(1).jpg)
Приказ Министерства труда и социальной защиты РФ от 28 ноября 2022 г. № 739н "Об утверждении профессионального стандарта "Специалист по информационной безопасности в кредитно-финансовой сфере" (документ не вступил в силу)
В соответствии с пунктом 16 Правил разработки и утверждения профессиональных стандартов, утвержденных постановлением Правительства Российской Федерации от 22 января 2013 г. № 23 (Собрание законодательства Российской Федерации, 2013, № 4, ст. 293; 2014, № 39, ст. 5266), приказываю:
1. Утвердить прилагаемый профессиональный стандарт "Специалист по информационной безопасности в кредитно-финансовой сфере".
2. Установить, что настоящий приказ вступает в силу с 1 сентября 2023 г. и действует до 1 сентября 2029 г.
| Министр | А.О. Котяков |
Зарегистрировано в Минюсте РФ 22 декабря 2022 г.
Регистрационный № 71784
УТВЕРЖДЕН
приказом Министерства
труда и социальной защиты
Российской Федерации
от 28 ноября 2022 г. № 739н
Профессиональный стандарт
“Специалист по информационной безопасности в кредитно-финансовой сфере”
+-------------------+
¦ 1593 ¦
+-------------------+
Регистрационный номер
I. Общие сведения
Обеспечение информационной безопасности в организациях +------------+
кредитно-финансовой сферы (далее - КФС) ¦ 06.053 ¦
__________________________________________________________ +------------+
(наименование вида профессиональной деятельности) код
Основная цель вида профессиональной деятельности:
| Управление рисками информационной безопасности, обеспечение защиты информации, операционной надежности (киберустойчивости) в организациях КФС |
|---|
Группа занятий:
| 1330 | Руководители служб и подразделений в сфере информационно-коммуникационных технологий | 2529 | Специалисты по базам данных и сетям, не входящие в другие группы |
|---|---|---|---|
| (код ОКЗ1) | (наименование) | (код ОКЗ) | (наименование) |
Отнесение к видам экономической деятельности:
| 74.90.99 | Деятельность в области защиты информации прочая |
|---|---|
| 62.02.9 | Деятельность консультативная в области компьютерных технологий прочая |
| 66 | Деятельность вспомогательная в сфере финансовых услуг и страхования |
| (код ОКВЭД2) | (наименование вида экономической деятельности) |
II. Описание трудовых функций, входящих в профессиональный стандарт (функциональная карта вида профессиональной деятельности)
| Обобщенные трудовые функции | Трудовые функции | ||||
|---|---|---|---|---|---|
| код | наименование | уровень квалификации | наименование | код | уровень (подуровень) квалификации |
| А | Обеспечение функционирования систем и средств защиты информации в организациях КФС | 6 | Проведение работ по установке, настройке и техническому обслуживанию систем и средств защиты информации в организациях КФС | А/01.6 | 6 |
| Администрирование систем и средств защиты информации в организациях КФС | А/02.6 | 6 | |||
| Реализация процессов обеспечения операционной надежности (киберустойчивости) в организациях КФС | А/03.6 | 6 | |||
| В | Управление инцидентами информационной безопасности в организациях КФС | 7 | Выявление и регистрация инцидентов информационной безопасности, в том числе обнаружение компьютерных атак, в организациях КФС | В/01.7 | 7 |
| Реагирование на инциденты информационной безопасности в организациях КФС | В/02.7 | 7 | |||
| Восстановление функционирования бизнес-процессов и технологических процессов и объектов информатизации после реализации инцидентов информационной безопасности в организациях КФС | В/03.7 | 7 | |||
| С | Аналитическое и организационное сопровождение деятельности по управлению рисками информационной безопасности в организациях КФС | 7 | Определение угроз информационной безопасности в организациях КФС | С/01.7 | 7 |
| Выявление, идентификация и оценка рисков информационной безопасности в организациях КФС | С/02.7 | 7 | |||
| Сбор и регистрация информации о выявленных рисках информационной безопасности в организациях КФС | С/03.7 | 7 | |||
| Разработка мероприятий, направленных на уменьшение негативного влияния рисков информационной безопасности в организациях КФС | С/04.7 | 7 | |||
| Мониторинг рисков информационной безопасности и контроль показателей уровня рисков информационной безопасности в организациях КФС | С/05.7 | 7 | |||
| Обеспечение информационной безопасности значимых объектов критической информационной инфраструктуры в организациях КФС | С/06.7 | 7 | |||
| Организация защиты информации, в том числе защиты персональных данных, в организациях КФС | С/07.7 | 7 | |||
| Обеспечение операционной надежности (киберустойчивости) в организациях КФС | С/08.7 | 7 | |||
| D | Методологическое обеспечение процессов информационной безопасности в организациях КФС | 7 | Разработка политики в области обеспечения информационной безопасности, по вопросам управления рисками информационной безопасности, обеспечения операционной надежности (киберустойчивости) и защиты информации в организациях КФС | D/01.7 | 7 |
| Разработка методологии обеспечения защиты информации и операционной надежности (киберустойчивости) в организациях КФС | D/02.7 | 7 | |||
| Разработка методологии управления рисками информационной безопасности в организациях КФС | D/03.7 | 7 | |||
| Разработка методологии выявления инцидентов информационной безопасности, реагирования на них и восстановления после их реализации в организациях КФС | D/04.7 | 7 | |||
| E | Контроль обеспечения информационной безопасности и обеспечение операционной надежности (киберустойчивости) в организациях КФС | 7 | Проведение контрольных проверок работоспособности и оценка эффективности применяемых программно-аппаратных средств защиты информации в организациях КФС | Е/01.7 | 7 |
| Контроль процессов защиты информации и обеспечения операционной надежности (киберустойчивости) в организациях КФС | Е/02.7 | 7 | |||
| Реализация программ повышения осведомленности организаций КФС по вопросам защиты информации и обеспечения операционной надежности (киберустойчивости) в организациях КФС | Е/03.7 | 7 | |||
| F | Организация процессов обеспечения информационной безопасности в организациях КФС | 8 | Организация управления рисками информационной безопасности на высшем управленческом уровне в организациях КФС | F/01.8 | 8 |
| Организация обеспечения защиты информации и операционной надежности (киберустойчивости) на высшем управленческом уровне в организациях КФС | F/02.8 | 8 | |||
| Контроль процедур управления рисками информационной безопасности и обеспечения защиты информации и операционной надежности (киберустойчивости) на высшем управленческом уровне в организациях КФС | F/03.8 | 8 | |||
| Совершенствование системы управления рисками информационной безопасности, обеспечение защиты информации и операционной надежности (киберустойчивости) на высшем управленческом уровне в организациях КФС | F/04.8 | 8 | |||
III. Характеристика обобщенных трудовых функций
3.1. Обобщенная трудовая функция
| Наименование | Обеспечение функционирования систем и средств защиты информации в организациях КФС | Код | А | Уровень квалификации | 6 |
|---|
| Происхождение обобщенной трудовой функции | Оригинал X | Заимствовано из оригинала | ||
|---|---|---|---|---|
| Код оригинала | Регистрационный номер профессионального стандарта |
| Возможные наименования должностей, профессий | Инженер по защите информации Специалист по защите информации I категории Специалист по защите информации II категории Специалист по защите информации Инженер-программист по технической защите информации I категории Инженер-программист по технической защите информации II категории Инженер-программист по технической защите информации Инженер-программист I категории Инженер-программист II категории Инженер-программист III категории Инженер-программист |
|---|---|
| Требования к образованию и обучению | Высшее образование - бакалавриат в области информационной безопасности |
| Требования к опыту практической работы | Для должностей с категорией - опыт работы в должности с более низкой (предшествующей) категорией не менее одного года |
| Особые условия допуска к работе | - |
| Другие характеристики | - |
Дополнительные характеристики
| Наименование документа | Код | Наименование базовой группы, должности (профессии) или специальности |
|---|---|---|
| ОКЗ | 2529 | Специалисты по базам данных и сетям, не входящие в другие группы |
| ЕКС3 | - | Администратор по обеспечению безопасности информации |
| - | Инженер по защите информации | |
| - | Специалист по защите информации | |
| - | Инженер-программист по технической защите информации | |
| ОКПДТР4 | 22567 | Инженер по защите информации |
| 26579 | Специалист по защите информации | |
| ОКСО5 | 2.10.03.01 | Информационная безопасность |
3.1.1. Трудовая функция
| Наименование | Проведение работ по установке, настройке и техническому обслуживанию систем и средств защиты информации в организациях КФС | Код | А/01.6 | Уровень (подуровень) квалификации | 6 |
|---|
| Происхождение трудовой функции | Оригинал X | Заимствовано из оригинала | ||
|---|---|---|---|---|
| Код оригинала | Регистрационный номер профессионального стандарта |
| Трудовые действия | Установка и монтаж систем и средств защиты информации, в том числе средств криптографической защиты информации (далее - СКЗИ), в организациях КФС |
|---|---|
| Настройка программных (программно-аппаратных) средств защиты информации, в том числе СКЗИ, в организациях КФС | |
| Испытания систем и средств защиты информации в организациях КФС | |
| Обнаружение и исправление ошибок в конфигурации программных средств защиты информации в организациях КФС | |
| Техническое обслуживание систем и средств защиты информации, в том числе СКЗИ, в организациях КФС | |
| Обнаружение и устранение неисправностей в работе программно-аппаратных (технических) средств защиты информации в организациях КФС | |
| Необходимые умения | Производить установку и монтаж систем и средств защиты информации, в том числе СКЗИ, в соответствии с инструкциями по эксплуатации и эксплуатационно-техническими документами |
| Производить настройку программных (программно-аппаратных) средств защиты информации, в том числе СКЗИ, в соответствии с инструкциями по эксплуатации и эксплуатационно-техническими документами | |
| Проводить испытания систем и средств защиты информации в соответствии с инструкциями по эксплуатации и эксплуатационно-техническими документами | |
| Производить обнаружение и исправление ошибок в конфигурации программных средств защиты информации | |
| Производить техническое обслуживание систем и средств защиты информации в соответствии с инструкциями по эксплуатации и эксплуатационно-технической документацией | |
| Производить устранение выявленных неисправностей программно-аппаратных (технических) средств защиты информации и при необходимости организовывать их ремонт | |
| Необходимые знания | Законодательство Российской Федерации, нормативные правовые акты, национальные, межгосударственные и международные стандарты в области защиты информации |
| Руководящие и методические документы уполномоченных федеральных органов исполнительной власти, нормативные акты Банка России в области защиты информации | |
| Современные информационные технологии (операционные системы, базы данных, вычислительные сети) | |
| Угрозы безопасности информации в автоматизированных системах | |
| Методы и средства защиты информации, в том числе СКЗИ, в автоматизированных системах | |
| Организационно-распорядительные документы по защите информации в автоматизированных системах в организациях КФС | |
| Технические описания и инструкции (руководства) по эксплуатации систем и средств защиты информации, в том числе СКЗИ, в автоматизированных системах | |
| Порядок организации технического обслуживания систем и средств защиты информации в соответствии с инструкциями и эксплуатационно-технической документацией | |
| Порядок устранения неисправностей и организации ремонта программно-аппаратных (технических) средств защиты информации | |
| Другие характеристики | - |
3.1.2. Трудовая функция
| Наименование | Администрирование систем и средств защиты информации в организациях КФС | Код | А/02.6 | Уровень (подуровень) квалификации | 6 |
|---|
| Происхождение трудовой функции | Оригинал X | Заимствовано из оригинала | ||
|---|---|---|---|---|
| Код оригинала | Регистрационный номер профессионального стандарта |
| Трудовые действия | Определение состава и порядка применения программно-аппаратных средств защиты информации в организациях КФС |
|---|---|
| Конфигурирование программно-аппаратных средств защиты информации в операционных системах в организациях КФС | |
| Контроль корректности функционирования программно-аппаратных средств защиты информации в операционных системах в организациях КФС | |
| Управление правами пользователей автоматизированной системы в организациях КФС | |
| Обеспечение безопасности информации с учетом требования эффективного функционирования автоматизированной системы в организациях КФС | |
| Управление антивирусной защитой операционных систем в соответствии с действующими требованиями в организациях КФС | |
| Контроль соблюдения требований к защите информации при установке программного обеспечения, включая антивирусное программное обеспечение, в организациях КФС | |
| Необходимые умения | Планировать политику безопасности компонентов (операционных систем, баз данных, компьютерных сетей, программных систем) автоматизированной системы в организациях КФС |
| Оценивать угрозы безопасности информации в организациях КФС | |
| Устанавливать и настраивать операционные системы, системы управления базами данных, компьютерные сети и прикладное программное обеспечение с учетом требований по обеспечению защиты информации | |
| Противодействовать угрозам безопасности информации с использованием встроенных средств защиты информации операционных систем | |
| Выбирать режимы работы программно-аппаратных средств защиты информации в операционных системах | |
| Настраивать антивирусные средства защиты информации в операционных системах | |
| Устанавливать обновления программного обеспечения и средств антивирусной защиты | |
| Проводить мониторинг функционирования программно-аппаратных средств защиты информации | |
| Оценивать оптимальность выбора программно-аппаратных средств защиты информации и их режимов функционирования в операционных системах | |
| Необходимые знания | Законодательство Российской Федерации, нормативные правовые акты, национальные, межгосударственные и международные стандарты в области защиты информации |
| Руководящие и методические документы уполномоченных федеральных органов исполнительной власти, нормативные акты Банка России в области защиты информации | |
| Принципы формирования политики информационной безопасности в автоматизированных системах в организациях КФС | |
| Принципы построения и функционирования современных операционных систем, систем управления базами данных и компьютерных сетей | |
| Программно-аппаратные средства обеспечения безопасности информации в типовых операционных системах, системах управления базами данных, компьютерных сетях | |
| Основные криптографические методы, алгоритмы, протоколы, используемые для обеспечения безопасности информации в автоматизированных системах | |
| Принципы организации и структура подсистем защиты современных операционных систем, систем управления базами данных и компьютерных сетей | |
| Порядок реализации методов и средств антивирусной защиты в операционных системах | |
| Принципы работы и правила эксплуатации программно-аппаратных средств защиты информации | |
| Руководящие и методические документы уполномоченных федеральных органов исполнительной власти по защите информации и обеспечению безопасности критической информационной инфраструктуры | |
| Основные меры по защите информации в автоматизированных системах (организационные, правовые, программно-аппаратные, криптографические, технические) в организациях КФС | |
| Другие характеристики | - |
3.1.3. Трудовая функция
| Наименование | Реализация процессов обеспечения операционной надежности (киберустойчивости) в организациях КФС | Код | А/03.6 | Уровень (подуровень) квалификации | 6 |
|---|
| Происхождение трудовой функции | Оригинал X | Заимствовано из оригинала | ||
|---|---|---|---|---|
| Код оригинала | Регистрационный номер профессионального стандарта |
| Трудовые действия | Реализация и совершенствование процессов обеспечения операционной надежности (киберустойчивости) в организациях КФС |
|---|---|
| Формирование отчетности о защите информации и об обеспечении операционной надежности (кибербезопасности) в организации КФС | |
| Обеспечение необходимого уровня зрелости (полноты и качества) процессов обеспечения операционной надежности (киберустойчивости) в организациях КФС | |
| Необходимые умения | Анализировать и применять методологическую базу, требования законодательства Российской Федерации, нормативных актов Банка России, международных и национальных стандартов в области обеспечения операционной надежности (киберустойчивости) в организациях КФС |
| Разрабатывать предложения по совершенствованию методологии обеспечения операционной надежности (киберустойчивости) в организациях КФС | |
| Применять организационные и технические меры обеспечения операционной надежности (киберустойчивости) в организациях КФС | |
| Вносить предложения об изменении контрольных показателей уровня рисков информационной безопасности в организациях КФС | |
| Анализировать техническую документацию на объектах информатизации в организациях КФС | |
| Необходимые знания | Законодательство Российской Федерации, нормативные правовые акты, национальные, межгосударственные и международные стандарты в области защиты информации, реализации и контроля процессов обеспечения операционной надежности (киберустойчивости) в организациях КФС |
| Руководящие и методические документы уполномоченных федеральных органов исполнительной власти, нормативные акты Банка России в области защиты информации, реализации и контроля процессов обеспечения операционной надежности (киберустойчивости) в организациях КФС | |
| Принципы обеспечения операционной надежности (киберустойчивости) в организациях КФС | |
| Базовый состав организационных, технологических и технических мер обеспечения операционной надежности (киберустойчивости) в организациях КФС | |
| Подходы к сегментации вычислительных сетей в организациях КФС | |
| Специфика платежных процессов в организациях КФС | |
| Основы обеспечения безопасности объектов информатизации прикладного уровня в организациях КФС | |
| Подходы к подтверждению реализации функций безопасности и контроля (наличия) уязвимостей объектов информатизации прикладного уровня в организациях КФС | |
| Другие характеристики | - |
3.2. Обобщенная трудовая функция
| Наименование | Управление инцидентами информационной безопасности в организациях КФС | Код | В | Уровень квалификации | 7 |
|---|
| Происхождение обобщенной трудовой функции | Оригинал X | Заимствовано из оригинала | ||
|---|---|---|---|---|
| Код оригинала | Регистрационный номер профессионального стандарта |
| Возможные наименования должностей, профессий | Специалист по информационной безопасности Ведущий специалист по защите информации |
|---|---|
| Требования к образованию и обучению | Высшее образование - специалитет или магистратура в области информационной безопасности |
| Требования к опыту практической работы | - |
| Особые условия допуска к работе | - |
| Другие характеристики | - |
Дополнительные характеристики
| Наименование документа | Код | Наименование базовой группы, должности (профессии) или специальности |
|---|---|---|
| ОКЗ | 2529 | Специалисты по базам данных и сетям, не входящие в другие группы |
| ЕКС | - | Администратор по обеспечению безопасности информации |
| - | Инженер по защите информации | |
| - | Инженер-программист по технической защите информации | |
| - | Специалист по обеспечению безопасности информации в ключевых системах информационной инфраструктуры | |
| ОКПДТР | 22567 | Инженер по защите информации |
| 26579 | Специалист по защите информации | |
| ОКСО | 2.10.04.01 | Информационная безопасность |
| 2.10.05.01 | Компьютерная безопасность | |
| 2.10.05.02 | Информационная безопасность телекоммуникационных систем | |
| 2.10.05.03 | Информационная безопасность автоматизированных систем | |
| 2.10.05.04 | Информационно-аналитические системы безопасности | |
| 2.10.05.05 | Безопасность информационных технологий в правоохранительной сфере | |
| 2.10.05.06 | Криптография | |
| 2.10.05.07 | Противодействие техническим разведкам |
3.2.1. Трудовая функция
| Наименование | Выявление и регистрация инцидентов информационной безопасности, в том числе обнаружение компьютерных атак, в организациях КФС | Код | В/01.7 | Уровень (подуровень) квалификации | 7 |
|---|
| Происхождение трудовой функции | Оригинал X | Заимствовано из оригинала | ||
|---|---|---|---|---|
| Код оригинала | Регистрационный номер профессионального стандарта |
| Трудовые действия | Оперативный мониторинг и выявление событий информационной безопасности, в том числе обнаружение компьютерных атак, в организациях КФС |
|---|---|
| Сбор данных для регистрации событий информационной безопасности, в том числе компьютерных атак, в организациях КФС | |
| Обеспечение функционирования механизмов и инициативного информирования подразделений, ответственных за управление рисками информационной безопасности, работников организаций КФС о событиях информационной безопасности в организациях КФС | |
| Организация и выполнение деятельности по получению и использованию сведений об актуальных индикаторах компрометации объектов информатизации в организациях КФС | |
| Автоматизация процедур выявления наличия индикаторов компрометации в организациях КФС | |
| Сбор и регистрация информации об инцидентах информационной безопасности в организациях КФС | |
| Необходимые умения | Анализировать и применять методологическую базу, требования законодательства Российской Федерации, нормативных актов Банка России, международных и национальных стандартов в области защиты информации, обеспечения информационной безопасности, управления рисками информационной безопасности в организациях КФС, а также обнаружения, предупреждения и ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры организаций КФС, и реагирования на компьютерные инциденты |
| Настраивать средства (агенты, интерфейсы) сбора технических данных для выявления событий информационной безопасности в организациях КФС, в том числе для обнаружения компьютерных атак | |
| Осуществлять работу с техническими средствами защиты информации и системами, реализующими функции управления инцидентами информационной безопасности в организациях КФС | |
| Анализировать технические данные, свидетельствующие о возникновении событий информационной безопасности в организациях КФС, в том числе об обнаружении компьютерных атак | |
| Формировать отчетность о выявленных событиях и инцидентах информационной безопасности в организациях КФС | |
| Необходимые знания | Законодательство Российской Федерации, нормативные правовые акты, национальные, межгосударственные и международные стандарты в области защиты информации, обеспечения информационной безопасности, управления рисками информационной безопасности в организациях КФС |
| Законодательство Российской Федерации, нормативные правовые акты, национальные, межгосударственные и международные стандарты в области защиты информации, обеспечения информационной безопасности, управления рисками информационной безопасности в организациях КФС, а также обнаружения, предупреждения и ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры и реагирования на компьютерные инциденты | |
| Руководящие и методические документы уполномоченных федеральных органов исполнительной власти, нормативные акты Банка России в области защиты информации, обеспечения информационной безопасности, управления рисками информационной безопасности в организациях КФС, а также обнаружения, предупреждения и ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры, реагирования на компьютерные инциденты | |
| Основные уязвимости и угрозы нарушения защиты информации, характерные для организаций КФС | |
| Базовый состав и функциональные возможности технических средств сбора технических данных для выявления событий информационной безопасности, в том числе обнаружения компьютерных атак, в организациях КФС | |
| Принципы построения систем обеспечения защиты информации и операционной надежности (киберустойчивости) в организациях КФС | |
| Подходы к настройке средств сбора технических данных для выявления событий и инцидентов информационной безопасности в организациях КФС, в том числе обнаружения компьютерных атак | |
| Специфика платежных процессов в организациях КФС | |
| Типичные события и инциденты информационной безопасности в организациях КФС | |
| Подходы к описанию сценариев реализации инцидентов информационной безопасности в организациях КФС | |
| Другие характеристики | - |
3.2.2. Трудовая функция
| Наименование | Реагирование на инциденты информационной безопасности в организациях КФС | Код | В 02.7 | Уровень (подуровень) квалификации | 7 |
|---|
| Происхождение трудовой функции | Оригинал X | Заимствовано из оригинала | ||
|---|---|---|---|---|
| Код оригинала | Регистрационный номер профессионального стандарта |
| Трудовые действия | Реализация порядка реагирования на инциденты информационной безопасности в организациях КФС |
|---|---|
| Сбор информации об инцидентах информационной безопасности в организациях КФС, их классификация и оценка критичности | |
| Выполнение действий по реагированию на инциденты информационной безопасности в соответствии с едиными правилами и процедурами реагирования на такие инциденты в организациях КФС | |
| Разработка единых правил и процедур реагирования на инциденты информационной безопасности в организациях КФС | |
| Осуществление взаимодействия с подразделениями организации КФС, Банком России, федеральными органами исполнительной власти и иными уполномоченными организациями в рамках реагирования на инциденты информационной безопасности, в том числе обнаружения, предупреждения и ликвидации последствий компьютерных атак в организации КФС, а также с внешними заинтересованными организациями | |
| Информирование Банка России об инцидентах информационной безопасности в организациях КФС в установленном порядке | |
| Необходимые умения | Анализировать и применять методологическую базу, требования законодательства Российской Федерации, нормативных актов Банка России, международных и национальных стандартов в области управления рисками информационной безопасности, обеспечения защиты информации и операционной надежности (киберустойчивости) в организациях КФС |
| Настраивать средства (агенты, интерфейсы) сбора технических данных для выявления событий информационной безопасности в организациях КФС | |
| Осуществлять работу с техническими средствами защиты информации и системами, реализующими функции управления инцидентами информационной безопасности организаций КФС | |
| Анализировать технические данные, свидетельствующие о возникновении событий информационной безопасности в организациях КФС | |
| Формировать отчетность о выявленных событиях и инцидентах информационной безопасности в организациях КФС | |
| Применять меры, направленные на снижение тяжести последствий реализации инцидентов информационной безопасности в организациях КФС | |
| Применять методологию оценки потенциала влияния (критичности) инцидента информационной безопасности организаций КФС | |
| Необходимые знания | Законодательство Российской Федерации, нормативные акты Банка России, международные и национальные стандарты в области обеспечения информационной безопасности, управления рисками информационной безопасности в организациях КФС |
| Законодательство Российской Федерации, нормативные правовые акты, национальные, межгосударственные и международные стандарты в области защиты информации, обеспечения информационной безопасности, управления рисками информационной безопасности в организациях КФС | |
| Руководящие и методические документы уполномоченных федеральных органов исполнительной власти, нормативные акты Банка России в области защиты информации, обеспечения информационной безопасности, управления рисками информационной безопасности в организациях КФС, а также в области обнаружения, предупреждения и ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры, реагирования на компьютерные инциденты | |
| Основные уязвимости и угрозы нарушения защиты информации, характерные для организаций КФС | |
| Базовый состав и функциональные возможности технических средств сбора технических данных для выявления событий информационной безопасности в организациях КФС | |
| Принципы построения систем обеспечения защиты информации и операционной надежности (киберустойчивости) в организациях КФС | |
| Подходы к настройке средств сбора технических данных для выявления событий и инцидентов информационной безопасности в организациях КФС | |
| Типичные события и инциденты информационной безопасности в организациях КФС | |
| Специфика платежных процессов в организациях КФС | |
| Принципы работы с техническими средствами защиты информации, реализующими функции управления инцидентами информационной безопасности в организациях КФС | |
| Подходы к описанию сценариев реализации инцидентов информационной безопасности в организациях КФС | |
| Другие характеристики | - |
3.2.3. Трудовая функция
| Наименование | Восстановление функционирования бизнес-процессов и технологических процессов и объектов информатизации после реализации инцидентов информационной безопасности в организациях КФС | Код | В/03.7 | Уровень (подуровень) квалификации | 7 |
|---|
| Происхождение трудовой функции | Оригинал X | Заимствовано из оригинала | ||
|---|---|---|---|---|
| Код оригинала | Регистрационный номер профессионального стандарта |
| Трудовые действия | Реализация порядка восстановления функционирования бизнес-процессов и технологических процессов и объектов информатизации после реализации инцидентов информационной безопасности в организациях КФС |
|---|---|
| Выполнение действий по восстановлению функционирования бизнес-процессов и технологических процессов и объектов информатизации после инцидентов информационной безопасности в соответствии с едиными правилами и процедурами после реализации таких инцидентов в организациях КФС | |
| Разработка единых правил и процедур восстановления функционирования бизнес-процессов и технологических процессов и объектов информатизации после реализации инцидентов информационной безопасности в организациях КФС | |
| Определение критериев и проведение оценки завершения восстановления функционирования бизнес-процессов и технологических процессов и объектов информатизации, условий закрытия инцидента информационной безопасности в организациях КФС | |
| Сбор и фиксация технических данных (свидетельств) в рамках восстановления функционирования бизнес-процессов и технологических процессов и объектов информатизации после реализации инцидентов информационной безопасности в организациях КФС | |
| Осуществление взаимодействия с подразделениями организации КФС, Банком России, федеральными органами исполнительной власти, иными уполномоченными организациями в рамках восстановления функционирования бизнес-процессов и технологических процессов и объектов информатизации после реализации инцидентов информационной безопасности в организациях КФС, а также с внешними заинтересованными организациями | |
| Информирование Банка России о статусе обработки инцидента информационной безопасности в организациях КФС | |
| Необходимые умения | Анализировать и применять методологическую базу, требования законодательства Российской Федерации, нормативных актов Банка России, международных и национальных стандартов в области управления рисками информационной безопасности, обеспечения защиты информации и операционной надежности (киберустойчивости) в организациях КФС |
| Осуществлять работу с техническими средствами защиты информации и системами, реализующими функции управления инцидентами информационной безопасности в организациях КФС | |
| Анализировать технические данные, свидетельствующие о возникновении событий информационной безопасности в организациях КФС | |
| Формировать отчетность в рамках восстановления функционирования бизнес-процессов и технологических процессов и объектов информатизации после реализации инцидентов информационной безопасности в организациях КФС | |
| Работать с техническими средствами защиты информации, реализующими функции управления инцидентами информационной безопасности в организациях КФС | |
| Применять меры, направленные на снижение тяжести последствий реализации инцидентов информационной безопасности в организациях КФС | |
| Необходимые знания | Законодательство Российской Федерации, нормативные правовые акты, национальные, межгосударственные и международные стандарты в области защиты информации, обеспечения информационной безопасности, управления рисками информационной безопасности в организациях КФС |
| Руководящие и методические документы уполномоченных федеральных органов исполнительной власти, нормативные акты Банка России в области защиты информации, обеспечения информационной безопасности, управления рисками информационной безопасности в организациях КФС, а также в области обнаружения, предупреждения и ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры, реагирования на компьютерные инциденты | |
| Основные уязвимости и угрозы нарушения защиты информации, характерные для организаций КФС | |
| Базовый состав и функциональные возможности технических средств сбора технических данных для выявления событий информационной безопасности в организациях КФС | |
| Принципы построения систем обеспечения защиты информации и операционной надежности (киберустойчивости) в организациях КФС | |
| Типичные события и инциденты информационной безопасности в организациях КФС | |
| Принципы работы с техническими средствами защиты информации, реализующими функции управления инцидентами информационной безопасности в организациях КФС | |
| Подходы к описанию сценариев реализации инцидентов информационной безопасности в организациях КФС | |
| Другие характеристики | - |
3.3. Обобщенная трудовая функция
| Наименование | Аналитическое и организационное сопровождение деятельности по управлению рисками информационной безопасности в организациях КФС | Код | С | Уровень квалификации | 7 |
|---|
| Происхождение обобщенной трудовой функции | Оригинал X | Заимствовано из оригинала | ||
|---|---|---|---|---|
| Код оригинала | Регистрационный номер профессионального стандарта |
| Возможные наименования должностей, профессий | Главный специалист по информационной безопасности Ведущий специалист по информационной безопасности Руководитель структурного подразделения |
|---|---|
| Требования к образованию и обучению | Высшее профильное образование - магистратура или специалитет в области информационной безопасности или Высшее образование (непрофильное) - магистратура или специалитет и дополнительное профессиональное образование (профессиональная переподготовка) в области информационной безопасности |
| Требования к опыту практической работы | Не менее двух лет в области информационной безопасности в организациях КФС |
| Особые условия допуска к работе | Наличие допуска к государственной тайне (при необходимости)6 |
| Другие характеристики | - |
Дополнительные характеристики
| Наименование документа | Код | Наименование базовой группы, должности (профессии) или специальности |
|---|---|---|
| ОКЗ | 2529 | Специалисты по базам данных и сетям, не входящие в другие группы |
| ЕКС | - | Главный специалист по технической защите информации |
| ОКПДТР | 20911 | Главный специалист по защите информации |
| ОКСО | 1.02.04.01 | Математика и компьютерные науки |
| 1.02.04.02 | Фундаментальная информатика и информационные технологии | |
| 1.02.04.03 | Математическое обеспечение и администрирование информационных систем | |
| 2.09.04.01 | Информатика и вычислительная техника | |
| 2.09.04.02 | Информационные системы и технологии | |
| 2.09.04.03 | Прикладная информатика | |
| 2.09.04.04 | Программная инженерия | |
| 2.10.04.01 | Информационная безопасность | |
| 2.10.05.01 | Компьютерная безопасность | |
| 2.10.05.02 | Информационная безопасность телекоммуникационных систем | |
| 2.10.05.03 | Информационная безопасность автоматизированных систем | |
| 2.10.05.04 | Информационно-аналитические системы безопасности | |
| 2.10.05.05 | Безопасность информационных технологий в правоохранительной сфере | |
| 2.10.05.06 | Криптография | |
| 2.10.05.07 | Противодействие техническим разведкам |
3.3.1. Трудовая функция
| Наименование | Определение угроз информационной безопасности в организациях КФС | Код | С/01.7 | Уровень (подуровень) квалификации | 7 |
|---|
| Происхождение трудовой функции | Оригинал X | Заимствовано из оригинала | ||
|---|---|---|---|---|
| Код оригинала | Регистрационный номер профессионального стандарта |
| Трудовые действия | Подготовка предложений по организации и выполнению действий по определению и анализу угроз информационной безопасности, характерных для организаций КФС |
|---|---|
| Определение возможных сценариев реализации угроз информационной безопасности в организациях КФС | |
| Организация процесса выявления возможных уязвимостей критичной архитектуры в организациях КФС | |
| Формирование модели внутреннего и внешнего нарушителя безопасности информации в организациях КФС | |
| Разработка модели угроз информационной безопасности в организациях КФС | |
| Оценка возможности эксплуатации уязвимостей в отношении критичной архитектуры в организациях КФС | |
| Необходимые умения | Анализировать и применять методологическую базу, требования законодательства Российской Федерации, нормативных актов Банка России, международных и национальных стандартов в области защиты информации, обеспечения информационной безопасности, управления рисками информационной безопасности в организациях КФС |
| Разрабатывать модели угроз информационной безопасности в организациях КФС | |
| Разрабатывать проекты внутренних документов (локальные акты, организационно-распорядительные документы и методические материалы) организации КФС по вопросам моделирования угроз информационной безопасности | |
| Оценивать возможности эксплуатации уязвимостей в отношении критичной архитектуры в организациях КФС | |
| Оценивать потенциал нарушителя безопасности информации в организациях КФС | |
| Осуществлять сбор и анализ информации об актуальных угрозах информационной безопасности и уязвимостях в организациях КФС | |
| Необходимые знания | Законодательство Российской Федерации, нормативные правовые акты, национальные, межгосударственные и международные стандарты в области защиты информации, обеспечения информационной безопасности, управления рисками информационной безопасности в организациях КФС, а также в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации |
| Руководящие и методические документы уполномоченных федеральных органов исполнительной власти, нормативные акты Банка России в области защиты информации, обеспечения информационной безопасности, управления рисками информационной безопасности в организациях КФС, а также в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации | |
| Модели безопасности компьютерных систем в организациях КФС | |
| Модели нарушителя, методика построения модели нарушителя и методы классификации нарушителей | |
| Принципы обеспечения информационной безопасности, управления рисками информационной безопасности в организациях КФС | |
| Специфика платежных процессов в организациях КФС | |
| Принципы построения архитектуры информационной безопасности в организациях КФС | |
| Основные источники рисков информационной безопасности в рамках бизнес-процессов и технологических процессов организаций КФС | |
| Основные угрозы информационной безопасности и уязвимости в организациях КФС | |
| Основы функционирования автоматизированных систем и приложений | |
| Другие характеристики | - |
3.3.2. Трудовая функция
| Наименование | Выявление, идентификация и оценка рисков информационной безопасности в организациях КФС | Код | С/02.7 | Уровень (подуровень) квалификации | 7 |
|---|
| Происхождение трудовой функции | Оригинал X | Заимствовано из оригинала | ||
|---|---|---|---|---|
| Код оригинала | Регистрационный номер профессионального стандарта |
| Трудовые действия | Идентификация рисков информационной безопасности в организациях КФС |
|---|---|
| Проведение оценки рисков информационной безопасности по каждому виду деятельности организаций КФС | |
| Организация и выполнение оценки вероятности возникновения инцидентов информационной безопасности в организациях КФС | |
| Проведение оценки степени тяжести последствий инцидентов информационной безопасности в организациях КФС | |
| Проведение анализа базы данных о событиях рисков информационной безопасности в организациях КФС | |
| Организация и проведение самооценки (в частности, путем анкетирования персонала) рисков информационной безопасности в организациях КФС | |
| Организация и проведение интервьюирования работников организаций КФС в целях идентификации рисков информационной безопасности | |
| Необходимые умения | Анализировать и применять методологическую базу, требования законодательства Российской Федерации, нормативных актов Банка России, международных и национальных стандартов в области управления рисками информационной безопасности, обеспечения защиты информации и операционной надежности (киберустойчивости) в организациях КФС |
| Применять методологию проведения оценки рисков информационной безопасности по каждому виду деятельности организаций КФС | |
| Разрабатывать проекты внутренних документов (локальные акты, организационно-распорядительные документы и методические материалы) организации КФС по выявлению, идентификации и оценке рисков информационной безопасности в организациях КФС | |
| Разрабатывать предложения по совершенствованию внутренних документов организаций КФС, определяющих методологию оценки рисков информационной безопасности в организациях КФС | |
| Разрабатывать предложения по совершенствованию внутренних документов организаций КФС, определяющих методологию проведения самооценки (в частности, путем анкетирования персонала) рисков информационной безопасности в организациях КФС, и проведения интервьюирования работников организаций КФС в целях идентификации рисков информационной безопасности | |
| Необходимые знания | Законодательство Российской Федерации, нормативные правовые акты, национальные, межгосударственные и международные стандарты в области защиты информации, обеспечения информационной безопасности, управления рисками информационной безопасности в организациях КФС |
| Руководящие и методические документы уполномоченных федеральных органов исполнительной власти, нормативные акты Банка России в области защиты информации, обеспечения информационной безопасности, управления рисками информационной безопасности в организациях КФС | |
| Основы проведения анализа баз данных в организациях КФС | |
| Специфика платежных процессов в организациях КФС | |
| Принципы построения архитектуры информационной безопасности в организациях КФС | |
| Принципы управления рисками информационной безопасности, обеспечения информационной безопасности в организациях КФС | |
| Основные источники рисков информационной безопасности в рамках бизнес-процессов и технологических процессов организаций КФС | |
| Подходы к оценке и лучшие практики оценки рисков информационной безопасности в организациях КФС | |
| Подходы к проведению и лучшие практики проведения самооценки (в частности, путем анкетирования персонала) рисков информационной безопасности в организациях КФС, и проведения интервьюирования работников организаций КФС в целях идентификации рисков информационной безопасности | |
| Классификация событий рисков информационной безопасности организаций КФС | |
| Другие характеристики | - |
3.3.3. Трудовая функция
| Наименование | Сбор и регистрация информации о выявленных рисках информационной безопасности в организациях КФС | Код | С/03.7 | Уровень (подуровень) квалификации | 7 |
|---|
| Происхождение трудовой функции | Оригинал X | Заимствовано из оригинала | ||
|---|---|---|---|---|
| Код оригинала | Регистрационный номер профессионального стандарта |
| Трудовые действия | Выявление и классификация событий рисков информационной безопасности в организациях КФС |
|---|---|
| Ведение базы данных о событиях рисков и регистрация событий рисков информационной безопасности в организациях КФС | |
| Определение потерь от реализации событий рисков информационной безопасности в организациях КФС | |
| Организация сбора информации о событиях рисков информационной безопасности в организациях КФС | |
| Проведение анализа причин и последствий реализации инцидентов информационной безопасности в организациях КФС | |
| Необходимые умения | Анализировать и применять методологическую базу, требования законодательства Российской Федерации, нормативных актов Банка России, международных и национальных стандартов в области управления рисками информационной безопасности, обеспечения защиты информации и операционной надежности (киберустойчивости) в организациях КФС |
| Разрабатывать проекты внутренних документов (локальные акты, организационно-распорядительные документы и методические материалы) организации КФС по вопросам рисков информационной безопасности в организациях КФС | |
| Обеспечивать ведение базы данных о событиях рисков информационной безопасности в организациях КФС | |
| Применять методологию проведения оценки потерь от реализации рисков информационной безопасности в организациях КФС | |
| Организовывать процесс сбора информации о событиях рисков информационной безопасности организаций КФС от структурных подразделений (владельцев рисков) организаций КФС, в том числе о результатах претензионной работы | |
| Анализировать технические данные, свидетельствующие о возникновении событий и инцидентов информационной безопасности в организациях КФС | |
| Необходимые знания | Законодательство Российской Федерации, нормативные правовые акты, национальные, межгосударственные и международные стандарты в области защиты информации, обеспечения информационной безопасности, управления рисками информационной безопасности в организациях КФС |
| Руководящие и методические документы уполномоченных федеральных органов исполнительной власти, нормативные акты Банка России в области защиты информации, обеспечения информационной безопасности, управления рисками информационной безопасности в организациях КФС | |
| Принципы управления рисками информационной безопасности, обеспечения информационной безопасности в организациях КФС | |
| Специфика платежных процессов в организациях КФС | |
| Принципы построения архитектуры информационной безопасности | |
| Основные источники рисков информационной безопасности в рамках бизнес-процессов и технологических процессов организаций КФС | |
| Классификация событий рисков информационной безопасности организаций КФС | |
| Основы организации и ведения баз данных | |
| Другие характеристики | - |
3.3.4. Трудовая функция
| Наименование | Разработка мероприятий, направленных на уменьшение негативного влияния рисков информационной безопасности в организациях КФС | Код | С/04.7 | Уровень (подуровень) квалификации | 7 |
|---|
| Происхождение трудовой функции | Оригинал X | Заимствовано из оригинала | ||
|---|---|---|---|---|
| Код оригинала | Регистрационный номер профессионального стандарта |
| Трудовые действия | Определение способов реагирования на риски информационной безопасности в организациях КФС |
|---|---|
| Организация и выполнение работ по разработке плана реагирования на риски информационной безопасности в организациях КФС | |
| Определение контрольных и сигнальных значений показателей в рамках плана реагирования на риски информационной безопасности организаций КФС в соответствии с допустимым уровнем рисков информационной безопасности организаций КФС (риск-аппетитом финансовой организации) | |
| Определение технологических мер защиты информации, обрабатываемой в рамках технологических операций при выполнении бизнес-процессов и технологических процессов в организациях КФС | |
| Определение организационных и технических мер защиты информации и обеспечения операционной надежности (киберустойчивости) в организациях КФС | |
| Разработка мероприятий, направленных на ограничение степени тяжести последствий в результате инцидентов, связанных с реализаций информационных угроз в организациях КФС | |
| Необходимые умения | Анализировать и применять методологическую базу, требования законодательства Российской Федерации, нормативных актов Банка России, международных и национальных стандартов в области управления рисками информационной безопасности, обеспечения защиты информации и операционной надежности (киберустойчивости) в организациях КФС |
| Разрабатывать предложения по организации необходимого и достаточного ресурсного (кадрового и финансового) обеспечения процессов системы управления рисками информационной безопасности в организациях КФС | |
| Осуществлять выбор организационных и технических мер защиты информации и обеспечения операционной надежности (киберустойчивости) в организациях КФС | |
| Осуществлять выбор технологических мер защиты информации, обрабатываемой в рамках технологических операций при выполнении бизнес-процессов и технологических процессов в организациях КФС | |
| Осуществлять планирование деятельности организаций КФС по реагированию на риски информационной безопасности | |
| Планировать процессы подтверждения реализации функций безопасности и контроля (наличия) уязвимостей объектов информатизации прикладного уровня в организациях КФС | |
| Необходимые знания | Законодательство Российской Федерации, нормативные правовые акты, национальные, межгосударственные и международные стандарты в области защиты информации, обеспечения информационной безопасности, управления рисками информационной безопасности в организациях КФС |
| Руководящие и методические документы уполномоченных федеральных органов исполнительной власти, нормативные акты Банка | |
| России в области защиты информации, обеспечения информационной безопасности, управления рисками информационной безопасности в организациях КФС | |
| Основные подходы к реагированию на риски информационной безопасности в организациях КФС | |
| Принципы построения и совершенствования систем защиты информации и обеспечения операционной надежности (киберустойчивости) в организациях КФС | |
| Подходы к реализации технологических мер защиты информации, обрабатываемой в рамках технологических операций при выполнении бизнес-процессов и технологических процессов в организациях КФС | |
| Подходы к выявлению инцидентов, реагированию на инциденты информационной безопасности и восстановлению функционирования бизнес-процессов и технологических процессов организаций КФС и объектов информатизации | |
| Специфика платежных процессов в организациях КФС | |
| Принципы построения архитектуры информационной безопасности | |
| Базовый состав организационных и технических мер защиты информации и обеспечения операционной надежности (киберустойчивости) в организациях КФС | |
| Классификация инцидентов защиты информации организаций КФС | |
| Принципы и порядок подтверждения реализации функций безопасности и отсутствия уязвимостей в используемых объектах информатизации прикладного уровня | |
| Принципы целеполагания, виды и методы организационного планирования | |
| Другие характеристики | - |
3.3.5. Трудовая функция
| Наименование | Мониторинг рисков информационной безопасности и контроль показателей уровня рисков информационной безопасности в организациях КФС | Код | С/05.7 | Уровень (подуровень) квалификации | 7 |
|---|
| Происхождение трудовой функции | Оригинал X | Заимствовано из оригинала | ||
|---|---|---|---|---|
| Код оригинала | Регистрационный номер профессионального стандарта |
| Трудовые действия | Определение набора ключевых индикаторов рисков информационной безопасности в организациях КФС и требований к ним |
|---|---|
| Документирование ключевых индикаторов рисков информационной безопасности в организациях КФС | |
| Организация и осуществление деятельности по расчету значений ключевых индикаторов рисков информационной безопасности и контрольных показателей уровня рисков информационной безопасности в организациях КФС | |
| Проведение оценки потенциала превышения сигнальных и контрольных значений показателей уровня рисков информационной безопасности в организациях КФС | |
| Определение порядка реагирования на превышение пороговых значений ключевых индикаторов рисков информационной безопасности в организациях КФС | |
| Организация и контроль выполнения мероприятий по переоценке рисков информационной безопасности в организациях КФС | |
| Формирование внутренней отчетности о фактических значениях показателей уровня рисков информационной безопасности в организациях КФС | |
| Необходимые умения | Анализировать и применять методологическую базу, требования законодательства Российской Федерации, нормативных актов Банка России, международных и национальных стандартов в области управления рисками информационной безопасности, обеспечения защиты информации и операционной надежности (киберустойчивости) в организациях КФС |
| Разрабатывать проекты внутренних документов (локальные акты, организационно-распорядительные документы и методические материалы) организации КФС, определяющих набор ключевых индикаторов рисков и требования к ним | |
| Применять методологию оценки потенциала превышения сигнальных и контрольных значений показателей уровня рисков информационной безопасности в организациях КФС | |
| Производить измерения ключевых индикаторов рисков информационной безопасности в организациях КФС | |
| Обосновывать пороговые значения ключевых индикаторов рисков информационной безопасности в организациях КФС | |
| Организовывать сбор информации для расчета ключевых индикаторов рисков и контрольных показателей уровня рисков информационной безопасности в организациях КФС | |
| Необходимые знания | Законодательство Российской Федерации, нормативные правовые акты, национальные, межгосударственные и международные стандарты в области защиты информации, обеспечения информационной безопасности, управления рисками информационной безопасности в организациях КФС |
| Руководящие и методические документы уполномоченных федеральных органов исполнительной власти, нормативные акты Банка России в области защиты информации, обеспечения информационной безопасности, управления рисками информационной безопасности в организациях КФС | |
| Принципы управления рисками информационной безопасности, обеспечения информационной безопасности в организациях КФС | |
| Способы расчета ключевых индикаторов рисков информационной безопасности в организациях КФС, в том числе с использованием средств информатизации | |
| Принципы построения архитектуры информационной безопасности | |
| Специфика платежных процессов в организациях КФС | |
| Подходы к определению состава контрольных показателей уровня рисков информационной безопасности в организациях КФС | |
| Подходы к организации составления отчетности в рамках управления рисками информационной безопасности | |
| Другие характеристики | - |
3.3.6. Трудовая функция
| Наименование | Обеспечение информационной безопасности значимых объектов критической информационной инфраструктуры в организациях КФС | Код | С/06.7 | Уровень (подуровень) квалификации | 7 |
|---|
| Происхождение трудовой функции | Оригинал X | Заимствовано из оригинала | ||
|---|---|---|---|---|
| Код оригинала | Регистрационный номер профессионального стандарта |
| Трудовые действия | Разработка, согласование и применение внутренних документов организации КФС, определяющих методологию обеспечения защиты информации значимых объектов критической информационной инфраструктуры в организациях КФС |
|---|---|
| Организация работ по категорированию объектов критической информационной инфраструктуры Российской Федерации на этапах: - определение и выявление процессов в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов критической информационной инфраструктуры, нарушение и (или) прекращение которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка; - определение объектов критической информационной инфраструктуры, которые обрабатывают информацию, необходимую для обеспечения критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов; - формирование перечня объектов критической информационной инфраструктуры, подлежащих категорированию; - оценка в соответствии с перечнем показателей критериев значимости масштаба возможных последствий в случае возникновения компьютерных инцидентов на объектах критической информационной инфраструктуры; - присвоение объекту критической информационной инфраструктуры одной из категорий значимости либо принятие решения об отсутствии необходимости присвоения ему одной из категорий значимости | |
| Совершенствование методологии обеспечения защиты информации значимых объектов критической информационной инфраструктуры в организациях КФС | |
| Анализ результатов (валидация) применения методологии обеспечения защиты информации значимых объектов критической информационной инфраструктуры и защиты персональных данных в организациях КФС | |
| Разработка программ консультирования и повышения осведомленности работников организации КФС по вопросам защиты информации значимых объектов критической информационной инфраструктуры и защиты персональных данных в организациях КФС | |
| Методологическое сопровождение реализации программ контроля и аудита защиты информации значимых объектов критической информационной инфраструктуры в организациях КФС | |
| Определение форматов представления отчетности в рамках обеспечения защиты информации значимых объектов критической информационной инфраструктуры в организациях КФС | |
| Необходимые умения | Анализировать нормативные правовые акты, национальные и международные документы, регламентирующие разработку методологии обеспечения защиты информации в организациях КФС |
| Анализировать и применять методологическую базу, требования законодательства Российской Федерации и федеральных органов исполнительной власти Российской Федерации, уполномоченных в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, защиты персональных данных | |
| Анализировать и применять методологическую базу, требования законодательства Российской Федерации, нормативных актов Банка России, международных и национальных стандартов в области управления рисками информационной безопасности и обеспечения защиты информации | |
| Анализировать и обосновывать методологию обеспечения защиты информации в организациях КФС | |
| Разрабатывать проекты внутренних документов (локальные акты, организационно-распорядительные документы и методические материалы) организации КФС, определяющие методологию обеспечения защиты информации в организациях КФС | |
| Разрабатывать программы консультирования и повышения осведомленности работников организации КФС по вопросам защиты информации значимых объектов критической информационной инфраструктуры и защиты персональных данных в организациях КФС | |
| Подготавливать информационно-аналитические материалы по вопросам обеспечения защиты информации в организациях КФС | |
| Необходимые знания | Законодательство Российской Федерации, нормативные правовые акты, национальные, межгосударственные и международные стандарты в области защиты информации, защиты персональных данных, управления рисками информационной безопасности, обеспечения информационной безопасности в организациях КФС, обеспечения безопасности критической информационной инфраструктуры Российской Федерации; правила категорирования объектов критической информационной инфраструктуры Российской Федерации |
| Руководящие и методические документы уполномоченных федеральных органов исполнительной власти, нормативные акты Банка России в области защиты информации, защиты персональных данных, обеспечения информационной безопасности, управления рисками информационной безопасности в организациях КФС, обеспечения безопасности критической информационной инфраструктуры Российской Федерации | |
| Принципы разработки и совершенствования методологии обеспечения защиты информации в организациях КФС | |
| Принципы построения систем обеспечения защиты информации и защиты персональных данных в организациях КФС | |
| Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных в организациях КФС | |
| Методология разработки программ консультирования и повышения осведомленности работников организации КФС по вопросам защиты информации и защиты объектов критической информационной инфраструктуры в организациях КФС | |
| Специфика платежных процессов в организациях КФС | |
| Принципы организации внутренней отчетности организации КФС в рамках обеспечения защиты информации в организациях КФС | |
| Другие характеристики | - |
3.3.7. Трудовая функция
| Наименование | Организация защиты информации, в том числе защиты персональных данных, в организациях КФС | Код | С/07.7 | Уровень (подуровень) квалификации | 7 |
|---|
| Происхождение трудовой функции | Оригинал X | Заимствовано из оригинала | ||
|---|---|---|---|---|
| Код оригинала | Регистрационный номер профессионального стандарта |
| Трудовые действия | Разработка модели угроз безопасности информации, в том числе безопасности персональных данных, в организациях КФС |
|---|---|
| Разработка организационно-распорядительных документов по защите информации, в том числе по защите персональных данных, в организациях КФС | |
| Организация выполнения организационных и технических мер по защите информации, в том числе по защите персональных данных, в организациях КФС | |
| Разработка архитектуры и конфигурации системы защиты персональных данных в организациях КФС | |
| Разработка систем мониторинга распространения персональных данных в организациях КФС | |
| Разработка методик оценки эффективности мер по обеспечению безопасности персональных данных в информационных системах в организациях КФС | |
| Организация контроля выполнения организационных и технических мер по защите информации, в том числе по защите персональных данных, в организациях КФС | |
| Проведение обучения персонала по выполнению организационных и технических мер по защите информации, в том числе по защите персональных данных в организациях КФС | |
| Необходимые умения | Разрабатывать модели угроз безопасности информации, в том числе безопасности персональных данных, в организациях КФС |
| Разрабатывать организационно-распорядительные документы по защите информации, в том числе по защите персональных данных, в организациях КФС | |
| Планировать и организовывать выполнение организационных и технических мер по защите информации, в том числе по защите персональных данных, в организациях КФС | |
| Планировать и организовывать контроль выполнения организационных технических мер по защите информации, в том числе по защите персональных данных, в организациях КФС | |
| Реализовывать правила разграничения доступа персонала к объектам доступа в организациях КФС | |
| Проводить обучение персонала по выполнению организационных и технических мер по защите информации, в том числе по защите персональных данных, в организациях КФС | |
| Разрабатывать архитектуру и конфигурацию системы защиты персональных данных в организациях КФС | |
| Разрабатывать системы мониторинга распространения персональных данных в организациях КФС | |
| Разрабатывать методики оценки эффективности мер по обеспечению безопасности персональных данных в информационных системах в организациях КФС | |
| Разрабатывать и реализовывать методы обезличивания персональных данных в информационных системах в организациях КФС | |
| Необходимые знания | Законодательство Российской Федерации, нормативные правовые акты, национальные, межгосударственные и международные стандарты в области защиты информации и защиты персональных данных |
| Руководящие и методические документы уполномоченных федеральных органов исполнительной власти, нормативные акты Банка России в области защиты информации и защиты персональных данных | |
| Современные информационные технологии (операционные системы, базы данных, вычислительные сети) | |
| Угрозы безопасности информации, в том числе безопасности персональных данных, в автоматизированных системах в организациях КФС | |
| Методы и средства защиты информации в автоматизированных системах в организациях КФС | |
| Порядок организации защиты и основные требования к защите информации, в том числе к защите персональных данных, в организациях КФС | |
| Состав и содержание организационно-распорядительных документов по защите информации, в том числе по защите персональных данных, в автоматизированных системах в организациях КФС | |
| Основы обеспечения безопасности объектов информатизации прикладного уровня в организациях КФС | |
| Порядок организации технического обслуживания систем и средств защиты информации в организациях КФС | |
| Основы методики обучения, повышения осведомленности и консультирования работников организации КФС по вопросам защиты информации, в том числе защиты персональных данных | |
| Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных в организациях КФС | |
| Принципы и условия обработки персональных данных в организациях КФС | |
| Методы и средства контроля выполнения организационных и технических мер по защите информации, в том числе по защите персональных данных, в организациях КФС | |
| Другие характеристики | - |
3.3.8. Трудовая функция
| Наименование | Обеспечение операционной надежности (киберустойчивости) в организациях КФС | Код | С/08.7 | Уровень (подуровень) квалификации | 7 |
|---|
| Происхождение трудовой функции | Оригинал X | Заимствовано из оригинала | ||
|---|---|---|---|---|
| Код оригинала | Регистрационный номер профессионального стандарта |
| Трудовые действия | Реализация организационных и технических мер защиты информации и операционной надежности (киберустойчивости) в организациях КФС |
|---|---|
| Совершенствование организационных и технических мер защиты информации и операционной надежности (киберустойчивости) в организациях КФС | |
| Обеспечение необходимого уровня зрелости (полноты и качества) организационных и технических мер защиты информации и операционной надежности (киберустойчивости) в организациях КФС | |
| Определение организационных и технических мер защиты информации и обеспечения операционной надежности (киберустойчивости) в организациях КФС | |
| Необходимые умения | Анализировать и применять методологическую базу, требования законодательства Российской Федерации, нормативных актов Банка России, международных и национальных стандартов в области обеспечения операционной надежности (киберустойчивости) в организациях КФС |
| Разрабатывать предложения по совершенствованию методологии обеспечения операционной надежности (киберустойчивости) в организациях КФС | |
| Применять организационные и технические меры обеспечения операционной надежности (киберустойчивости) в организациях КФС | |
| Вносить предложения об изменении контрольных показателей уровня рисков информационной безопасности в организациях КФС | |
| Осуществлять выбор организационных и технических мер защиты информации и обеспечения операционной надежности (киберустойчивости) в организациях КФС | |
| Анализировать техническую документацию на объектах информатизации в организациях КФС | |
| Необходимые знания | Законодательство Российской Федерации, нормативные правовые акты, национальные, межгосударственные и международные стандарты в области защиты информации, в области реализации и контроля процессов обеспечения операционной надежности (киберустойчивости) в организациях КФС |
| Руководящие и методические документы уполномоченных федеральных органов исполнительной власти, нормативные акты Банка России в области защиты информации, в области реализации и контроля процессов обеспечения операционной надежности (киберустойчивости) в организациях КФС | |
| Принципы обеспечения операционной надежности (киберустойчивости) в организациях КФС | |
| Базовый состав организационных, технологических и технических мер обеспечения операционной надежности (киберустойчивости) в организациях КФС | |
| Подходы к сегментации вычислительных сетей в организациях КФС | |
| Специфика платежных процессов в организациях КФС | |
| Основы обеспечения безопасности объектов информатизации прикладного уровня в организациях КФС | |
| Подходы к подтверждению реализации функций безопасности и контроля (наличия) уязвимостей объектов информатизации прикладного уровня в организациях КФС | |
| Другие характеристики | - |
3.4. Обобщенная трудовая функция
| Наименование | Методологическое обеспечение процессов информационной безопасности в организациях КФС | Код | D | Уровень квалификации | 7 |
|---|
| Происхождение обобщенной трудовой функции | Оригинал X | Заимствовано из оригинала | ||
|---|---|---|---|---|
| Код оригинала | Регистрационный номер профессионального стандарта |
| Возможные наименования должностей, профессий | Главный специалист по информационной безопасности Ведущий специалист по информационной безопасности Руководитель структурного подразделения |
|---|---|
| Требования к образованию и обучению | Высшее профильное образование - магистратура или специалитет в области информационной безопасности или Высшее образование (непрофильное) - магистратура или специалитет и дополнительное профессиональное образование (профессиональная переподготовка) в области информационной безопасности в организациях КФС |
| Требования к опыту практической работы | Не менее двух лет в области информационной безопасности в организациях КФС |
| Особые условия допуска к работе | - |
| Другие характеристики | - |
Дополнительные характеристики
| Наименование документа | Код | Наименование базовой группы, должности (профессии) или специальности |
|---|---|---|
| ОКЗ | 2529 | Специалисты по базам данных и сетям, не входящие в другие группы |
| ЕКС | - | Главный специалист по технической защите информации |
| ОКПДТР | 20911 | Главный специалист по защите информации |
| ОКСО | 1.01.04.02 | Прикладная математика и информатика |
| 1.02.04.01 | Математика и компьютерные науки | |
| 1.02.04.02 | Фундаментальная информатика и информационные технологии | |
| 1.02.04.03 | Математическое обеспечение и администрирование информационных систем | |
| 2.09.04.01 | Информатика и вычислительная техника | |
| 2.09.04.02 | Информационные системы и технологии | |
| 2.09.04.03 | Прикладная информатика | |
| 2.09.04.04 | Программная инженерия | |
| 2.10.04.01 | Информационная безопасность | |
| 2.11.04.02 | Инфокоммуникационные технологии и системы связи | |
| 5.38.04.01 | Экономика | |
| 5.38.04.05 | Бизнес-информатика | |
| 5.40.04.01 | Юриспруденция | |
| 2.10.05.01 | Компьютерная безопасность | |
| 2.10.05.02 | Информационная безопасность телекоммуникационных систем | |
| 2.10.05.03 | Информационная безопасность автоматизированных систем | |
| 2.10.05.04 | Информационно-аналитические системы безопасности | |
| 2.10.05.05 | Безопасность информационных технологий в правоохранительной сфере | |
| 2.10.05.06 | Криптография | |
| 2.10.05.07 | Противодействие техническим разведкам | |
| 5.38.05.01 | Экономическая безопасность | |
| 5.40.05.01 | Правовое обеспечение национальной безопасности |
3.4.1. Трудовая функция
| Наименование | Разработка политики в области обеспечения информационной безопасности, по вопросам управления рисками информационной безопасности, обеспечения операционной надежности (киберустойчивости) и защиты информации в организациях КФС | Код | D/01.7 | Уровень (подуровень) квалификации | 7 |
|---|
| Происхождение трудовой функции | Оригинал X | Заимствовано из оригинала | ||
|---|---|---|---|---|
| Код оригинала | Регистрационный номер профессионального стандарта |
| Трудовые действия | Разработка, согласование и организация утверждения политики в области обеспечения информационной безопасности, по вопросам управления рисками информационной безопасности, обеспечения операционной надежности (киберустойчивости) и защиты информации в организациях КФС |
|---|---|
| Совершенствование политики в области обеспечения информационной безопасности, по вопросам управления рисками информационной безопасности, обеспечения операционной надежности (киберустойчивости) и защиты информации в организациях КФС | |
| Разработка предложений по распределению ролей и ответственности за управление рисками информационной безопасности, обеспечение защиты информации и операционной надежности (киберустойчивости) в вовлеченных подразделениях организаций КФС | |
| Разработка предложений по определению зон компетенции совета директоров (наблюдательного совета) и исполнительного органа организаций КФС | |
| Разработка предложений по определению состава контрольных показателей уровня рисков информационной безопасности в организациях КФС, а также его контрольных и сигнальных значений | |
| Необходимые умения | Анализировать и обосновывать политику организаций КФС в области обеспечения информационной безопасности, по вопросам управления рисками информационной безопасности, обеспечения операционной надежности (киберустойчивости) и защиты информации |
| Анализировать и применять методологическую базу, требования законодательства Российской Федерации, нормативных актов Банка России, международных и национальных стандартов в области управления рисками информационной безопасности, обеспечения защиты информации и операционной надежности (киберустойчивости) в организациях КФС | |
| Разрабатывать предложения по изменению и совершенствованию политики управления рисками информационной безопасности в организациях КФС | |
| Разрабатывать проекты внутренних документов (локальные акты, организационно-распорядительные документы и методические материалы) организации КФС, устанавливающих цели и принципы, а также определяющих методологию и правила управления рисками информационной безопасности в организациях КФС | |
| Разрабатывать предложения по развитию корпоративной культуры (этики), устанавливающей значимость вопросов управления рисками информационной безопасности, обеспечения защиты информации, операционной надежности (киберустойчивости) в организациях КФС | |
| Необходимые знания | Законодательство Российской Федерации, нормативные правовые акты, национальные, межгосударственные и международные стандарты в области защиты информации, в области управления рисками информационной безопасности, обеспечения информационной безопасности и операционной надежности (киберустойчивости) в организациях КФС |
| Руководящие и методические документы уполномоченных федеральных органов исполнительной власти, нормативные акты Банка России в области защиты информации, в области управления рисками информационной безопасности, обеспечения информационной безопасности и операционной надежности (киберустойчивости) в организациях КФС | |
| Принципы и методы распределения ролей и ответственности за управление рисками информационной безопасности, обеспечение защиты информации и операционной надежности (киберустойчивости) в организациях КФС | |
| Принципы целеполагания, виды и методы организационного планирования | |
| Принципы построения и совершенствования систем управления рисками информационной безопасности, обеспечения информационной безопасности и операционной надежности (киберустойчивости) в организациях КФС | |
| Специфика платежных процессов в организациях КФС | |
| Принципы разработки политики в области обеспечения информационной безопасности по вопросам управления рисками информационной безопасности, обеспечения операционной надежности (киберустойчивости) и защиты информации в организациях КФС | |
| Подходы к определению состава контрольных показателей уровня рисков информационной безопасности в организации КФС | |
| Другие характеристики | - |
3.4.2. Трудовая функция
| Наименование | Разработка методологии обеспечения защиты информации и операционной надежности (киберустойчивости) в организациях КФС | Код | D/02.7 | Уровень (подуровень) квалификации | 7 |
|---|
| Происхождение трудовой функции | Оригинал X | Заимствовано из оригинала | ||
|---|---|---|---|---|
| Код оригинала | Регистрационный номер профессионального стандарта |
| Трудовые действия | Разработка, согласование и применение внутренних документов организации КФС, определяющих методологию обеспечения защиты информации и операционной надежности (киберустойчивости) в организациях КФС |
|---|---|
| Совершенствование методологии обеспечения защиты информации и операционной надежности (киберустойчивости) в организациях КФС | |
| Анализ результатов (валидация) применения методологии обеспечения защиты информации и операционной надежности (киберустойчивости) в организациях КФС | |
| Разработка программ консультирования и повышения осведомленности работников организации КФС по вопросам защиты информации и обеспечения операционной надежности (киберустойчивости) в организациях КФС | |
| Подготовка предложений по базовому составу организационных и технических мер по защите информации и обеспечению операционной надежности (киберустойчивости) в организациях КФС | |
| Методологическое сопровождение реализации программ контроля и аудита защиты информации и обеспечения операционной надежности (киберустойчивости) в организациях КФС | |
| Определение форматов представления отчетности в рамках обеспечения защиты информации и операционной надежности (киберустойчивости) в организациях КФС | |
| Необходимые умения | Анализировать нормативные правовые акты, национальные и международные документы, регламентирующие разработку методологии обеспечения защиты информации и операционной надежности (киберустойчивости) в организациях КФС |
| Анализировать и применять методологическую базу, требования законодательства Российской Федерации, нормативных актов Банка России, международных и национальных стандартов в области управления рисками информационной безопасности, обеспечения защиты информации и операционной надежности (киберустойчивости) в организациях КФС | |
| Анализировать и обосновывать методологию обеспечения защиты информации и операционной надежности (киберустойчивости) в организациях КФС | |
| Разрабатывать проекты внутренних документов (локальные акты, организационно-распорядительные документы и методические материалы) организации КФС, определяющие методологию обеспечения защиты информации и операционной надежности (киберустойчивости) в организациях КФС | |
| Подготавливать информационно-аналитические материалы по вопросам обеспечения защиты информации и операционной надежности (киберустойчивости) в организациях КФС | |
| Необходимые знания | Законодательство Российской Федерации, нормативные правовые акты, национальные, межгосударственные и международные стандарты в области защиты информации, в области управления рисками информационной безопасности, обеспечения информационной безопасности и операционной надежности (киберустойчивости) в организациях КФС |
| Руководящие и методические документы уполномоченных федеральных органов исполнительной власти, нормативные акты Банка России в области защиты информации, в области управления рисками информационной безопасности, обеспечения информационной безопасности и операционной надежности (киберустойчивости) в организациях КФС | |
| Принципы разработки и совершенствования методологии обеспечения защиты информации и операционной надежности (киберустойчивости) в организациях КФС | |
| Принципы построения систем обеспечения защиты информации и операционной надежности (киберустойчивости) в организациях КФС | |
| Базовый состав организационных и технических мер по защите информации и обеспечению операционной надежности (киберустойчивости) в организациях КФС | |
| Методология разработки программ консультирования и повышения осведомленности работников организации КФС по вопросам защиты информации и обеспечения операционной надежности (киберустойчивости) в организациях КФС | |
| Специфика платежных процессов в организациях КФС | |
| Принципы организации внутренней отчетности организации КФС в рамках обеспечения защиты информации и операционной надежности (киберустойчивости) в организациях КФС | |
| Другие характеристики | - |
3.4.3. Трудовая функция
| Наименование | Разработка методологии управления рисками информационной безопасности в организациях КФС | Код | D/03.7 | Уровень (подуровень) квалификации | 7 |
|---|
| Происхождение трудовой функции | Оригинал X | Заимствовано из оригинала | ||
|---|---|---|---|---|
| Код оригинала | Регистрационный номер профессионального стандарта |
| Трудовые действия | Разработка, согласование и применение внутренних документов, определяющих методологию управления рисками информационной безопасности в организациях КФС |
|---|---|
| Совершенствование методологии управления рисками информационной безопасности в организациях КФС | |
| Анализ результатов (валидация) применения методологии управления рисками информационной безопасности в организациях КФС | |
| Разработка программ консультирования и повышения осведомленности по вопросам противодействия реализации информационных угроз работников в организациях КФС | |
| Разработка программ повышения осведомленности по вопросам противодействия реализации информационных угроз в отношении потребителей финансовых услуг в организациях КФС | |
| Определение форматов представления отчетности в рамках управления рисками информационной безопасности в организациях КФС | |
| Методологическое сопровождение оценки эффективности функционирования системы управления рисками информационной безопасности в организациях КФС | |
| Разработка методологии оценки рисков информационной безопасности в организациях КФС | |
| Разработка методологии определения потерь от событий информационной безопасности в организациях КФС | |
| Необходимые умения | Анализировать и применять методологическую базу, требования законодательства Российской Федерации, нормативных актов Банка России, международных и национальных стандартов в области управления рисками информационной безопасности, обеспечения защиты информации и операционной надежности (киберустойчивости) в организациях КФС |
| Анализировать и обосновывать методологию управления рисками информационной безопасности в организациях КФС | |
| Разрабатывать проекты внутренних документов (локальные акты, организационно-распорядительные документы и методические материалы) организации КФС, определяющие методологию управления рисками информационной безопасности в организациях КФС | |
| Подготавливать информационно-аналитические материалы по вопросам управления рисками информационной безопасности в организациях КФС | |
| Необходимые знания | Законодательство Российской Федерации, нормативные правовые акты, национальные, межгосударственные и международные стандарты в области защиты информации, в области управления рисками информационной безопасности, обеспечения информационной безопасности и операционной надежности (киберустойчивости) в организациях КФС |
| Руководящие и методические документы уполномоченных федеральных органов исполнительной власти, нормативные акты Банка России в области защиты информации, в области управления рисками информационной безопасности, обеспечения информационной безопасности и операционной надежности (киберустойчивости) в организациях КФС | |
| Принципы разработки и совершенствования методологии управления рисками информационной безопасности в организациях КФС | |
| Принципы построения систем управления рисками информационной безопасности в организациях КФС | |
| Специфика платежных процессов в организациях КФС | |
| Методология разработки программ консультирования и повышения осведомленности по вопросам противодействия реализации информационных угроз в отношении потребителей финансовых услуг в организациях КФС | |
| Принципы организации внутренней отчетности организации КФС в рамках управления рисками информационной безопасности в организациях КФС | |
| Другие характеристики | - |
3.4.4. Трудовая функция
| Наименование | Разработка методологии выявления инцидентов информационной безопасности, реагирования на них и восстановления после их реализации в организациях КФС | Код | D/04.7 | Уровень (подуровень) квалификации | 7 |
|---|
| Происхождение трудовой функции | Оригинал X | Заимствовано из оригинала | ||
|---|---|---|---|---|
| Код оригинала | Регистрационный номер профессионального стандарта |
| Трудовые действия | Разработка, согласование внутренних документов, определяющих порядок выявления инцидентов информационной безопасности в организациях КФС |
|---|---|
| Разработка, согласование внутренних документов, определяющих порядок реагирования на инциденты информационной безопасности в организациях КФС, в том числе порядок информирования о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры в банковской сфере и иных сферах финансового рынка | |
| Разработка, согласование внутренних документов, определяющих порядок восстановления функционирования бизнес-процессов и технологических процессов и объектов информатизации после реализации инцидентов информационной безопасности в организациях КФС, в том числе порядок информирования о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры | |
| Разработка, согласование внутренних документов, определяющих порядок организации взаимодействия в рамках реагирования на инциденты информационной безопасности в организациях КФС, в том числе порядок информирования о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры | |
| Разработка, согласование внутренних документов, определяющих порядок проведения анализа причин и последствий реализации инцидентов информационной безопасности в организациях КФС, в том числе порядок информирования о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры | |
| Определение показателей эффективности реагирования и восстановления после реализации инцидентов информационной безопасности в организациях КФС | |
| Разработка, согласование внутренних документов, определяющих методологию оценки потенциала влияния (критичности) инцидента информационной безопасности в организациях КФС | |
| Необходимые умения | Анализировать и применять методологическую базу, требования законодательства Российской Федерации, нормативных актов Банка России, международных и национальных стандартов в области управления рисками информационной безопасности, обеспечения защиты информации и операционной надежности (киберустойчивости) в организациях КФС, а также о порядке информирования о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры |
| Обеспечивать методологическое сопровождение деятельности организации КФС в области выявления инцидентов, реагирования на них и восстановления после реализации инцидентов информационной безопасности в организациях КФС | |
| Разрабатывать проекты внутренних документов (локальные акты, организационно-распорядительные документы и методические материалы) организации КФС по выявлению инцидентов информационной безопасности, реагирования на них и восстановления после их реализации в организациях КФС, в том числе информирования о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры | |
| Подготавливать информационно-аналитические материалы по вопросам выявления инцидентов, реагирования на них и восстановления после реализации инцидентов информационной безопасности в организациях КФС | |
| Необходимые знания | Законодательство Российской Федерации, нормативные правовые акты, национальные, межгосударственные и международные стандарты в области защиты информации, в области управления рисками информационной безопасности, а также о порядке информирования о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры |
| Руководящие и методические документы уполномоченных федеральных органов исполнительной власти, нормативные акты Банка России в области защиты информации, в области управления рисками информационной безопасности, а также о порядке информирования о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры | |
| Основы организации процессов выявления инцидентов информационной безопасности, реагирования на них и восстановления после их реализации в организациях КФС, в том числе порядок информирования о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры | |
| Ключевые показатели эффективности деятельности организации КФС по выявлению инцидентов информационной безопасности, реагированию на них и восстановлению после их реализации в организациях КФС | |
| Форматы обмена информацией об инцидентах информационной безопасности в организациях КФС, в том числе порядок информирования о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры | |
| Принципы и методы распределения ролей и ответственности в рамках реагирования на инциденты информационной безопасности и восстановления после их реализации в организациях КФС, в том числе порядок информирования о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры | |
| Специфика платежных процессов в организациях КФС | |
| Основные подходы и лучшие практики по сбору технических данных (свидетельств) в рамках выявления инцидентов информационной безопасности, реагирования на инциденты и восстановления после их реализации в организациях КФС | |
| Другие характеристики | - |
3.5. Обобщенная трудовая функция
| Наименование | Контроль обеспечения информационной безопасности и обеспечение операционной надежности (киберустойчивости) в организациях КФС | Код | Е | Уровень квалификации | 7 |
|---|
| Происхождение обобщенной трудовой функции | Оригинал X | Заимствовано из оригинала | ||
|---|---|---|---|---|
| Код оригинала | Регистрационный номер профессионального стандарта |
| Возможные наименования должностей, профессий | Специалист по информационной безопасности Ведущий специалист по защите информации |
|---|---|
| Требования к образованию и обучению | Высшее образование - специалитет или магистратура в области информационной безопасности или Высшее образование (непрофильное) - магистратура или специалитет и дополнительное профессиональное образование (профессиональная переподготовка) в области информационной безопасности |
| Требования к опыту практической работы | Не менее одного года в области информационной безопасности в организациях КФС |
| Особые условия допуска к работе | Наличие допуска к государственной тайне (при необходимости) |
| Другие характеристики | - |
Дополнительные характеристики
| Наименование документа | Код | Наименование базовой группы, должности (профессии) или специальности |
|---|---|---|
| ОКЗ | 2529 | Специалисты по базам данных и сетям, не входящие в другие группы |
| ЕКС | - | Администратор по обеспечению безопасности информации |
| - | Инженер по защите информации | |
| - | Инженер-программист по технической защите информации | |
| - | Специалист по обеспечению безопасности информации в ключевых системах информационной инфраструктуры | |
| ОКПДТР | 22567 | Инженер по защите информации |
| 26579 | Специалист по защите информации | |
| ОКСО | 1.01.04.02 | Прикладная математика и информатика |
| 1.02.04.01 | Математика и компьютерные науки | |
| 1.02.04.02 | Фундаментальная информатика и информационные технологии | |
| 1.02.04.03 | Математическое обеспечение и администрирование информационных систем | |
| 2.09.04.01 | Информатика и вычислительная техника | |
| 2.09.04.02 | Информационные системы и технологии | |
| 2.09.04.03 | Прикладная информатика | |
| 2.09.04.04 | Программная инженерия | |
| 2.10.04.01 | Информационная безопасность | |
| 2.10.05.01 | Компьютерная безопасность | |
| 2.10.05.02 | Информационная безопасность телекоммуникационных систем | |
| 2.10.05.03 | Информационная безопасность автоматизированных систем | |
| 2.10.05.04 | Информационно-аналитические системы безопасности | |
| 2.10.05.05 | Безопасность информационных технологий в правоохранительной сфере | |
| 2.10.05.06 | Криптография | |
| 2.10.05.07 | Противодействие техническим разведкам |
3.5.1. Трудовая функция
| Наименование | Проведение контрольных проверок работоспособности и оценка эффективности применяемых программно-аппаратных средств защиты информации в организациях КФС | Код | Е/01.7 | Уровень (подуровень) квалификации | 7 |
|---|
| Происхождение трудовой функции | Оригинал X | Заимствовано из оригинала | ||
|---|---|---|---|---|
| Код оригинала | Регистрационный номер профессионального стандарта |
| Трудовые действия | Проверка работоспособности применяемых программно-аппаратных средств защиты информации с использованием штатных средств и методик в организациях КФС |
|---|---|
| Оценка эффективности применяемых программно-аппаратных средств защиты информации с использованием штатных средств и методик в организациях КФС | |
| Определение уровня защищенности программно-аппаратных средств защиты информации в организациях КФС | |
| Необходимые умения | Анализировать и применять методологическую базу, требования законодательства Российской Федерации, нормативных актов Банка России, международных и национальных стандартов в области защиты информации в организациях КФС |
| Определять параметры функционирования программно-аппаратных средств защиты информации в организациях КФС | |
| Разрабатывать методики оценки защищенности программно-аппаратных средств защиты информации в организациях КФС | |
| Оценивать эффективность защиты информации в организациях КФС | |
| Применять разработанные методики оценки защищенности программно-аппаратных средств защиты информации в организациях КФС | |
| Анализировать программно-аппаратные средства защиты с целью определения уровня обеспечиваемой ими защищенности в организациях КФС | |
| Необходимые знания | Законодательство Российской Федерации, нормативные правовые акты, национальные, межгосударственные и международные стандарты в области защиты информации в организациях КФС |
| Руководящие и методические документы уполномоченных федеральных органов исполнительной власти, нормативные акты Банка России в области защиты информации в организациях КФС | |
| Принципы построения компьютерных систем и сетей в организациях КФС | |
| Методы и методики оценки безопасности программно-аппаратных средств защиты информации | |
| Принципы построения программно-аппаратных средств защиты информации в организациях КФС | |
| Принципы построения подсистем защиты информации в компьютерных системах в организациях КФС | |
| Методы и средства проверки работоспособности программно-аппаратных средств защиты информации | |
| Методы оценки эффективности политики безопасности, реализованной в программно-аппаратных средствах защиты информации в организациях КФС | |
| Методы и средства оценки эффективности программных реализаций алгоритмов защиты информации | |
| Способы анализа применяемых методов и средств защиты информации на предмет соответствия политике безопасности в организациях КФС | |
| Другие характеристики | - |
3.5.2. Трудовая функция
| Наименование | Контроль процессов защиты информации и обеспечения операционной надежности (киберустойчивости) в организациях КФС | Код | Е/02.7 | Уровень (подуровень) квалификации | 7 |
|---|
| Происхождение трудовой функции | Оригинал X | Заимствовано из оригинала | ||
|---|---|---|---|---|
| Код оригинала | Регистрационный номер профессионального стандарта |
| Трудовые действия | Контроль реализации процессов применения технологических мер защиты информации, обрабатываемой в рамках технологических операций, при выполнении бизнес-процессов и технологических процессов в организациях КФС |
|---|---|
| Контроль реализации функций безопасности и контроля (наличия) уязвимостей объектов информатизации прикладного уровня в организациях КФС | |
| Контроль реализации организационных и технологических мер защиты информации и обеспечения операционной надежности (киберустойчивости) в организациях КФС | |
| Контроль реализации процессов обеспечения защиты информации и операционной надежности (киберустойчивости) на этапах жизненного цикла объектов информатизации прикладного уровня в организациях КФС | |
| Реализация программ контроля и аудита защиты информации и обеспечения операционной надежности (киберустойчивости) в организациях КФС | |
| Представление отчетности в рамках обеспечения защиты информации и операционной надежности (киберустойчивости) в организациях КФС | |
| Организация и проведение сценарного анализа и тестирования готовности организаций КФС противостоять реализации угроз информационной безопасности | |
| Необходимые умения | Анализировать и применять методологическую базу, требования законодательства Российской Федерации, нормативных актов Банка России, международных и национальных стандартов в области управления рисками информационной безопасности, обеспечения защиты информации и операционной надежности (киберустойчивости) в организациях КФС |
| Разрабатывать предложения по совершенствованию методологии обеспечения защиты информации и операционной надежности (киберустойчивости) в организациях КФС | |
| Применять технологические меры для обеспечения защиты информации, обрабатываемой в рамках технологических операций, при выполнении бизнес-процессов и технологических процессов в организациях КФС | |
| Применять организационные и технические меры по защите информации и обеспечению операционной надежности (киберустойчивости) в организациях КФС | |
| Анализировать техническую документацию на объекты информатизации в организациях КФС | |
| Необходимые знания | Законодательство Российской Федерации, нормативные правовые акты, национальные, межгосударственные и международные стандарты в области защиты информации, в области реализации и контроля процессов защиты информации и обеспечения операционной надежности (киберустойчивости) в организациях КФС |
| Руководящие и методические документы уполномоченных федеральных органов исполнительной власти, нормативные акты Банка России в области защиты информации, в области реализации и контроля процессов защиты информации и обеспечения операционной надежности (киберустойчивости) в организациях КФС | |
| Принципы построения компьютерных систем и сетей в организациях КФС | |
| Базовый состав организационных и технических мер защиты информации и обеспечения операционной надежности (киберустойчивости) в организациях КФС | |
| Подходы к сегментации вычислительных сетей | |
| Основы обеспечения безопасности объектов информатизации прикладного уровня | |
| Специфика платежных процессов в организациях КФС | |
| Другие характеристики | - |
3.5.3. Трудовая функция
| Наименование | Реализация программ повышения осведомленности организаций КФС по вопросам защиты информации и обеспечения операционной надежности (киберустойчивости) в организациях КФС | Код | Е/03.7 | Уровень (подуровень) квалификации | 7 |
|---|
| Происхождение трудовой функции | Оригинал X | Заимствовано из оригинала | ||
|---|---|---|---|---|
| Код оригинала | Регистрационный номер профессионального стандарта |
| Трудовые действия | Организация консультирования и инструктирования работников организаций КФС в соответствии с программами повышения осведомленности |
|---|---|
| Организация мероприятий по повышению осведомленности членов совета директоров (наблюдательного совета) и исполнительного органа по вопросам организации и контроля управления рисками информационной безопасности, защиты информации и обеспечения операционной надежности (киберустойчивости) в организациях КФС | |
| Проведение контрольных мероприятий по результатам реализации программ консультирования и повышения осведомленности работников организаций КФС по вопросам противодействия реализации угроз информационной безопасности | |
| Организация и проведение консультирования для работников, входящих в группы повышенного риска, по вопросам выявления и противодействия реализации угроз информационной безопасности в организациях КФС | |
| Подготовка предложений по совершенствованию программ по повышению осведомленности в организациях КФС | |
| Доведение до клиентов - потребителей финансовых услуг информации, способствующей уменьшению негативного влияния рисков информационной безопасности в организациях КФС | |
| Необходимые умения | Анализировать и применять методологическую базу, требования законодательства Российской Федерации, нормативных актов Банка России, международных и национальных стандартов в области управления рисками информационной безопасности, обеспечения защиты информации и операционной надежности (киберустойчивости) в организациях КФС |
| Организовывать и проводить мероприятия по консультированию и повышению осведомленности в организациях КФС | |
| Определять формы, методы и средства объективной оценки процесса и результатов повышения осведомленности и консультирования | |
| Разрабатывать (осваивать) и внедрять современные технологии и формировать способы повышения мотивации работников в организациях КФС | |
| Применять технологические меры для обеспечения защиты информации, обрабатываемой в рамках технологических операций, при выполнении бизнес-процессов и технологических процессов в организациях КФС | |
| Применять организационные и технические меры защиты информации и обеспечению операционной надежности (киберустойчивости) в организациях КФС | |
| Необходимые знания | Законодательство Российской Федерации, нормативные правовые акты, национальные, межгосударственные и международные стандарты в области защиты информации, в области реализации и контроля процессов защиты информации и обеспечения операционной надежности (киберустойчивости) в организациях КФС |
| Руководящие и методические документы уполномоченных федеральных органов исполнительной власти, нормативные акты Банка России в области защиты информации, в области реализации и контроля процессов защиты информации и обеспечения операционной надежности (киберустойчивости) в организациях КФС | |
| Специфика платежных процессов в организациях КФС | |
| Принципы обеспечения защиты информации и операционной надежности (киберустойчивости) в организациях КФС | |
| Основы методики повышения осведомленности и консультирования, пути достижения результатов и способы оценки результатов повышения осведомленности и консультирования | |
| Процессы, методы средств побуждения работников организации к активному освоению материала | |
| Основы обеспечения безопасности объектов информатизации прикладного уровня | |
| Другие характеристики | - |
3.6. Обобщенная трудовая функция
| Наименование | Организация процессов обеспечения информационной безопасности в организациях КФС | Код | F | Уровень квалификации | 8 |
|---|
| Происхождение обобщенной трудовой функции | Оригинал X | Заимствовано из оригинала | ||
|---|---|---|---|---|
| Код оригинала | Регистрационный номер профессионального стандарта |
| Возможные наименования должностей, профессий | Руководитель департамента Руководитель управления |
|---|---|
| Требования к образованию и обучению | Высшее профильное образование - магистратура или специалитет в области информационной безопасности или Высшее образование (непрофильное) - магистратура или специалитет и дополнительное профессиональное образование (профессиональная переподготовка) в области информационной безопасности |
| Требования к опыту практической работы | Не менее пяти лет в области информационной безопасности в организациях КФС, из них не менее двух лет на руководящих должностях |
| Особые условия допуска к работе | Наличие допуска к государственной тайне (при необходимости) |
| Другие характеристики | - |
Дополнительные характеристики
| Наименование документа | Код | Наименование базовой группы, должности (профессии) или специальности |
|---|---|---|
| ОКЗ | 1330 | Руководители служб и подразделений в сфере информационно-коммуникационных технологий |
| ЕКС | - | Начальник отдела (лаборатории, сектора) по технической защите информации |
| ОКПДТР | 46115 | Руководитель аналитической группы подразделения по комплексной защите информации |
| ОКСО | 1.01.04.02 | Прикладная математика и информатика |
| 1.02.04.01 | Математика и компьютерные науки | |
| 1.02.04.02 | Фундаментальная информатика и информационные технологии | |
| 1.02.04.03 | Математическое обеспечение и администрирование информационных систем | |
| 2.09.04.01 | Информатика и вычислительная техника | |
| 2.09.04.02 | Информационные системы и технологии | |
| 2.09.04.03 | Прикладная информатика | |
| 2.09.04.04 | Программная инженерия | |
| 2.10.04.01 | Информационная безопасность | |
| 2.11.04.02 | Инфокоммуникационные технологии и системы связи | |
| 5.38.04.01 | Экономика | |
| 5.38.04.05 | Бизнес-информатика | |
| 5.40.04.01 | Юриспруденция | |
| 2.10.05.01 | Компьютерная безопасность | |
| 2.10.05.02 | Информационная безопасность телекоммуникационных систем | |
| 2.10.05.03 | Информационная безопасность автоматизированных систем | |
| 2.10.05.04 | Информационно-аналитические системы безопасности | |
| 2.10.05.05 | Безопасность информационных технологий в правоохранительной сфере | |
| 2.10.05.06 | Криптография | |
| 2.10.05.07 | Противодействие техническим разведкам | |
| 5.38.05.01 | Экономическая безопасность | |
| 5.40.05.01 | Правовое обеспечение национальной безопасности |
3.6.1. Трудовая функция
| Наименование | Организация управления рисками информационной безопасности на высшем управленческом уровне в организациях КФС | Код | F/01.8 | Уровень (подуровень) квалификации | 8 |
|---|
| Происхождение трудовой функции | Оригинал X | Заимствовано из оригинала | ||
|---|---|---|---|---|
| Код оригинала | Регистрационный номер профессионального стандарта |
| Трудовые действия | Организация и контроль выполнения работ по разработке предложений по содержанию политики в области обеспечения информационной безопасности, по вопросам управления рисками информационной безопасности, обеспечения операционной надежности (киберустойчивости) в организациях КФС |
|---|---|
| Подготовка предложений по определению стратегических целей и задач организации КФС по вопросам управления рисками информационной безопасности, обеспечения операционной надежности (киберустойчивости) в организациях КФС | |
| Определение правил и требований к реализации процессов выявления, идентификации и оценки рисков информационной безопасности в организациях КФС | |
| Разработка предложений по мероприятиям, направленным на уменьшение негативного влияния рисков информационной безопасности на функционирование бизнес-процессов и технологических процессов в организациях КФС | |
| Планирование работы, установление функций, обязанностей курируемых подразделений и определение контрольных показателей для подразделений, задействованных в реализации мер по управлению рисками информационной безопасности в организациях КФС | |
| Организация процесса и контроль обеспечения осведомленности об актуальных информационных угрозах в организациях КФС | |
| Подготовка информационно-аналитических материалов по вопросам управления рисками информационной безопасности в организациях КФС | |
| Организация деятельности по реализации процедур управления рисками внутреннего нарушителя в отношении работников в организациях КФС | |
| Оценка ресурсного (кадрового и финансового) обеспечения для планирования, реализации, контроля и совершенствования процессов системы управления рисками информационной безопасности в организациях КФС | |
| Организация работы по формированию отчетности в рамках управления рисками информационной безопасности в организациях КФС | |
| Организация работы по выявлению, регистрации инцидентов информационной безопасности, реагированию на инциденты и восстановлению после их реализации в организациях КФС | |
| Необходимые умения | Анализировать и применять методологическую базу, требования законодательства Российской Федерации, нормативных актов Банка России, международных и национальных стандартов в области управления рисками информационной безопасности, обеспечения защиты информации и операционной надежности (киберустойчивости) в организациях КФС |
| Оценивать эффективность управления рисками информационной безопасности, в том числе эффективность выявления событий рисков информационной безопасности в организациях КФС | |
| Вносить предложения по изменению и совершенствованию процедуры управления рисками информационной безопасности в организациях КФС | |
| Разрабатывать проекты внутренних документов (локальные акты, организационно-распорядительные документы и методические материалы) организации КФС, устанавливающих цели и принципы, а также определяющих методологию и правила управления рисками информационной безопасности в организациях КФС | |
| Анализировать и обосновывать общую стратегию организаций КФС по вопросам управления рисками информационной безопасности в соответствии с законодательством Российской Федерации, на основе современных методов и лучших практик | |
| Реализовывать политику в области обеспечения информационной безопасности, по вопросам управления рисками информационной безопасности, обеспечения операционной надежности (киберустойчивости) в организациях КФС | |
| Устанавливать требования к процессу мониторинга рисков информационной безопасности и контролю фактических значений уровня рисков информационной безопасности в организациях КФС | |
| Необходимые знания | Законодательство Российской Федерации, нормативные правовые акты, национальные, межгосударственные и международные стандарты в области защиты информации, в области управления рисками информационной безопасности, обеспечения информационной безопасности и операционной надежности (киберустойчивости) в организациях КФС |
| Руководящие и методические документы уполномоченных федеральных органов исполнительной власти, нормативные акты Банка России в области защиты информации, в области управления рисками информационной безопасности, обеспечения информационной безопасности и операционной надежности (киберустойчивости) в организациях КФС | |
| Принципы управления подразделениями, задействованными в реализации мер по управлению рисками информационной безопасности в организациях КФС | |
| Принципы управления рисками информационной безопасности, обеспечения защиты информации в организациях КФС | |
| Принципы целеполагания, виды и методы организационного планирования | |
| Нормы профессиональной этики | |
| Подходы к определению ключевых показателей эффективности, в том числе показателей эффективности деятельности организаций КФС | |
| Принципы построения архитектуры информационной безопасности | |
| Специфика платежных процессов в организациях КФС | |
| Ключевые показатели эффективности деятельности по управлению рисками информационной безопасности, обеспечению защиты информации и операционной надежности (киберустойчивости) в организациях КФС | |
| Другие характеристики | - |
3.6.2. Трудовая функция
| Наименование | Организация обеспечения защиты информации и операционной надежности (киберустойчивости) на высшем управленческом уровне в организациях КФС | Код | F/02.8 | Уровень (подуровень) квалификации | 8 |
|---|
| Происхождение трудовой функции | Оригинал X | Заимствовано из оригинала | ||
|---|---|---|---|---|
| Код оригинала | Регистрационный номер профессионального стандарта |
| Трудовые действия | Подготовка предложений по определению стратегических целей и задач организации КФС по вопросам обеспечения защиты информации и операционной надежности (киберустойчивости) в организациях КФС |
|---|---|
| Подготовка информационно-аналитических материалов по вопросам защиты информации и обеспечения операционной надежности (киберустойчивости) в организациях КФС | |
| Организация работы по формированию отчетности о защите информации и обеспечении операционной надежности (кибербезопасности) в организации КФС | |
| Организация работы по выявлению, регистрации инцидентов, связанных с реализацией информационных угроз, реагированию на инциденты и восстановлению после их реализации в организациях КФС | |
| Организация разработки и контроль реализации организационных и технических мер по обеспечению защиты информации и операционной надежности (киберустойчивости) в организациях КФС | |
| Планирование работы, установление функций, обязанностей курируемых подразделений и определение контрольных показателей для подразделений, задействованных в реализации мер по обеспечению информационной безопасности и операционной надежности (киберустойчивости) в организациях КФС | |
| Разработка проектов внутренних документов организации КФС, устанавливающих цели и принципы, определяющих методологию и правила обеспечения информационной безопасности и операционной надежности (киберустойчивости) в организациях КФС | |
| Организация и осуществление деятельности по сценарному анализу и тестированию готовности подразделений организаций КФС противостоять реализации информационных угроз | |
| Организация работы по выявлению, приоритизации, классификации и устранению уязвимостей в критичной архитектуре, контролю полноты и своевременности устранения выявленных уязвимостей в организациях КФС | |
| Оценка ресурсного (кадрового и финансового) обеспечения для планирования, реализации, контроля и совершенствования процессов системы управления операционной надежностью (киберустойчивостью) в организациях КФС | |
| Организация работы по идентификации критичной архитектуры в организациях КФС | |
| Организация работы по выполнению процессов защиты информации в организациях КФС | |
| Необходимые умения | Анализировать и обосновывать общую стратегию организаций КФС по вопросам защиты информации и операционной надежности (киберустойчивости) в соответствии с законодательством Российской Федерации, на основе современных методов и лучших практик |
| Анализировать и применять методологическую базу, требования законодательства Российской Федерации, нормативных актов Банка России, международных и национальных стандартов в области управления рисками информационной безопасности, обеспечения защиты информации и операционной надежности (киберустойчивости) в организациях КФС | |
| Применять риск-ориентированный подход к выбору объектов информатизации, подвергаемых тестированию на проникновение, в организациях КФС | |
| Оценивать эффективность деятельности по выполнению работ, связанных с обеспечением защиты информации и операционной надежности (киберустойчивости) в организациях КФС | |
| Устанавливать, применять и контролировать внутренние стандарты конфигурирования объектов информатизации (стандарты конфигурирования) в организациях КФС | |
| Организовывать и осуществлять деятельность по тестированию готовности организаций КФС противостоять реализации информационных угроз | |
| Разрабатывать процессы обеспечения защиты информации и операционной надежности (киберустойчивости) и организовывать внедрение процессов обеспечения защиты информации и операционной надежности (киберустойчивости) в организациях КФС | |
| Разрабатывать сценарии, включающие значительные финансовые потери, в рамках проведения стресс-тестирования для определения потенциала влияния и уровня рисков для бизнес-модели организаций КФС | |
| Необходимые знания | Законодательство Российской Федерации, нормативные правовые акты, национальные, межгосударственные и международные стандарты в области защиты информации, в области управления рисками информационной безопасности, обеспечения информационной безопасности и операционной надежности (киберустойчивости) в организациях КФС |
| Руководящие и методические документы уполномоченных федеральных органов исполнительной власти, нормативные акты Банка России в области защиты информации, в области управления рисками информационной безопасности, обеспечения информационной безопасности и операционной надежности (киберустойчивости) в организациях КФС | |
| Ключевые показатели эффективности деятельности по обеспечению защиты информации и операционной надежности (киберустойчивости) в организациях КФС | |
| Принципы управления рисками информационной безопасности, обеспечения защиты информации и операционной надежности (киберустойчивости) в организациях КФС | |
| Принципы целеполагания, виды и методы организационного планирования | |
| Подходы к определению ключевых показателей эффективности | |
| Принципы построения архитектуры информационной безопасности | |
| Специфика платежных процессов в организациях КФС | |
| Подходы к идентификации и включению элементов критичной архитектуры в область применения процесса обеспечения операционной надежности в организациях КФС | |
| Состав и содержание, а также порядок применения организационных и технических мер обеспечения защиты информации и операционной надежности (киберустойчивости) в организациях КФС | |
| Нормы профессиональной этики | |
| Другие характеристики | - |
3.6.3. Трудовая функция
| Наименование | Контроль процедур управления рисками информационной безопасности и обеспечения защиты информации и операционной надежности (киберустойчивости) на высшем управленческом уровне в организациях КФС | Код | F/03.8 | Уровень (подуровень) квалификации | 8 |
|---|
| Происхождение трудовой функции | Оригинал X | Заимствовано из оригинала | ||
|---|---|---|---|---|
| Код оригинала | Регистрационный номер профессионального стандарта |
| Трудовые действия | Организация работ по установлению и реализации программ контроля и аудита обеспечения защиты информации и операционной надежности (киберустойчивости) в организациях КФС |
|---|---|
| Обеспечение сопровождения при проведении оценки эффективности системы управления рисками информационной безопасности в организациях КФС | |
| Организация работы по мониторингу рисков информационной безопасности в организациях КФС | |
| Определение правил контроля и требований к контролю процедур управления рисками информационной безопасности, обеспечению защиты информации и операционной надежности (киберустойчивости) в организациях КФС | |
| Организация и координация работ по реализации стратегии управления рисками информационной безопасности и обеспечения защиты информации и операционной надежности (киберустойчивости) в организациях КФС | |
| Необходимые умения | Вносить предложения по изменению и совершенствованию системы обеспечения защиты информации и операционной надежности (киберустойчивости) по результатам реализации программ контроля и аудита обеспечения защиты информации и операционной надежности (киберустойчивости) в организациях КФС |
| Анализировать и применять методологическую базу, требования законодательства Российской Федерации, нормативных актов Банка России, международных и национальных стандартов в области управления рисками информационной безопасности, обеспечения защиты информации и операционной надежности (киберустойчивости) в организациях КФС | |
| Вносить предложения по изменению и совершенствованию системы управления рисками информационной безопасности по результатам оценки эффективности системы управления рисками информационной безопасности в организациях КФС | |
| Разрабатывать стратегии управления рисками информационной безопасности и обеспечения защиты информации и операционной надежности (киберустойчивости) в организациях КФС | |
| Применять требования нормативных правовых актов и методологических документов по управлению рисками информационной безопасности и обеспечению операционной надежности (киберустойчивости) в организациях КФС | |
| Определять подходы к организации мониторинга рисков информационной безопасности в организациях КФС | |
| Необходимые знания | Законодательство Российской Федерации, нормативные правовые акты, национальные, межгосударственные и международные стандарты в области защиты информации, в области управления рисками информационной безопасности, обеспечения информационной безопасности и операционной надежности (киберустойчивости) в организациях КФС |
| Руководящие и методические документы уполномоченных федеральных органов исполнительной власти, нормативные акты Банка России в области защиты информации, в области управления рисками информационной безопасности, обеспечения информационной безопасности и операционной надежности (киберустойчивости) в организациях КФС | |
| Принципы целеполагания, виды и методы организационного планирования | |
| Подходы к организации отчетности в рамках управления рисками информационной безопасности, обеспечения защиты информации и операционной надежности (киберустойчивости) в организациях КФС | |
| Подходы к определению ключевых показателей эффективности | |
| Принципы построения архитектуры информационной безопасности | |
| Специфика платежных процессов в организациях КФС | |
| Принципы управления рисками информационной безопасности, обеспечения защиты информации и операционной надежности (киберустойчивости) в организациях КФС | |
| Ключевые показатели эффективности деятельности по управлению рисками информационной безопасности, в области обеспечения защиты информации и операционной надежности (киберустойчивости) в организациях КФС | |
| Другие характеристики | - |
3.6.4. Трудовая функция
| Наименование | Совершенствование системы управления рисками информационной безопасности, обеспечение защиты информации и операционной надежности (киберустойчивости) на высшем управленческом уровне в организациях КФС | Код | F/04.8 | Уровень (подуровень) квалификации | 8 |
|---|
| Происхождение трудовой функции | Оригинал X | Заимствовано из оригинала | ||
|---|---|---|---|---|
| Код оригинала | Регистрационный номер профессионального стандарта |
| Трудовые действия | Анализ необходимости совершенствования системы управления рисками информационной безопасности, обеспечения защиты информации и операционной надежности (киберустойчивости) в организациях КФС |
|---|---|
| Планирование внедрения тактических и стратегических улучшений системы управления рисками информационной безопасности, обеспечения информационной безопасности и операционной надежности (киберустойчивости) в организациях КФС | |
| Организация деятельности по реализации тактических и стратегических улучшений системы управления рисками информационной безопасности, обеспечения информационной безопасности и операционной надежности (киберустойчивости) в организациях КФС | |
| Обеспечение участия курируемых подразделений информационной безопасности в контроле деятельности, связанной с реализацией тактических и стратегических улучшений системы управления рисками информационной безопасности, обеспечением защиты информации и операционной надежности (киберустойчивости) в организациях КФС | |
| Необходимые умения | Устанавливать и поддерживать деловые контакты, связи, отношения с сотрудниками и заинтересованными сторонами по вопросам управления рисками информационной безопасности, обеспечения информационной безопасности и операционной надежности (киберустойчивости) в организациях КФС |
| Анализировать и применять методологическую базу, требования законодательства Российской Федерации, нормативных актов Банка России, международных и национальных стандартов в области управления рисками информационной безопасности, обеспечения защиты информации и операционной надежности (киберустойчивости) в организациях КФС | |
| Анализировать и обосновывать общую стратегию организации КФС по вопросам управления рисками информационной безопасности, обеспечения информационной безопасности и операционной надежности (киберустойчивости) в организациях КФС | |
| Вносить предложения по изменению и совершенствованию стратегии управления рисками информационной безопасности, обеспечения информационной безопасности и операционной надежности (киберустойчивости) в организациях КФС | |
| Определять источники информации для проведения анализа необходимости совершенствования системы управления рисками информационной безопасности, обеспечения защиты информации и операционной надежности (киберустойчивости) в организациях КФС | |
| Необходимые знания | Законодательство Российской Федерации, нормативные правовые акты, национальные, межгосударственные и международные стандарты в области защиты информации, в области управления рисками информационной безопасности, обеспечения информационной безопасности и операционной надежности (киберустойчивости) в организациях КФС |
| Руководящие и методические документы уполномоченных федеральных органов исполнительной власти, нормативные акты Банка России в области защиты информации, в области управления рисками информационной безопасности, обеспечения информационной безопасности и операционной надежности (киберустойчивости) в организациях КФС | |
| Принципы целеполагания, виды и методы организационного планирования | |
| Ключевые показатели эффективности деятельности по управлению рисками информационной безопасности, обеспечению защиты информации и операционной надежности (киберустойчивости) в организациях КФС | |
| Принципы управления рисками информационной безопасности, обеспечения защиты информации и операционной надежности (киберустойчивости) в организациях КФС | |
| Подходы к определению ключевых показателей эффективности | |
| Основные подходы к проектному управлению | |
| Принципы построения архитектуры информационной безопасности | |
| Специфика платежных процессов в организациях КФС | |
| Нормы профессиональной этики | |
| Другие характеристики | - |
IV. Сведения об организациях - разработчиках профессионального стандарта
4.1. Ответственная организация-разработчик
| Департамент информационной безопасности Банка России, город Москва | |
|---|---|
| Директор департамента | Уваров Вадим Александрович |
4.2. Наименования организаций-разработчиков
| 1 | ФУМО в системе высшего образования по УГСНП 10.00.00 "Информационная безопасность", город Москва |
|---|
------------------------------
1 Общероссийский классификатор занятий.
2 Общероссийский классификатор видов экономической деятельности.
3 Единый квалификационный справочник должностей руководителей, специалистов и служащих.
4 Общероссийский классификатор профессий рабочих, должностей служащих и тарифных разрядов.
5 Общероссийский классификатор специальностей по образованию.
6 Закон Российской Федерации от 21 июля 1993 г. № 5485-1 "О государственной тайне" (Российская газета, 1993, 21 сентября; Собрание законодательства Российской Федерации, 1997, № 41, ст. 4673; 2022, № 32, ст. 5809).
------------------------------
Обзор документа
Для специалистов по информационной безопасности в кредитно-финансовой сфере Минтруд разработал профстандарт, который будет действовать с 1 сентября 2023 г. до 1 сентября 2029 г.
В числе трудовых функций - обеспечение функционирования систем и средств защиты информации, управление инцидентами информационной безопасности. Определены возможные наименования должностей, установлены квалификационные требования.
Для просмотра актуального текста документа и получения полной информации о вступлении в силу, изменениях и порядке применения документа, воспользуйтесь поиском в Интернет-версии системы ГАРАНТ:
