Информация – одна из основных ценностей организации, требующая защиты и контроля ее использования. Чем дальше идет развитие информационных технологий, тем больше информации переносится на электронные носители, а бумажные варианты хранения данных становятся все менее актуальны. Создаваемые базы данных, программное обеспечение, документация предприятия должны быть надежно защищены как от несанкционированного использования, так и от распространения за пределы предприятия.
Для выполнения этой задачи организации принимают в штат специалистов, обладающих умениями обеспечивать такую защиту и создавать условия для использования информации работниками предприятия в рамках создаваемых правил.
О документе
Должность специалиста по защите информации в разных организациях понимается по-своему.
- В одних компаниях в функции этих сотрудников включаются обязанности, связанные с защитой любых видов информации. Как правило, такие специалисты входят в структуру отделов экономической безопасности.
- На других предприятиях специалист по защите информации работает исключительно с электронными информационными системами, и в этом случае такие работники чаще всего включаются в состав IT-департаментов и подчиняются начальникам IT-отделов или IT-директорам.
Цели и задачи разработки

Нормативные акты
Разработка должностной инструкции данного специалиста может регулироваться не только внешними регламентами, определяющими требования для защиты информации на уровне всего государства.
- С сентября 2016г. введен в действие профессиональный стандарт для должности «Специалист по защите информации в автоматизированных системах», который может стать основной для разработки ДИ.
- Основным внутренним документом, на основании которого может начинаться разработка инструкции, может стать концепция предприятия по безопасности, в которой отражаются все основные требования к защите информации организации.
- Также для разработки могут использоваться внутренние регламенты по защите персональных данных работников, правила использования персоналом организации информационных средств и баз данных, регламенты по разграничению прав доступа и прочая внутренняя регламентирующая документация, в которой отражаются требования к защите информации предприятия.
- Ценную информацию для разработки ДИ содержат формализованные бизнес-процессы по функциональным областям, в которых задействован специалист.
Виды ДИ
Должностная инструкция может разрабатываться в форме типовой ДИ, распространяющейся на должности специалистов по защите информации, имеющихся в структуре организаций, входящих в группу компаний. Такая форма может быть использована только в том случае, если требования к должностям, функции, права и ответственность полностью идентичны в этих компаниях.
На сегодняшний момент в компаниях используются как стандартные ДИ, так и иные варианты документов, позволяющие зафиксировать функции должности, обязанности сотрудника, его права и ответственность. К числу таких форм может быть отнесено заключение договора, в котором в краткой форме излагаются обязанности сотрудника, а к договору создается отдельное приложение с развернутой информацией, необходимой для стандартизации требований к сотруднику. Еще одна форма, используемая в организациях для стандартизации требований к сотрудникам, — профиль или стандарт должности.
Кто составляет

- Работники отделов персонала отвечают за определение формы документа, применение требований профессионального стандарта при разработке ДИ, организацию процесса разработки.
- Непосредственный руководитель определяет описание разделов, связанных с требованиями, предъявляемыми к работникам, состав должностных обязанностей.
- Юрисконсульт проводит проверку документа на соответствие внутренним требованиям, отражение всех юридических аспектов функционирования должности в организации: порядок назначения на должность и увольнения, права и ответственность работника.
Окончательную версию, как правило, формируют специалисты отделов по управлению персоналом и организовывают процедуру согласования и утверждения документа директором предприятия.
Где используется
Инструкция используется практически во всех процессах управления персоналом:
- при найме новых сотрудников и определении требований к соискателям на должность;
- для определения ключевых компетенций, которые должны быть оценены как на этапе отбора кандидатов, так и для текущей оценки персонала организации;
- в ходе проведения адаптационных программ;
- при разрешении трудовых конфликтов и разногласий, возникающих между работником и работодателем.
Положения должностной инструкции специалиста и инженера по защите информации
Положения должностной инструкции специалиста по защите информации должны содержать всю информацию о должности, включая ее место в общей структуре, требования должности к сотруднику, развернутую информацию об обязанностях, его права и ответственность за достижение требуемых результатов.
Общие

- В данном разделе инструкции определяется подчиненность специалиста, описывается организационная структура подразделения.
- Важной информацией, указываемой в этой части ДИ, являются требования к наличию образования, опыту работы и наличию стажа.
- В соответствии с проф. стандартом, работник должен иметь высшее образование и степень бакалавра в области информационной безопасности. Опыт работы не требуется, если сотрудник не выполняет ряд обязанностей, информацию о которых можно найти в тексте стандарта. Если же его функционал является достаточно широким, то может потребоваться опыт работы не менее одного года.
- В части дополнительного образования стандарт рекомендует сотруднику прохождение курсов повышения квалификации в области информационной безопасности.
- В части доступа сотрудника к работе с информацией, при необходимости и определенном профиле предприятия он должен обладать допуском к государственной тайне.
Обязательное выполнение этих требований необходимо в том случае, если организация обязана оценивать уровень квалификации своих сотрудников на соответствие проф. стандарту.
Цели должности
Целью должности специалиста по защите информации является обеспечение защиты информации от внешних и внутренних угроз, применение современных средств защиты.
К основным задачам специалиста относятся:
- Определение рисков и угроз в области защиты информации.
- Разработка мер защиты.
- Внедрение систем защиты.
- Контроль состояния системы защиты информации и предотвращение нарушений в ее работе.
- Разработка регламентирующей документации в области защиты информации.
Требования к знаниям и навыкам

- требования государственной законодательной базы в области защиты информации;
- правила построения систем защиты информации;
- критерии, по которым оценивается уровень информационной защиты;
- программно-аппаратные средства, обеспечивающие требуемый уровень защиты информации;
- каналы «утечки» информации;
- внутренние регламенты по своей функциональной области деятельности.
К наиболее востребованным навыкам специалиста относятся:
- умение своевременно выявлять инциденты, связанные с нарушением защиты информации;
- выбирать правильные способы реагирования на возникающие инциденты;
- определять и классифицировать риски в области информационной защиты;
- распределять права доступа пользователей и контролировать выполнение требований компании пользователями при работе с информацией;
- проводить установку специализированного программного обеспечения;
- выявлять уязвимые места в системе защиты информации и своевременно их устранять.
Должностные обязанности
В состав обязанностей, выполняемых специалистом по защите информации, входит несколько функциональных областей, которые должны быть расписаны достаточно подробно. При описании должностных обязанностей необходимо систематизировать информацию, объединяя ее в блоки по функциональным направлениям работы сотрудника.
- Проведение аудита системы защиты информации: выявление узких мест, факторов риска, подготовка предложений по увеличению эффективности системы.
- Проведение мониторинга и диагностики работы систем информационной защиты: выявление нарушений, их идентификация, подготовка предложений по нейтрализации выявленных нарушений и предотвращения их повторного возникновения.
- Администрирование работы систем защиты информации: установка программного обеспечения, распределение прав доступа для пользователей, контроль работоспособности систем, исправление сбоев в работе систем, реагирование на возникновение нештатных ситуаций в работе систем защиты, настройка и выполнение резервного копирования информации, определение правил хранения резервных копий, организация мест хранения и правил доступа в хранилище данных.
- Оценка эффективности работы систем по защите информации.
- Разработка регламентирующей документации по защите информации, доведение до сотрудников правил и требований по работе с информацией, контроль выполнения правил, выявление нарушений персоналом требований по работе с информацией, инициация внутренних расследований по выявленным нарушениям.
- Выбор новых средств информационной защиты, тестирование, внедрение систем, контроль их работы, оценка эффективности защиты.
Взаимодействие
Специалист по защите информации работает в любым сотрудником организации, использующим в своей работе программные средства и имеющим доступ к документации и информации предприятия.
Во взаимодействие могут быть включены задачи, которые работник решает ежедневно, общаясь с сотрудниками организации:
- распределение прав доступа к информационным системам компании;
- установка специализированного программного обеспечения на компьютеры пользователей;
- выявление нарушений в работе с информацией, допускаемых сотрудниками организации;
- расследование инцидентов;
- внедрение правил работы с информацией, доведение до сотрудников требований регламентов по защите информации.
О должносте спеца по защите информации расскажет видео ниже:
Права и ответственность
Специалист по защите информации отвечает за:
- сохранность информации предприятия;
- эффективность выстроенной защиты;
- своевременное выявление нарушений в системе;
- качественное устранение нарушений и разработку мер, предупреждающих повторение подобных нарушений.
Права, предоставляемые сотруднику, должны обеспечивать для него возможности:
- взаимодействовать с любым сотрудником по рабочим вопросам и требовать от них соблюдения требований по информационной безопасности;
- иметь доступ к первым лицам предприятия и информировать их о выявленных нарушениях в работе систем защиты и невыполнении сотрудниками правил по защите информации;
- инициировать внедрение новых систем защиты.
Скачать ДИ инженера по защите информации можно здесь, а специалиста — тут.
Должностная инструкция инженера по защите информации (образец)
ДИ специалиста по защите информации (пример)















