Должностная инструкция специалиста по защите информации в больнице

Должностные обязанности. Выполняет сложные работы, связанные с обеспечением комплексной защиты информации на основе разработанных программ и методик, соблюдения государственной тайны. Проводит сбор и анализ материалов учреждений, организаций и предприятий отрасли с целью выработки и принятия решений и мер по обеспечению защиты информации и эффективному использованию средств автоматического контроля, обнаружения возможных каналов утечки сведений, представляющих государственную, военную, служебную и коммерческую тайну. Анализирует существующие методы и средства, применяемые для контроля и защиты информации, и разрабатывает предложения по их совершенствованию и повышению эффективности этой защиты. Участвует в обследовании объектов защиты, их аттестации и категорировании. Разрабатывает и подготавливает к утверждению проекты нормативных и методических материалов, регламентирующих работу по защите информации, а также положений, инструкций и других организационно-распорядительных документов. Организует разработку и своевременное представление предложений для включения в соответствующие разделы перспективных и текущих планов работ и программ мер по контролю и защите информации. Дает отзывы и заключения на проекты вновь строящихся и реконструируемых зданий и сооружений и другие разработки по вопросам обеспечения защиты информации. Участвует в рассмотрении технических заданий на выполнение эскизных, технических и рабочих проектов, обеспечивает их соответствие действующим нормативным и методическим документам, а также в разработке новых принципиальных схем аппаратуры контроля, средств автоматизации контроля, моделей и систем защиты информации, оценке технико-экономического уровня и эффективности предлагаемых и реализуемых организационно-технических решений. Определяет потребность в технических средствах защиты и контроля, составляет заявки на их приобретение с необходимыми обоснованиями и расчетами к ним, контролирует их поставку и использование. Осуществляет проверку выполнения требований межотраслевых и отраслевых нормативных документов по защите информации.

Должен знать: законодательные акты, нормативные и методические материалы по вопросам, связанным с обеспечением защиты информации; специализацию учреждения, организации и особенности их деятельности; технологию производства в отрасли; оснащенность вычислительных центров техническими средствами, перспективы их развития и модернизации; систему организации комплексной защиты информации, действующую в отрасли; методы и средства контроля охраняемых сведений, выявления каналов утечки информации, организацию технической разведки; методы планирования и организации проведения работ по защите информации и обеспечению государственной тайны; технические средства контроля и защиты информации, перспективы и направления их совершенствования; методы проведения специальных исследований и проверок, работ по защите технических средств передачи, обработки, отображения и хранения информации; порядок пользования реферативными и справочно-информационными изданиями, а также другими источниками научно-технической информации; достижения науки и техники в стране и за рубежом в области технической разведки и защиты информации; методы и средства выполнения расчетов и вычислительных работ; основы экономики, организации производства, труда и управления; основы трудового законодательства; правила и нормы охраны труда.

Требования к квалификации.

Специалист по защите информации I категории: высшее профессиональное (техническое) образование и стаж работы в должности специалиста по защите информации II категории не менее 3 лет.

Специалист по защите информации II категории: высшее профессиональное (техническое) образование и стаж работы в должности специалиста по защите информации или других должностях, замещаемых специалистами с высшим профессиональным образованием, не менее 3 лет.

Специалист по защите информации: высшее профессиональное (техническое) образование без предъявления требования к стажу работы.

УТВЕРЖДАЮ:

_______________________________

[Наименование должности]

_______________________________

_______________________________

[Наименование организации]

_______________________________

_______________________/[Ф.И.О.]/

«______» _______________ 20___ г.

ДОЛЖНОСТНАЯ ИНСТРУКЦИЯ

Специалиста по защите информации

1. Общие положения

1.1. Настоящая должностная инструкция определяет и регламентирует полномочия, функциональные и должностные обязанности, права и ответственность специалиста по защите информации [Наименование организации в родительном падеже] (далее — Компания).

1.2. Специалист по защите информации назначается на должность и освобождается от должности в установленном действующим трудовым законодательством порядке приказом руководителя Компании.

1.3. Специалист по защите информации относится к категории специалистов и имеет в подчинении [наименование должностей подчиненных в дательном падеже].

1.4. Специалист по защите информации подчиняется непосредственно [наименование должности непосредственного руководителя в дательном падеже] Компании.

1.5. На должность специалиста по защите информации назначается лицо, имеющее  высшее профессиональное (техническое) образование.

1.6. Требования к опыту практической работы специалиста по защите информации: не требуется.

1.7. Специалист по защите информации отвечает за:

• эффективное исполнение поручаемой ему работы;
• соблюдение требований исполнительской, трудовой и технологической дисциплины;
• сохранность находящихся у него на хранении (ставших ему известными) документов (сведений), содержащих (составляющих) коммерческую тайну Компании.

1.8. Специалист по защите информации должен знать:

• законодательные акты, нормативные и методические материалы по вопросам, связанным с обеспечением защиты информации;
• специализацию предприятия и особенности его деятельности;
• технологию производства в отрасли;
• оснащенность вычислительных центров техническими средствами, перспективы их развития и модернизации;
• систему организации комплексной защиты информации, действующей в отрасли;
• методы и средства контроля охраняемых сведений, выявления каналов утечки информации, организацию технической разведки;
• методы планирования и организации проведения работ по защите информации и обеспечению государственной тайны;
• технические средства контроля и защиты информации, перспективы и направления их совершенствования;
• методы проведения специальных исследований и проверок, работ по защите технических средств передачи, обработки, отображения и хранения информации;
• порядок пользования реферативными и справочно-информационными изданиями, а также другими источниками научно-технической информации;
• достижения науки и техники в стране и за рубежом в области технической разведки и защиты информации;
• методы и средства выполнения расчетов и вычислительных работ;
• основы экономики, организации производства, труда и управления;
• основы трудового законодательства Российской Федерации;
• правила и нормы охраны труда, техники безопасности, производственной санитарии и противопожарной защиты.

1.9. Специалист по защите информации в своей деятельности руководствуется:

• законодательными и нормативными документами по вопросам обеспечения защиты информации;
• методическими материалами, касающимися соответствующих вопросов;
• уставом предприятия;
• правилами трудового распорядка;
• приказами и распоряжениями директора предприятия (непосредственного руководителя);
• настоящей должностной инструкцией.

1.10. В период временного отсутствия специалиста по защите информации (отпуск, болезнь), его обязанности возлагаются на [наименование должности заместителя].

2. Функции

Специалист по защите информации осуществляет следующие функции:

2.1. Обеспечение комплексной защиты информации, соблюдения государственной тайны.

2.2. Участие в обследовании, аттестации и категорировании объектов защиты.

2.3. Разработка организационно-распорядительных документов, регламентирующих работу по защите информации.

2.4. Определение потребности в технических средствах защиты и контроля.

2.5. Проверка выполнения требований нормативных документов по защите информации.

3. Должностные обязанности

Специалист по защите информации выполняет следующие должностные обязанности:

3.1. Выполнять сложные работы, связанные с обеспечением комплексной защиты информации на основе разработанных программ и методик, соблюдения государственной тайны.

3.2. Проводить сбор и анализ материалов учреждений, организаций и предприятий отрасли с целью выработки и принятия решений и мер по обеспечению защиты информации и эффективному использованию средств автоматического контроля, обнаружения возможных каналов утечки сведений, представляющих государственную, военную, служебную и коммерческую тайну.

3.3. Анализировать существующие методы и средства, применяемые для контроля и защиты информации, и разрабатывать предложения по их совершенствованию и повышению эффективности этой защиты.

3.4. Участвовать в обследовании объектов защиты, их аттестации и категорировании.

3.5. Разрабатывать и готовить к утверждению проекты нормативных и методических материалов, регламентирующих работу по защите информации, а также положений, инструкций и других организационно-распорядительных документов.

3.6. Организовывать разработку и своевременное представление предложений для включения в соответствующие разделы перспективных и текущих планов работ и программ мер по контролю и защите информации.

3.7. Давать отзывы и заключения на проекты вновь строящихся и реконструируемых зданий и сооружений и другие разработки по вопросам обеспечения защиты информации.

3.8. Участвовать в рассмотрении технических заданий на проектирование, эскизных, технических и рабочих проектов, обеспечивать их соответствие действующим нормативным и методическим документам, а также в разработке новых принципиальных схем аппаратуры контроля, средств автоматизации контроля, моделей и систем защиты информации, оценке технико-экономического уровня и эффективности предлагаемых и реализуемых организационно-технических решений.

3.9. Определять потребность в технических средствах защиты и контроля, составлять заявки на их приобретение с необходимыми обоснованиями и расчетами к ним, контролировать их поставку и использование.

3.10. Осуществлять проверку выполнения требований межотраслевых и отраслевых нормативных документов по защите информации.

В случае служебной необходимости специалист по защите информации может привлекаться к выполнению своих должностных обязанностей сверхурочно, в порядке, предусмотренном положениями федерального законодательства о труде.

4. Права

Специалист по защите информации имеет право:

4.1. Знакомиться с проектами решений руководства предприятия, касающимися его деятельности.

4.2. Вносить на рассмотрение руководства предложения по совершенствованию работы, связанной с обязанностями, предусмотренными настоящей инструкцией.

4.3. Получать от руководителей структурных подразделений, специалистов информацию и документы, необходимые для выполнения своих должностных обязанностей.

4.4. Привлекать специалистов всех структурных подразделений предприятия для решения возложенных на него обязанностей (если это предусмотрено положениями о структурных подразделениях, если нет — с разрешения руководителя предприятия).

4.5. Требовать от руководства предприятия оказания содействия в исполнении своих должностных обязанностей и прав.

5. Ответственность и оценка деятельности

5.1. Специалист по защите информации несет административную, дисциплинарную и материальную (а в отдельных случаях, предусмотренных законодательством РФ, — и уголовную) ответственность за:

5.1.1. Невыполнение или ненадлежащее выполнение служебных указаний непосредственного руководителя.

5.1.2. Невыполнение или ненадлежащее выполнение своих трудовых функций и порученных ему задач.

5.1.3. Неправомерное использование предоставленных служебных полномочий, а также использование их в личных целях.

5.1.4. Недостоверную информацию о состоянии выполнения порученной ему работы.

5.1.5. Непринятие мер по пресечению выявленных нарушений правил техники безопасности, противопожарных и других правил, создающих угрозу деятельности предприятия и его работникам.

5.1.6. Не обеспечение соблюдения трудовой дисциплины.

5.2. Оценка работы специалиста по защите информации осуществляется:

5.2.1. Непосредственным руководителем — регулярно, в процессе повседневного осуществления работником своих трудовых функций.

5.2.2. Аттестационной комиссией предприятия — периодически, но не реже 1 раза в два года на основании документированных итогов работы за оценочный период.

5.3. Основным критерием оценки работы специалиста по защите информации является качество, полнота и своевременность выполнения им задач, предусмотренных настоящей инструкцией.

6. Условия работы

6.1. Режим работы специалиста по защите информации определяется в соответствии с правилами внутреннего трудового распорядка, установленными в Компании.

7. Право подписи

7.1. Специалисту по защите информации для обеспечения его деятельности предоставляется право подписи организационно-распорядительных документов по вопросам, отнесенным к его компетенции настоящей должностной инструкцией.

С инструкцией ознакомлен ___________/____________/ «____» _______ 20__ г.

(подпись)

Специалист по информационной безопасности (ИБ): как выучиться, зарплата

профессии будущегоIT-индустриякомпьютерная безопасностьобучение с нуляонлайн-курсы

Есть расхожее выражение: кто владеет информацией – владеет миром. И это не пустые слова, а вполне реальная угроза для бизнеса и государств. Тщательно оберегать информацию и производственные секреты от промышленного шпионажа — значит выжить в конкурентной борьбе и не дать преимущества противнику.

С появлением интернета оберегать эти секреты стало на порядок сложнее и возникла потребность в особых «охранниках» — специалистах по информационной безопасности.

Суть работы по защите информации и информационной безопасности

Если кратко, то перед нами особого сорта IT-специалисты. И основное назначение их работы, следить за сохранностью баз данных работодателя, предотвращать утечки и взломы, прогнозировать возможные угрозы. Тем не менее, это наиболее общее название профессии. В команду по ИБ входят:

• программисты;

• системные администраторы;

• тестировщики и т.д.

Специалист по ИБ, как правило, самый квалифицированный из них. Поэтому именно он координирует работу остальных и ставит задачи по исправлению ошибок в системе. Таким образом, информационная безопасность в организации — это результат работы нескольких профессионалов, каждый из которых строго выполняет свою функцию.

Какие бывают специалисты по информационной безопасности

Профессия постоянно развивается и видоизменяется, поэтому в наши дни в ней выделились свои специализации, каждая со своими особенностями. Так, к специалистам по ИБ относятся:

• Белые хакеры, они же пентестеры. Эти сотрудники проверяют систему на возможность скрытого проникновения и ищут уязвимости. В крупных компаниях бывает несколько штатных пентестров, однако, хорошие сотрудники могут работать и по договору в рамках так называемых Bug Bounty (охоты на баги) по заказу бизнеса;

• Специалисты по сетям. Их основная работа состоит в том, чтобы выискивать уязвимости в аппаратуре и сетевых структурах. Роутеры, маршрутизаторы, мобильные устройства — всё это можно использовать для проникновения в систему. Задача специалиста по сетям блокировать установку зловредного ПО с помощью удаленного доступа, используя возможности Windows или Linux;

• Разработчики. Это специализация уже не сисадмина, а программиста. Здесь суть работы заключается в создании защитных программ (файерволов, брандмауэров, антивирусов). Нередко они же участвуют в тестировании системы и ищут лазейки для проникновения, а затем пишут «заплатки».

Обязанности специалиста по защите информации

В перечне обязанностей специалиста по кибербезопасности довольно много пунктов:

1. создание или установка системы для защиты информации, регулярные стресс-тесты;

2. проверка различных элементов системы на защищенность;

3. проведение осмотров на выявление некорректной или неточной работы, устранение выявленных проблем;

4. устранение последствий от попыток взломов системы и совершения взлома;

5. обучение других работников безопасному обращению с данными;

6. общение с партнерскими организациями, а также компаниями-партнерами при возникновении необходимости;

7. ведение технической документации.

Что должен знать специалист по ИБ

1. принципы создания систем управления информационной безопасностью;

2. правила проведения анализа как текущей ситуации с данными компаниями, так и после внедрения системы;

3. способы предотвращения хакерских атак;

4. сигнатуры вирусных угроз и специальное хакерское ПО.

По работе специалист нередко организует обучающие семинары для рядовых сотрудников, проводит инструктажи и составляет специальные мануалы. Отсюда нередко необходимость говорить внятно, доходчиво и в доступно.

Где выучиться на специалиста по защите информации?

Стать сотрудником по IT-безопасности невозможно без наличия высшего образования в области информационных технологий. Подобные направления можно найти во многих крупных технических вузах – самое распространенное «Компьютерная безопасность», к примеру, такую программу обучения предлагает Уральский государственный экономический университет.

Кроме того, многие университеты предлагают своим студентам еще в процессе обучения пройти дополнительное образование именно по направлению защиты безопасности.

Также есть возможность с помощью курсов дистанционно пройти обучение на специальность «информационная безопасность». Для этого созданы специальные программы обучения, которые учитывают современные тенденции и позволяют получить самые свежие знания.

Курсы по информационной безопасности — это не только теория, но и практика, которая позволит проверить свои знания на деле. Компании, являющиеся лидерами в своих сферах, направляют своих опытных специалистов для разработки актуальной программы обучения. Каждый студент имеет обратную связь, что помогает быстро решить возникающие проблемы.

Хороший специалист, который прошел обучение по направлению «информационная безопасность», — это 50% практических умений, а остальная половина отводится на знание методов и протоколов информационной безопасности. При трудоустройстве в крупную компанию на это обращают пристальное внимание.

Обязательно ли техническое образование?

Если подразумевается опыт работы в разработке, то начинающему специалисту по ИБ он не требуется. Однако знания по части системного администрирования нужно иметь крепкие. Главное в области ИБ — «заточенность» именно под поиск уязвимостей. Заучить список угроз недостаточно, нужно ещё понимать, как их находить и устранять.

Курсы по информационной безопасности с нуля

В интернете немало онлайн-курсов по этому направлению, хотя называться они могут по-разному:

• Этичный хакер (это про пентестинг);

• Специалист по кибербезопасности;

• Защита информации в сети и др.

В чем суть таких курсов? Во-первых, вы получите необходимый минимум технических знаний, во-вторых, научитесь правильно тестировать сайты на уязвимость, в-третьих, досконально разберетесь в ПО (Linux, Windows), изучите языки программирования (чаще всего Python) и разберетесь в работе баз данных (SQL). На таких курсах также учат, как пользоваться специальными программами для отслеживания угроз (сетевые сканеры, криптографические системы, системы обнаружения вторжения).

Чем хороши онлайн-курсы по информационной безопасности? Ну, готового специалиста с нуля они не подготовят. Но это неплохой старт в профессии, поскольку дает первоначальное представление о том, как вообще устроены сетевые угрозы и как их избежать. 

При этом нередко, если взглянуть на программу онлайн-курсов, выясняется, что на них готовят системных администраторов, где учат как разворачивать и настраивать сети. Безопасности, если и уделено внимание, то только в небольшом цикле занятий. Поэтому, если ваша цель всё-таки изучить кибербезопасность, всегда проверяйте учебную программу.

Что нужно уметь по итогу:

1. Настраивать стек сетевых протоколов;

2. Проводить аудит системы и находить уязвимости;

3. Атаковать сеть известными способами (типичный — DDoS-атака) и уметь отражать такие атаки;

4. Выстраивать систему мониторинга и детектирования угроз;

5. Знать «человеческие уязвимости» в сетевой безопасности и уметь их предупреждать.

Карьерные перспективы для специалистов по защите информации

Специалист по информационной безопасности, прошедший обучение по направлению «информационная безопасность», может рассчитывать на престижную должность в крупной компании с перспективой роста.

Кроме того, чем выше профессионализм специалиста, тем больше у него вариантов для трудоустройства. Он может устроиться в крупную компанию и со временем занять должность ведущего специалиста. Особенно подкованные в теме могут оказывать консалтинговые услуги в области компьютерной безопасности. При этом их услуги стоят на порядок дороже, чем у работников на зарплате.

При устройстве на работу проверяются умения кандидата, его способность быстро принимать решения и использовать всевозможный функционал. Поэтому неважно, прошли вы дистанционные курсы по информационной безопасности или это было обучение в вузе.

Средняя зарплата специалистов по защите информации

Зарплата специалиста по информационной безопасности строится на требованиях, которые предъявляют к нему работодатели. Так, молодые специалисты без опыта работы или без оконченного образования могут рассчитывать на зарплату в районе 40 000 рублей (по информации сервисов поиска сотрудников через интернет).

Если же специалист имеет высшее образование, опыт работы в области информационных технологий или их защиты, владеет иностранным языком, а также может работать по международным стандартам, то его оклад будет составлять в районе 100 000 рублей.

Опыт работы имеет ключевую роль, например, вакансии на специальность «информационная безопасность» без опыта работы составляют примерно 3% от общего числа. Если стаж работы составляет от 1 до 3 лет, то такой специалист интересен более 40% работодателей.

Плюсы и минусы профессии специалист по защите информации

К числу положительных аспектов необходимо отнести следующее:

• востребованность и актуальность;

• перспективы карьерного роста и развития;

• высокая оплата труда.

Минусы:

• высокий уровень ответственности;

• высокий порог вхождения в профессию;

• требуются реальные знания и опыт в IT-сфере.

Так как для получения этой профессии требуется немало ресурсов, то в этом направлении всегда наблюдается дефицит ценных кадров. Если выполнять переподготовку, повышение квалификации и проходить дополнительные курсы по направлению «информационная безопасность», то условия работы для такого специалиста всегда будут лучше.

#OFFERS_122139/122138/120631#

С развитием высоких технологий, средств коммуникационной связи защите информации во всех сферах жизнедеятельности отводят одну из первостепенных ролей. Этим объясняется и спрос на специалистов, способных анализировать возможные риски утечки информации, разрабатывать комплексные мероприятия для совершенствования и повышения степени сохранности конфиденциальной информации. 

Разберемся, каким квалификационным требованиям должны соответствовать сотрудники, в чьи обязанности входит защита информации. Поговорим о том, что должно быть зафиксировано документально для персонала, отвечающего за сохранность важной информации.

Правовое основание установления должностных требований

Ни коммерческие структуры, ни ведомственные учреждения, принимая во внимание необходимость обеспечения целостности и конфиденциальности данных, не обходятся без сотрудников, в трудовые обязанности которых входит защита информации.

В трудовом законодательстве не прописано требования составлять для таких работников специальные правила, регламентирующие порядок их действий. Обязанности специалиста, который должен обеспечить безопасность информационных систем, в том числе установку и обслуживание технических средств защиты, могут быть оговорены в трудовом договоре, заключенном при приеме на работу. 

Порядок разработки, внесения изменений и утверждения внутренних требований к специалистам работодатель может определить и в отдельном документе.

Квалификационная характеристика специалистов, призванных обеспечить защиту информации

Сотрудники, функции которых заключаются в обеспечении сохранности информации, совершенствовании и повышении уровня ее защищенности, должны соответствовать определенным требованиям, установленным единым квалификационным справочником. Документ утвержден Приказом Министерства здравоохранения и социального развития № 205 от 22.04.2009.

Подбор специалистов проводится по следующим критериям:

• определенный уровень профессиональной подготовки кандидата на должность, прохождение курсов повышения квалификации, практический опыт работы по специальности;
• знание законодательных и правовых норм, межведомственных и локальных положений, прочих документов, регламентирующих порядок действий при выполнении трудовых обязанностей, устанавливающих степень доступности информации.

Обязанности специалиста по обеспечению сохранности и целостности конфиденциальной информации, определенные квалификационными характеристиками, как правило, служат основой для разработки перечня полномочий и ответственности.

Должностные обязанности по защите, совершенствованию системы, обеспечивающей сохранность информации разных уровней, допускается распределять между несколькими работниками, конкретизируя, за какой именно вид информации отвечает каждый из специалистов. 

При этом нужно принимать во внимание:

• специфику сферы деятельности;
• особенности управления, организации производства;
• техническое оснащение;
• виды используемой информации.

Основные требования к кандидатам на должность инженера по информационной безопасности

Кандидата, окончившего высшее учебное заведение, получившего профильное образование по специальности, знающего азы технологий, обеспечивающих защищенность информации, примут на имеющуюся вакансию даже без опыта работы.

Однако претендовать на эту должность могут и специалисты со средним профессиональным образованием. 

К ним предъявляют дополнительные требования:

• опыт работы техником 1-ой категории минимум 3 года;
• опыт замещения специалистов на схожих должностях в течение 5 лет, если трудовые обязанности включали сопровождение программных средств, разработку, внедрение систем тестирования программного обеспечения и прочие действия по сохранности конфиденциальной информации. 

Принцип разработки локальных правовых актов

Поскольку закон не устанавливает обязательные требования к наличию специальных правил для действий внутреннего пользования, унифицированных форм для составления не существует.

Инструкция разрабатывается с учетом квалификационных требований к специалисту в области сохранности информации, законодательных и правовых норм. Документ согласовывается с профсоюзным органом (если таковой действует в организации), юридической службой.

Как правило, в документе выделяют несколько разделов.

Общие положения. В первой части определяют уровень образования и необходимый стаж работы для назначения на должность: что должен знать специалист и какими нормативными актами руководствоваться в процессе деятельности.

Сюда, например, относят:

• перечень нормативных и методических материалов, касающихся технических средств, обеспечивающих сохранность данных, с учетом сферы деятельности организации;
• порядок оформления технической документации о применении методов обработки и передачи сведений, использования программно-математические средств, обеспечивающих защиту секретных данных;
• правила, регламентирующие порядок проведения специальных работ.

В следующем разделе конкретизируют основные служебные обязанности специалиста, например, что включает контроль функционирования и анализ угроз информационной системе.

В заключении акцентируют внимание на правах и обязанностях сторон.

Чтобы можно было привлечь к ответственности недобросовестного сотрудника, по вине которого информация стала доступна посторонним лицам или была уничтожена, он должен быть ознакомлен с профессиональными обязанностями под подпись.

---

Нет времени и ресурсов на работу в DLP – обратитесь к экспертам вне штата. В рамках нашей услуги ИБ-аутсорсинг вы можете частично или полностью передать внутренний контроль нашим специалистам. 

---

Грамотные специалисты, владеющие необходимыми знаниями, повышающие свой квалификационный уровень, умеющие оценить возможные риски и принять меры для защиты данных, всегда востребованы на рынке труда.

09.06.2020