_________________ ____________
(наименование организации)
УТВЕРЖДАЮ
ДОЛЖНОСТНАЯ ИНСТРУКЦИЯ _________________ _________________
(наименование должности)
00.00.0000 N 000 _________________ ________________
(подпись) (инициалы, фамилия)
Главного специалиста 00.00.0000
по технической защите информации
1. Общие положения
1.1. Главный специалист по технической защите информации относится к категории руководителей.
1.2. Для работы главным специалистом по технической защите информации принимается лицо:
1) имеющее высшее образование - специалитет или магистратура в области информационной безопасности и дополнительное профессиональное образование - программы повышения квалификации в области технической защиты информации или высшее образование - аспирантура (адъюнктура);
2) имеющее опыт работы не менее пяти лет в области технической защиты информации, в том числе на руководящих должностях не менее трех лет <1>;
3) имеющее допуск к государственной тайне (при необходимости).
1.3. Главный специалист по технической защите информации должен знать:
1) нормативные правовые акты, методические документы, национальные стандарты в области защиты информации ограниченного доступа и аттестации объектов информатизации на соответствие требованиям по защите информации;
2) стандарты ЕСКД, ЕСТД и ЕСПД;
3) порядок создания автоматизированных систем в защищенном исполнении;
4) эксплуатационную документацию на систему защиты информации;
5) организационно-распорядительную документацию по защите информации на объекте информатизации;
6) современные информационные технологии (операционные системы, базы данных, вычислительные сети);
7) технические каналы утечки информации, возникающие за счет побочных электромагнитных излучений от основных технических средств, счет наводок информативных сигналов на цепи электропитания и заземления основных технических средств и систем, а также наводок информативных сигналов на вспомогательные технические средства и системы, их кабельные коммуникации, а также посторонние проводники, создаваемые методом "высокочастотного облучения" основных технических средств и систем, а также за счет возможно внедренных электронных устройств перехвата информации в основных технических средствах и системах;
8) технические каналы утечки акустической речевой информации;
9) состав и содержание организационно-распорядительных документов, определяющих мероприятия по защите информации (концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации, положение по защите информации от утечки по техническим каналам, технический паспорт на объект информатизации (выделенное помещение), акты категорирования объектов информатизации, акты классификации автоматизированных систем, приказы, инструкции);
10) способы реализации несанкционированного доступа к информации и специальных программных воздействий на информацию и ее носители в автоматизированных системах;
11) технические средства защиты информации от утечки за счет побочных электромагнитных излучений и наводок;
12) методы защиты информации от несанкционированного доступа и специальных программных воздействий на нее, от утечки по техническим каналам;
13) программные (программно-технические) средства защиты автоматизированных систем от несанкционированного доступа к информации и специальных программных воздействий на нее;
14) способы защиты акустической речевой информации от утечки по техническим каналам;
15) принципы построения и основные характеристики технических средств защиты акустической речевой информации от утечки по техническим каналам;
16) методы и методики контроля эффективности защиты информации от утечки за счет побочных электромагнитных излучений и наводок, от несанкционированного доступа и специальных программных воздействий;
17) средства контроля защищенности информации от утечки за счет побочных электромагнитных излучений и наводок, от несанкционированного доступа;
18) администрирование системы защиты информации от несанкционированного доступа;
19) порядок организации технического обслуживания и ремонта технических, программных (программно-технических) средств защиты информации;
20) порядок аттестации объектов информатизации на соответствие требованиям по защите информации;
21) _________________ _______________________ ________________.
1.4. Главный специалист по технической защите информации должен уметь:
1) определять перечень информации (сведений) ограниченного доступа, подлежащих защите в организации;
2) определять условия расположения объектов информатизации относительно границ контролируемой зоны;
3) анализировать данные о назначении, функциях, условиях функционирования основных технических средств и систем, установленных на объектах информатизации, и характере обрабатываемой на них информации;
4) анализировать сведения, обсуждаемые в выделенных (защищаемых) помещениях;
5) определять степень участия персонала в обработке (обсуждении, передаче, хранении) информации, характер взаимодействия работников между собой;
6) проводить предпроектное обследование объектов вычислительной техники и выделенных (защищаемых) помещений;
7) разрабатывать модели угроз безопасности информации в организации;
8) разрабатывать аналитическое обоснование необходимости создания системы защиты информации в организации;
9) разрабатывать техническое задание на создание системы защиты информации в организации;
10) разрабатывать разрешительную систему доступа к информационным ресурсам, программным и техническим средствам автоматизированных (информационных) систем организации;
11) разрабатывать эксплуатационную документацию на объект информатизации и средства защиты информации, а также организационно-распорядительную документацию по защите информации (приказы, инструкции и других документы);
12) организовывать проведение специальных исследований и специальных проверок технических средств обработки информации ограниченного доступа;
13) организовывать установку и настройку технических, программных (программно-технических) средств защиты информации, входящих в состав системы защиты информации организации, в соответствии с техническим проектом и инструкциями по эксплуатации;
14) разрабатывать организационно-распорядительные документы, определяющие мероприятия по защите информации в организации;
15) разрабатывать и реализовывать организационные меры, обеспечивающие эффективность системы защиты информации;
16) организовывать обучение персонала использованию технических, программных (программно-технических) средств защиты информации;
17) организовывать опытную эксплуатацию и доработку системы защиты информации;
18) разрабатывать программы и методики предварительных испытаний системы защиты информации;
19) организовывать приемочные испытания системы защиты информации;
20) подготавливать объекты вычислительной техники и выделенные (защищаемые) помещения к аттестации по требованиям безопасности информации;
21) организовывать и сопровождать аттестацию объектов вычислительной техники и выделенных (защищаемых) помещений на соответствие требованиям по защите информации;
22) организовывать ввод системы защиты информации в эксплуатацию;
23) проводить контроль (мониторинг) состояния системы защиты информации;
24) администрировать систему защиты информации от несанкционированного доступа;
25) организовывать и проводить расследования инцидентов информационной безопасности и выявленных нарушений мер защиты информации;
26) организовывать проведение и руководить выполнением работ по техническому обслуживанию технических и программно-технических средств защиты информации, входящих в состав системы защиты информации организации;
27) организовывать проведение и руководить выполнением работ по устранению неисправностей и ремонту технических, программных (программно-технических) средств защиты информации, входящих в состав системы защиты информации организации;
28) _________________ _______________________ ______________________.
(другие требования к необходимым умениям)
1.5. Главный специалист по технической защите информации в своей
деятельности руководствуется:
1) _________________ _______________________ _______________________;
(наименование учредительного документа)
2) Положением о _________________ _______________________ ___________;
(наименование структурного подразделения)
3) настоящей должностной инструкцией;
4) _________________ _______________________ _______________________.
(наименования локальных нормативных актов, регламентирующих трудовые
функции по должности)
1.6. Главный специалист по технической защите информации подчиняется
непосредственно _________________ _______________________ ______________.
(наименование должности руководителя)
1.7. _________________ _______________________ _____________________.
(другие общие положения)
2. Трудовые функции
2.1. Организация и проведение работ по технической защите информации:
2.1.1. Создание системы защиты информации в организации.
2.1.2. Ввод в эксплуатацию системы защиты информации в организации.
2.1.3. Сопровождение системы защиты информации в ходе ее эксплуатации.
2.2. _________________ _______________________ _____________________.
(другие функции)
3. Должностные обязанности
3.1. Главный специалист по технической защите информации исполняет следующие обязанности:
3.1.1. В рамках трудовой функции, указанной в пп. 2.1.1 настоящей должностной инструкции:
1) определяет перечень информации (сведений) ограниченного доступа, подлежащих защите в организации;
2) определяет перечень объектов информатизации, на которых производится обработка информации ограниченного доступа;
3) проводит анализ данных о назначении, функциях, условиях функционирования технических средств обработки информации ограниченного доступа, установленных на объектах информатизации, и характере обрабатываемой на них информации;
4) определяет перечень выделенных (защищаемых) помещений, в которых происходит обсуждение сведений ограниченного доступа;
5) проводит анализ сведений, обсуждаемых в выделенных (защищаемых) помещениях;
6) осуществляет предпроектное обследование объектов вычислительной техники и выделенных (защищаемых) помещений;
7) организует проведение научных исследований по вопросам технической защиты информации, выполняемых в организации;
8) разрабатывает модель угроз безопасности информации в организации;
9) разрабатывает аналитическое обоснование необходимости создания системы защиты информации в организации;
10) разрабатывает техническое задание на создание системы защиты информации.
3.1.2. В рамках трудовой функции, указанной в пп. 2.1.2 настоящей должностной инструкции:
1) организует проведение специальных исследований и специальных проверок технических средств обработки информации ограниченного доступа;
2) организует установку и настройку технических, программных (программно-технических) средств защиты информации, входящих в состав системы защиты информации организации, в соответствии с техническим проектом и инструкциями по эксплуатации;
3) разрабатывает организационно-распорядительные документы, определяющие мероприятия по защите информации в организации;
4) разрабатывает и реализует организационные меры, обеспечивающие эффективность системы защиты информации;
5) организует проведение инструктажа руководящего состава и обучения персонала по вопросам технической защиты информации;
6) организует опытную эксплуатацию и доработку системы защиты информации;
7) разрабатывает программу и методику предварительных испытаний системы защиты информации;
8) организует приемочные испытания системы защиты информации;
9) подготавливает объекты вычислительной техники и выделенных (защищаемых) помещений к аттестации по требованиям безопасности информации;
10) организует и сопровождает аттестацию объектов вычислительной техники и выделенных (защищаемых) помещений на соответствие требованиям по защите информации;
11) осуществляет ввод системы защиты информации в эксплуатацию.
3.1.3. В рамках трудовой функции, указанной в пп. 2.1.3 настоящей должностной инструкции:
1) организует контроль состояния системы защиты информации;
2) осуществляет администрирование системы защиты информации от несанкционированного доступа;
3) осуществляет руководство разработкой предложений по совершенствованию организационных и технических мероприятий по технической защите информации и оценке их эффективности, совершенствованию системы технической защиты информации в организации;
4) организует работы по участию сотрудников подразделения в расследовании нарушений требований и норм технической защиты информации в организации и разрабатывает предложения по предупреждению нарушений;
5) организует выполнение работ по техническому обслуживанию технических и программно-технических средств защиты информации;
6) организует выполнение работ по устранению неисправностей и ремонту технических, программных (программно-технических) средств защиты информации, входящих в состав системы защиты информации организации;
7) организует мероприятия по выводу из эксплуатации систем информатизации и утилизации их элементов.
3.1.4. В рамках выполнения своих трудовых функций главный специалист по технической защите информации исполняет поручения своего непосредственного руководителя.
3.1.5. _________________ _______________________ ___________________.
(другие обязанности)
3.2. _________________ _______________________ _____________________.
(другие положения о должностных обязанностях)
4. Права
4.1. Главный специалист по технической защите информации имеет право:
4.1.1. Участвовать в обсуждении проектов решений руководства организации, в совещаниях по их подготовке и выполнению.
4.1.2. Подписывать и визировать документы в пределах своей компетенции.
4.1.3. Запрашивать у непосредственного руководителя разъяснения и уточнения по данным поручениям, выданным заданиям.
4.1.4. Запрашивать по поручению непосредственного руководителя и получать от других работников организации необходимую информацию, документы, необходимые для исполнения поручения.
4.1.5. Знакомиться с проектами решений руководства, касающихся выполняемой им функции, с документами, определяющими его права и обязанности по занимаемой должности, критерии оценки качества исполнения своих трудовых функций.
4.1.6. Требовать прекращения (приостановления) работ (в случае нарушений, несоблюдения установленных требований и т.д.), соблюдения установленных норм, правил, инструкций; давать указания по исправлению недостатков и устранению нарушений.
4.1.7. Вносить на рассмотрение своего непосредственного руководителя предложения по организации труда в рамках своих трудовых функций.
4.1.8. Участвовать в обсуждении вопросов, касающихся исполняемых должностных обязанностей.
4.2. _________________ _______________________ _____________________.
(другие права)
5. Ответственность
5.1. Главный специалист по технической защите информации привлекается к ответственности:
- за ненадлежащее исполнение или неисполнение своих должностных обязанностей, предусмотренных настоящей должностной инструкцией, - в порядке, установленном действующим трудовым законодательством Российской Федерации, законодательством о бухгалтерском учете;
- правонарушения и преступления, совершенные в процессе своей деятельности, - в порядке, установленном действующим административным, уголовным и гражданским законодательством Российской Федерации;
- причинение ущерба организации - в порядке, установленном действующим трудовым законодательством Российской Федерации.
5.2. _________________ _______________________ _____________________.
(другие положения об ответственности)
6. Заключительные положения
6.1. Настоящая инструкция разработана на основе Профессионального
стандарта "Специалист по технической защите информации", утвержденного
Приказом Минтруда России от 01.11.2016 N 599н, с учетом
_________________ _______________________ ________________.
(реквизиты локальных нормативных актов организации)
6.2. Ознакомление работника с настоящей инструкцией осуществляется при
приеме на работу (до подписания трудового договора).
Факт ознакомления работника с настоящей инструкцией подтверждается
_________________ _______________________ _______________________ ______.
(подписью в листе ознакомления, являющемся неотъемлемой частью настоящей
инструкции (в журнале ознакомления с инструкциями); в экземпляре
инструкции, хранящемся у работодателя; иным способом)
6.3. _________________ _______________________ _____________________.
--------------------------------
Информация для сведения:
<1> Руководитель структурного подразделения по технической защите информации: не менее пяти лет в области технической защиты информации, в том числе на руководящих должностях не менее двух лет.
