Как правильно составить должностную инструкцию специалиста и инженера по защите информации

Как правильно составить должностную инструкцию специалиста и инженера по защите информации

Информация – одна из основных ценностей организации, требующая защиты и контроля ее использования. Чем дальше идет развитие информационных технологий, тем больше информации переносится на электронные носители, а бумажные варианты хранения данных становятся все менее актуальны. Создаваемые базы данных, программное обеспечение, документация предприятия должны быть надежно защищены как от несанкционированного использования, так и от распространения за пределы предприятия.

Для выполнения этой задачи организации принимают в штат специалистов, обладающих умениями обеспечивать такую защиту и создавать условия для использования информации работниками предприятия в рамках создаваемых правил.


О документе

Должность специалиста по защите информации в разных организациях понимается по-своему.

  • В одних компаниях в функции этих сотрудников включаются обязанности, связанные с защитой любых видов информации. Как правило, такие специалисты входят в структуру отделов экономической безопасности.
  • На других предприятиях специалист по защите информации работает исключительно с электронными информационными системами, и в этом случае такие работники чаще всего включаются в состав IT-департаментов и подчиняются начальникам IT-отделов или IT-директорам.

Цели и задачи разработки

Поскольку должностная инструкция не является документом, обязательным для разработки в организации, она может иметь такую форму, какая удобна работодателю. Но какой бы формат не был выбран, он должен решать основную задачу – определить требования должности к сотруднику и сформировать конкретный перечень обязанностей, которые он будет выполнять на своем рабочем месте.

Нормативные акты

Разработка должностной инструкции данного специалиста может регулироваться не только внешними регламентами, определяющими требования для защиты информации на уровне всего государства.

  • С сентября 2016г. введен в действие профессиональный стандарт для должности «Специалист по защите информации в автоматизированных системах», который может стать основной для разработки ДИ.
  • Основным внутренним документом, на основании которого может начинаться разработка инструкции, может стать концепция предприятия по безопасности, в которой отражаются все основные требования к защите информации организации.
  • Также для разработки могут использоваться внутренние регламенты по защите персональных данных работников, правила использования персоналом организации информационных средств и баз данных, регламенты по разграничению прав доступа и прочая внутренняя регламентирующая документация, в которой отражаются требования к защите информации предприятия.
  • Ценную информацию для разработки ДИ содержат формализованные бизнес-процессы по функциональным областям, в которых задействован специалист.

Виды ДИ

Должностная инструкция может разрабатываться в форме типовой ДИ, распространяющейся на должности специалистов по защите информации, имеющихся в структуре организаций, входящих в группу компаний. Такая форма может быть использована только в том случае, если требования к должностям, функции, права и ответственность полностью идентичны в этих компаниях.

На сегодняшний момент в компаниях используются как стандартные ДИ, так и иные варианты документов, позволяющие зафиксировать функции должности, обязанности сотрудника, его права и ответственность. К числу таких форм может быть отнесено заключение договора, в котором в краткой форме излагаются обязанности сотрудника, а к договору создается отдельное приложение с развернутой информацией, необходимой для стандартизации требований к сотруднику. Еще одна форма, используемая в организациях для стандартизации требований к сотрудникам, — профиль или стандарт должности.

Кто составляет

Обязанности по составлению ДИ в разных компаниях возлагаются на разных сотрудников. Чаще всего разработка выполняется несколькими работниками. В такую рабочую группу входит непосредственный руководитель специалиста по защите информации, гендиректор, его зам или советник, а также помощники, сотрудник отдела персонала или кадровой службы, юрисконсульт организации. Иногда участвует и бухгалтерия.

  • Работники отделов персонала отвечают за определение формы документа, применение требований профессионального стандарта при разработке ДИ, организацию процесса разработки.
  • Непосредственный руководитель определяет описание разделов, связанных с требованиями, предъявляемыми к работникам, состав должностных обязанностей.
  • Юрисконсульт проводит проверку документа на соответствие внутренним требованиям, отражение всех юридических аспектов функционирования должности в организации: порядок назначения на должность и увольнения, права и ответственность работника.

Окончательную версию, как правило, формируют специалисты отделов по управлению персоналом и организовывают процедуру согласования и утверждения документа директором предприятия.

Где используется

Инструкция используется практически во всех процессах управления персоналом:

  • при найме новых сотрудников и определении требований к соискателям на должность;
  • для определения ключевых компетенций, которые должны быть оценены как на этапе отбора кандидатов, так и для текущей оценки персонала организации;
  • в ходе проведения адаптационных программ;
  • при разрешении трудовых конфликтов и разногласий, возникающих между работником и работодателем.

Положения должностной инструкции специалиста и инженера по защите информации

Положения должностной инструкции специалиста по защите информации должны содержать всю информацию о должности, включая ее место в общей структуре, требования должности к сотруднику, развернутую информацию об обязанностях, его права и ответственность за достижение требуемых результатов.

Общие

В общие положения вносится информация о названии должности. В соответствии с профессиональным стандартом для специалиста по защите информации предусмотрено две категории: I и II. Однако если предприятие в соответствии с законодательством не обязано в обязательном порядке применять требования стандарта, то категории сотрудникам могут не присваиваться.

  • В данном разделе инструкции определяется подчиненность специалиста, описывается организационная структура подразделения.
  • Важной информацией, указываемой в этой части ДИ, являются требования к наличию образования, опыту работы и наличию стажа.
  • В соответствии с проф. стандартом, работник должен иметь высшее образование и степень бакалавра в области информационной безопасности. Опыт работы не требуется, если сотрудник не выполняет ряд обязанностей, информацию о которых можно найти в тексте стандарта. Если же его функционал является достаточно широким, то может потребоваться опыт работы не менее одного года.
  • В части дополнительного образования стандарт рекомендует сотруднику прохождение курсов повышения квалификации в области информационной безопасности.
  • В части доступа сотрудника к работе с информацией, при необходимости и определенном профиле предприятия он должен обладать допуском к государственной тайне.

Обязательное выполнение этих требований необходимо в том случае, если организация обязана оценивать уровень квалификации своих сотрудников на соответствие проф. стандарту.

Цели должности

Целью должности специалиста по защите информации является обеспечение защиты информации от внешних и внутренних угроз, применение современных средств защиты.

К основным задачам специалиста относятся:

  1. Определение рисков и угроз в области защиты информации.
  2. Разработка мер защиты.
  3. Внедрение систем защиты.
  4. Контроль состояния системы защиты информации и предотвращение нарушений в ее работе.
  5. Разработка регламентирующей документации в области защиты информации.

Требования к знаниям и навыкам

Специалист по защите информации должен иметь обширные знания:

  • требования государственной законодательной базы в области защиты информации;
  • правила построения систем защиты информации;
  • критерии, по которым оценивается уровень информационной защиты;
  • программно-аппаратные средства, обеспечивающие требуемый уровень защиты информации;
  • каналы «утечки» информации;
  • внутренние регламенты по своей функциональной области деятельности.

К наиболее востребованным навыкам специалиста относятся:

  • умение своевременно выявлять инциденты, связанные с нарушением защиты информации;
  • выбирать правильные способы реагирования на возникающие инциденты;
  • определять и классифицировать риски в области информационной защиты;
  • распределять права доступа пользователей и контролировать выполнение требований компании пользователями при работе с информацией;
  • проводить установку специализированного программного обеспечения;
  • выявлять уязвимые места в системе защиты информации и своевременно их устранять.

Должностные обязанности

В состав обязанностей, выполняемых специалистом по защите информации, входит несколько функциональных областей, которые должны быть расписаны достаточно подробно. При описании должностных обязанностей необходимо систематизировать информацию, объединяя ее в блоки по функциональным направлениям работы сотрудника.

  1. Проведение аудита системы защиты информации: выявление узких мест, факторов риска, подготовка предложений по увеличению эффективности системы.
  2. Проведение мониторинга и диагностики работы систем информационной защиты: выявление нарушений, их идентификация, подготовка предложений по нейтрализации выявленных нарушений и предотвращения их повторного возникновения.
  3. Администрирование работы систем защиты информации: установка программного обеспечения, распределение прав доступа для пользователей, контроль работоспособности систем, исправление сбоев в работе систем, реагирование на возникновение нештатных ситуаций в работе систем защиты, настройка и выполнение резервного копирования информации, определение правил хранения резервных копий, организация мест хранения и правил доступа в хранилище данных.
  4. Оценка эффективности работы систем по защите информации.
  5. Разработка регламентирующей документации по защите информации, доведение до сотрудников правил и требований по работе с информацией, контроль выполнения правил, выявление нарушений персоналом требований по работе с информацией, инициация внутренних расследований по выявленным нарушениям.
  6. Выбор новых средств информационной защиты, тестирование, внедрение систем, контроль их работы, оценка эффективности защиты.

Взаимодействие

Специалист по защите информации работает в любым сотрудником организации, использующим в своей работе программные средства и имеющим доступ к документации и информации предприятия.

Во взаимодействие могут быть включены задачи, которые работник решает ежедневно, общаясь с сотрудниками организации:

  • распределение прав доступа к информационным системам компании;
  • установка специализированного программного обеспечения на компьютеры пользователей;
  • выявление нарушений в работе с информацией, допускаемых сотрудниками организации;
  • расследование инцидентов;
  • внедрение правил работы с информацией, доведение до сотрудников требований регламентов по защите информации.

О должносте спеца по защите информации расскажет видео ниже:

Права и ответственность

Специалист по защите информации отвечает за:

  • сохранность информации предприятия;
  • эффективность выстроенной защиты;
  • своевременное выявление нарушений в системе;
  • качественное устранение нарушений и разработку мер, предупреждающих повторение подобных нарушений.

Права, предоставляемые сотруднику, должны обеспечивать для него возможности:

  • взаимодействовать с любым сотрудником по рабочим вопросам и требовать от них соблюдения требований по информационной безопасности;
  • иметь доступ к первым лицам предприятия и информировать их о выявленных нарушениях в работе систем защиты и невыполнении сотрудниками правил по защите информации;
  • инициировать внедрение новых систем защиты.

Скачать ДИ инженера по защите информации можно здесь, а специалиста — тут.

Должностная инструкция инженера по защите информации (образец)

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *