УТВЕРЖДАЮ:
[Наименование должности]
_______________________________
_______________________________
[Наименование организации]
_______________________________
_______________________/[Ф.И.О.]/
«______» _______________ 20___ г.
ДОЛЖНОСТНАЯ ИНСТРУКЦИЯ
Специалиста по защите информации
1. Общие положения
1.1. Настоящая должностная инструкция определяет и регламентирует полномочия, функциональные и должностные обязанности, права и ответственность специалиста по защите информации [Наименование организации в родительном падеже] (далее — Компания).
1.2. Специалист по защите информации назначается на должность и освобождается от должности в установленном действующим трудовым законодательством порядке приказом руководителя Компании.
1.3. Специалист по защите информации относится к категории специалистов и имеет в подчинении [наименование должностей подчиненных в дательном падеже].
1.4. Специалист по защите информации подчиняется непосредственно [наименование должности непосредственного руководителя в дательном падеже] Компании.
1.5. На должность специалиста по защите информации назначается лицо, имеющее соответствующую квалификацию:
Специалист по защите информации I категории: высшее профессиональное (техническое) образование и стаж работы в должности специалиста по защите информации II категории не менее 3 лет.
Специалист по защите информации II категории: высшее профессиональное (техническое) образование и стаж работы в должности специалиста по защите информации или других должностях, замещаемых специалистами с высшим профессиональным образованием, не менее 3 лет.
Специалист по защите информации: высшее профессиональное (техническое) образование без предъявления требования к стажу работы.
1.6. Специалист по защите информации отвечает за:
- эффективное исполнение поручаемой ему работы;
- соблюдение требований исполнительской, трудовой и технологической дисциплины;
- сохранность находящихся у него на хранении (ставших ему известными) документов (сведений), содержащих (составляющих) коммерческую тайну Компании.
1.7. Специалист по защите информации должен знать:
- законодательные акты, нормативные и методические материалы по вопросам, связанным с обеспечением защиты информации;
- специализацию учреждения, организации и особенности их деятельности;
- технологию производства в отрасли;
- оснащенность вычислительных центров техническими средствами, перспективы их развития и модернизации;
- систему организации комплексной защиты информации, действующую в отрасли;
- методы и средства контроля охраняемых сведений, выявления каналов утечки информации, организацию технической разведки;
- методы планирования и организации проведения работ по защите информации и обеспечению государственной тайны;
- технические средства контроля и защиты информации, перспективы и направления их совершенствования;
- методы проведения специальных исследований и проверок, работ по защите технических средств передачи, обработки, отображения и хранения информации;
- порядок пользования реферативными и справочно-информационными изданиями, а также другими источниками научно-технической информации;
- достижения науки и техники в стране и за рубежом в области технической разведки и защиты информации;
- методы и средства выполнения расчетов и вычислительных работ;
- основы экономики, организации производства, труда и управления;
- основы трудового законодательства;
- правила и нормы охраны труда.
1.8. Специалист по защите информации в своей деятельности руководствуется:
- локальными актами и организационно-распорядительными документами Компании;
- правилами внутреннего трудового распорядка;
- правилами охраны труда и техники безопасности, обеспечения производственной санитарии и противопожарной защиты;
- указаниями, приказаниями, решениями и поручениями непосредственного руководителя;
- настоящей должностной инструкцией.
1.9. В период временного отсутствия специалиста по защите информации его обязанности возлагаются на [наименование должности заместителя].
2. Должностные обязанности
Специалист по защите информации обязан осуществлять следующие трудовые функции:
2.1. Выполняет сложные работы, связанные с обеспечением комплексной защиты информации на основе разработанных программ и методик, соблюдения государственной тайны.
2.2. Проводит сбор и анализ материалов учреждений, организаций и предприятий отрасли с целью выработки и принятия решений и мер по обеспечению защиты информации и эффективному использованию средств автоматического контроля, обнаружения возможных каналов утечки сведений, представляющих государственную, военную, служебную и коммерческую тайну.
2.3. Анализирует существующие методы и средства, применяемые для контроля и защиты информации, и разрабатывает предложения по их совершенствованию и повышению эффективности этой защиты.
2.4. Участвует в обследовании объектов защиты, их аттестации и категорировании.
2.5. Разрабатывает и подготавливает к утверждению проекты нормативных и методических материалов, регламентирующих работу по защите информации, а также положений, инструкций и других организационно-распорядительных документов.
2.6. Организует разработку и своевременное представление предложений для включения в соответствующие разделы перспективных и текущих планов работ и программ мер по контролю и защите информации.
2.7. Дает отзывы и заключения на проекты вновь строящихся и реконструируемых зданий и сооружений и другие разработки по вопросам обеспечения защиты информации.
2.8. Участвует в рассмотрении технических заданий на выполнение эскизных, технических и рабочих проектов, обеспечивает их соответствие действующим нормативным и методическим документам, а также в разработке новых принципиальных схем аппаратуры контроля, средств автоматизации контроля, моделей и систем защиты информации, оценке технико-экономического уровня и эффективности предлагаемых и реализуемых организационно-технических решений.
2.9. Определяет потребность в технических средствах защиты и контроля, составляет заявки на их приобретение с необходимыми обоснованиями и расчетами к ним, контролирует их поставку и использование.
2.10. Осуществляет проверку выполнения требований межотраслевых и отраслевых нормативных документов по защите информации.
В случае служебной необходимости специалист по защите информации может привлекаться к выполнению своих должностных обязанностей сверхурочно, в порядке, предусмотренном положениями федерального законодательства о труде.
3. Права
Специалист по защите информации имеет право:
3.1. Давать подчиненным ему сотрудникам и службам поручения, задания по кругу вопросов, входящих в его функциональные обязанности.
3.2. Контролировать выполнение производственных заданий, своевременное выполнение отдельных поручений и заданий подчиненными ему службами.
3.3. Запрашивать и получать необходимые материалы и документы, относящиеся к вопросам деятельности специалиста по защите информации, подчиненных ему служб и подразделений.
3.4. Взаимодействовать с другими предприятиями, организациями и учреждениями по производственным и другим вопросам, относящимся к компетенции специалиста по защите информации.
3.5. Подписывать и визировать документы в пределах своей компетенции.
3.6. Вносить на рассмотрение руководителя Компании представления о назначении, перемещении и увольнении работников подчиненных подразделений; предложения об их поощрении или о наложении на них взысканий.
3.7. Пользоваться иными правами, установленными Трудовым кодексом РФ и другими законодательными актами РФ.
4. Ответственность и оценка деятельности
4.1. Специалист по защите информации несет административную, дисциплинарную и материальную (а в отдельных случаях, предусмотренных законодательством РФ, — и уголовную) ответственность за:
4.1.1. Невыполнение или ненадлежащее выполнение служебных указаний непосредственного руководителя.
4.1.2. Невыполнение или ненадлежащее выполнение своих трудовых функций и порученных ему задач.
4.1.3. Неправомерное использование предоставленных служебных полномочий, а также использование их в личных целях.
4.1.4. Недостоверную информацию о состоянии выполнения порученной ему работы.
4.1.5. Непринятие мер по пресечению выявленных нарушений правил техники безопасности, противопожарных и других правил, создающих угрозу деятельности предприятия и его работникам.
4.1.6. Не обеспечение соблюдения трудовой дисциплины.
4.2. Оценка работы специалиста по защите информации осуществляется:
4.2.1. Непосредственным руководителем — регулярно, в процессе повседневного осуществления работником своих трудовых функций.
4.2.2. Аттестационной комиссией предприятия — периодически, но не реже 1 раза в два года на основании документированных итогов работы за оценочный период.
4.3. Основным критерием оценки работы специалиста по защите информации является качество, полнота и своевременность выполнения им задач, предусмотренных настоящей инструкцией.
5. Условия работы
5.1. Режим работы специалиста по защите информации определяется в соответствии с правилами внутреннего трудового распорядка, установленными в Компании.
6. Право подписи
6.1. Специалисту по защите информации для обеспечения его деятельности предоставляется право подписи организационно-распорядительных документов по вопросам, отнесенным к его компетенции настоящей должностной инструкцией.
С инструкцией ознакомлен ___________/____________/ «____» _______ 20__ г.
На современных предприятиях система информационной безопасности может давать сбой и становиться уязвимой, что влечет большие финансовые потери. Профессия "специалист по защите информации" включает в круг должностных обязанностей ограничение доступа посторонних лиц и соблюдение других необходимых мер.
Должностные обязанности специалиста
На предприятиях прибегают к помощи технологий, позволяющих обеспечить безопасность информации. Для этого наиболее важные материалы шифруют. Причем паролем и ключом для доступа к ним обладает не системный администратор, а служба безопасности. Подразделения предприятия обмениваются сведениями по зашифрованным каналам. Информацию, находящуюся в почтовых системах или бизнес-приложениях, охраняют специальные системы, защищающие от утечек. Но кроме технических приемов, важен и
Выпускники вузов, получившие профессию "специалист по защите информации", порой неверно рассчитывают только на свои силы и полученные знания. На практике им приходиться заручаться поддержкой всех работников организации и изучать ресурсы порученной им информационной системы. Специалист обязан создавать модели предполагаемых угроз и предвидеть возможные утечки информации. Для этого он должен знать объективную стоимость коммерческой информации, характеристики локальной сети, компьютеров и подключенного оборудования. При этом специалист по защите информации обязан отслеживать состояние программного обеспечения, обновлений и операционных систем, установленных на служебных компьютерах. В сферу его интересов входит и подробное изучение должностных инструкций сотрудников организации, это нужно для оценки и выявления вероятного нарушителя.
Необходимо знать, что информация, как правило, должна быть подготовленной и обработанной, для того чтобы применить к ней экспертную оценку. С помощью листа согласования среди специалистов-экспертов распределяется ответственность за качество разрабатываемого документа. Очень полезными бывают совещания по отдельным вопросам при руководителе предприятия. Как правило, специалист по защите информации входит в различные комиссии, касающиеся защиты информации и персональных данных.
Важно, чтобы специалист, занятый защитой информации, координировал свои действия со службой безопасности. Эти две структуры неотделимы и дополняют друг друга. Ведь средства, используемые охраной предприятия - пропускной режим, сигнализация, видеонаблюдение - служат защите информации. Данные, которые находятся в системах безопасности, такие как база данных пропусков, записи видеонаблюдения, должны оберегаться от
С юристами инженер по защите информации общается столь же плотно, как и со специалистами по информационным технологиям. Они могут оказать неоценимую помощь в правовом освещении вопросов, подскажут, как понимать отдельные статьи законов.
Правовые основы вопроса
Специалисты, занимающиеся защитой информации в сфере бизнеса, опираются в своей работе на Федеральный закон, принятый в 1995 году. Изменения были внесены в 2003 году. В нем регламентированы основные отношения, которые возникают во время создания, хранения и распространения
Должностные обязанности специалиста, описанные в данном материале, позволяют сделать вывод, что защита информации - это совокупность действий по ее выявлению, сбору, экспертной оценке и обеспечению конфиденциальности, исключающей ее утечку.
Несмотря на высокую популярность профессии, обилие информационных ресурсов и материалов в открытом доступе рынок испытывает нехватку квалифицированных кадров, особенно связанных с практической информационной безопасностью.
В данной статье будет раскрыта тема востребованности специалистов по информационной безопасности, специфика требований и навыков.
Cтатистика
По статистике одного из HR-агенств, специалистам по информационной безопасности в конце 2015 г. предлагали в среднем на 21% больше, чем в январе 2015 г. Это указывает на то, что даже в условиях кризиса квалифицированные специалисты востребованы, более того, рынок ощущает их нехватку.Действительно, тема информационной безопасности стала как никогда актуальной - это и набирающие обороты (по уровню ущерба и частоте) атаки банковского сектора (SWIFT, корреспондентские счета), увеличивающееся количество таргетированных атак (Advanced Persistent Threat, APT) и т.д.
Даже те компании, штат которых укомплектован специалистами по информационной безопасности, нуждаются в квалифицированной оценке зрелости защитных систем, безопасности периметра, веб-приложений и иных элементов инфраструктуры - показательно всё увеличивающееся количество инициаторов BugBounty программ, причём сумма выплат колеблется от $100 до $20000 за уязвимость.
Вакансии
Исходя из данных, представленных на сайтах по размещению вакансий средний уровень заработной платы специалистов по информационной безопасности с опытом 1-3 года находится на уровне 40.000-70.000 рублей. Это относится к специалистам начальной группы (junior ), с малым опытом работы, по профессиональным требованиям и обязанностям это хорошо видно (здесь и далее представлены «усреднённые» показатели):Обязанности:
- Администрирование межсетевых экранов Cisco ASA и Kerio Connect;
- Администрирования сервера антивирусной защиты, мониторинг состояния клиентов, удаление вирусов, тонкая настройка защиты;
- Поиск уязвимостей с помощью специализированного ПО и их устранение;
- Мониторинг выхода обновлений для ОС, ПО и сетевого оборудования;
- Периодический анализ логов.
- Опыт администрирования ОС Windows от 1-го года;
- Базовые знания ОС Linux от 1-го года, уверенная работа в командной строке;
- Базовые знания работы сетей. IP адресация, статическая маршрутизация, модели ISO OSI, TCP;
- Опыт администрирования Active Directory: настройка групповых политик(GPO), управление правами пользователями;
- Опыт настройки систем защиты от НСД на базе Windows;
- Опыт настройки антивирусных систем;
- Опыт разработки сложных конфигураций межсетевого экрана IPTables;
- Умение настраивать Apache2, nginx, Auditd, MySQL, PostgreSQL, Rsyslog.
Специалисты с опытом 3-6 лет относятся уже к middle . Навыков и опыта требуется больше, но и уровень заработной платы гораздо выше. Эти специалисты, как правило, имеют хороший технический бэкграунд (системное администрирование, поиск узявимостей), хорошо знают приложения, техники и методологию. Этих специалистов условно можно разделить на два направления - нападение и защита. Универсалов на этом уровне (пентестер + специалист по обеспечению ИБ) - практически не бывает в природе (либо это уже уровень senior). Средняя вилка - 70.000-100.000 рублей.
Специалист по защите информации:
Обязанности:
- Настройка и управление подсистемами безопасности;
- Управление инцидентами безопасности;
- Настройка и управление коммутационным оборудованием;
- Написание скриптов оптимизации управления системами безопасности;
- Управление инфраструктурой предоставления доступов;
- Анализ логов-файлов и журналов событий;
- Участие в сопровождении IT-инфраструктуры Заказчика: обеспечение информационной безопасности и защиты персональных данных;
- Мониторинг и контроль функционирования средств обеспечения ИБ;
- Поддержка работоспособности, администрирование и обеспечение бесперебойной работы специальных средств защиты информации;
- Внесение изменений в настройки средств обеспечения безопасного межсетевого взаимодействия при обнаружении признаков атаки на ВС;
- Контроль нештатной активности внутренних пользователей ВС;
- Анализ инцидентов ИБ и их решение;
- Проведение аудитов, подготовка организационно-распорядительной документации и отчетов по ИБ.
- Высшее образование (ИТ, информационная безопасность);
- Знание принципов построения и функционирования сетей и протоколов стека TCP/IP;
- Знание модели ISO/OSI;
- Понимание принципов компьютерной и сетевой безопасности, безопасности web- приложений;
- Знание принципов работы средств обеспечения безопасности (корпоративные антивирусы,WAF, системы обнаружения вторжений и т.д.);
- Windows и Linux на уровне администратора;
- Опыт автоматизации (bash, perl, python);
- Опыт проведения анализа защищенности;
- Профессиональные знания используемого в инфраструктуре работодателя профильного ПО (от корпоративных антивирусов до DLP/IDS/IPS/SIEM и т.д).
Обязанности:
- Выполнение тестирования информационных сред и программных продуктов компании;
- Тестирование информационных систем на отказоустойчивость;
- Инструментальный анализ информационных систем;
- Выявление актуальных угроз по классификации OWASP TOP 10, выработка компенсирующих мер;
- Тестирование на проникновение;
- Анализ безопасности исходных кодов программных продуктов.
- Опыт работы по выявлению уязвимостей систем;
- Опыт работы с Burp Suite, Hydra;
- Опыт работы SQLMap, OpenVAS, Metasploit Framework, Fortify, AppScan;
- Опыт работы Acunetix, w3af, X-Spider, Max-Patrol, Nmap;
- Знание принципов построения и работы веб-приложений;
- Знание типовых угроз и уязвимостей веб-приложений, перечисленных в OWASP Top 10;
- Навыки ручного и автоматизированного тестирования безопасности веб-приложений;
- Опыт проведения тестирования на проникновение;
- Опыт проведения аудита систем ИТ и ИБ.
Cпециалисты с опытом работы от 5-6 лет - senior . Как правило это руководящая должность - начальник отдела анализа защищенности; начальник отдела управления информационной безопасности; аналитик; крупный сейл ИБ-вендора; узскопециализированный пентестер. Уровень заработной платы от 120.000 до 200.000 рублей.
Людей из этой категории довольно мало, и, как правило, они «на слуху» в отрасли. Это специалисты, хорошо разбирающиеся в предметной области, и, как правило, имеющие экспертную квалификацию в узкой специализации. Приветствуется опыт выступления на конференциях либо другая общественная активность - значит кандидат следит за трендами и получает своевременную оценку профессионального сообщества.
Из требований здесь встречаются следующие:
- Высшее ИБ/ИТ образование;
- Наличие сертификатов;
- Наличие публикаций и статей в предметной области;
- Опыт публичных выступлений;
- Знание основных методик, классификаций и международных практик (OSSTMM, OWASP, WASC, NIST SP800-115 и др.);
- Навыки выявления угроз ИБ на основе сведений об уязвимостях (классификация угроз, формирование рекомендаций по устранению уязвимостей и минимизации бизнес-рисков);
- Знание нормативной базы в части защиты информации: законов и иных нормативных правовых актов РФ, регулирующих отношения, связанные с защитой информации ограниченного доступа (не относящейся к гостайне), руководящих документов ФСТЭК, ФСБ, в том числе по защите банковской тайны, АСУ ТП, коммерческой тайны, знание СТО БР ИББС, PCI DSS, ISO 27xxx;
- Английский язык;
- Наличие лидерских качеств, умение добиваться поставленных целей, инициативность, активность, навыки самоорганизации, ответственность;
- Умение программировать на одном или нескольких скриптовых языках;
- Экспертные знания профильного ПО (IBM Qradar, Splunk Enterprise, Imperva DAM, Maxpatrol, Symantec Critical System Protection, Tuffin, Gigamon Networks и Cisco ASA. и т.д);
- Экспертные знания в узкоспециализированных системах: (например SCADA/ERP/SS7/Hardware);
- Опыт разработки собственных средств/утилит/методик;
- Опыт разработки технической и аналитической документации;
- Опыт проведения статистических исследований;
- Опыт расследования инцидентов безопасности, сбор доказательной базы, форензика;
- Опыт участия в крупных проектах по анализу защищенности или аудиту информационной безопасности.
Вершина пирамиды (lead ) - специалисты с опытом от 10 лет. К этой категории относятся CTO, CISO, системный архитектор, team lead. Уровень зарплаты от 200.000. Как правило, это известные люди в отрасли информационной безопасности, с обширным опытом и связями.
Требования/навыки: здесь обычно смотрят на выполненные проекты, направление деятельности. По навыкам могут запросить полный список с предыдущих позиций (а он обычно обширный к этому этапу), либо просто будет указан необходимый результат работы. В случае этих позиций смотрят уже не на знания, а на достижения.
Такие специалисты требуются крупным интеграторам, ИБ-вендорам, крупнейшим технологическим компаниям, финансовой сфере, в государственном секторе.
Подводя итоги
Защита информации для участников рынка становится одной из приоритетных задач. Обеспечить такую защиту только автоматизированными средствами, практически невозможно. Востребованность специалистов в сфере ИБ растет с той же скоростью, с которой развиваются и сами информационные технологии.Проблема образования и дальнейшего трудоустройства заключается в извечной проблеме «нет работы, потому что нет опыта, потому, что нет работы…» и читать эту фразу можно по кругу бесконечно. Общепризнанный факт, что диплом сам по себе не дает приоритета. К моменту выпуска бОльшая часть знаний уже не котируется.
Наиболее быстрый и удачный выход из ситуации – самообразование.
Техническая защита персональных данных и конфиденциальной информации Ведущий специалист по технической защите информации ЗАО «Калуга Астрал» Шкарпов Алексей Алексеевич
Цели защиты предотвращение утечки, хищения, утраты, искажения, подделки информации; предотвращение угроз безопасности личности, общества, государства; предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации; предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы, обеспечение правового режима документированной информации как объекта собственности; защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах; сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством; обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологий и средств их обеспечения.
Основные технические решения Основные аппаратно - программные средства защиты информации Средства межсетевого экранирования: ViPNet – программный комплекс для построения системы сетевой защиты корпоративных сетей на ОС Windows, Linux, Solaris. АПКШ «Континент» сертифицированный ФСБ и ФСТЭК России аппаратно-программный комплекс шифрования «Континент» является средством построения виртуальных частных сетей (VPN) на основе глобальных сетей общего пользования, использующих протоколы семейства TCP/IP.
Основные аппаратно - программные средства защиты информации Средства защиты информации от несанкционированного доступа: СЗИ от НСД Secret Net Secret Net является сертифицированным средством защиты информации от несанкционированного доступа и позволяет привести автоматизированные системы в соответствие требованиям регулирующих документов (98-ФЗ ("О коммерческой тайне"), 152-ФЗ ("О персональных данных"), ФЗ ("О государственной тайне"), СТО БР (Стандарт Банка России)). Электронный замок «Соболь» это аппаратно-программное средство защиты компьютера от несанкционированного доступа (аппаратно- программный модуль доверенной загрузки). Электронный замок «Соболь» может применяться как устройство, обеспечивающее защиту автономного компьютера, а также рабочей станции или сервера, входящих в состав локальной вычислительной сети.
Основные аппаратно - программные средства защиты информации СЗИ от НСД Страж NТ (версия 3.0) предназначена для комплексной и многофункциональной защиты информационных ресурсов от несанкционированного доступа при работе в многопользовательских автоматизированных системах (АС) и информационных системах персональных данных (ИСПДн). СЗИ от НСД Dallas Lock 7.7 предназначена для защиты информации от НСД на ПЭВМ в ЛВС, а также для разграничение полномочий пользователей по доступу к файловой системе и другим ресурсам компьютера. Разграничения касаются всех пользователей – локальных, сетевых, доменных, терминальных.
Основные аппаратно - программные средства защиты информации Средства антивирусной защиты информации: Security Studio Endpoint Protection обеспечивает защиту компьютера с применением межсетевого экрана, антивируса и средства обнаружения вторжений. Обеспечивает безопасную и комфортную работу с сетью Интернет, предотвращая любые попытки проникновения на компьютер вредоносного ПО и блокируя нежелательный трафик.. Kaspersky Work Space Security предлагает защиту рабочих станций, ноутбуков и смартфонов в мультиплатформенных корпоративных сетях. Кроме того, в Kaspersky Work Space Security входит Kaspersky Administration Kit единое решение для эффективного и удобного управления системой защиты всех узлов сети. Dr.Web Enterprise Security Suite – это комплекс продуктов Dr.Web, включающий элементы защиты всех узлов корпоративной сети и единый центр управления для большинства из них. Он предназначен для обеспечения информационной безопасности
Основные аппаратно - программные средства защиты информации Персональное средство аутентификации и хранения данных: eToken Персональное средство аутентификации и хранения данных, аппаратно поддерживающее работу с цифровыми сертификатами и электронной цифровой подписью. eToken поддерживает работу и интегрируется со всеми основными системами и приложениями, использующими технологии смарт-карт или PKI (Public Key Infrastructure). eToken может выступать в качестве единой корпоративной карты, служащей для визуальной идентификации сотрудника, для доступа в помещения, для входа в компьютер, в сеть, для доступа к защищенным данным, для защиты электронных документов (ЭЦП, шифрование), для установления защищенных соединений (VPN, SSL), для проведения финансовых транзакций
Инженерно-технические средства обеспечения информационной безопасности Под термином - инженерно-технические средства обеспечения информационной безопасности - далее понимаются инженерно-конструкторские решения и средства защиты информации, применение которых повышает эффективность защиты информации
Способы активной технической защиты: пространственное зашумление, создаваемое генераторами электромагнитных помех; прицельные помехи, генерируемые специальными передатчиками на рабочих частотах ЗУ; акустические и вибрационные помехи, создаваемые приборами виброакустической защиты; зашумление электросетей и телефонных линий, имеющих выход за пределы контролируемой зоны; использование устройств защиты речевой информации, циркулирующей в местах пребывания владельцев сотовых телефонов.
Пространственное зашумление, создаваемое генераторами электромагнитных помех. Под пространственным зашумлением понимается создание в месте расположения ТС электромагнитной помехи, которая ухудшает характеристики канала распространения радиоволн, в результате чего, прием опасного сигнала на границе КЗ объекта невозможен. Наибольшее распространение получили широкополосные генераторы шума (ГШ), создающие равномерную спектральную плотность шумов во всем рабочем диапазоне (обычно - 0, МГц). Примеры широкополосных генераторов шума: SEL SP-113 "Блокада" "Соната-РК2"
Акустические и вибрационные помехи, создаваемые приборами виброакустической защиты В таких случаях применяются системы активной защиты, включающие в себя генератор шума и комплект акустических и вибрационных (очень часто называемых "вибродатчиками") излучателей. Конечная цель развертывания таких систем - создать помеху в полосе частот опасного акустического или вибрационного сигнала, которая не позволяла бы потенциальному противнику осуществить его перехват. Примеры приборов виброакустической защиты: Система защиты помещений"SEL SP-55-4A"
Зашумление электросетей и телефонных линий, имеющих выход за пределы контролируемой зоны. Задача зашумления электросетей и различных линий в значительной степени сходна с задачей пространственного зашумления. Отличие состоит в том, что помеха, понижающая до необходимой величины отношение сигнал шум в месте возможного подключения аппаратуры перехвата, создается не в эфире, а в линии, где обнаружен опасный сигнал. Приборы, предназначенные для активной защиты сетей электропитания, представляют собой генератор шума, создающий в линии сети электропитания сигнал помехи Примеры приборов предназначенных для активной защиты сетей электропитания: «Соната-РС1» Устройство защиты цепей электросети и заземления SEL SP-44
Разработка методов и средств защиты информации является важной составной частью общегосударственного процесса построения системы защиты информации. Построение эффективно работающей системы защиты информации возможно только на основе сочетания правовых, технических и организационных мер. По данным некоторых зарубежных исследований, удельный вес каждого из перечисленных компонентов соответственно составляет: правовые методы - 60%; технические - 30%; организационные - 10%. Из приведенных данных следует, что технические методы занимают одно из важнейших положений по своей значимости. Поэтому технические обеспечение защиты информации рассматривается как приоритетное направление в политике обеспечения информационной безопасности Российской Федерации.
ЗАО «Калуга Астрал» г. Калуга, пер. Теренинский,6, тел. (4842) ,
"Кадровик. Кадровый менеджмент (управление персоналом)", 2012, N 12
ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ СЛУЖБОЙ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Больше года прошло с момента принятия радикальных поправок в Закон о персональных данных летом 2011 г. За это время вышел ряд разъясняющих приказов и постановлений различных ведомств, государственные и частные организации имели возможность разобраться в тонкостях регламентирующих документов и накопить практический опыт по организации защиты персональных данных. В статье освещается опыт этой работы в сфере информационных технологий.
Часть 1 ст. 24 Конституции РФ запрещает "сбор, хранение, использование и распространение информации о частной жизни лица без его согласия". Очевидно, что Ф. И.О., паспортные данные, номера полисов (ОМС, ОСАГО, Пенсионного фонда) и телефонов, адрес проживания и прочая подобная информация являются неотъемлемой частью частной жизни и подлежат защите от несанкционированного распространения. Однако в условиях современных реалий никого не удивляет возможность приобретения баз данных ГИБДД, МВД, других государственных учреждений и силовых ведомств, а также частных компаний, например сотовых операторов или интернет-магазинов. Тем не менее принятие Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (ред. от 25.07.2011; далее - Закон N 152-ФЗ) было обусловлено в первую очередь стремлением законодателей и Правительства РФ устранить барьеры в сотрудничестве на различных уровнях со странами Европейского союза, Директива 95/46/ЕС которого запрещает передачу персональных данных (ПД) в страны с недостаточным уровнем их защиты.
Персональные данные, являясь по своей сути информацией, подпадают под действие такого вида деятельности, как информационная безопасность (ИБ), или защита информации. Подразделения ИБ организаций призваны обеспечить сохранность и защиту от несанкционированного доступа конфиденциальной информации (в том числе в электронном виде), которая составляет коммерческую или иную тайну. С этой целью службой ИБ проводится ряд организационных и инженерно-технологических мероприятий, например: определение политики ИБ предприятия; уточнение должностных инструкций имеющих доступ к конфиденциальной информации сотрудников организации; регламентация процессов обработки информации; установка и поддержка специальных аппаратных и программных комплексов.
Закон N 152-ФЗ рассматривает обработку ПД лишь в электронном виде, поэтому далее в статье будем рассматривать вопросы защиты ПД в свете информационных технологий (ИТ). Вообще же тема информационной безопасности достаточно сложная и с технологической, и с организационной точки зрения. Процессы обеспечения защиты информации освещаются в серии международных стандартов ИСО/ МЭК 27000 (ISO/IEC 2007), в частности в ИСО/МЭК 27001:2005 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования" и в соответствующем ему российском стандарте ГОСТ Р ИСО/МЭК 27001-2006 .
Итак, целью ИБ является обеспечение конфиденциальности, целостности и доступности информации. Процессы ИБ при применении информационных технологий используют среди прочего следующие технологические инструменты:
Средства защиты от несанкционированного доступа к данным;
Межсетевые экраны;
Системы обнаружения и предотвращения вторжений;
Средства защиты от вредоносного программного обеспечения;
Шифровальные средства;
Средства защиты от утечки информации по техническим каналам.
Требования к специалистам по информационной безопасности
Вопросами ИБ призваны заниматься специалисты по информационной безопасности. Общероссийский классификатор специальностей по образованию (ОКСО) содержит отдельную группу - "090000 Информационная безопасность". В эту группу входят следующие специальности, каждая из которых предполагает высшее специальное образование:
- "090101 Криптография";
- "090102 Компьютерная безопасность";
- "090103 Организация и технология защиты информации";
- "090104 Комплексная защита объектов информатизации";
- "090105 Комплексное обеспечение информационной безопасности автоматизированных систем";
- "090106 Информационная безопасность телекоммуникационных систем";
- "090107 Противодействие техническим разведкам".
Единый квалификационный справочник должностей руководителей, специалистов и служащих содержит особый раздел "Квалификационные характеристики должностей руководителей и специалистов по обеспечению безопасности информации в ключевых системах информационной инфраструктуры, противодействию техническим разведкам и технической защите информации" . В этом разделе представлены должностные обязанности, требования к знаниям и квалификации для следующих специалистов:
Должности руководителей:
главный специалист по технической защите информации;
начальник отдела (лаборатории, сектора) по противодействию техническим разведкам;
начальник отдела (лаборатории, сектора) по технической защите информации;
Должности специалистов:
специалист по обеспечению безопасности информации в ключевых системах информационной инфраструктуры;
специалист по противодействию техническим разведкам;
специалист по технической защите информации;
администратор по обеспечению безопасности информации;
инженер по технической защите информации;
инженер-программист по технической защите информации;
техник по технической защите информации.
Еще одним документом, содержащим различные требования к специалисту по ИБ, является профессиональный стандарт "Специалист информационной безопасности", разработанный АП КИТ . Стандарт содержит пять квалификационных уровней, каждый из которых содержит обобщенное описание трудовой деятельности, требования к образованию, опыту работы, а также перечень выполняемых действий вместе с необходимыми знаниями и навыками. Такая связанная тройка "действия - знания - навыки" называется единицей профстандарта. Так, 3-й (по отраслевой рамке квалификаций, 6-й - по национальной) квалификационный уровень состоит из следующих единиц:
1. Организация установки и настройки оборудования технических и программно-аппаратных систем защиты информации.
2. Обновление программного обеспечения аппаратно-программных комплексов защиты информации.
3. Поддержание работоспособности технических и информации.
4. Управление системой защиты информации организации (подразделения, отдела, предприятия).
5. Организация оповещения о критических (чрезвычайных) событиях защиты информации.
6. Организация обслуживания сложного оборудования систем и средств защиты информации.
7. Обеспечение приема, монтажа и проведения испытаний технических и программно-аппаратных систем и средств защиты информации.
8. Участие в разработке регламентов и инструкций по защите информации в организации (подразделении, отделе, предприятии).
9. Обеспечение организационно-методической базы для реализации политик и регламентов защиты информации.
10. Аудит защиты информации в организации и ее структурных подразделениях.
11. Разработка предложений по совершенствованию системы защиты информации.
12. Организация и контроль ведения технической и отчетной документации.
Приведем для примера состав 7-й единицы в таблице.
Единица 6С_СИБ_7. Обеспечение приема, монтажа и проведения
испытаний технических и программно-аппаратных систем
и средств защиты информации
|
Основные трудовые |
Организация приема и учета, монтажа технических и |
|
Необходимые |
Структура, состав и порядок монтажа технических и |
|
Необходимые |
Коммуникабельность в общении с поставщиками и |
Также в профстандарте указано особое условие допуска к работе - наличие допуска при работе со сведениями, составляющими государственную тайну (в случаях, определенных в Инструкции по обеспечению режима секретности в Российской Федерации, утв. Постановлением Правительства РФ от 05.01.2004 N 3-1, и других руководящих документах). Секретность - одно из отличительных свойств работы сотрудников службы ИБ. Часто специалистам по ИБ приходится получать специальные допуски, проходить сертификацию, а в трудовом договоре всегда оговаривается обязанность сотрудника хранить в тайне сведения, доступ к которым он получил в ходе выполнения должностных обязанностей, в том числе и после прекращения трудовых отношений. Поэтому специалисты службы ИБ во многих организациях получают надбавку "за секретность".
Распределение прав и обязанностей
Однако не секрет, что далеко не каждая организация может себе позволить содержать штат специалистов по информационной безопасности. Поэтому функции по защите информации распределяются между другими специалистами в сфере ИТ: системными администраторами, администраторами баз данных, программистами, системными аналитиками, специалистами техподдержки. Так, в частности, системные администраторы и администраторы баз данных ответственны за разграничение прав в управляемых ими информационных системах. Системные администраторы также выполняют установку антивирусов, межсетевых экранов и других специальных программ, проводят настройку безопасности компьютеров пользователей и серверов. Программисты реализуют в своих приложениях алгоритмы шифрования и защиты данных. Системные аналитики могут осуществлять поверхностный аудит безопасности информационных систем и готовить соответствующие отчеты. Специалисты техподдержки осуществляют помимо прочего выдачу привилегий пользователям для эксплуатации прикладного программного обеспечения в соответствии с принятым в организации регламентом, включающим в себе корпоративную политику информационной безопасности.
Хотя защита ПД является частным случаем информационной безопасности в целом, Закон N 152-ФЗ оговаривает ряд специфических особенностей и регламентирует некоторые организационные мероприятия. Так, не подлежат обязательной защите обезличенные или общедоступные (например, выставленные в социальных сетях) данные. А срок хранения ПД ограничивается достижением цели их обработки, после чего эти данные должны быть уничтожены или обезличены. Собственно, о целях обработки ПД перед ее началом их субъект должен быть предварительно уведомлен и дать свое согласие (в письменном или электронном виде). Также он должен иметь возможность беспрепятственно ознакомиться с политикой предприятия или ведомства по защите ПД.
К организационным мерам относится обязательное назначение ответственного за организацию обработки ПД. Как правило, им назначается начальник службы ИБ или, если таковой на предприятии нет, службы ИТ. Ответственный дополняет политику информационной безопасности организационно-распорядительной документацией, в частности определяет процедуры обработки ПД, а также составляет перечни собственно необходимых предприятию ПД, информационных систем, содержащих ПД, потенциальных угроз их сохранности и сотрудников, имеющих доступ к ПД посредством информационных систем. В должностные инструкции таких работников должны быть внесены обязательства по соблюдению установленного порядка обработки ПД и его прекращения после расторжения трудового контракта.
Обучение операторов информационных систем - сотрудников, непосредственно осуществляющих обработку ПД, - является очень важным мероприятием в процессе организации защиты информации в целом и ПД в частности, т. к. такие специалисты, как правило, не имеют специальной подготовки в области ИБ, но им приходится взаимодействовать с зачастую весьма сложными аппаратно-программными комплексами. И именно операторы осуществляют львиную долю манипуляций с ПД. До них необходимо довести те положения регламентов, процедур, приказов, инструкций по ИБ, которые затрагивают их трудовые функции.
С момента принятия Закона N 152-ФЗ в 2006 г. он дорабатывался и уточнялся с помощью внесения поправок, а также приказов и постановлений Правительства РФ, ФСБ, ФСТЭК, Минкомсвязи и Роскомнадзора. И этот процесс, надо полагать, еще не завершен. Но в целом положения Закона вместе с подзаконодательными актами укладываются в общемировую практику по осуществлению защиты информации.
Библиографический список
1. ГОСТ Р ИСО/МЭК 27001-2006 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования". Введен в действие 01.02.2008. М.: Стандартинформ, 2008. 26 с.
2. Общероссийский классификатор специальностей по образованию (ОКСО): ОК 009-2003. Введен в действие 01.01.2004. НИИ ВО Минобрнауки России.
3. Единый квалификационный справочник должностей руководителей, специалистов и служащих, раздел "Квалификационные характеристики должностей руководителей и специалистов по обеспечению безопасности информации в ключевых системах информационной инфраструктуры, противодействию техническим разведкам и технической защите информации". Утв. Приказом Минздравсоцразвития России от 22.04.2009 N 205 // Бюллетень трудового и социального законодательства Российской Федерации. 2009. N 5.
4. Профессиональные стандарты в области ИТ/АП КИТ. [Электронный ресурс] URL: apkit. ru/committees/education/meetings/standarts. php. (Дата обращения: 13.10.2012).
И. Рухляда
руководитель
группы веб-разработки
ООО "Прософт-Трейдинг"
Подписано в печать
Резервное копирование и восстановление драйверов Windows
Как на «Билайне» перейти на другой тариф: все способы
Смартфоны Meizu Очень приятная Flyme
Как быстро узнать баланс на всех устройствах с сим картой мегафон
Бесплатные программы для Windows скачать бесплатно