грамотные как с технической, так и с юридической точки зрения.

Сфера IT развивается очень динамично, карьера в постоянно меняющейся обстановке подразумевает непрерывное самообразование и повышение квалификации. Как отмечают эксперты, знания в IT устаревают в течение 3-4-х лет.

Возможность повысить квалификацию для руководителей отдела информационных технологий, подтвержденную дипломом Высшей Школы Экономики, реализована в ВШБИ НИУ ВШЭ на программе профессиональной переподготовки «Управление ИТ и ИТ-проектами» или программе МВА-CIO.

← Назад к списку

Источник: https://hsbi.hse.ru/career/professions/rukovoditel-otdela-informatsionnykh-tekhnologiy-it/

Каким должен быть директор по информационной безопасности

Описание должности Руководитель группы Организация информационной безопасности

Автор Сергей в 6 января 2018. Лицензирование ФСТЭК, Новости

Чем стремительнее информационные технологии развиваются и интегрируются в бизнес, тем большую роль приобретает такая фигура в компании, как руководитель отдела или департамента информационной безопасности. Это связано с тем, что с внедрением технологических разработок возрастает и угроза взлома системы, хищения и подмены данных.

Сегодня кроме нейтрализации уязвимостей, обучения персонала и контроля информационных систем директор по безопасности обязан донести до руководства аксиому о том, что реагировать на потребности ИБ бизнес должен незамедлительно и адекватно — обеспечить фирму техническими и программными средствами контроля ИС, постоянно поддерживать их в актуальном состоянии, не пренебрегать обучением и переподготовкой сотрудников, ответственных за работу с ИС, выстраивать свои бизнес-процессы с учётом рекомендация директора по информационной безопасности. Несмотря на то, что должность остаётся технической, её функции гораздо шире. Сегодня должность требует от человека смежных навыков убеждения, прогнозирования рисков и видения бизнеса как единой системы, а не только как объекта защиты от киберпреступников.

Новые обязанности руководителя по ИБ

С ростом числа взломов информационных систем, хищения конфиденциальных данных в компаниях функции директора по безопасности включают в себя ряд задач, ранее ему несвойственных.

Согласно последним опросам примерно 67% руководителей отделов информационной безопасности отвечают за разработку и интеграцию стратегий защиты информации и общей компьютерной безопасности своих фирм.

То есть, из ответственного за IT-отдел такой директор превращается в ключевую фигуру, участвующую в разработке вектора развития предприятия.

https://www.youtube.com/watch?v=24QQXONSClc

Около 60% опрошенных подтвердили, что их фирма рассматривает информационную безопасность как важнейшую задачу, а потому уделяет большое внимание не просто технической защите, а повышению уровня компьютерной грамотности и безопасности среди сотрудников и руководства компании, а также инвестициям в технологии ИБ для быстрого обнаружения уязвимостей и реакции на возможные киберугрозы.

Итак, в новой реальности директор по-прежнему отвечает за слаженную бесперебойную работу всех IT-систем, а также за защиту конфиденциальных и иных важных данных от утечки и стороннего доступа.

Вместе с тем значение этой позиции гораздо шире — руководитель по ИБ несёт корпоративную ответственность, следует общим целям развития компании, отчитывается о своей деятельности наравне с другими руководителями, продвигает стратегии и следит за выстраиванием систем информационной безопасности.

«Технарь» или бизнес-стратег

Разумеется, IT-директор имеет образование и навыки технического специалиста. Это необходимо для видения проблем и прогнозов развития технического отдела, а также для взаимодействия с сотрудниками.

Однако в условиях фактического слияния информационных и бизнес-процессов в компании руководитель по информационной безопасности должен обладать навыками лидерства и коммуникации, уметь прогнозировать свою деятельность в разрезе общего развития компании и грамотно продвигать точку зрения о выбранной стратегии работы.

Ряд исследователей считает, что в обязанности должны входить не только вопросы работы в сфере информационной безопасности, но и продвижение бренда компании на уровне человеческого общения в информационных системах (в частности, верное позиционирование фирмы в сети интернет).

Итак, из второстепенной роль директора по ИБ становится одной из ключевых в компании.

Кто лучше всего подходит для этой должности? Сегодня это не просто руководитель технического отдела, а универсальный сотрудник, сочетающий в себе технические, юридические и коммуникативные знания и навыки, дальновидный бизнес-стратег, постоянно обучающийся и умеющий быстро реагировать на изменения в мире информационных технологий. Так, для получения лицензии ФСТЭК на ТЗКИ важно не только техническое исполнения защищённой информационной системы, но и точное соответствие нормативным требованиям регулятора, юридически грамотная подготовка документов. Штатный юрист не сможет правильно оформить документы, не разбираясь в технических нюансах работы. Директор по информационной безопасности должен «подружить» техническую и юридическую стороны процесса аттестации и лицензирования компании.

Нужна помощь в аттестации по требованиям защиты информации или лицензировании ФСТЭК? Обращайтесь, поможем.

Заказать обратный звонок

Трекбэк с Вашего сайта.

Источник: https://licenziya-fsb.com/kakim-dolzhen-byit-direktor-po-informatsionnoy-bezopasnosti

Все HR- сотруднику
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: