Приказ Минтруда России от 14.09.2022 N 525н "Об утверждении профессионального стандарта "Специалист по защите информации в автоматизированных системах" (Зарегистрировано в Минюсте России 14.10.2022 N 70543)
| Обобщенные трудовые функции |
Возможные наименования должностей, профессий |
Требования к образованию и обучению |
Требования к опыту практической работы |
Трудовые функции |
Трудовые действия |
|
| код |
наименование |
уровень квалификации |
наименование |
код |
уровень (подуровень) квалификации |
| 1 |
2 |
3 |
4 |
5 |
6 |
7 |
8 |
9 |
10 |
11 |
| A |
Обслуживание систем защиты информации в автоматизированных системах, используемых в том числе на объектах критической информационной инфраструктуры, в отношении которых отсутствует необходимость присвоения им категорий значимости |
5 |
• Техник по защите информации I категории
• Техник по защите информации II категории
• Техник по защите информации
|
Среднее профессиональное образование - программы подготовки специалистов среднего звена по профилю деятельности
|
Для должностей с категорией - опыт работы в должности с более низкой (предшествующей) категорией не менее одного года
|
Проведение технического обслуживания систем защиты информации автоматизированных систем |
A/01.5 |
5 |
Проверка работоспособности системы защиты информации автоматизированной системы
и еще 2 |
Заявка на обучение
|
| Контроль соответствия конфигурации системы защиты информации автоматизированной системы ее эксплуатационной документации |
| Контроль стабильности характеристик системы защиты информации автоматизированной системы |
| Ведение технической документации, связанной с эксплуатацией систем защиты информации автоматизированных систем |
A/02.5 |
5 |
Ведение документов учета, обработки, хранения и передачи информации ограниченного доступа
и еще 6 |
Заявка на обучение
|
| Информирование персонала об угрозах безопасности информации |
| Информирование персонала о правилах эксплуатации системы защиты автоматизированной системы и отдельных средств защиты информации |
| Ведение протоколов и журналов учета при изменении конфигурации систем защиты информации автоматизированных систем |
| Ведение протоколов и журналов учета при осуществлении мониторинга систем защиты информации автоматизированных систем |
| Ведение протоколов и журналов учета при осуществлении аудита систем защиты информации автоматизированных систем |
| Подготовка сведений об отсутствии необходимости присвоения категорий значимости объекту критической информационной инфраструктуры, на котором используется автоматизированная система, и направление в письменном виде этих сведений в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, по утвержденной им форме |
| Обеспечение защиты информации при выводе из эксплуатации автоматизированных систем |
A/03.5 |
5 |
Включение в организационно-распорядительные документы по защите информации процедур уничтожения (стирания) информации на машинных носителях, а также контроля уничтожения (стирания) информации
и еще 3 |
Заявка на обучение
|
| Уничтожение (стирание) информации на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) |
| Физическое уничтожение машинных носителей информации, обрабатываемой автоматизированной системой |
| Архивирование информации, обрабатываемой автоматизированной системой |
| B |
Обеспечение защиты информации в автоматизированных системах, используемых в том числе на объектах критической информационной инфраструктуры, в отношении которых отсутствует необходимость присвоения им категорий значимости, в процессе их эксплуатации |
6 |
• Инженер по защите информации • Специалист по защите информации I категории • Специалист по защите информации II категории и еще 8• Специалист по защите информации
• Инженер-программист по технической защите информации I категории
• Инженер-программист по технической защите информации II категории
• Инженер-программист по технической защите информации
• Инженер-программист I категории
• Инженер-программист II категории
• Инженер-программист III категории
• Инженер-программист
|
Высшее образование - бакалавриат в области информационной безопасности
|
Для должностей с категорией - опыт работы в должности с более низкой (предшествующей) категорией не менее одного года
|
Диагностика систем защиты информации автоматизированных систем |
B/01.6 |
6 |
Обнаружение инцидентов в процессе эксплуатации автоматизированной системы
и еще 5 |
Заявка на обучение
|
| Идентификация инцидентов в процессе эксплуатации автоматизированной системы |
| Оценка защищенности автоматизированных систем с помощью типовых программных средств |
| Устранение последствий инцидентов, возникших в процессе эксплуатации автоматизированной системы |
| Расчет показателей эффективности защиты информации, обрабатываемой в автоматизированных системах |
| Инструментальный контроль показателей эффективности защиты информации, обрабатываемой в автоматизированных системах |
| Администрирование систем защиты информации автоматизированных систем |
B/02.6 |
6 |
Установка обновлений программного обеспечения автоматизированной системы
и еще 5 |
Заявка на обучение
|
| Выполнение установленных процедур обеспечения безопасности информации с учетом требования эффективного функционирования автоматизированной системы |
| Управление полномочиями доступа пользователей автоматизированной системы |
| Информирование пользователей о правилах эксплуатации автоматизированной системы с учетом требований по защите информации |
| Проведение занятий с персоналом по работе с системой защиты информации автоматизированной системы, включая проведение практических занятий с персоналом на макетах или в тестовой зоне |
| Внесение изменений в эксплуатационную документацию и организационно-распорядительные документы по системе защиты информации автоматизированной системы |
| Управление защитой информации в автоматизированных системах |
B/03.6 |
6 |
Анализ воздействия изменений конфигурации автоматизированной системы на ее защищенность
и еще 3 |
Заявка на обучение
|
| Составление комплекса правил, процедур, практических приемов, принципов и методов, средств обеспечения защиты информации в автоматизированной системе |
| Оценка последствий от реализации угроз безопасности информации в автоматизированной системе |
| Анализ изменения угроз безопасности информации автоматизированной системы, возникающих в ходе ее эксплуатации |
| Обеспечение работоспособности систем защиты информации при возникновении нештатных ситуаций |
B/04.6 |
6 |
Обнаружение неисправностей в работе системы защиты информации автоматизированной системы
и еще 4 |
Заявка на обучение
|
| Устранение неисправностей в работе системы защиты информации автоматизированной системы |
| Резервирование программного обеспечения, технических средств, каналов передачи данных автоматизированной системы управления на случай возникновения нештатных ситуаций |
| Создание альтернативных мест хранения и обработки информации на случай возникновения нештатных ситуаций |
| Восстановление после сбоев и отказов программного обеспечения автоматизированных систем |
| Мониторинг защищенности информации в автоматизированных системах |
B/05.6 |
6 |
Выработка рекомендаций для принятия решения о модернизации системы защиты информации автоматизированной системы
и еще 5 |
Заявка на обучение
|
| Выработка рекомендаций для принятия решения о повторной аттестации автоматизированной системы или о проведении дополнительных аттестационных испытаний |
| Выявление угроз безопасности информации в автоматизированных системах |
| Принятие мер защиты информации при выявлении новых угроз безопасности информации |
| Анализ недостатков в функционировании системы защиты информации автоматизированной системы |
| Устранение недостатков в функционировании системы защиты информации автоматизированной системы |
| Аудит защищенности информации в автоматизированных системах |
B/06.6 |
6 |
Оценка информационных рисков безопасности информации в автоматизированной системе
и еще 3 |
Заявка на обучение
|
| Обоснование и контроль результатов управленческих решений в области безопасности информации автоматизированных систем |
| Экспертиза состояния защищенности информации автоматизированных систем |
| Обоснование критериев эффективности функционирования защищенных автоматизированных систем |
| Установка и настройка средств защиты информации в автоматизированных системах |
B/07.6 |
6 |
Входной контроль качества комплектующих изделий системы защиты информации автоматизированной системы
и еще 3 |
Заявка на обучение
|
| Осуществление автономной наладки технических и программных средств системы защиты информации автоматизированной системы |
| Проведение приемочных испытаний системы защиты информации автоматизированной системы |
| Внесение в эксплуатационную документацию изменений, направленных на устранение недостатков, выявленных в процессе испытаний |
| Разработка организационно-распорядительных документов по защите информации в автоматизированных системах |
B/08.6 |
6 |
Определение правил и процедур управления системой защиты информации автоматизированной системы
и еще 4 |
Заявка на обучение
|
| Определение правил и процедур выявления инцидентов |
| Определение правил и процедур мониторинга обеспечения уровня защищенности информации автоматизированной системы |
| Определение правил и процедур защиты информации при выводе автоматизированной системы из эксплуатации |
| Определение правил и процедур реагирования на инциденты в автоматизированной системе |
| Анализ уязвимостей внедряемой системы защиты информации |
B/09.6 |
6 |
Выбор и обоснование критериев эффективности функционирования защищенных автоматизированных систем
и еще 5 |
Заявка на обучение
|
| Проведение анализа уязвимости программных и программно-аппаратных средств системы защиты информации автоматизированной системы |
| Проведение экспертизы состояния защищенности информации автоматизированных систем |
| Уточнение модели угроз безопасности информации автоматизированной системы |
| Проведение предварительных испытаний системы защиты информации автоматизированной системы |
| Проведение анализа уязвимостей автоматизированных и информационных систем |
| Внедрение организационных мер по защите информации в автоматизированных системах |
B/10.6 |
6 |
Проведение проверки полноты описания в организационно-распорядительных документах на автоматизированную систему действий персонала по реализации организационных мер защиты информации
и еще 6 |
Заявка на обучение
|
| Проведение занятий с персоналом по работе с системой защиты информации автоматизированной системы, включая проведение практических занятий на макетах или в тестовой зоне |
| Подготовка документов, определяющих правила и процедуры, реализуемые оператором для обеспечения защиты информации в информационной системе в ходе ее эксплуатации |
| Проведение проверки готовности персонала к эксплуатации системы защиты информации автоматизированной системы |
| Подготовка документов, определяющих правила и процедуры контроля обеспеченности уровня защищенности информации, содержащейся в информационной системе |
| Подготовка документов, определяющих правила и процедуры выявления инцидентов, которые могут привести к сбоям или нарушению функционирования информационной системы и возникновению угроз безопасности информации |
| Подготовка документов, определяющих правила и процедуры управления конфигурацией аттестованной информационной системы и системы защиты информации информационной системы |
| C |
Разработка систем защиты информации автоматизированных систем, используемых в том числе на объектах критической информационной инфраструктуры, в отношении которых отсутствует необходимость присвоения им категорий значимости |
7 |
• Ведущий инженер - разработчик систем защиты информации • Ведущий специалист по защите информации • Руководитель проектов в области разработки систем защиты информации и еще 1• Руководитель отдела систем защиты информации
|
Высшее образование - специалитет или магистратура в области информационной безопасности
|
-
|
Тестирование систем защиты информации автоматизированных систем |
C/01.7 |
7 |
Проведение анализа структурных и функциональных схем защищенных автоматизированных информационных систем с целью выявления потенциальных уязвимостей информационной безопасности автоматизированных систем
и еще 5 |
Заявка на обучение
|
| Выявление уязвимости информационно-технологических ресурсов автоматизированных систем |
| Выявление основных угроз безопасности информации в автоматизированных системах |
| Составление методик тестирования систем защиты информации автоматизированных систем |
| Подбор инструментальных средств тестирования систем защиты информации автоматизированных систем |
| Составление протоколов тестирования систем защиты информации автоматизированных систем |
| Разработка проектных решений по защите информации в автоматизированных системах |
C/02.7 |
7 |
Разработка модели угроз безопасности информации и модели нарушителя в автоматизированных системах
и еще 3 |
Заявка на обучение
|
| Разработка моделей автоматизированных систем и подсистем безопасности автоматизированных систем |
| Разработка проектов нормативных документов, регламентирующих работу по защите информации |
| Разработка предложений по совершенствованию системы управления безопасностью информации в автоматизированных системах |
| Разработка эксплуатационной документации на системы защиты информации автоматизированных систем |
C/03.7 |
7 |
Анализ технической документации информационной инфраструктуры автоматизированной системы
и еще 6 |
Заявка на обучение
|
| Анализ защищенности информационной инфраструктуры автоматизированной системы |
| Формирование требований по защите информации, включая использование математического аппарата для решения прикладных задач |
| Документирование программного обеспечения, технических средств, баз данных и компьютерных сетей с учетом требований по обеспечению защиты информации |
| Анализ структурных и функциональных схем защищенных автоматизированных информационных систем |
| Обоснование критериев эффективности функционирования защищенных автоматизированных информационных систем |
| Применение программно-аппаратных средств обеспечения безопасности информации в автоматизированных системах |
| Разработка программных и программно-аппаратных средств для систем защиты информации автоматизированных систем |
C/04.7 |
7 |
Разработка технической документации на компоненты автоматизированных систем в соответствии с требованиями Единой системы конструкторской документации (далее - ЕСКД) и Единой системы программной документации (далее - ЕСПД)
и еще 4 |
Заявка на обучение
|
| Синтез структурных и функциональных схем защищенных автоматизированных систем |
| Разработка программного обеспечения, технических средств, баз данных и компьютерных сетей с учетом требований по обеспечению защиты информации |
| Разработка электронных схем с учетом требований по защите информации |
| Оптимизация работы электронных схем с учетом требований по защите информации |
| D |
Формирование требований к защите информации в автоматизированных системах, используемых в том числе на объектах критической информационной инфраструктуры, в отношении которых отсутствует необходимость присвоения им категорий значимости |
7 |
• Главный специалист по защите информации
• Заместитель руководителя департамента (отдела) исследований и разработок
• Руководитель департамента (отдела) исследований и разработок
|
• Высшее образование - специалитет или магистратура в области информационной безопасности и дополнительное профессиональное образование - программы повышения квалификации в области информационной безопасностиили и еще 1• Высшее образование - аспирантура (адъюнктура) и дополнительное профессиональное образование - программы повышения квалификации в области информационной безопасности
|
• Не менее пяти лет в области защиты информации, в том числе на руководящих должностях не менее трех лет, для имеющих высшее образование - специалитет или магистратура в области информационной безопасностиили и еще 1• Не менее трех лет в области защиты информации, в том числе на руководящих должностях не менее двух лет, для имеющих высшее образование - аспирантура (адъюнктура)
|
Обоснование необходимости защиты информации в автоматизированной системе |
D/01.7 |
7 |
Анализ характера обрабатываемой информации и определение перечня информации, подлежащей защите
и еще 5 |
Заявка на обучение
|
| Выявление степени участия персонала в обработке защищаемой информации |
| Планирование мероприятий по обеспечению защиты информации в автоматизированной системе |
| Определение требуемого класса (уровня) защищенности автоматизированной системы |
| Обоснование необходимости использования криптографических средств защиты информации |
| Разработка отчетных документов и разделов технических заданий |
| Определение угроз безопасности информации, обрабатываемой автоматизированной системой |
D/02.7 |
7 |
Формирование разделов технических заданий на создание систем защиты информации автоматизированных систем
и еще 7 |
Заявка на обучение
|
| Разработка систем защиты информации автоматизированных систем с учетом действующих нормативно-правовых документов |
| Определение комплекса мер (правил, процедур, практических приемов, руководящих принципов, методов, средств) для защиты информации автоматизированных систем |
| Определение оценки возможностей внешних и внутренних нарушителей |
| Разработка модели угроз безопасности информации автоматизированной системы |
| Обоснование перечня сертифицированных средств защиты информации, необходимых для создания системы защиты информации автоматизированной системы |
| Анализ требований к назначению, структуре и конфигурации создаваемой автоматизированной системы с целью выявления угроз безопасности информации |
| Определение структурно-функциональных характеристик информационной системы в соответствии с требованиями нормативных правовых документов в области защиты информации в автоматизированных системах |
| Разработка архитектуры системы защиты информации автоматизированной системы |
D/03.7 |
7 |
Проведение оценки показателей качества и эффективности работы вычислительных систем, программных и программно-аппаратных средств, используемых для построения систем защиты информации в автоматизированных системах
и еще 5 |
Заявка на обучение
|
| Проведение технико-экономической оценки целесообразности создания системы защиты информации автоматизированной системы |
| Определение порядка обработки информации в автоматизированной системе |
| Формирование разделов технических заданий на создание систем защиты информации автоматизированных систем |
| Разработка проектной документации на системы защиты автоматизированных систем |
| Оформление заявки на разработку системы защиты информации автоматизированной системы |
| Моделирование защищенных автоматизированных систем с целью анализа их уязвимостей и эффективности средств и способов защиты информации |
D/04.7 |
7 |
Разработка аналитических и компьютерных моделей автоматизированных систем и подсистем безопасности автоматизированных систем
и еще 5 |
Заявка на обучение
|
| Исследование аналитических и компьютерных моделей автоматизированных систем и подсистем безопасности автоматизированных систем |
| Разработка модели угроз безопасности информации и нарушителей в автоматизированных системах |
| Исследование программных, архитектурно-технических и схемотехнических решений компонентов автоматизированных систем с целью выявления потенциальных уязвимостей безопасности информации в автоматизированных системах |
| Анализ информационной инфраструктуры и безопасности информации автоматизированных систем |
| Разработка предложений по совершенствованию системы управления информационной безопасностью автоматизированных систем |
