Профессиональный стандарт специалиста по информационной
advertisement
1 Об утверждении профессионального стандарта специалиста по информационной безопасности В соответствии с Правилами разработки, утверждения и применения профессиональных стандартов, утвержденными постановлением Правительства Российской Федерации от 22 января 2013 г. № 23 (Собрание законодательства Российской Федерации, 2013, № 4, ст. 293) п р и к а з ы в а ю: Утвердить прилагаемый профессиональный стандарт специалиста по информационной безопасности. Министр М.А. Топилин 1 УТВЕРЖДЕН приказом Министерства труда и социальной защиты Российской Федерации от «__» ______2014 г. ПРОФЕССИОНАЛЬНЫЙ СТАНДАРТ 1 Специалист по информационной безопасности _____________________________________________________________________________ (наименование профессионального стандарта) Рег. номер I. Общие сведения Деятельность по обеспечению защищенности компьютерных систем (КС) от вредоносных технических воздействий (наименование вида профессиональной деятельности) Код Основная цель вида профессиональной деятельности: Обеспечение защищенности компьютерных систем от вредоносных технических воздействий Группа занятий: 2139 (код ОКЗ2) Специалисты по компьютерам, не вошедшие в другие группы (наименование) Деятельность по созданию и использованию баз данных и 7240 информационных ресурсов, в том числе ресурсов сети Интернет 2 (код ОКЗ ) (наименование) Отнесение к видам экономической деятельности: 75.24 (код ОКВЭД3) Деятельность по обеспечению общественного порядка и безопасности. Обеспечение безопасности средств связи и информации (наименование вида экономической деятельности) 2 II. Описание трудовых функций, входящих в профессиональный стандарт (функциональная карта вида профессиональной деятельности) Обобщенные трудовые функции код A B наименование Эксплуатация защищенных КС и применение методов и средств обеспечения их безопасности Администрирование и эксплуатация аппаратнопрограммных средств защиты информации в компьютерных системах Трудовые функции уровень квалификации 5 6 наименование код Применение программно-аппаратных средств обеспечения информационной безопасности (ИБ) в КС Применение технических средств обеспечения ИБ защищенных КС Эксплуатация комплексных систем обеспечения ИБ в компьютерных системах Администрирование систем ИБ компьютерных систем Организация профилактических проверок, регламентов технического обслуживания и текущего ремонта систем безопасности КС A/01.5 уровень (подуровень) квалификации 5 A/02.5 5 A/03.5 5 B/01.6 6 B/02.6 6 3 C Разработка и применение методов оценивания уровня безопасности компьютерных систем, сертификация программного обеспечения, аттестация объектов информатизации 7 Приемка и освоение программноаппаратных средств защиты информации Проведение контрольных проверок работоспособности и эффективности применяемых программно-аппаратных средствах защиты информации B/03.6 6 C/01.7 7 Разработка требований по защите, формирование политик безопасности КС C/02.7 7 Применение методов и методик оценивания безопасности компьютерных систем при проведении контрольного анализа системы защиты C/03.7 7 Выполнение экспериментальноисследовательских работ при проведении сертификации программно-аппаратных средств защиты и анализ C/04.7 7 4 результатов D Проектирование и разработка специальных технических и программноматематических средств защиты информации 7 8 Проведение экспериментальноисследовательских работ при аттестации объектов с учетом требований к обеспечению защищенности компьютерной системы C/05.7 7 Проведение инструментального мониторинга защищенности компьютерных систем C/06.7 7 Проведение экспертизы при расследовании компьютерных преступлений, правонарушений и инцидентов C/07.7 7 Разработка требований к средствам защиты информации компьютерных систем с учетом действующих нормативных и методических D/01.7 7 5 компьютерных систем документов Проектирование программных и аппаратных средств защиты информации компьютерных систем D/02.7 7 Разработка, отладка и тестирование средств защиты информации компьютерных систем D/03.7 7 Сопровождение разработки средств защиты информации компьютерных систем D/04.8 8 6 III. Характеристика обобщенных трудовых функций 3.1. Обобщенная трудовая функция Наименование Эксплуатация защищенных КС и применение методов и средств обеспечения их безопасности Происхождение обобщенной трудовой функции1 Оригинал Х Код Уровень квалификации A Заимствовано из оригинала Код оригина ла Возможные наименования должностей Требования к образованию и обучению 5 Рег. номер проф. стандарта Техник по защите информации Старший техник по защите информации Среднее профессиональное образование, повышение квалификации по программам технической защиты информации не реже одного раза в три года Требования к опыту практической Без предъявления требований работы Наличие допуска ФСБ при работе со сведениями, составляющими государственную тайну (Инструкция №3-1 Особые условия допуска к работе Утверждена Постановлением Правительства РФ №1 от 5.01.2004 г) Дополнительные характеристики Наименование документа код 7240 ОКЗ 2 2139 Техник по технической защите информации ЕТКС4 или ЕКСД5 ОКСО6, ОКНПО7 или ОКСВНК8 Наименование базовой группы, должности (профессии) или специальности Деятельность по созданию и использованию баз данных и информационных ресурсов, в том числе ресурсов сети Интернет Специалисты по компьютерам, не вошедшие в другие группы 10.02.01 Организация и технология защиты информации 10.02.02 Информационная телекоммуникационных систем безопасность 7 10.02.03 Информационная автоматизированных систем безопасность 3.1.1. Трудовая функция Применение программноаппаратных средств обеспечения Наименовани информационной безопасности в е КС Происхождение трудовой функции Код A/01.5 Уровень (подуровень) 5 квалификации Оригинал Заимствовано Х из оригинала Код оригинала Трудовые действия Необходимые умения Рег. номер проф. стандарта Настраивать программно-аппаратных средств обеспечения ИБ в автоматизированных системах Поддерживать в исправном состоянии, проводить техническое обслуживание и текущий ремонт программно-аппаратных средств обеспечения ИБ Применять программно-аппаратные средства обеспечения ИБ в автоматизированных системах Осуществлять техническое обслуживание и текущий ремонт программно-аппаратных средств обеспечения ИБ Участвовать в обеспечении учета, обработки, хранения и передачи конфиденциальной информации Сущность и понятие ИБ, характеристику ее составляющих Источники угроз ИБ и меры по их предотвращению Необходимые знания Современные программно-аппаратные средства и способы обеспечения ИБ в КС Другие характеристики 3.1.2. Трудовая функция Наименование Применение технических средств обеспечения Код A/02.5 информационной Уровень (подуровень) квалификации 5 8 безопасности защищенных КС Происхождение трудовой функции Оригинал Х Заимствовано из оригинала Код оригинала Трудовые действия Необходимые умения Необходимые знания Рег. номер проф. стандарта Настраивать технические средства обеспечения информационной безопасности (ИБ) Поддерживать технические средства в исправном состоянии, осуществлять техническое обслуживание и текущий ремонт технических средств обеспечения ИБ Применять технические средства обеспечения информационной безопасности Участвовать в эксплуатации технических средств обеспечения информационной безопасности Сущность и понятие информационной безопасности, характеристику ее составляющих Источники угроз информационной безопасности и меры по их предотвращению Современные технические средства и способы обеспечения информационной безопасности в КС Другие характеристики 3.1.3. Трудовая функция Эксплуатация комплексных систем обеспечения Наименование Код A/03.5 информационной безопасности в компьютерных системах Происхождение Оригинал трудовой функции Х 7 Заимствовано из оригинала Код оригинала Трудовые действия Уровень квалификации Рег. номер проф. стандарта Проверять техническое состояние компонентов подсистем безопасности КС, проводить техническое обслуживание и текущий ремонт 9 Устранять отказы и восстанавливать работоспособность КС Администрировать подсистемы безопасности КС Необходимые умения Необходимые знания Устанавливать компоненты подсистем безопасности КС и проверять их работоспособность Вести техническую документацию, связанную с эксплуатацией средств технической защиты и контроля информации в КС Участвовать в эксплуатации компонентов подсистем безопасности КС, в проверке их технического состояния, в проведении технического обслуживания и текущего ремонта, устранении отказов и восстановлении работоспособности Выполнять работы по администрированию подсистем безопасности компьютерных систем Производить установку и адаптацию компонентов подсистем безопасности компьютерных систем Вести техническую документацию, связанную с эксплуатацией средств технической защиты и контроля информации в компьютерных системах Состав и принципы работы защищенных компьютерных систем, операционных систем и сред Особенности применения программно-аппаратных и технических средств обеспечения информационной безопасности в операционных системах, компьютерных сетях, базах данных Источники угроз информационной безопасности и меры по их предотвращению Другие характеристики 3.2. Обобщенная трудовая функция Администрирование и эксплуатация аппаратноНаименование программных средств защиты информации в компьютерных системах Происхождение обобщенной трудовой функции Оригинал Х Код B Уровень 6 квалификации Заимствовано из оригинала Код оригинала Рег. номер проф. стандарта Инженер по защите информации в компьютерных системах; Возможные наименования должностей Администратор безопасности операционных систем и систем управления базами данных. 10 Требования к образованию и обучению Высшее образование по укрупненной группе специальностей (УГС) (направлению подготовки) «Информационная безопасность». Дополнительное профессиональное образование, повышение квалификации не реже одного раза в три года. Требования к опыту практической работы Без предъявления требований Особые условия допуска к работе Наличие допуска ФСБ при работе со сведениями, составляющими государственную тайну (Инструкция №3-1 Утверждена Постановлением Правительства РФ №1 от 5.01.2004 г) Дополнительные характеристики Наименование документа ОКЗ2 ЕТКС4 или ЕКСД5 ОКСО6, ОКНПО7 или ОКСВНК8 Код 2139 10.05.01 Наименование базовой группы, должности (профессии) или специальности Специалисты по компьютерам, не вошедшие в другие группы Компьютерная безопасность Информационная безопасность телекоммуникационных систем Информационная безопасность 10.05.03 автоматизированных систем Информационно-аналитические системы 10.05.04 безопасности Безопасность информационных технологий в 10.05.05 правоохранительной сфере 10.05.02 3.2.1. Трудовая функция Администрирование систем информационной Наименование Код B/01.6 безопасности компьютерных систем Происхождение трудовой функции Уровень (подуровень) 6 квалификации Оригинал Заимствовано из Х оригинала Код оригинала Трудовые действия Рег. номер проф. стандарта Осуществлять определение состава и настройка подсистем информационной безопасности Контролировать соответствие параметров подсистем информационной безопасности установленным требованиям 11 Необходимые умения Устанавливать и настраивать программное обеспечение, необходимое для администрирования Участвовать в формировании политики информационной безопасности организации и контроль выполнения ее требований Участвовать в проведении аттестации на предмет соответствия требованиям по защите компьютерных систем Формулировать и настраивать политику безопасности основных операционных систем, а также локальных компьютерных сетей, построенных на их основе Применять защищенные протоколы, межсетевые экраны и средства обнаружения вторжений для защиты информации в сетях Осуществлять меры противодействия нарушениям сетевой безопасности с использованием различных программных и аппаратных средств защиты Проводить анализ показателей качества сетей и систем связи Анализировать и оценивать угрозы информационной безопасности объекта Осуществлять меры по обеспечению выполнения сотрудниками организации требований политики безопасности Требования по составу и характеристикам подсистем защиты информации для различных классов защищенных систем, методы их практической реализации Необходимые знания Основные виды политик управления доступом и информационными потоками в компьютерных системах Принципы построения современных операционных систем и особенности их применения для решения задач защиты информации Механизмы реализации вредоносных программнотехнических и информационных воздействий в компьютерных системах Защитные механизмы и средства обеспечения сетевой безопасности Средства и методы предотвращения и обнаружения вторжений Основные средства и методы анализа программных реализаций Технические каналы утечки информации и методы защиты Содержание и порядок аттестации компьютерных систем на предмет их соответствия требованиям по защите информации Другие характеристики 3.2.2. Трудовая функция Наименование Организация Код B/02.6 Уровень 6 12 профилактических проверок, регламентов технического обслуживания и текущего ремонта систем безопасности компьютерных систем Происхождение трудовой функции Оригинал Х (подуровень) квалификации Заимствовано из оригинала Код оригинала Рег. номер проф. стандарта Трудовые действия Устанавливать, настраивать, эксплуатировать и обслуживать аппаратно-программные средства защиты информации Проверять техническое состояние и остаточный ресурс оборудования защиты информации, организовывать профилактические проверки и текущий ремонт Составлять инструкции по эксплуатации аппаратно-программных средств защиты информации Определять потребности в технических средствах защиты и контроля Вести эксплуатационную, техническую и отчетную документацию Необходимые умения Иметь навыки обслуживанию информации по установке, настройке, эксплуатации и аппаратно-программных средств защиты Принципы работы и правила эксплуатации технических средств получения, обработки, передачи, отображения и хранения информации, аппаратуры контроля, защиты и другого оборудования Необходимые знания Организация ремонта и технического обслуживания Методы измерений, контроля и технических расчетов Порядок оформления технической документации по защите информации; инструкции по соблюдению режима проведения специальных работ Правила и нормы охраны труда, техники безопасности, производственной (промышленной) санитарии и противопожарной защиты Другие характеристики 3.2.3. Трудовая функция Наименование Приемка и освоение программно-аппаратных средств защиты информации Уровень Код B/03.6 (подуровень) 6 квалификации 13 Происхождение трудовой функции Оригинал Х Заимствовано из оригинала Код оригинала Рег. номер проф. стандарта Осуществлять приемку программно-аппаратных средств защиты информации Трудовые действия Проверять и оценивать соответствие реальных характеристик программно-аппаратных средств защиты информации данным технической документации на эти средства Оформлять и вести необходимую документацию по приемке и постановке на учет в организации приобретаемых программноаппаратных средств защиты информации Использовать техническую документацию, техническую литературу и справочники при освоении новых программноаппаратных средств защиты информации Проводить проверку и оценивать соответствие реальных характеристик программно-аппаратных средств защиты информации заявленным в технической документации на эти средства Необходимые умения Необходимые знания Оформлять необходимую документацию по приемке и постановке на учет в организации приобретаемых программно-аппаратных средств защиты информации Использовать техническую документацию, техническую литературу и справочники при освоении программно-аппаратных средств защиты информации Принципы работы и правила эксплуатации приобретаемых программно-аппаратных средств защиты информации Методы измерений, контроля и технических расчетов характеристик программно-аппаратных средств защиты информации Порядок оформления документации по приемке и постановке на учет в организации приобретаемых программно-аппаратных средств защиты информации Правила и нормы охраны труда, техники безопасности, производственной (промышленной) санитарии и противопожарной защиты Другие характеристики 3.3. Обобщенная трудовая функция Наименование Разработка и применение методов оценивания безопасности компьютерных систем, Код C Уровень квали- 7 фикации 14 сертификация программного обеспечения, аттестация объектов информатизации Происхождение обобщенной трудовой функции Оригинал Х Заимствовано из оригинала Код оригинала Возможные наименования должностей Рег. номер проф. стандарта Эксперт в области информационной безопасности (Специалист по защите информации в компьютерных системах, Специалист по безопасности компьютерных систем, Эксперт по анализу защищенности компьютерных систем, Специалист по безопасности распределенных компьютерных систем, Специалист по безопасности информационных ресурсов и информационных систем, Специалист по безопасности высокопроизводительных вычислительных систем, Специалист по технической экспертизе компьютерных систем, Консультант по компьютерной безопасности) Высшее образование – магистратура или специалитет по УГС (направлению подготовки) «Информационная безопасность», дополнительное профессиональное Требования к образованию образование или повышение квалификации по программам и обучению обучения, связанным с проведением экспертизы безопасности компьютерных систем (не реже одного раза в три года) Требования к опыту Опыт практической работы не менее трех лет в сфере практической работы обеспечения информационной безопасности Наличие допуска ФСБ при работе со сведениями, Особые условия допуска к составляющими государственную тайну (Инструкция №3-1 работе Утверждена Постановлением Правительства РФ №1 от 5.01.2004 г) Дополнительные характеристики Наименование Код документа 2139 ОКЗ2 ЕТКС4 или ЕКСД5 ОКСО6, ОКНПО7 или ОКСВНК8 Наименование базовой группы, должности (профессии) или специальности Специалисты по компьютерам, не вошедшие в другие группы 10.05.01 Компьютерная безопасность Информационная безопасность 10.05.02 телекоммуникационных систем 15 Информационная безопасность автоматизированных систем Информационно-аналитические системы 10.05.04 безопасности Безопасность информационных технологий в 10.05.05 правоохранительной сфере 10.05.03 3.3.1. Трудовая функция Наименование Проведение контрольных проверок работоспособности и эффективности применяемых программно-аппаратных средств защиты информации Происхождение трудовой функции Код C/01.7 Необходимые умения Необходимые знания 7 Оригинал Заимствовано Х из оригинала Код оригинала Трудовые действия Уровень квалификации Рег. номер проф. стандарта Оценивать работоспособность применяемых программноаппаратных средств защиты информации с использованием штатных средств и методик Оценивать эффективность применяемых программноаппаратных средств защиты информации с использованием штатных средств и методик Определять уровни защищенности и доверия программноаппаратных средств защиты информации Оценивать работоспособность и эффективность применяемых программно-аппаратных средств защиты информации Анализировать программно-аппаратные средства защиты с целью определения уровня обеспечиваемой ими защищенности и доверия Основные стандарты оценивания защищенности компьютерных систем Основные принципы построения защищенных распределенных компьютерных систем Другие характеристики 3.3.2. Трудовая функция Разработка требований по защите, формирование Наименование политик безопасности компьютерных систем Происхождение Оригинал трудовой функции Х Заимствовано из оригинала Код C/02.7 Уровень (подуровень) квалификации 7 16 Код оригинала Рег. номер проф. стандарта Разрабатывать требования по защите компьютерных систем Формировать политики безопасности компьютерных систем Консультировать по вопросам безопасности компьютерных систем Анализировать компьютерную систему с целью определения необходимого уровня защищенности и доверия Разрабатывать профили защиты и формулировать задания по безопасности Разрабатывать модели угроз и модели нарушителя безопасности компьютерных систем Формировать политики безопасности компьютерных систем Основные стандарты оценивания защищенности компьютерных систем Основные принципы построения защищенных распределенных компьютерных систем Модели безопасности компьютерных систем Основные виды политик безопасности компьютерных систем Трудовые действия Необходимые умения Необходимые знания Другие характеристики 3.3.3. Трудовая функция Наименование Применение методов и методик оценивания безопасности компьютерных систем при проведении контрольного анализа системы защиты Происхождение трудовой функции Оригинал Х Код C/03.7 Уровень (подуровень) квалификации 7 Заимствовано из оригинала Код оригинала Рег. номер проф. Стандарта Трудовые действия Определять уровень защищенности и доверия при проведении анализа компьютерной системы Готовить аналитические отчеты по результатам проведенного анализа Разрабатывать предложения по устранению выявленных уязвимостей Необходимые умения Анализировать компьютерную систему с целью определения уровня защищенности и доверия Готовить аналитический отчет по результатам проведенного анализа и формулировать предложения по устранению выявленных уязвимостей Применять нормативные и правовые акты при проведении 17 Необходимые знания криминалистической экспертизы и криминалистического анализа Основные стандарты оценивания защищенности компьютерных систем Методы и методики оценивания безопасности компьютерных систем Основные принципы построения защищенных распределенных компьютерных систем Основные принципы построения систем обнаружения компьютерных атак Способы обнаружения и нейтрализации последствий вторжений в компьютерные системы Методы проведения расследования компьютерных инцидентов Другие характеристики 3.3.4. Трудовая функция Наименование Проведение экспериментальноисследовательских работ при проведении сертификации Код C/05.7 программно-аппаратных средств защиты и анализ результатов Происхождение трудовой функции Оригинал Х Заимствовано из оригинала Код оригинала Трудовые действия Необходимые умения Уровень (подуровень) 7 квалификации Рег. номер проф. стандарта Проводить теоретические и экспериментальные исследования уровня защищенности и/или оценочного уровня доверия компьютерной системы Разрабатывать модели угроз и модели нарушителя безопасности компьютерных систем Разрабатывать и использовать профили защиты и задания по безопасности Проводить сертификационные испытания с использованием современных инструментальных средств Формировать аналитический отчет по результатам проведенных сертификационных испытаний и формулировать выводы по оценке защищенности Анализировать компьютерную систему с целью определения уровня защищенности и доверия Использовать профили защиты и задания по безопасности Применять современные инструментальные средства проведения сертификационных испытаний Применять нормативно-правовые документы в области защиты информации 18 Необходимые знания Готовить аналитический отчет по результатам проведенных сертификационных испытаний и формулировать выводы по оценке защищенности Основные стандарты оценивания защищенности компьютерных систем Основные требования нормативно-правовой базы в области защиты информации Основные способы организации экспериментальноисследовательских работ при проведении сертификации программно-аппаратных средств защиты Другие характеристики 3.3.5. Трудовая функция Проведение экспериментальноисследовательских работ при Наименование аттестации объектов с учетом Код C/05.7 требований к обеспечению защищенности компьютерной системы Происхождение трудовой функции Оригинал Х Необходимые умения 7 Заимствовано из оригинала Код Трудовые действия Уровень (подуровень) квалификации Рег. номер проф. стандарта Осуществлять проверку объекта информатизации (ОИ), содержащего компьютерные системы, на соответствие организационно-техническим требованиям по защите информации Проводить испытания ОИ на соответствие требованиям по защите информации от утечки по техническим каналам Проводить испытания ОИ на соответствие требованиям по защите информации от несанкционированного доступа (НСД) Проводить комплексные испытания с целью оценки соответствия использованного комплекса мер и средств защиты требуемому уровню безопасности информации Готовить отчетную документацию и оценку результатов испытаний аттестуемых объектов Оформлять результаты аттестационных испытаний в виде протоколов испытаний Оформлять заключения о соответствии объектов информатизации требованиям по безопасности информации Анализировать объекты информатизации с целью определения уровня защищенности 19 Необходимые знания Применять нормативные и правовые акты по аттестации объектов с учетом требований к обеспечению защищенности компьютерной системы Основные способы обеспечения защищенности объектов информатизации Основные принципы построения защищенных объектов информатизации Другие характеристики 3.3.6. Трудовая функция Наименование Проведение инструментального Код C/06.7 мониторинга защищенности компьютерных систем Происхождение трудовой функции Оригинал Х Заимствовано из оригинала Код оригинала Трудовые действия Необходимые умения Необходимые знания Другие характеристики Уровень (подуровень) 7 квалификации Рег. номер проф. стандарта Использовать инструментарий операционных систем, в том числе сканеров безопасности Использовать средства анализа защищенности сетевых сервисов Использовать инструментарий средств анализа соответствия требованиям по защите информации Использовать средства автоматического реагирования на попытки НСД к ресурсам компьютерных систем Формировать отчеты по результатам проверок Формализовать задачу управления безопасностью компьютерных систем Применять современные инструментальные средства проведения мониторинга защищенности компьютерных систем Средства защиты информационных ресурсов на уровне операционных систем, баз данных и компьютерных сетей Средства анализа защищенности сетевых сервисов Основные стандарты оценивания защищенности компьютерных систем, требования нормативно-правовых документов в области защиты информации Основные принципы построения защищенных распределенных компьютерных систем Основные принципы построения систем обнаружения компьютерных атак Способы обнаружения и нейтрализации последствий вторжений в компьютерные системы 20 3.3.7. Трудовая функция Наименование Проведение экспертизы при Уровень расследовании компьютерных Код C/07.7 (подуровень) преступлений, правонарушений квалификации и инцидентов Происхождение трудовой функции Оригинал Х Заимствовано из оригинала Код оригинала Трудовые действия 7 Рег. номер проф. стандарта Классификация и определение свойств аппаратных средств в составе компьютерной системы, определение их фактического и первоначального состояния Диагностика технологии изготовления, причин и условий изменения свойств (эксплуатационных режимов) аппаратных средств в составе компьютерной системы Определение структуры механизма и обстоятельств события за счет использования выявленных аппаратных средств Классификация и определение основных характеристик операционной системы, используемых технологий системного программирования Выявление, исследование функциональных свойств и состояния программного обеспечения Исследование алгоритма программного продукта, типов поддерживаемых аппаратных платформ Определять причины, цели и условия изменения свойств и состояния программного обеспечения Осуществлять индивидуальное отождествление оригинала программы (инсталляционной версии) и ее копии на носителях данных компьютерной системы Устанавливать групповую принадлежность программного обеспечения Выявлять индивидуальные признаки программы, позволяющие впоследствии идентифицировать ее автора, а также взаимосвязи с информационным обеспечением исследуемой компьютерной системы Устанавливать вид, свойства и состояние информации (фактического и первоначального, в том числе до ее удаления и модификации) в компьютерной системе Определять причины и условия изменения свойств исследуемой информации Определять механизм, динамику и обстоятельства события по имеющейся информации на носителе данных или ее копиям Устанавливать участников события, их роли, места, условий, при которых была создана (модифицирована, удалена) информация Устанавливать соответствие либо несоответствие действий с 21 информацией специальному разграничения доступа) регламенту (правилам Формировать экспертные заключения Необходимые умения Необходимые знания Применять нормативные и правовые акты при проведении криминалистической экспертизы и криминалистического анализа Проводить судебную аппаратно-компьютерную экспертизу Проводить судебную программно-компьютерную экспертизу Проводить судебную информационно-компьютерную экспертизу Прогнозировать возможные пути развития новых видов компьютерных преступлений, правонарушений и инцидентов Основные уязвимости защищенных компьютерных систем Требования нормативно-правовых документов в области защиты информации Способы обнаружения и нейтрализации последствий вторжений в компьютерные системы Методы проведения расследования компьютерных преступлений, правонарушений и инцидентов Другие характеристики 3.4. Обобщенная трудовая функция Наименование Происхождение обобщенной трудовой функции Проектирование и разработка специальных технических и программноКод математических средств защиты информации компьютерных систем Оригинал Х D Уровень квалификации 7, 8 Заимствовано из оригинала Код оригинала Рег. номер проф. Стандарта Возможные наименования должностей Инженер-программист Инженер по защите информации Специалист по защите информации Главный специалист по защите информации Требования к Высшее образование – магистратура или специалитет по УГС 22 образованию и обучению (направлению подготовки) «Информационная безопасность», дополнительное профессиональное образование или повышение квалификации по программам обучения, связанным с проведением экспертизы безопасности компьютерных систем Требования к опыту практической работы Для главного специалиста по защите информации – опыт практической работы в сфере обеспечения информационной безопасности не менее 5 лет Особые условия допуска к работе Наличие допуска ФСБ при работе со сведениями, составляющими государственную тайну (Инструкция №3-1 Утверждена Постановлением Правительства РФ №1 от 5.01.2004 г) Дополнительные характеристики Наименование Код документа 2139 ОКЗ2 ЕТКС4 или ЕКСД5 ОКСО6, ОКНПО7 или ОКСВНК8 Наименование базовой группы, должности (профессии) или специальности Специалисты по компьютерам, не вошедшие в другие группы 10.05.01 Компьютерная безопасность Информационная безопасность 10.05.02 телекоммуникационных систем Информационная безопасность 10.05.03 автоматизированных систем Информационно-аналитические системы 10.05.04 безопасности Безопасность информационных технологий в 10.05.05 правоохранительной сфере 3.4.1. Трудовая функция Разработка требований к средствам защиты информации Наименование компьютерных систем с учетом действующих нормативных и методических документов Происхождение трудовой функции Оригинал Х Код D/01.7 Заимствовано из оригинала Код Трудовые действия Уровень (подуровень) 7 квалификации Рег. номер проф. стандарта Определять угрозы безопасности, возможные источники и каналы утечки информации Вырабатывать и принимать решения по мерам обеспечения защиты информации Оценивать технико-экономический уровень и эффективность предлагаемых и реализуемых технических решений 23 Необходимые умения Подбирать, изучать и обобщать сведения из научнотехнической литературы, нормативных и методических материалов по техническим средствам и способам защиты информации Разрабатывать модели угроз и модели нарушителя безопасности компьютерных систем Находить целесообразные подходы к обеспечению защиты информации компьютерной системы Разрабатывать профили защиты и задания по безопасности Разрабатывать частные политики безопасности компьютерных систем, в том числе политики управления доступом и информационными потоками Использовать отечественные и зарубежные стандарты в области компьютерной безопасности для оценки защищенности компьютерной системы Законодательная база в области обеспечения компьютерной безопасности Постановления, распоряжения, приказы, методические и нормативные материалы по вопросам, связанным с обеспечением технической защиты информации компьютерных систем Порядок организации работ по защите информации Необходимые знания Методы и средства получения, обработки и передачи информации в современных операционных системах, системах управления базами данных и компьютерных сетях Основные виды атак и механизмы их реализации в компьютерных системах Методы выявления каналов утечки информации и организации технической разведки Методы и средства защиты информации в компьютерных сетях, операционных системах и системах управления базами данных Принципы построения средств защиты информации компьютерных систем Основные формальные модели управления доступом Типовые криптографические протоколы и стандарты Другие характеристики 3.4.2. Трудовая функция Проектирование программных и аппаратных средств защиты Наименование информации компьютерных систем Происхождение Оригинал Заимствовано Код D/02.7 Уровень 7 квалификации 24 трудовой функции Х из оригинала Код Трудовые действия Необходимые умения Необходимые знания Другие характеристики Рег. номер проф. стандарта Разрабатывать технические задания, эскизные, технические и рабочие проекты, планы и графики проведения работ по защите информации Анализировать существующие методы и средства, применяемые для контроля и защиты информации, и разрабатывать предложения по их совершенствованию и повышению эффективности этой защиты Проектировать программные и аппаратные средства защиты информации в соответствии с техническим заданием Оценивать технико-экономический уровень и эффективность предлагаемых и реализуемых технических решений Участвовать в проведении аттестации программ и алгоритмов на предмет соответствия требованиям защиты информации Проводить исследования с целью нахождения наиболее целесообразных практических решений по обеспечению защиты информации Применять отечественные и зарубежные стандарты в области компьютерной безопасности для проектирования средств защиты информации компьютерной системы Создавать и сопровождать архитектуру средств защиты информации Подбирать, изучать и обобщать сведения из научнотехнической литературы, нормативных и методических материалов по техническим средствам и способам защиты информации Постановления, распоряжения, приказы, методические и нормативные материалы по вопросам, связанным с обеспечением технической защиты информации компьютерных систем Методы и средства получения, обработки и передачи информации в современных операционных системах, системах управления базами данных и компьютерных сетях Основные виды атак и механизмы их реализации в компьютерных системах Методы и средства защиты информации в компьютерных сетях, операционных системах и системах управления базами данных Принципы построения систем защиты информации компьютерных систем Основные формальные модели управления доступом Принципы и методы проектирования программноаппаратного обеспечения Методологии и технологии разработки программного обеспечения 25 3.4.3. Трудовая функция Разработка, отладка и тестирование средств защиты Наименование информации компьютерных систем Происхождение трудовой функции Оригинал Х Код D/03.7 Заимствовано из оригинала Код Трудовые действия Необходимые умения Необходимые знания Уровень 7 квалификации Рег. номер проф. стандарта Разрабатывать средства защиты информации в соответствии с техническим заданием Проводить отладку создаваемых средств защиты информации Аттестовывать программы и алгоритмы на предмет соответствия требованиям защиты информации Выполнять контрольные проверки работоспособности и эффективности систем и технических средств защиты информации Использовать приемы защитного программирования Защищать КС от типовых атак Писать программный код на выбранном языке с использованием среды программирования и средств системы управления базами данных (СУБД) Применять методы и приемы отладки средств защиты информации КС Применять методы и средства тестирования средств защиты информации КС Методические и нормативные материалы по вопросам, связанным с обеспечением технической защиты информации компьютерных систем Методы и средства получения, обработки и передачи информации в современных операционных системах, системах управления базами данных и компьютерных сетях Методы и средства защиты информации в КС, операционных системах и системах управления базами данных Основные виды атак и механизмы их реализации в КС Принципы построения систем защиты информации КС Методология и технологии разработки программного и аппаратного обеспечения Другие характеристики 26 3.4.4. Трудовая функция Сопровождение разработки Наименование средств защиты информации компьютерных систем Происхождение трудовой функции Оригинал Х Код D/04.8 Заимствовано из оригинала Код Трудовые действия Уровень 8 квалификации Рег. номер проф. стандарта Рассматривать технические задания, планы и графики проведения работ по защите информации, на предмет их соответствия действующим нормативным и методическим документам Формулировать рекомендации и предложения по совершенствованию и повышению эффективности защиты информации Участвовать в написании и оформлении разделов научнотехнических отчетов Определять потребности в технических средствах защиты и контроля, составлять заявки на их приобретение с необходимыми обоснованиями и расчетами к ним Готовить предложения по заключению соглашений и договоров с другими учреждениями, организациями и предприятиями, предоставляющими услуги в области технической защиты информации в компьютерных системах Аттестовывать программы и алгоритмы на предмет соответствия требованиям защиты информации Выполнять контрольные проверки работоспособности и эффективности систем и технических средств защиты информации Анализировать существующие методы и средства, применяемые для контроля и защиты информации, и разрабатывать предложения по их совершенствованию и повышению эффективности этой защиты Готовить проекты нормативных и методических материалов, регламентирующих работу по защите информации, а также положений, инструкций и других организационно-распорядительных документов Осуществлять методическое руководство и контроль над работой по оценке технико-экономического уровня разрабатываемых мер по защите информации Контролировать выполнение требований нормативнотехнической документации по соблюдению установленного порядка выполнения работ, а также действующего законодательства при решении вопросов, касающихся защиты информации Организовывать проведение специальных исследований и контрольных проверок по выявлению демаскирующих признаков и возможных каналов утечки информации, в том 27 28 2. Академия информационных систем 3. МОО «Ассоциация защиты информации» 4. ЗАО «АВАНГАРД ЦЕНТР» 5. НП "Союз защитников информации" <1> Профессиональный стандарт оформляется в соответствии с Методическими рекомендациями по разработке профессионального стандарта, утверждаемыми Министерством труда и социальной защиты Российской Федерации. <2> Общероссийский классификатор занятий. <3> Общероссийский классификатор видов экономической деятельности. <4> Единый тарифно-квалификационный справочник работ и профессий рабочих отраслей экономики Российской Федерации. <5> Единый квалификационный справочник должностей руководителей, специалистов и служащих. <6> Общероссийский классификатор специальностей по образованию. <7> Общероссийский классификатор начального профессионального образования. <8> Общероссийский классификатор специальностей высшей научной квалификации.
