Kỹ năng và yêu cầu đối với chuyên viên an toàn thông tin. Chuyên gia bảo mật thông tin

Kỹ thuật bảo vệ dữ liệu cá nhân và thông tin bí mật Shkarpov Aleksey Alekseevich, Chuyên gia hàng đầu về Bảo mật Thông tin Kỹ thuật tại CJSC Kaluga Astral

Mục tiêu bảo vệ ngăn ngừa rò rỉ, trộm cắp, mất mát, bóp méo, sai lệch thông tin; phòng ngừa các mối đe dọa đối với an ninh của cá nhân, xã hội, nhà nước; phòng chống các hành động phá hoại, sửa đổi, bóp méo, sao chép, chặn thông tin trái phép; phòng chống các hình thức can thiệp trái pháp luật khác vào tài nguyên thông tin và hệ thống thông tin, bảo đảm chế độ pháp lý của thông tin dạng văn bản với tư cách là đối tượng tài sản; bảo vệ các quyền hiến định của công dân để duy trì bí mật cá nhân và bảo mật dữ liệu cá nhân có sẵn trong hệ thông thông tinỒ; giữ bí mật nhà nước, giữ bí mật thông tin dạng văn bản theo quy định của pháp luật; bảo đảm quyền của các chủ thể trong các quá trình thông tin và trong việc phát triển, sản xuất và ứng dụng hệ thống thông tin, công nghệ và các phương tiện hỗ trợ họ.

Chủ yếu giải pháp kỹ thuật Phần cứng cơ bản - phần mềm bảo vệ thông tin Tường lửa: ViPNet - gói phần mềmđể xây dựng một hệ thống bảo vệ mạng mạng công ty trên Windows, Linux, Solaris. APKSH "Lục địa" được FSB chứng nhận và FSTEC của Nga Tổ hợp phần cứng-phần mềm mã hóa Continent là một công cụ để xây dựng các mạng riêng ảo (VPN) dựa trên các mạng công cộng toàn cầu sử dụng các giao thức thuộc họ TCP / IP.

Bảo vệ thông tin phần cứng và phần mềm cơ bản Các phương tiện bảo vệ thông tin khỏi truy cập trái phép: IPS từ NSD Secret Net Secret Net là một phương tiện được chứng nhận để bảo vệ thông tin khỏi truy cập trái phép và cho phép bạn đưa các hệ thống tự động tuân thủ các yêu cầu của tài liệu quy định (98-FZ ("Về Bí mật Thương mại"), 152-FZ ("Về Dữ liệu Cá nhân"), FZ ("Về Bí mật Nhà nước"), STO BR (Tiêu chuẩn của Ngân hàng Trung ương Nga)). Khóa điện tử"Sobol" là một công cụ phần cứng và phần mềm để bảo vệ máy tính khỏi bị truy cập trái phép ( phần cứng và phần mềm mô-đun khởi động tin cậy). Khóa điện tử "Sobol" có thể được sử dụng như một thiết bị cung cấp sự bảo vệ máy tính ngoại tuyến, cũng như máy trạm hoặc các máy chủ là một phần của mạng cục bộ.

Phương tiện phần cứng và phần mềm chính để bảo vệ thông tin của cơ sở bảo mật thông tin từ NSD Strazh NT (phiên bản 3.0) được thiết kế để bảo vệ đa chức năng và phức tạp tài nguyên thông tin khỏi bị truy cập trái phép khi làm việc trong hệ thống tự động nhiều người dùng (AS) và hệ thống thông tin dữ liệu cá nhân (ISPD). IPS từ NSD Dallas Lock 7.7 được thiết kế để bảo vệ thông tin khỏi NSD trên PC trong mạng LAN, cũng như phân định quyền truy cập của người dùng vào hệ thống tệp và các tài nguyên máy tính khác. Sự khác biệt áp dụng cho tất cả người dùng - cục bộ, mạng, miền, thiết bị đầu cuối.

Các công cụ bảo vệ thông tin phần cứng và phần mềm cơ bản bảo vệ chống vi-rút Thông tin: Security Studio Endpoint Protection cung cấp khả năng bảo vệ máy tính bằng cách sử dụng bức tường lửa, chống vi-rút và công cụ phát hiện xâm nhập. Cung cấp sự an toàn và làm việc thoải mái với Internet, ngăn chặn mọi nỗ lực xâm nhập vào máy tính của bạn bằng phần mềm độc hại và chặn lưu lượng truy cập không mong muốn .. Kaspersky Work an ninh không gian cung cấp khả năng bảo vệ cho các máy trạm, máy tính xách tay và điện thoại thông minh trong các mạng công ty đa nền tảng. Ngoài ra, Kaspersky Work Space Security bao gồm Bộ quản trị Kaspersky giải pháp duy nhất cho hiệu quả và kiểm soát thuận tiện hệ thống bảo vệ cho tất cả các nút mạng. Dr.Web Enterprise Security Suite là một bộ sản phẩm Dr.Web bao gồm các yếu tố bảo vệ cho tất cả các máy chủ Mạng lưới công ty và trung tâm duy nhấtđiều khiển cho hầu hết chúng. Nó được thiết kế để cung cấp bảo mật thông tin

Phương tiện phần cứng và phần mềm chính để bảo vệ thông tin Phương tiện xác thực và lưu trữ dữ liệu cá nhân: eToken Phương tiện cá nhân xác thực và lưu trữ dữ liệu mà phần cứng hỗ trợ chứng chỉ số và điện tử chữ ký số. eToken hỗ trợ và tích hợp với tất cả các hệ thống và ứng dụng chính sử dụng công nghệ thẻ thông minh hoặc PKI (Cơ sở hạ tầng khóa công khai). eToken có thể hoạt động như một thẻ công ty duy nhất dùng để nhận dạng trực quan nhân viên, truy cập cơ sở, vào máy tính, vào mạng, truy cập dữ liệu được bảo vệ, để bảo vệ tài liệu điện tử(EDS, mã hóa), để thiết lập các kết nối an toàn (VPN, SSL), để thực hiện các giao dịch tài chính

Kỹ thuật phương tiện kỹ thuậtđảm bảo an toàn thông tin Thuật ngữ - kỹ thuật và phương tiện kỹ thuật để đảm bảo an toàn thông tin - được hiểu sâu hơn là các giải pháp kỹ thuật và thiết kế và các phương tiện bảo vệ thông tin, việc sử dụng chúng làm tăng hiệu quả của bảo vệ thông tin

Các phương pháp bảo vệ kỹ thuật tích cực: nhiễu không gian do máy phát nhiễu điện từ tạo ra; nhiễu có chủ đích do các máy phát đặc biệt tạo ra ở các tần số hoạt động của bộ sạc; nhiễu âm thanh và rung động, được tạo bởi các thiết bị bảo vệ âm thanh; tiếng ồn điện và Đường dây điện thoại có lối ra ngoài vùng được kiểm soát; sử dụng các thiết bị bảo vệ thông tin bài phát biểu, lưu thông ở các nơi lưu trú của các chủ sở hữu điện thoại di động.

Nhiễu không gian do máy phát nhiễu điện từ tạo ra. Nhiễu không gian được hiểu là sự tạo ra nhiễu điện từ tại vị trí của phương tiện, làm suy giảm các đặc tính của kênh truyền sóng vô tuyến, do đó không thể nhận được tín hiệu nguy hiểm tại ranh giới của điểm ngắn mạch của sự vật. Phổ biến nhất là máy phát nhiễu băng thông rộng (GS) tạo ra mật độ phổ nhiễu đồng nhất trên toàn bộ dải hoạt động (thường là 0, MHz). Ví dụ về máy phát nhiễu băng thông rộng: SEL SP-113 "Blockade" "Sonata-RK2"

Nhiễu âm thanh và rung động được tạo ra bởi các thiết bị bảo vệ rung âm Trong những trường hợp như vậy, các hệ thống được sử dụng bảo vệ tích cực, bao gồm một bộ tạo tiếng ồn và một bộ phát ra âm thanh và rung động (thường được gọi là "cảm biến rung"). Mục tiêu cuối cùng của việc triển khai các hệ thống như vậy là tạo ra sự giao thoa trong dải tần của tín hiệu âm thanh hoặc rung động nguy hiểm có thể ngăn chặn kẻ thù tiềm năng chặn nó. Ví dụ về các thiết bị chống rung: Hệ thống bảo vệ mặt bằng "SEL SP-55-4A"

Tiếng ồn từ lưới điện và đường dây điện thoại ngoài khu vực được kiểm soát. Vấn đề nhiễu mạng điện và các đường dây khác nhau phần lớn tương tự như vấn đề nhiễu không gian. Sự khác biệt là nhiễu, làm giảm tỷ lệ tín hiệu trên nhiễu xuống giá trị yêu cầu kết nối có thể thiết bị đánh chặn được tạo ra không phải trên không, mà trên đường dây nơi phát hiện ra tín hiệu nguy hiểm. Các thiết bị được thiết kế để bảo vệ tích cực mạng cung cấp điện là một máy phát nhiễu tạo ra tín hiệu nhiễu trong đường dây điện.

Việc phát triển các phương pháp và phương tiện bảo vệ thông tin là quan trọng một phần không thể thiếu quy trình xây dựng hệ thống an toàn thông tin trên phạm vi toàn quốc. Việc xây dựng một hệ thống an toàn thông tin hiệu quả chỉ có thể thực hiện được trên cơ sở kết hợp các biện pháp pháp lý, kỹ thuật và tổ chức. Theo một số nghiên cứu nước ngoài, tỷ trọng của từng thành phần được liệt kê tương ứng là: phương pháp pháp lý - 60%; kỹ thuật - 30%; tổ chức - 10%. Từ dữ liệu đã cho, nó theo sau rằng phương pháp kỹ thuật chiếm một trong những vị trí quan trọng nhất về tầm quan trọng của chúng. Cho nên hỗ trợ kỹ thuật bảo mật thông tin được coi là sự ưu tiên trong chính sách bảo mật thông tin của Liên bang Nga.

CJSC "Kaluga Astral" Kaluga, mỗi. Tereninsky, 6 tuổi, điện thoại viên. (4842),

Mặc dù nghề này có tính phổ biến cao, nhưng sự phong phú của các nguồn thông tin và tài liệu trong mở quyền truy cập thị trường đang thiếu hụt nhân lực có trình độ, đặc biệt là những nhân lực liên quan đến an toàn thông tin thực tiễn.

Bài viết này sẽ đề cập đến chủ đề về nhu cầu đối với chuyên gia an toàn thông tin, các chi tiết cụ thể về yêu cầu và kỹ năng.

Số liệu thống kê

Thật vậy, chủ đề an toàn thông tin trở nên phù hợp hơn bao giờ hết - đó là các cuộc tấn công vào lĩnh vực ngân hàng (SWIFT, tài khoản đại lý) đang trên đà (về mức độ thiệt hại và tần suất), số lượng các cuộc tấn công có chủ đích ngày càng tăng (Nâng cao Mối đe dọa liên tục, APT), v.v.

Ngay cả những công ty có nhân viên với các chuyên gia bảo mật thông tin cũng cần được đánh giá mức độ trưởng thành đủ điều kiện. hệ thống bảo vệ, bảo mật vành đai, ứng dụng web và các yếu tố cơ sở hạ tầng khác - số lượng người khởi xướng các chương trình BugBounty ngày càng tăng là dấu hiệu cho thấy và số tiền thanh toán dao động từ $ 100 đến $ 20.000 cho mỗi lỗ hổng.

Việc làm

Nhiệm vụ:

• Quản trị tường lửa Cisco ASA và Kerio Connect;
• Quản lý máy chủ bảo vệ chống vi-rút, giám sát trạng thái của máy khách, loại bỏ vi-rút, tinh chỉnh sự bảo vệ;
• Tìm kiếm các lỗ hổng bằng phần mềm chuyên dụng và loại bỏ chúng;
• Giám sát việc phát hành các bản cập nhật cho hệ điều hành, phần mềm và thiết bị mạng;
• Phân tích nhật ký định kỳ.

• Có ít nhất 1 năm kinh nghiệm quản trị HĐH Windows;
• Có kiến ​​thức cơ bản về HĐH Linux từ năm thứ 1, tự tin làm việc trên các dòng lệnh;
• Kiến thức cơ bản về mạng. Địa chỉ IP, định tuyến tĩnh, ISO OSI, các mô hình TCP;
• Kinh nghiệm quản trị Thư mục hoạt động: thiết lập chính sách nhóm (GPO), quản lý quyền người dùng;
• Có kinh nghiệm cấu hình hệ thống chống UAS dựa trên Windows;
• Có kinh nghiệm cấu hình hệ thống chống vi rút;
• Có kinh nghiệm phát triển các cấu hình tường lửa IPTables phức tạp;
• Khả năng cấu hình Apache2, nginx, Auditd, MySQL, PostgreSQL, Rsyslog.

Các bác sĩ chuyên khoa có từ 3-6 năm kinh nghiệm đã tên đệm. Yêu cầu nhiều kỹ năng và kinh nghiệm hơn nhưng mức lương cao hơn rất nhiều. Theo quy định, những chuyên gia này có nền tảng kỹ thuật tốt (quản trị hệ thống, tìm lỗ hổng), kiến ​​thức tốt về các ứng dụng, kỹ thuật và phương pháp luận. Các chuyên gia này có thể được chia thành hai khu vực - tấn công và phòng thủ. Thực tế không có nhà tổng quát nào ở cấp độ này (pentester + chuyên gia bảo mật thông tin) về bản chất (hoặc đây đã là cấp độ cao cấp). Ngã ba trung bình là 70.000-100.000 rúp.

Chuyên gia bảo vệ thông tin:

Nhiệm vụ:

• Thiết lập và quản lý hệ thống con bảo mật;
• Quản lý sự cố an ninh;
• Thiết lập và quản lý thiết bị đóng cắt;
• Viết kịch bản để tối ưu hóa quản lý hệ thống bảo mật;
• Quản lý cơ sở hạ tầng truy cập;
• Phân tích tệp nhật ký và nhật ký sự kiện;
• Tham gia bảo trì cơ sở hạ tầng CNTT của Khách hàng: đảm bảo an toàn thông tin và bảo vệ dữ liệu cá nhân;
• Giám sát và kiểm soát hoạt động của các công cụ an toàn thông tin;
• Hỗ trợ sức khỏe, quản lý và cung cấp hoạt động không bị gián đoạn phương tiện đặc biệt bảo vệ thông tin;
• Thực hiện thay đổi cài đặt của các phương tiện để đảm bảo kết nối liên lạc an toàn khi phát hiện dấu hiệu máy bay bị tấn công;
• Kiểm soát hoạt động bất thường của người sử dụng bên trong tàu bay;
• Phân tích các sự cố an toàn thông tin và giải pháp của chúng;
• Thực hiện đánh giá, chuẩn bị tài liệu tổ chức và quản trị và các báo cáo an toàn thông tin.

• Giáo dục đại học (CNTT, an toàn thông tin);
• Kiến thức về các nguyên tắc xây dựng và hoạt động của mạng và giao thức của ngăn xếp TCP / IP;
• Kiến thức về mô hình ISO / OSI;
• Hiểu biết về máy tính và an ninh mạng, bảo mật ứng dụng web;
• Kiến thức về nguyên lý hoạt động của các công cụ bảo mật (phần mềm diệt vi rút của công ty, WAF, hệ thống phát hiện xâm nhập, v.v.);
• Windows và Linux ở cấp quản trị viên;
• Trải nghiệm tự động hóa (bash, perl, python);
• Có kinh nghiệm phân tích bảo mật;
• Kiến thức chuyên môn về phần mềm chuyên dụng được sử dụng trong cơ sở hạ tầng của nhà tuyển dụng (từ phần mềm chống vi rút của công ty đến DLP / IDS / IPS / SIEM, v.v.).

Nhiệm vụ:

• Thực hiện kiểm tra môi trường thông tin và sản phẩm phần mềm các công ty;
• Thử nghiệm hệ thống thông tin về khả năng chịu lỗi;
• Công cụ phân tích hệ thống thông tin;
• Xác định các mối đe dọa thực tế theo phân loại TOP 10 của OWASP, xây dựng các biện pháp đền bù;
• Kiểm tra thâm nhập;
• Phân tích bảo mật mã nguồn của sản phẩm phần mềm.

• Có kinh nghiệm xác định lỗ hổng hệ thống;
• Trải nghiệm với Burp Suite, Hydra;
• Có kinh nghiệm với SQLMap, OpenVAS, Metasploit Framework, Fortify, AppScan;
• Trải nghiệm với Acunetix, w3af, X-Spider, Max-Patrol, Nmap;
• Kiến thức về nguyên lý xây dựng và vận hành ứng dụng web;
• Kiến thức về các mối đe dọa và lỗ hổng ứng dụng web điển hình được liệt kê trong Top 10 OWASP;
• kỹ năng thủ công và kiểm tra tự động bảo mật ứng dụng web;
• Có kinh nghiệm kiểm tra thâm nhập;
• Có kinh nghiệm kiểm toán hệ thống CNTT và IS.

Chuyên gia với 5-6 năm kinh nghiệm người lớn tuổi. Theo quy định, đây là vị trí quản lý - trưởng bộ phận phân tích an ninh; Cục trưởng Cục An toàn thông tin; chuyên viên phân tích; một cuộc mua bán lớn của một nhà cung cấp bảo mật thông tin; pentester chuyên biệt cao. Mức lương từ 120.000 đến 200.000 rúp.

Có khá nhiều người trong danh mục này, và như một quy luật, họ là "tiếng vang" trong ngành. Họ là những chuyên gia rất thành thạo trong môn học, và theo quy định, có trình độ chuyên gia trong một chuyên ngành hẹp. Kinh nghiệm phát biểu tại các hội nghị hoặc hoạt động xã hội khác được hoan nghênh - điều đó có nghĩa là ứng viên tuân theo các xu hướng và nhận được đánh giá kịp thời của cộng đồng nghề nghiệp.

Các yêu cầu ở đây là:

• Giáo dục CNTT / An toàn thông tin cao hơn;
• Sự sẵn có của các chứng chỉ;
• Sự sẵn có của các ấn phẩm và bài báo trong lĩnh vực chủ đề;
• Kinh nghiệm nói trước đám đông;
• Kiến thức về các phương pháp chính, phân loại và thông lệ quốc tế (OSSTMM, OWASP, WASC, NIST SP800-115, v.v.);
• Kỹ năng xác định các mối đe dọa an toàn thông tin dựa trên thông tin về các lỗ hổng (phân loại các mối đe dọa, đưa ra các khuyến nghị để loại bỏ các lỗ hổng và giảm thiểu rủi ro kinh doanh);
• Kiến thức về khung pháp lý về bảo vệ thông tin: luật pháp và các hành vi pháp lý điều chỉnh khác của Liên bang Nga điều chỉnh các mối quan hệ liên quan đến bảo vệ thông tin truy cập hạn chế(không liên quan đến bí mật nhà nước), các văn bản hướng dẫn của FSTEC, FSB, bao gồm bảo vệ bí mật ngân hàng, hệ thống kiểm soát quy trình tự động, bí mật thương mại, kiến ​​thức về STO BR IBBS, PCI DSS, ISO 27xxx;
• Ngôn ngữ tiếng anh;
• khả dụng phẩm chất lãnh đạo khả năng đạt được mục tiêu, sáng kiến, hoạt động, kỹ năng tự tổ chức, trách nhiệm;
• Khả năng lập trình bằng một hoặc nhiều ngôn ngữ kịch bản;
• Kiến thức chuyên môn về phần mềm chuyên dụng (IBM Qradar, Splunk Enterprise, Imperva DAM, Maxpatrol, Symantec Critical System Protection, Tuffin, Gigamon Networks và Cisco ASA, v.v.);
• Kiến thức chuyên môn về các hệ thống chuyên môn cao: (ví dụ: SCADA / ERP / SS7 / Phần cứng);
• Có kinh nghiệm phát triển các công cụ / tiện ích / phương pháp riêng;
• Có kinh nghiệm xây dựng tài liệu kỹ thuật và phân tích;
• Có kinh nghiệm thực hiện nghiên cứu thống kê;
• Có kinh nghiệm điều tra các sự cố an ninh, thu thập chứng cứ, pháp y;
• Kinh nghiệm tham gia trong dự án chính phân tích bảo mật hoặc kiểm toán an toàn thông tin.

Đỉnh của kim tự tháp ( chỉ huy) là những chuyên gia với hơn 10 năm kinh nghiệm. Hạng mục này bao gồm CTO, CISO, kiến ​​trúc sư hệ thống, trưởng nhóm. Mức lương từ 200.000. Như một quy luật, điều này người nổi tiếng trong ngành an toàn thông tin, với nhiều kinh nghiệm và kết nối.

Yêu cầu / kỹ năng: ở đây họ thường xem xét các dự án đã hoàn thành, dòng công việc. Kỹ năng có thể được yêu cầu danh sách đầy đủ từ các vị trí trước đây (và nó thường là rộng rãi ở giai đoạn này), hoặc kết quả yêu cầu của công việc sẽ được chỉ ra một cách đơn giản. Trong trường hợp của những vị trí này, họ không còn nhìn vào kiến ​​thức, mà nhìn vào thành tích.

Các chuyên gia như vậy được yêu cầu bởi các nhà tích hợp lớn, các nhà cung cấp bảo mật thông tin, các công ty công nghệ lớn nhất, khu vực tài chính và khu vực công.

Tổng hợp

Vấn đề giáo dục và việc làm thêm nằm ở vấn đề thời đại “không có việc làm, vì không có kinh nghiệm, vì không có việc làm…” và cụm từ này có thể được đọc trong vòng không ngừng. Một thực tế được chấp nhận chung là bản thân bằng tốt nghiệp không được ưu tiên. Theo thời gian phát hành hầu hết kiến thức không còn được coi trọng.

Cách nhanh nhất và thành công nhất để thoát khỏi tình trạng này là tự giáo dục bản thân.

CHẤP THUẬN:

[Chức danh]

_______________________________

_______________________________

[Tên công ty]

_______________________________

_______________________/[HỌ VÀ TÊN.]/

"______" _______________ 20___

MÔ TẢ CÔNG VIỆC

Chuyên gia bảo mật thông tin

1. Quy định chung

1.1. Bản mô tả công việc này xác định và quy định quyền hạn, chức năng và nhiệm vụ công việc, quyền và trách nhiệm của chuyên viên an toàn thông tin [Tên tổ chức trong trường hợp tiêu cực] (sau đây gọi là Công ty).

1.2. Chuyên viên an toàn thông tin được bổ nhiệm và miễn nhiệm theo thủ tục do pháp luật lao động hiện hành quy định theo lệnh của người đứng đầu Công ty.

1.3. Chuyên viên an toàn thông tin thuộc ngạch chuyên viên và cấp dưới [tên chức vụ của cấp dưới trong vụ việc].

1.4. Chuyên gia An toàn Thông tin báo cáo trực tiếp với [chức danh giám sát trực tiếp trong trường hợp cụ thể] của Công ty.

1.5. Một người có trình độ chuyên môn phù hợp được bổ nhiệm vào vị trí của một chuyên gia an toàn thông tin:

Chuyên gia an toàn thông tin hạng 1: trình độ chuyên môn (kỹ thuật) cao hơn và có ít nhất 3 năm kinh nghiệm làm chuyên viên an toàn thông tin hạng II.

Chuyên gia an toàn thông tin hạng II: trình độ chuyên môn (kỹ thuật) cao hơn và kinh nghiệm làm việc với tư cách là chuyên gia bảo mật thông tin hoặc các vị trí khác do các chuyên gia có trình độ cao hơn đảm nhiệm giáo dục nghề nghiệp, không ít hơn 3 năm.

Chuyên gia bảo vệ thông tin: giáo dục chuyên môn (kỹ thuật) cao hơn mà không cần trình bày yêu cầu về kinh nghiệm làm việc.

1.6. Chuyên gia An toàn Thông tin chịu trách nhiệm:

• thực hiện hiệu quả công việc được giao phó;
• tuân thủ các yêu cầu về hiệu suất, lao động và kỷ luật công nghệ;
• sự an toàn của các tài liệu (thông tin) mà anh ta đang lưu giữ (anh ta được biết đến), có chứa (các thành phần) bí mật thương mại Các công ty.

1.7. Chuyên gia An toàn Thông tin nên biết:

• các hành vi lập pháp, tài liệu quy định và phương pháp luận về các vấn đề liên quan đến việc đảm bảo bảo vệ thông tin;
• chuyên môn hóa của thể chế, tổ chức và các tính năng của các hoạt động của họ;
• công nghệ sản xuất trong ngành;
• thiết bị của các trung tâm tin học với các phương tiện kỹ thuật, triển vọng phát triển và hiện đại hóa của chúng;
• hệ thống tổ chức bảo vệ thông tin phức hợp, hoạt động trong ngành;
• phương pháp và phương tiện kiểm soát thông tin được bảo vệ, xác định kênh rò rỉ thông tin, tổ chức tình báo kỹ thuật;
• phương pháp lập kế hoạch và tổ chức công tác bảo vệ thông tin, bảo đảm bí mật nhà nước;
• các phương tiện kỹ thuật để kiểm soát và bảo vệ thông tin, triển vọng và hướng cải tiến chúng;
• các phương pháp thực hiện các nghiên cứu và kiểm tra đặc biệt, các hoạt động nhằm bảo vệ các phương tiện kỹ thuật truyền, xử lý, hiển thị và lưu trữ thông tin;
• quy trình sử dụng các ấn phẩm tóm tắt và tài liệu tham khảo, cũng như các nguồn thông tin khoa học và kỹ thuật khác;
• thành tựu của khoa học và công nghệ trong nước và nước ngoài về lĩnh vực trí tuệ kỹ thuật và bảo vệ thông tin;
• phương pháp và phương tiện thực hiện tính toán và công việc tính toán;
• cơ bản về kinh tế, tổ chức sản xuất, lao động và quản lý;
• các nguyên tắc cơ bản của pháp luật lao động;
• nội quy, quy chế bảo hộ lao động.

1.8. Chuyên gia bảo mật thông tin trong công việc của mình được hướng dẫn bởi:

• các hành vi địa phương và các văn bản tổ chức, hành chính của Công ty;
• nội quy lao động;
• nội quy bảo hộ, an toàn lao động, đảm bảo vệ sinh công nghiệp và phòng cháy chữa cháy;
• chỉ thị, mệnh lệnh, quyết định và chỉ thị của người giám sát trực tiếp;
• mô tả công việc này.

1.9. Trong thời gian chuyên viên bảo vệ thông tin tạm thời vắng mặt, nhiệm vụ của anh ta được giao cho [chức vụ phó].

2. Trách nhiệm công việc

Chuyên gia an toàn thông tin được yêu cầu thực hiện các chức năng lao động sau:

2.1. Thực hiện các công việc phức tạp liên quan đến bảo đảm bảo vệ toàn diện thông tin theo chương trình và phương pháp đã xây dựng, bảo đảm bí mật nhà nước.

2.2. Thu thập và phân tích tài liệu từ các cơ quan, tổ chức và doanh nghiệp trong ngành để xây dựng và đưa ra các quyết định và biện pháp đảm bảo bảo vệ thông tin và sử dụng hiệu quả quỹ điều khiển tự động, phát hiện các kênh khả thi rò rỉ thông tin đại diện cho bí mật nhà nước, quân sự, chính thức và thương mại.

2.3. Phân tích các phương pháp hiện có và các phương tiện được sử dụng để kiểm soát và bảo vệ thông tin, đồng thời phát triển các đề xuất cải tiến và tăng hiệu quả của biện pháp bảo vệ này.

2.4. Tham gia kiểm tra đối tượng bảo hộ, xác nhận và phân loại đối tượng.

2.5. Xây dựng và chuẩn bị để phê duyệt dự thảo quy chuẩn và tài liệu giảng dạy quản lý công việc về bảo vệ thông tin, cũng như các quy định, hướng dẫn và các văn bản tổ chức và hành chính khác.

2.6. Tổ chức xây dựng và đệ trình kịp thời các đề xuất để đưa vào các bộ phận có liên quan các kế hoạch, chương trình công tác dài hạn và hiện tại về các biện pháp kiểm soát và bảo vệ thông tin.

2.7. Đưa ra phản hồi và ý kiến ​​về các dự án cho các tòa nhà và công trình xây dựng mới và tái thiết và các phát triển khác về các vấn đề bảo mật thông tin.

2.8. Tham gia đánh giá điều khoản tham chiếuđể thực hiện các dự án dự thảo, kỹ thuật và dự án làm việc, đảm bảo tuân thủ các văn bản quy định và phương pháp luận hiện hành, cũng như trong quá trình phát triển các dự án mới sơ đồ mạch điện thiết bị điều khiển, công cụ tự động hóa điều khiển, mô hình và hệ thống bảo vệ thông tin, đánh giá trình độ kinh tế kỹ thuật và hiệu quả của các giải pháp tổ chức, kỹ thuật đã đề xuất và thực hiện.

2.9. Xác định nhu cầu về các phương tiện kỹ thuật để bảo vệ và kiểm soát, đưa ra các ứng dụng cho việc mua hàng của họ với các lý do và tính toán cần thiết cho chúng, kiểm soát việc cung cấp và sử dụng chúng.

2.10. Tiến hành xác minh việc tuân thủ các yêu cầu của liên ngành và lĩnh vực văn bản quy phạm về bảo vệ thông tin.

Trong trường hợp cần thiết chính thức, một chuyên gia bảo mật thông tin có thể tham gia vào việc thực hiện nhiệm vụ chính thức làm thêm giờ, theo cách thức được quy định bởi các quy định của luật lao động liên bang.

3. Quyền

Chuyên gia bảo mật thông tin có quyền:

3.1. Đưa ra các hướng dẫn cho nhân viên và dịch vụ cấp dưới, các nhiệm vụ về một loạt các vấn đề nằm trong nhiệm vụ chức năng của anh ta.

3.2. Kiểm soát việc hoàn thành nhiệm vụ sản xuất, việc thực hiện kịp thời các đơn đặt hàng và nhiệm vụ cá nhân của các dịch vụ cấp dưới.

3.3. Yêu cầu và nhận vật liệu cần thiết và các tài liệu liên quan đến hoạt động của một chuyên gia an toàn thông tin, các bộ phận và dịch vụ cấp dưới của anh ta.

3.4. Tương tác với các doanh nghiệp, tổ chức và cơ quan khác về sản xuất và các vấn đề khác liên quan đến năng lực của một chuyên gia an toàn thông tin.

3.5. Ký và xác nhận các tài liệu trong thẩm quyền của họ.

3.6. Trình Thủ trưởng Công ty xem xét việc bổ nhiệm, điều động, miễn nhiệm người lao động của các đơn vị trực thuộc; đề xuất cho việc thăng chức của họ hoặc để áp dụng các hình phạt đối với họ.

3.7. Được hưởng các quyền khác do Bộ luật Lao động của Liên bang Nga và các đạo luật khác của Liên bang Nga quy định.

4. Đánh giá trách nhiệm và hiệu suất

4.1. Một chuyên gia bảo mật thông tin chịu trách nhiệm hành chính, kỷ luật và vật chất (và trong một số trường hợp được quy định bởi luật pháp Liên bang Nga, cả trách nhiệm hình sự) đối với:

4.1.1. Không thực hiện hoặc thực hiện không đúng các hướng dẫn chính thức của người giám sát trực tiếp.

4.1.2. Không thực hiện hoặc thực hiện không đúng chức năng lao động, nhiệm vụ được giao.

4.1.3. Sử dụng bất hợp pháp các quyền hạn chính thức được cấp, cũng như sử dụng chúng cho các mục đích cá nhân.

4.1.4. Thông tin không chính xác về tình trạng công việc được giao phó.

4.1.5. Không thực hiện các biện pháp ngăn chặn các hành vi vi phạm quy định về an toàn, phòng cháy và chữa cháy và các quy tắc khác có nguy cơ đe dọa đến hoạt động của doanh nghiệp và người lao động.

4.1.6. Không thi hành kỷ luật lao động.

4.2. Việc đánh giá công việc của một chuyên gia an toàn thông tin được thực hiện:

4.2.1. Người giám sát trực tiếp - thường xuyên, trong quá trình nhân viên thực hiện các chức năng lao động của mình hàng ngày.

4.2.2. Ủy ban Chứng nhận của doanh nghiệp - định kỳ, nhưng ít nhất hai năm một lần dựa trên kết quả công việc được lập thành văn bản cho giai đoạn đánh giá.

4.3. Tiêu chí chính để đánh giá công việc của một chuyên gia an toàn thông tin là chất lượng, tính đầy đủ và kịp thời khi anh ta thực hiện các nhiệm vụ được cung cấp bởi hướng dẫn này.

5. Điều kiện làm việc

5.1. Lịch làm việc của Chuyên viên an toàn thông tin được xác định theo Nội quy lao động do Công ty ban hành.

6. Quyền ký

6.1. Để đảm bảo các hoạt động của mình, một chuyên gia an toàn thông tin được cấp quyền ký các văn bản tổ chức và hành chính về các vấn đề thuộc thẩm quyền của anh ta theo mô tả công việc này.

Làm quen với hướng dẫn ___________ / ____________ / "____" _______ 20__

Thị trường hiện tại cho các chuyên gia bảo mật thông tin là rất nhỏ. chuyên gia giỏi thực sự khó tìm. Thông thường, vị trí này được giao cho một người đã từng làm việc trong lĩnh vực an ninh nói chung trong quá khứ hoặc có trình độ học vấn liên quan. Hãy chỉ nói rằng các nhà tuyển dụng hiện đại hoặc, theo ít nhất, hầu hết họ không hiểu chuyên gia bảo mật thông tin phải là gì. Theo nghĩa hiện tại, đây là một nhà quản trị hệ thống có năng lực. Nhưng không phải người quản trị hệ thống nào cũng có thể được gọi là chuyên gia bảo mật thông tin! Quản trị mạng, cập nhật phần mềm chống vi-rút và nạp lại hộp mực - đây chỉ là một phần nhỏ trong toàn bộ các cơ hội mà một trường đại học dành cho một chuyên gia về ZI. Mật mã, quản lý tài liệu, phương tiện kỹ thuật bảo vệ đối tượng, bảo vệ tổ chức thông tin, quy trình thông tin v hệ thống máy tính và hơn thế nữa - chỉ một chuyên gia bảo mật thông tin mới biết và có thể làm tất cả những điều này.

Vào năm thứ hai tại trường đại học, tôi thật may mắn - tôi nhận được một công việc tại một nhà máy. Thành thật mà nói, tôi không hối tiếc chút nào vì tôi đã làm việc tại doanh nghiệp này trong sáu năm. Lương, tất nhiên, là ít, nhưng tôi đã có rất nhiều kinh nghiệm. Nhà máy là trường tốt. Tổ chức cơ quan mật làm việc, phòng ban thứ nhất, các máy trạm được bảo vệ, tài liệu đánh dấu chữ “C”, tiêu hủy tài liệu, thiết bị đặc chủng… Nhưng điều quan trọng nhất là công việc đúng chuyên môn. Tôi tốt nghiệp chuyên ngành "Tổ chức và công nghệ an toàn thông tin" (OiTZI). Và vì vậy anh ấy làm việc tại nhà máy, ở bộ phận số 3, bộ phận phụ trách kỹ thuật bảo vệ thông tin. Sau đó, cơ quan chứng thực của chúng tôi xuất hiện, nơi một cái gì đó thú vị đã được thêm vào. Nói chung, tôi nhắc lại - tôi đã may mắn.

Vào năm 2010, trường đại học của chúng tôi đã phát hành một nhóm khác trong chuyên ngành OiTZI. Và, dường như, chỉ có một số hoạt động theo hồ sơ. Các công việc khác không tìm được. Những sinh viên tốt nghiệp trong nhóm đại học của tôi không phải không gặp khó khăn, nhưng vẫn tìm được việc làm. Hầu hết các chàng trai của chúng tôi đều làm việc trong chuyên môn của họ, và họ không phàn nàn. Nhưng những người tốt nghiệp năm 2010 thì sao?

Tôi coi tùy chọn làm việc không theo hồ sơ là mới nhất, trừ khi, tất nhiên, bạn cần bằng tốt nghiệp chỉ để trưng bày. Nếu không, tại sao cần phải giết năm năm làm việc chăm chỉ?

Một lựa chọn khác là chuyển đến một thành phố lớn hơn. Tôi đã thử mình ở Moscow. Có hai cuộc phỏng vấn. Và cả hai lần họ đều sẵn sàng thuê tôi. Tôi muốn nói rằng có công việc! Nếu chúng ta tính đến Luật Liên bang-152 "Về Dữ liệu Cá nhân", thì công việc là rất lớn! Trên thực tế, mọi chuyên gia bảo mật thông tin đều có thể được sắp xếp!

Nhưng ở đây nảy sinh một vấn đề khác. Tôi được biết: “Có kinh nghiệm mới nói được dễ. Được chấp nhận với kinh nghiệm. Nhưng nếu không có nơi nào để lấy kinh nghiệm thì sao? Thật vậy, làm thế nào để sinh viên tốt nghiệp có thể hồ sơ này rút kinh nghiệm? Hóa ra tình huống cũng giống như với các ngân hàng: nhân viên có kinh nghiệm là bắt buộc, nhưng không có kinh nghiệm trong một ngân hàng, không một ngân hàng nào sẽ thuê bạn. Vì vậy, nó tạo ra một vòng luẩn quẩn: ngân hàng không có nhân viên có kinh nghiệm và nhân viên không có kinh nghiệm cần thiết. Vì vậy, có thể đáng để chấp nhận rủi ro và thuê một người không có kinh nghiệm?

Hãy xem xét tình hình chi tiết hơn. Có một tổ chức ở đây. Bây giờ phần lớn vấn đề là đảm bảo tính bảo mật của dữ liệu cá nhân (PD). Vâng, nếu chỉ là nhân viên của họ. Và nếu cơ sở dữ liệu được xử lý, trong đó PD của các đối tượng không phải là nhân viên của bạn bị treo? Trong trường hợp này, có nhiều vấn đề hơn.

Nhưng mọi thứ được giải quyết khá đơn giản. Ngưỡng bảo vệ dữ liệu cá nhân mới - ngày 1 tháng 7 năm 2011. Đây là thời khắc. Do đó, chúng tôi chạy đến công ty kiểm tra bảo mật thông tin gần nhất và sau khi trả rất nhiều tiền, chúng tôi nhận được hệ thống sẵn sàng bảo vệ (tổ chức và pháp lý) từ 3-6 tháng (với điều kiện tổ chức nhỏ).

Có một nhân viên toàn thời gian sẽ làm công việc tương tự không có lợi hơn nhưng lại rẻ hơn nhiều sao? Vâng, anh ấy không có kinh nghiệm. Nhưng trong trường hợp hợp tác với các chuyên gia như vậy, người sử dụng lao động không chịu thiệt hại về tài chính. Không có mối quan hệ trực tiếp nào ở đây. Thiếu kinh nghiệm không có nghĩa là chuyên viên sẽ làm sai công việc. Hơn nữa, các chuyên gia an toàn thông tin có rất nhiều tài liệu để thực hiện tất cả các công việc một cách nhanh chóng và thành thạo. Có rất nhiều nguồn kiến ​​thức về an toàn thông tin trên mạng: mẫu tài liệu chuẩn, GOST mô tả nội dung tài liệu ... rất nhiều thông tin! Do đó câu hỏi đặt ra: tại sao nhà tuyển dụng không thuê các chuyên gia bảo mật thông tin? Nhiều tiền đến mức không tiếc chi cho một cuộc kiểm toán? Chà, người ta chỉ có thể ghen tị với một tổ chức như vậy!

Kết thúc bài viết, tôi muốn chuyển đến các bạn sinh viên tốt nghiệp chuyên ngành an toàn thông tin. Đừng mong đợi núi vàng. Thành thật mà nói, nhân viên bán hàng trong bộ phận Trung tâm mua sắmđược trả nhiều hơn. Công việc thú vị, nhưng đôi khi khá đơn điệu.

Khi tôi bước vào trường đại học, chuyên ngành này đối với tôi dường như ở một mức độ nào đó thậm chí còn lãng mạn. Tôi đã vẽ những bức tranh khác nhau cho chính mình về những gì tôi sẽ làm, nơi tôi sẽ kiếm việc làm sau này. Trưởng bộ phận của chúng tôi nói: “Các bạn đừng lo, bạn có thể làm việc ở mọi nơi!” Bị lừa dối? Chúng tôi hy vọng là không. Nếu biết mình sẽ làm công việc bảo vệ bí mật nhà nước, lời khuyên: hãy ra nước ngoài thư giãn! Rốt cuộc, sau khi bạn được phát phiếu nhập học, sẽ có vấn đề khi rời đi.

Chúc may mắn với công việc tìm kiếm của bạn!

Đọc thêm