Descripción del puesto del especialista líder del departamento de seguridad de la información. Sección "características de calificación de los puestos de gerentes y especialistas para garantizar la seguridad de la información en sistemas clave de infraestructura de información, contrarrestando

Le informamos sobre un ejemplo típico de descripción de trabajo para un ingeniero de seguridad de la información, muestra 2019/2020. Una persona que tenga una educación profesional (técnica) superior sin presentar requisitos de experiencia laboral o una educación secundaria vocacional (técnica) y experiencia laboral como técnico en seguridad de la información de categoría I durante al menos 3 años u otros puestos ocupados por especialistas con secundaria vocacional. Educación, al menos 5 años. No olvide que las instrucciones de cada ingeniero de seguridad de la información se entregan con una firma.

A continuación se proporciona información típica sobre los conocimientos que debe tener un ingeniero de seguridad de la información. Sobre deberes, derechos y responsabilidades.

Este material forma parte de la enorme biblioteca de nuestro sitio web, que se actualiza diariamente.

1. Disposiciones generales

1. Un ingeniero en seguridad de la información tiene la categoría de especialista.

2. Se acepta como ingeniero de seguridad de la información a una persona que tiene una educación profesional (técnica) superior sin presentar requisitos de experiencia laboral o una educación secundaria vocacional (técnica) y experiencia laboral como técnico en seguridad de la información de categoría I durante al menos 3 años. u otros puestos ocupados por especialistas con formación profesional secundaria, al menos 5 años.

3. Un ingeniero de seguridad de la información es contratado y destituido del puesto de la organización ___________ (director, gerente) por recomendación de _________. (título profesional)

4. Un ingeniero de seguridad de la información debe saber:

— resoluciones, instrucciones, órdenes, materiales metodológicos y reglamentarios sobre cuestiones relacionadas con garantizar la protección técnica de la información;

— especialización de la empresa y características de sus actividades;

— métodos y medios para obtener, procesar y transmitir información;

— literatura científica, técnica y otra literatura especial sobre soporte técnico para la seguridad de la información;

— medios técnicos de seguridad de la información;

— software y medios matemáticos de seguridad de la información;

— el procedimiento para preparar la documentación técnica sobre seguridad de la información;

— canales de posible fuga de información;

— métodos de análisis y protección de la información;

— organización del trabajo sobre protección de la información;

— instrucciones para observar el régimen de realización de trabajos especiales;

— experiencia nacional y extranjera en el campo de la inteligencia técnica y la seguridad de la información;

— fundamentos de economía, organización de la producción, trabajo y gestión;

— fundamentos de la legislación laboral;

— normas y reglamentos de protección laboral.

5. En sus actividades, el ingeniero de seguridad de la información se guía por:

- legislación de la Federación de Rusia,

— Estatuto (reglamentos) de la organización,

- órdenes e instrucciones de la organización __________, (director general, director, gerente)

- esta descripción del trabajo,

— Normativa laboral interna de la organización.

6. El ingeniero de seguridad de la información reporta directamente a: __________. (título profesional)

7. Durante la ausencia de un ingeniero de seguridad de la información (viaje de negocios, vacaciones, enfermedad, etc.), sus funciones son desempeñadas por una persona designada __________ (cargo) de la organización en la forma prescrita, quien adquiere los correspondientes derechos, deberes y es responsable del desempeño de las funciones que le sean asignadas.

2. Responsabilidades laborales de un ingeniero de seguridad de la información

Ingeniero de seguridad de la información:

1. Realiza trabajos en el diseño e implementación de medios técnicos y software-matemáticos especiales para proteger la información, proporcionando medidas organizativas y de ingeniería para proteger los sistemas de información, realizando investigaciones para encontrar y seleccionar las soluciones prácticas más adecuadas dentro del alcance de la tarea. .

2. Realiza la selección, estudio y síntesis de literatura científica y técnica, materiales normativos y metodológicos sobre medios técnicos y métodos de protección de la información.

3. Participa en la revisión de los proyectos de especificaciones técnicas, planos y cronogramas de trabajos en materia de seguridad de la información técnica, y en el desarrollo de la documentación técnica necesaria.

4. Elabora métodos de cálculo y programas de investigación experimental para la seguridad de la información técnica, realiza cálculos de acuerdo con los métodos y programas desarrollados.

5. Realiza un análisis comparativo de datos de investigación y pruebas, estudia posibles fuentes y canales de fuga de información.

6. Realiza el desarrollo de soporte técnico para el sistema de seguridad de la información, mantenimiento de herramientas de seguridad de la información, participa en la elaboración de recomendaciones y propuestas para mejorar y aumentar la eficiencia de la seguridad de la información, en la redacción y diseño de secciones de informes científicos y técnicos. .

7. Recopila revisiones de información sobre seguridad de la información técnica.

8. Realiza tareas operativas relacionadas con asegurar el control de los medios y mecanismos técnicos del sistema de seguridad de la información, participa en la realización de inspecciones de instituciones, organizaciones y empresas para cumplir con los requisitos de la documentación reglamentaria y técnica para la seguridad de la información, en la preparación de revisiones y conclusiones sobre Materiales normativos y metodológicos y documentación técnica.

9. Prepara propuestas para la celebración de acuerdos y contratos con otras instituciones, organizaciones y empresas que prestan servicios en el campo de los medios técnicos de seguridad de la información, elabora solicitudes de los materiales, equipos y dispositivos necesarios.

10. Participa en la certificación de objetos, locales, medios técnicos, programas, algoritmos para el cumplimiento de los requisitos de protección de la información para las clases de seguridad pertinentes.

11. Realiza controles de control de la operatividad y eficacia de los sistemas y medios técnicos existentes de seguridad de la información, elabora y redacta informes de controles, analiza los resultados de los controles y desarrolla propuestas para mejorar y aumentar la eficacia de las medidas adoptadas.

12. Estudia y resume la experiencia de otras instituciones, organizaciones y empresas en el uso de medios y métodos técnicos de protección de la información con el fin de aumentar la eficiencia y mejorar el trabajo de protección y preservación de los secretos de Estado.

13. Realiza trabajos a tiempo con un alto nivel científico y técnico, observando los requisitos de las instrucciones del cronograma de trabajo.

3. Derechos de un ingeniero de seguridad de la información

El ingeniero de seguridad de la información tiene derecho:

1. Presentar propuestas para consideración de la gerencia:

— mejorar el trabajo relacionado con las responsabilidades previstas en la presente instrucción,

- sobre el estímulo a los empleados distinguidos subordinados a él,

— sobre la responsabilidad material y disciplinaria de los trabajadores que violaron la disciplina productiva y laboral.

2. Solicitar a las divisiones estructurales y empleados de la organización la información necesaria para el desempeño de sus funciones laborales.

3. Conocer los documentos que definen sus derechos y responsabilidades para su cargo, criterios para evaluar la calidad del desempeño de las funciones oficiales.

4. Conocer los proyectos de decisiones de la dirección de la organización relacionados con sus actividades.

5. Exigir a la dirección de la organización que brinde asistencia, incluido el aseguramiento de las condiciones organizativas y técnicas y la ejecución de los documentos establecidos necesarios para el desempeño de las funciones oficiales.

6. Otros derechos que establezca la legislación laboral vigente.

4. Responsabilidad del ingeniero de seguridad de la información

El ingeniero de seguridad de la información es responsable en los siguientes casos:

1. Por desempeño inadecuado o incumplimiento de las obligaciones laborales previstas en esta descripción del puesto, dentro de los límites establecidos por la legislación laboral de la Federación de Rusia.

2. Por delitos cometidos en el curso de sus actividades, dentro de los límites establecidos por la legislación administrativa, penal y civil vigente de la Federación de Rusia.

3. Por causar daños materiales a la organización, dentro de los límites establecidos por la legislación laboral y civil vigente de la Federación de Rusia.

Descripción del puesto para ingeniero de seguridad de la información: muestra 2019/2020. Responsabilidades laborales de un ingeniero de seguridad de la información, derechos de un ingeniero de seguridad de la información, responsabilidades de un ingeniero de seguridad de la información.

Nombre de la institución,

________________________________________

organizaciones

DESCRIPCIÓN DEL TRABAJO

YO APROBÉ

(director; otro funcionario,

________________________________________________

00.00.200_g. No 00

autorizado para aprobar

especialista jefe en seguridad de la información

descripción del trabajo)

________________

_______________________

(firma)

(apellido, iniciales)

I. Disposiciones generales

  1. El especialista jefe en seguridad de la información pertenece a la categoría de gerentes.
  2. Para el puesto de especialista jefe en protección de información se designa a una persona con una educación profesional (técnica) superior y al menos 5 años de experiencia en protección de información.
  3. El nombramiento para el puesto de especialista jefe en seguridad de la información y su destitución se realiza por orden del director de la empresa.
  4. El principal especialista en seguridad de la información debe saber:
  • 4.1. Actos jurídicos legislativos y reglamentarios sobre secretos de estado.
  • 4.2. Documentos que definen las principales direcciones del desarrollo económico y social de la industria.
  • 4.3. Materiales normativos y metodológicos sobre temas relacionados con garantizar la seguridad de la información.
  • 4.4. Perspectivas de desarrollo, especialización y áreas de actividad de la empresa y sus divisiones.
  • 4.5. La naturaleza de la interacción entre departamentos en el proceso de investigación y desarrollo y el procedimiento para transmitir información oficial.
  • 4.6. Un sistema para organizar la protección integral de la información que opera en la industria y en la empresa.
  • 4.7. Perspectivas de desarrollo y direcciones de desarrollo de medios técnicos y software-matemáticos de seguridad de la información.
  • 4.8. Métodos y medios para monitorear la información protegida, identificar canales de fuga de información, organizar la inteligencia técnica.
  • 4.9. Métodos de planificación y organización de la investigación, el desarrollo y el trabajo científico en materia de seguridad de la información.
  • 4.10. El procedimiento para celebrar contratos para la realización de investigaciones e inspecciones especiales, trabajos para proteger los medios técnicos de transmisión, procesamiento, visualización y almacenamiento de información.
  • 4.11. Experiencia nacional y extranjera en el campo de la inteligencia técnica y seguridad de la información.
  • 4.12. Fundamentos de economía, organización de la producción, trabajo y gestión.
  • 4.13. Normas y reglamentos de protección laboral.
  • El especialista jefe en seguridad de la información depende directamente del director de la empresa.
  • Durante la ausencia del especialista jefe en seguridad de la información (viaje de negocios, vacaciones, enfermedad, etc.), sus funciones son desempeñadas por un suplente (en su ausencia, una persona designada en la forma prescrita), quien adquiere los derechos correspondientes y es responsable. para el adecuado desempeño de las funciones que le sean asignadas.

    • II. Responsabilidades laborales

    Especialista jefe en seguridad de la información:

    1. Gestiona la implementación de los trabajos de protección integral de la información en la industria, en la empresa, asegurando el uso efectivo de todas las medidas organizativas, técnicas y de ingeniería disponibles para proteger la información que constituye secretos de estado.
    2. Participa en el desarrollo de la política técnica y determina las perspectivas para el desarrollo de medios técnicos de control, organiza el desarrollo e implementación de nuevos medios de protección técnicos y software-matemáticos que excluyen o complican significativamente el acceso no autorizado a la información oficial que constituye un estado o secreto comercial.
    3. Participa en la consideración de especificaciones técnicas para diseños de productos, trabajos de investigación y desarrollo a proteger, ejerce control sobre la inclusión en ellos de los requisitos de los documentos reglamentarios, técnicos y metodológicos sobre protección de la información y la implementación de estos requisitos.
    4. Elabora propuestas para la inclusión en planes y programas de trabajo de medidas organizativas, de ingeniería y técnicas para proteger los sistemas de información.
    5. Participa en trabajos para crear tecnologías de la información seguras que cumplan con los requisitos de protección integral de la información.
    6. Organiza trabajos de investigación y desarrollo en el campo de la mejora de los sistemas de seguridad de la información y el aumento de su eficiencia.
    7. Realiza toda la gama de trabajos (incluidos los particularmente complejos) relacionados con el control y la protección de la información, basándose en programas y métodos desarrollados.
    8. Organiza la recopilación y análisis de materiales sobre posibles canales de fuga de información, incluso a través de canales técnicos, durante la investigación y el desarrollo relacionados con la creación y producción de productos especiales (productos) necesarios para realizar trabajos para garantizar la seguridad de la información.
    9. Proporciona coordinación de las actividades organizativas y técnicas en curso, desarrollo de materiales metodológicos y regulatorios y provisión de la asistencia metodológica necesaria para la realización de trabajos de protección de la información, evaluando la eficiencia técnica y económica de las soluciones organizativas y técnicas propuestas e implementadas.
    10. Organiza el trabajo para recopilar y sistematizar la información necesaria sobre los objetos sujetos a protección y la información protegida, brinda orientación metodológica y control sobre el trabajo para evaluar el nivel técnico y económico y la efectividad de las medidas que se desarrollan para proteger la información.
    11. Dirige el trabajo de resumir datos sobre la necesidad de medios técnicos y software-matemáticos de seguridad de la información, equipos de control, elaboración de aplicaciones para la producción de estos medios, organización de su recepción y distribución entre objetos de protección.
    12. Promueve la difusión de mejores prácticas y la introducción de medidas, medios y métodos organizativos y técnicos modernos para proteger la información con el fin de aumentar su eficiencia.
    13. Proporciona control sobre el cumplimiento de los requisitos de la documentación reglamentaria y técnica, el cumplimiento del procedimiento establecido para la realización del trabajo, así como la legislación vigente a la hora de resolver problemas relacionados con la seguridad de la información.
    14. Coordina las actividades de los departamentos y especialistas en seguridad de la información de la industria y la empresa.

    III. Derechos

    El especialista jefe en protección de la información tiene derecho a:

    1. Interactuar con los jefes de todas las divisiones estructurales de la empresa en temas de seguridad de la información.
    2. Firmar y visar documentos de su competencia.
    3. Exigir a la dirección de la empresa que brinde la máxima asistencia en el desempeño de sus deberes y derechos oficiales.
    4. Solicitar y recibir de los jefes de las divisiones estructurales de la empresa, especialistas y trabajadores la información y materiales necesarios para el adecuado desempeño de sus derechos y responsabilidades oficiales.

    IV. Responsabilidad

    El Especialista Jefe en Seguridad de la Información es responsable de:

    1. Por desempeño inadecuado o incumplimiento de las obligaciones laborales previstas en esta descripción del puesto, dentro de los límites determinados por la legislación laboral vigente de la Federación de Rusia.
    2. Por delitos cometidos en el curso del desempeño de sus actividades, dentro de los límites determinados por la legislación administrativa, penal y civil vigente de la Federación de Rusia.
    3. Por causar daños materiales, dentro de los límites determinados por la legislación laboral y civil vigente de la Federación de Rusia.

    Jefe de unidad estructural

    __________________

    (firma)

    (apellido, iniciales)

    ACORDADO:

    _________________

    (firma)

    (apellido, iniciales)

    He leído las instrucciones:

    __________________

    (firma)

    I. Disposiciones generales

    1. Para el puesto:
    — un especialista en seguridad de la información es designado por una persona que tiene una educación profesional (técnica) superior sin presentar requisitos de experiencia laboral;
    - especialista en seguridad de la información de categoría II: una persona con una educación profesional (técnica) superior y experiencia laboral como especialista en seguridad de la información u otros puestos ocupados por especialistas con una educación profesional superior durante al menos 3 años;
    - especialista en seguridad de la información de categoría I: una persona que tiene una educación profesional (técnica) superior y experiencia laboral como especialista en protección de la información de categoría II durante al menos 3 años.
    2. El nombramiento para el cargo de especialista en protección de la información y su destitución se realizan por orden del director de la empresa por recomendación del jefe del departamento de protección de la información.
    3. Un especialista en seguridad de la información debe saber:
    3.1. Actos legislativos, materiales normativos y metodológicos sobre temas relacionados con garantizar la seguridad de la información.
    3.2. Especialización de la empresa y características de sus actividades.
    3.3. Tecnología de producción en la industria.
    3.4. Dotación de medios técnicos a los centros informáticos, perspectivas de su desarrollo y modernización.
    3.5. Un sistema para organizar la protección integral de la información que opera en la industria.
    3.6. Métodos y medios para monitorear la información protegida, identificar canales de fuga de información, organizar la inteligencia técnica.
    3.7. Métodos de planificación y organización del trabajo para proteger la información y garantizar los secretos de estado.
    3.8. Medios técnicos de control y protección de la información, perspectivas y direcciones para su mejora.
    3.9. Métodos para realizar investigaciones e inspecciones especiales, trabajos para proteger los medios técnicos de transmisión, procesamiento, visualización y almacenamiento de información.
    3.10. El procedimiento para utilizar publicaciones de resúmenes y referencias, así como otras fuentes de información científica y técnica.
    3.11. Logros de la ciencia y la tecnología en el país y en el extranjero en el campo de la inteligencia técnica y la seguridad de la información.
    3.12. Métodos y medios para realizar cálculos y trabajos computacionales.
    3.13. Fundamentos de economía, organización de la producción, trabajo y gestión.
    3.14. Fundamentos de la legislación laboral.
    3.15. Normas y reglamentos de seguridad, salud en el trabajo, saneamiento industrial y protección contra incendios.
    4. El especialista en protección de la información depende directamente del responsable del departamento de protección de la información.
    5. Durante la ausencia de un especialista en protección de la información (vacaciones, enfermedad, etc.), sus funciones serán desempeñadas por una persona designada en la forma prescrita. Esta persona adquiere los derechos correspondientes y es responsable del adecuado desempeño de las funciones que le sean asignadas.

    II. Responsabilidades laborales de un especialista en seguridad de la información.

    Especialista en protección de la información:
    1. Realiza trabajos complejos relacionados con garantizar la seguridad integral de la información basada en programas y métodos desarrollados y mantener secretos de estado.
    2. Recopila y analiza materiales de instituciones, organizaciones y empresas de la industria con el fin de desarrollar y tomar decisiones y medidas para garantizar la protección de la información y el uso efectivo de medios de control automático, detectar posibles canales de fuga de información representativa del estado, militar. , secretos oficiales y comerciales.
    3. Analiza los métodos y medios existentes utilizados para controlar y proteger la información y desarrolla propuestas para mejorarlos y aumentar la eficacia de esta protección.
    4. Participa en el examen de los objetos de protección, su certificación y categorización.
    5. Desarrolla y prepara para su aprobación proyectos de materiales normativos y metodológicos que regulan el trabajo en materia de protección de la información, así como reglamentos, instructivos y otros documentos organizativos y administrativos.
    6. Organiza el desarrollo y presentación oportuna de propuestas para su inclusión en las secciones relevantes de los planes y programas de trabajo actuales y de largo plazo de medidas de control y protección de la información.
    7. Proporciona comentarios y conclusiones sobre proyectos de edificios y estructuras recién construidos y reconstruidos y otros desarrollos sobre cuestiones de garantía de la seguridad de la información.
    8. Participa en la consideración de especificaciones técnicas para el diseño, diseños preliminares, técnicos y de detalle, vela por su cumplimiento de los documentos reglamentarios y metodológicos vigentes, así como en el desarrollo de nuevos esquemas básicos de equipos de control, herramientas, modelos e información de automatización de control. sistemas de seguridad, evaluación técnica y económica del nivel y efectividad de las soluciones organizativas y técnicas propuestas e implementadas.
    9. Determina la necesidad de medios técnicos de protección y control, elabora solicitudes para su compra con las justificaciones y cálculos necesarios para los mismos, controla su suministro y uso.
    10. Verifica el cumplimiento de los requisitos de los documentos reglamentarios interindustriales y específicos de la industria sobre protección de la información.

    III. Derechos de un especialista en protección de la información.

    El especialista en protección de la información tiene derecho:
    1. Conocer los proyectos de decisiones de la dirección de la empresa sobre sus actividades.
    2. Presentar propuestas de mejora del trabajo relacionadas con las responsabilidades previstas en este instructivo para la consideración de la dirección.
    3. Dentro de los límites de su competencia, informar a su supervisor inmediato sobre todas las deficiencias en las actividades de la empresa (sus divisiones estructurales) identificadas durante el desempeño de sus funciones oficiales y hacer propuestas para su eliminación.
    4. Solicitar personalmente o a nombre de su superior inmediato a los especialistas del departamento la información y documentos necesarios para el desempeño de sus funciones laborales.
    5. Involucrar a especialistas de todas las divisiones estructurales (individuales) en la resolución de las tareas que le sean asignadas (si así lo prevé el reglamento sobre divisiones estructurales, si no, con el permiso de sus jefes).
    6. Exigir a su superior inmediato y a la dirección de la empresa que le presten asistencia en el desempeño de sus deberes y derechos oficiales.

    IV. Responsabilidad del especialista en seguridad de la información.

    El especialista en protección de la información es responsable de:
    1. Por desempeño inadecuado o incumplimiento de las obligaciones laborales previstas en esta descripción del puesto, dentro de los límites determinados por la legislación laboral vigente de la Federación de Rusia.
    2. Por delitos cometidos en el ejercicio de sus actividades, dentro de los límites determinados por la legislación administrativa, penal y civil vigente de la Federación de Rusia.
    3. Por causar daños materiales, dentro de los límites determinados por la legislación laboral y civil vigente de la Federación de Rusia.

    La información es uno de los valores fundamentales de una organización y requiere protección y control de su uso. Cuanto más se desarrolla la tecnología de la información, más información se transfiere a medios electrónicos y las opciones de almacenamiento de datos en papel se vuelven cada vez menos relevantes. Las bases de datos, el software y la documentación empresarial creados deben estar protegidos de forma fiable tanto contra el uso no autorizado como contra la distribución fuera de la empresa.

    Para lograr esta tarea, las organizaciones contratan especialistas que tienen las habilidades para brindar dicha protección y crear condiciones para el uso de la información por parte de los empleados de la empresa dentro del marco de las reglas creadas.

    Sobre el documento

    El puesto de especialista en seguridad de la información se entiende de manera diferente en diferentes organizaciones.

    • En algunas empresas, las funciones de estos empleados incluyen responsabilidades relacionadas con la protección de todo tipo de información. Como regla general, estos especialistas forman parte de la estructura de los departamentos de seguridad económica.
    • En otras empresas, un especialista en seguridad de la información trabaja exclusivamente con sistemas de información electrónicos y, en este caso, estos empleados suelen incluirse en los departamentos de TI y a ellos reportar.

    Metas y objetivos de desarrollo.

    Dado que una descripción del puesto no es un documento necesario para el desarrollo en una organización, puede adoptar la forma que sea conveniente para el empleador. Pero sea cual sea el formato elegido, debe resolver la tarea principal: determinar los requisitos laborales del empleado y crear una lista específica de responsabilidades que desempeñará en su lugar de trabajo.

    Actos regulatorios

    El desarrollo de una descripción de trabajo para un especialista determinado puede estar regulado no solo por regulaciones externas que definen los requisitos para la protección de la información a nivel de todo el estado.

    • Desde septiembre de 2016 Se ha introducido un estándar profesional para el puesto de "Especialista en seguridad de la información en sistemas automatizados", que puede convertirse en la base para el desarrollo de DI.
    • El principal documento interno a partir del cual se puede comenzar a desarrollar instrucciones puede ser el concepto de seguridad de la empresa, que refleja todos los requisitos básicos para la protección de la información de la organización.
    • También para desarrollo, se pueden desarrollar reglamentos internos para la protección de datos personales de los empleados, reglas para el uso de herramientas de información y bases de datos por parte del personal de la organización, reglamentos para delimitar los derechos de acceso y otra documentación regulatoria interna que refleje los requisitos para la protección de la información empresarial. ser usado.
    • Información valiosa para el desarrollo de DI está contenida en procesos de negocio formalizados para las áreas funcionales en las que participa el especialista.

    Tipos de DI

    La descripción del puesto se puede desarrollar en forma de un DI estándar, que cubra los puestos de especialistas en seguridad de la información disponibles en la estructura de las organizaciones incluidas en. Este formulario sólo se puede utilizar si los requisitos, funciones, derechos y responsabilidades del puesto son completamente idénticos en estas empresas.

    Hoy en día, las empresas utilizan tanto el DI estándar como otras versiones de documentos que permiten registrar las funciones de un puesto, las responsabilidades de un empleado, sus derechos y responsabilidades. Dichos formularios pueden incluir la celebración de un acuerdo, que describe brevemente las responsabilidades del empleado, y se crea un anexo separado al acuerdo con la información detallada necesaria para estandarizar los requisitos para el empleado. Otra forma utilizada en las organizaciones para estandarizar los requisitos de los empleados es el perfil laboral o estándar laboral.

    Si cada puesto tiene su propia funcionalidad, se supone un sistema de informes diferente y se deben desarrollar instrucciones individuales para cada puesto.

    quien compone

    Las responsabilidades de compilar DI en diferentes empresas se asignan a diferentes empleados. Muy a menudo, el desarrollo lo llevan a cabo varios trabajadores. Dicho grupo de trabajo incluye un especialista en seguridad de la información, o , así como , o , . A veces también participa.

    • Empleados del departamento de personal son responsables de determinar la forma del documento, aplicar los requisitos del estándar profesional al desarrollar DI y organizar el proceso de desarrollo.
    • Supervisor directo determina la descripción de las secciones relacionadas con los requisitos para los empleados, la composición de las responsabilidades laborales.
    • Consejero legal verifica que el documento cumpla con los requisitos internos, refleja todos los aspectos legales del funcionamiento del puesto en la organización: el procedimiento de nombramiento y despido, los derechos y responsabilidades del empleado.

    La versión final, por regla general, está formada por especialistas de los departamentos de recursos humanos y organiza el procedimiento para coordinar y aprobar el documento por parte del director de la empresa.

    ¿Dónde se usa?

    Las instrucciones se utilizan en casi todos los procesos de gestión de personal:

    • al contratar nuevos empleados y determinar los requisitos para los solicitantes de puestos;
    • identificar competencias clave que deben evaluarse tanto en la etapa de selección de candidatos como para la evaluación continua del personal de la organización;
    • durante los programas de adaptación;
    • al resolver conflictos laborales y desacuerdos que surjan entre un empleado y un empleador.

    Disposiciones de la descripción del puesto de ingeniero y especialista en seguridad de la información.

    La descripción del puesto de un especialista en seguridad de la información debe contener toda la información sobre el puesto, incluido su lugar en la estructura general, los requisitos del puesto para el empleado, información detallada sobre los deberes, sus derechos y responsabilidad para lograr los resultados requeridos.

    Son comunes

    Las disposiciones generales incluyen información sobre el título del puesto. De acuerdo con el estándar profesional, existen dos categorías para un especialista en seguridad de la información: I y II. Sin embargo, si una empresa, de conformidad con la ley, no está obligada a aplicar los requisitos de la norma, no se podrán asignar categorías a los empleados.

    • Esta sección de las instrucciones determina la subordinación del especialista y describe la estructura organizativa de la unidad.
    • La información importante indicada en esta parte del DI son los requisitos de educación, experiencia laboral y duración del servicio.
    • Según el prof. Como estándar, el empleado debe tener una educación superior y una licenciatura en seguridad de la información. No se requiere experiencia laboral a menos que el empleado realice una serie de funciones, cuya información se puede encontrar en el texto de la norma. Si su funcionalidad es lo suficientemente amplia, es posible que se requiera al menos un año de experiencia.
    • En términos de educación adicional, la norma recomienda que un empleado realice cursos de formación avanzada en el campo de la seguridad de la información.
    • En cuanto al acceso de un empleado a trabajar con información, si es necesario y para un determinado perfil de la empresa, debe tener acceso a secretos de estado.

    El cumplimiento obligatorio de estos requisitos es necesario si la organización está obligada a evaluar el nivel de calificaciones de sus empleados para el cumplimiento de las calificaciones profesionales. estándar.

    Objetivos del puesto

    El propósito del puesto de especialista en seguridad de la información es garantizar la protección de la información contra amenazas externas e internas y el uso de herramientas de seguridad modernas.

    Las principales tareas del especialista incluyen:

    1. Identificación de riesgos y amenazas en el ámbito de la seguridad de la información.
    2. Desarrollo de medidas de protección.
    3. Implantación de sistemas de protección.
    4. Monitorear el estado del sistema de seguridad de la información y prevenir violaciones en su funcionamiento.
    5. Desarrollo de documentación regulatoria en el campo de la seguridad de la información.

    Requisitos de conocimientos y habilidades.

    • requisitos del marco legislativo estatal en el campo de la protección de la información;
    • reglas para la construcción de sistemas de seguridad de la información;
    • criterios mediante los cuales se evalúa el nivel de seguridad de la información;
    • software y hardware que proporcionen el nivel requerido de protección de la información;
    • canales de fuga de información;
    • Normativa interna de su área funcional de actividad.

    Las habilidades especializadas más demandadas incluyen:

    • capacidad para identificar rápidamente incidentes relacionados con violaciones de seguridad de la información;
    • elegir las formas correctas de responder a los incidentes;
    • identificar y clasificar riesgos en el campo de la seguridad de la información;
    • distribuir los derechos de acceso de los usuarios y monitorear el cumplimiento de los requisitos de la empresa por parte de los usuarios cuando trabajan con información;
    • instalar software especializado;
    • identificar vulnerabilidades en el sistema de seguridad de la información y eliminarlas oportunamente.

    Responsabilidades laborales

    Las responsabilidades desempeñadas por un especialista en seguridad de la información incluyen varias áreas funcionales que deben describirse con suficiente detalle. Al describir las responsabilidades laborales, es necesario sistematizar la información, combinándola en bloques según las áreas funcionales del trabajo del empleado.

    1. : identificar cuellos de botella, factores de riesgo, preparar propuestas para aumentar la eficiencia del sistema.
    2. Seguimiento y diagnóstico del funcionamiento de los sistemas de seguridad de la información: identificación de infracciones, su identificación, elaboración de propuestas para neutralizar las infracciones identificadas y prevenir su recurrencia.
    3. Administración de sistemas de seguridad de la información: instalación de software, distribución de derechos de acceso a los usuarios, monitorear el desempeño de los sistemas, corregir fallas del sistema, responder a situaciones de emergencia en el funcionamiento de los sistemas de seguridad, configurar y realizar copias de seguridad de la información, definir reglas para el almacenamiento. copias de seguridad, organización de ubicaciones de almacenamiento y reglas de acceso al almacén de datos.
    4. Evaluación de la eficacia de los sistemas de seguridad de la información.
    5. Desarrollo de documentación regulatoria para la protección de la información, comunicación de reglas y requisitos para trabajar con información a los empleados, monitorear el cumplimiento de las reglas, identificar violaciones por parte del personal de los requisitos para trabajar con información, iniciar investigaciones internas sobre violaciones identificadas.
    6. Selección de nuevas herramientas de seguridad de la información, pruebas, implementación de sistemas, seguimiento de su funcionamiento, evaluación de la eficacia de la protección.

    Interacción

    Un especialista en seguridad de la información trabaja con cualquier empleado de una organización que utilice software en su trabajo y tenga acceso a la documentación e información de la empresa.

    La interacción puede incluir tareas que un empleado resuelve diariamente cuando se comunica con los empleados de la organización:

    • distribución de derechos de acceso a los sistemas de información de la empresa;
    • instalación de software especializado en las computadoras de los usuarios;
    • identificación de violaciones en el trabajo con información cometidas por empleados de la organización;
    • investigación del incidente;
    • implementación de reglas para trabajar con información, comunicando a los empleados los requisitos de las normas de protección de la información.

    El siguiente video le informará sobre el puesto de un especialista en seguridad de la información:

    Derechos y responsabilidades

    El Especialista en Seguridad de la Información es responsable de:

    • seguridad de la información empresarial;
    • eficacia de la defensa construida;
    • detección oportuna de violaciones en el sistema;
    • eliminación cualitativa de violaciones y desarrollo de medidas para prevenir la repetición de tales violaciones.

    Los derechos otorgados al empleado deben brindarle la oportunidad de:

    • interactuar con cualquier empleado sobre temas laborales y exigirle que cumpla con los requisitos de seguridad de la información;
    • tener acceso a los altos funcionarios de la empresa e informarles sobre violaciones identificadas en el funcionamiento de los sistemas de seguridad y el incumplimiento por parte de los empleados de las reglas de protección de la información;
    • iniciar la implementación de nuevos sistemas de protección.

    Puede descargar el DI para un ingeniero de seguridad de la información y para un especialista: .

    Descripción del puesto de ingeniero de seguridad de la información (muestra)

    CONFIRMO:
    Supervisor _____________________
    __________________________________
    (__________________)
    "___"________ ___ g.
    MP

    DESCRIPCIÓN DEL TRABAJO para especialista técnico en seguridad de la información

    1. DISPOSICIONES GENERALES

    1.1. Esta descripción del puesto define las responsabilidades, derechos y responsabilidades funcionales de un especialista técnico en seguridad de la información _______________ (en adelante, la Organización).

    1.2. Un técnico especialista en seguridad de la información es nombrado y destituido de acuerdo con el procedimiento que establece la legislación laboral por orden del titular de la Organización.

    1.3. El especialista técnico en seguridad de la información reporta directamente a la Organización _______________.

    1.4. Requisitos de calificación para una persona designada para el puesto:

    Especialista técnico en seguridad de la información de categoría I: formación profesional superior en la especialidad "Seguridad de la información" y experiencia laboral como especialista en seguridad técnica de la información de categoría II durante al menos 3 años.

    Especialista técnico en seguridad de la información de categoría II: formación profesional superior en la especialidad "Seguridad de la información" y experiencia laboral como especialista en seguridad técnica de la información o en otros puestos ocupados por especialistas con formación profesional superior durante al menos 3 años.

    Especialista técnico en seguridad de la información: formación profesional superior en la especialidad "Seguridad de la Información" sin ningún requisito de experiencia laboral.

    1.5. Un especialista técnico en seguridad de la información debe saber:

    Leyes y otros actos jurídicos reglamentarios de la Federación de Rusia que regulan las relaciones relacionadas con la protección de secretos de estado y otra información restringida;

    Documentos regulatorios y metodológicos sobre temas relacionados con garantizar la seguridad de la información;

    Métodos y medios para identificar amenazas a la seguridad de la información, métodos para identificar canales de fuga de información;

    Especialización, conceptos básicos de los procesos tecnológicos de producción de la organización y las consecuencias de su violación;

    La estructura de gestión, comunicación y automatización, el equipamiento de las instalaciones de informatización de la Organización con medios y sistemas técnicos básicos y auxiliares, las perspectivas de su desarrollo y modernización;

    Logros de la ciencia y la tecnología en el país y en el exterior en el campo de la inteligencia técnica y la seguridad de la información técnica; perspectivas y direcciones para el desarrollo de herramientas técnicas y de seguridad de la información de hardware y software;

    El procedimiento y contenido de estudios especiales y verificaciones de control, trabajos de categorización, certificación de objetos de informatización y otros trabajos de protección de la información técnica;

    Métodos para planificar el trabajo sobre seguridad de la información técnica;

    Métodos para realizar investigaciones científicas y desarrollo sobre seguridad de la información técnica;

    Documentación desarrollada en las instalaciones de informatización sobre seguridad de la información técnica;

    Reglas para el desarrollo y preparación para la aprobación de proyectos de documentos normativos y metodológicos que regulan el trabajo de protección de la información técnica, la elaboración de informes de inspección, informes de prueba, instrucciones para el derecho a operar equipos de protección de la información técnica, así como reglamentos, instrucciones y otros documentos en el campo de la protección de la información técnica;

    Estructura, finalidad, tareas, competencias del departamento de seguridad de la información técnica;

    El procedimiento para utilizar medios estándar de protección de la información técnica y monitorear su efectividad;

    Subsistemas de control de acceso, subsistemas de detección de ataques, métodos para analizar los resultados de las inspecciones, registrar violaciones de los requisitos de seguridad de la información técnica;

    El procedimiento para preparar propuestas, métodos y medios para realizar trabajos computacionales con el fin de planificar, organizar y realizar trabajos sobre seguridad de la información técnica;

    El procedimiento para crear canales seguros entre objetos que interactúan a través de un sistema público utilizando canales de comunicación dedicados;

    El procedimiento para autenticar objetos que interactúan, verificando la autenticidad del remitente y la integridad de los datos transmitidos a través del sistema público;

    El procedimiento para utilizar publicaciones de resúmenes y referencias, así como otras fuentes de información científica y técnica;

    Logros de la ciencia y la tecnología en el país y en el exterior en el campo de la inteligencia técnica y la seguridad de la información técnica;

    Fundamentos de la legislación laboral;

    Normas de protección laboral y seguridad contra incendios.

    1.6. Durante el período de ausencia temporal de un especialista técnico en seguridad de la información, sus funciones están asignadas a ____________________.

    2. RESPONSABILIDADES FUNCIONALES

    Especialista técnico en seguridad de la información:

    2.1. Realiza trabajos de seguridad técnica de la información en las organizaciones.

    2.2. Realiza trabajos para identificar amenazas a la seguridad de la información, determinar la posibilidad de reconocimiento técnico y llevar a cabo medidas técnicas de seguridad de la información.

    2.3. Participa en la categorización de objetos de informatización, identificando amenazas a la seguridad de la información y canales técnicos de fuga de información, trabaja en la realización de inspecciones especiales y estudios especiales de objetos de informatización.

    2.4. Desarrolla propuestas para la colocación de medios y sistemas técnicos básicos y auxiliares de acuerdo con los estándares establecidos de seguridad de la información técnica.

    2.5. Organiza y lleva a cabo (si es necesario) medidas para la protección técnica de la información al colocar organizaciones de terceros dentro del área controlada.

    2.6. Participa en la inspección de objetos de informatización, su categorización y certificación.

    2.7. Desarrolla y prepara para su aprobación proyectos de documentos reglamentarios y metodológicos que regulan los trabajos de protección de la información técnica, informes de inspección, informes de prueba, instrucciones para el derecho a operar, así como reglamentos, instrucciones y otros documentos organizativos y administrativos.

    2.8. Participa en la determinación de la necesidad de medios técnicos de seguridad de la información, elabora solicitudes para su compra con las justificaciones y cálculos necesarios para las mismas, controla su suministro y uso.

    2.9. Verifica el cumplimiento de los requisitos de los documentos reglamentarios sobre protección de la información técnica.

    3. DERECHOS

    Un especialista técnico en seguridad de la información tiene derecho a:

    3.1. Requerir a la dirección de la Organización que le preste asistencia en el desempeño de sus funciones.

    3.2. Conocer los proyectos de decisiones de la dirección de la Organización relacionados con sus actividades.

    3.3. Presentar propuestas sobre temas relacionados con sus actividades para la consideración de su supervisor inmediato.

    3.4. Recibir la información oficial necesaria para el desempeño de sus funciones.

    4. RESPONSABILIDAD

    El especialista técnico en seguridad de la información es responsable de:

    4.1. Por incumplimiento o desempeño inadecuado de las funciones previstas en esta descripción de funciones, de acuerdo con la legislación laboral vigente.

    4.2. Por delitos cometidos durante el período de sus actividades, de conformidad con la legislación civil, administrativa y penal vigente.

    4.3. Por causar daños materiales - de acuerdo con la legislación vigente.

    5. CONDICIONES Y EVALUACIÓN DEL DESEMPEÑO

    5.1. El horario de trabajo de un técnico especialista en seguridad de la información se determina de acuerdo con la normativa laboral interna establecida en la Organización.

    5.2. Evaluación del trabajo:

    Regular - realizado por el supervisor inmediato en el proceso de desempeño de las funciones laborales del Empleado;

    - _____________________________________________________________________. (indicar el procedimiento y fundamentos para otro tipo de trabajos)

    Esta descripción de puesto ha sido elaborada de conformidad con la Orden del Ministerio de Salud y Desarrollo Social de la Federación de Rusia de 22 de abril de 2009 N 205 "Sobre la aprobación del Directorio Unificado de Cualificaciones de puestos para gerentes, especialistas y empleados, sección "Características de calificación de puestos para gerentes y especialistas en garantizar la seguridad de la información en sistemas clave de infraestructura de información, contrarrestar la inteligencia técnica y la protección técnica de la información".

    ____________________________ ________________ ___________________________ (Nombre del cargo (Firma personal) (Transcripción de firma) del jefe de la unidad estructural) "___"__________ ____ ACORDADO (indicar todos los interesados ​​y sus firmas) ____________________________ ________________ ___________________________ (Firma personal) (Transcripción de firma) "___ "__________ ____ g. He leído las instrucciones: ________________ ___________________________ (Firma personal) (Decodificación de firma) "___"__________ ____ g.