Бездействие к добру и действие ко злу - равны. © Александр Дьяков 1085 - | 840 - или читать все...
Обратная связь Пожаловаться на материал

Список использованн ых источников

Содержание

 

 

Профессиональный стандарт «Специалист по безопасности компьютерных систем и сетей». 3

Список использованных источников. 22

 


 

Профессиональный стандарт «Специалист по безопасности компьютерных систем и сетей»

 

Согласно Приказу Министерства труда и социальной защиты РФ от 1 ноября 2016 г. N 598н «Об утверждении профессионального стандарта «Специалист по безопасности компьютерных систем и сетей» основная цель вида профессиональной деятельности: обеспечение безопасности информации в компьютерных системах и сетях в условиях существования угроз их информационной безопасности.

В стандарте дана характеристика обобщенных трудовых функций:

1. Разработка программно-аппаратных средств защиты информации компьютерных систем и сетей;

2. Оценивание уровня безопасности компьютерных систем и сетей;

3. Администрирование средств защиты информации в компьютерных системах и сетях;

4. Обслуживание средств защиты информации в компьютерных системах и сетях.

Рассмотрим каждую из них подробнее.

1. Разработка программно-аппаратных средств защиты информации компьютерных систем и сетей.

Возможные наименования должностей, профессий:

- Главный специалист по защите информации;

- Руководитель отдела систем защиты информации;

- Заместитель руководителя департамента (отдела) исследований и разработок;

- Руководитель департамента (отдела) исследований и разработок.

1.1. Сопровождение разработки средств защиты информации компьютерных систем и сетей.

Трудовые действия:

- Разработка технических заданий, планов и графиков проведения работ по защите информации в соответствии с действующим нормативными и методическими документами;

- Разработка рекомендаций и предложений по совершенствованию и повышению эффективности защиты информации;

- Составление и оформление разделов научно-технических отчетов Определение потребности в средствах защиты информации, составление заявок на их приобретение с необходимыми обоснованиями и расчетами;

- Подготовка предложений по заключению соглашений и договоров с другими учреждениями, организациями, предоставляющими услуги в области защиты информации;

- Выполнение аттестации программ и алгоритмов на предмет соответствия требованиям защиты информации;

- Выполнение контрольных проверок работоспособности и эффективности систем и средств защиты информации;

- Анализ существующих методов и средств, применяемых для контроля и защиты информации;

- Разработка предложений по совершенствованию и повышению эффективности методов и средств, применяемых для контроля и защиты информации;

- Подготовка проектов нормативных и методических материалов, регламентирующих работу по защите информации;

- Разработка организационно-распорядительных документов по защите информации;

- Контроль над работой по оценке технико-экономического уровня разрабатываемых мер по защите информации;

- Методическое руководство работой по оценке технико-экономического уровня разрабатываемых мер по защите информации;

- Контроль над соблюдением установленного порядка выполнения работ, а также действующего законодательства Российской Федерации при решении вопросов, касающихся защиты информации;

- Организация проведения специальных исследований и контрольных проверок по выявлению возможных каналов утечки информации

Необходимые умения:

- Методы и средства получения, обработки и передачи информации Методы выявления каналов утечки информации;

- Порядок организации работ по защите информации;

- Методы планирования и организации проведения работ по защите информации и обеспечению государственной тайны;

- Методы проведения специальных исследований и проверок, работ по защите информации;

- Методы и средства защиты информации в компьютерных сетях, операционных системах и системах управления базами данных;

- Методы анализа безопасности компьютерных систем;

- Принципы проектирования антивирусного программного обеспечения;

- Виды атак и механизмы их реализации в компьютерных системах;

- Принципы построения систем защиты информации компьютерных систем;

- Формальные модели управления доступом;

- Криптографические алгоритмы и особенности их программной реализации;

- Нормативные правовые акты в области защиты информации;

- Руководящие и методические документы уполномоченных федеральных органов исполнительной власти по защите информации;

- Организационные меры по защите информации;

- Национальные, межгосударственные и международные стандарты в области защиты информации.

1.2. Разработка и тестирование средств защиты информации компьютерных систем и сетей.

Трудовые действия:

- Разработка средств защиты информации в соответствии с техническим заданием;

- Исследование программно-аппаратных средств защиты информации в компьютерных системах;

- Разработка программно-аппаратных средств защиты информации в компьютерных системах;

- Отладка создаваемых средств защиты информации;

- Проведение аттестации программ и алгоритмов на предмет соответствия требованиям защиты информации;

- Разработка математических моделей безопасности компьютерных систем;

- Выполнение контрольных проверок работоспособности и эффективности систем и средств защиты информации.

Необходимые умения:

- Методы и средства получения, обработки и передачи информации в операционных системах, системах управления базами данных и компьютерных сетях;

- Методы и средства защиты информации в компьютерных сетях, операционных системах и системах управления базами данных;

- Методы анализа безопасности компьютерных систем;

- Принципы проектирования антивирусного программного обеспечения;

- Виды атак и механизмы их реализации в компьютерных системах;

- Принципы построения систем защиты информации компьютерных систем;

- Методологии и технологии разработки программного и аппаратного обеспечения;

- Криптографические алгоритмы и особенности их программной реализации;

- Нормативные правовые акты в области защиты информации;

- Руководящие и методические документы уполномоченных федеральных органов исполнительной власти по защите информации;

- Организационные меры по защите информации;

- Национальные, межгосударственные и международные стандарты в области защиты информации.

1.3. Проектирование программно-аппаратных средств защиты информации компьютерных систем и сетей.

Трудовые действия:

- Разработка технических заданий, эскизных, технических и рабочих проектов работ по защите информации;

- Разработка планов и графиков проведения работ по защите информации;

- Анализ существующих методов и средств, применяемых для контроля и защиты информации;

- Разработка предложения по совершенствованию существующих методов и средств, применяемых для контроля и защиты информации и повышению эффективности этой защиты;

- Разработка проектов программных и аппаратных средств защиты информации в соответствии с техническим заданием;

- Оценка технико-экономического уровня и эффективности предлагаемых и реализуемых технических решений;

- Проведение аттестации программ и алгоритмов на предмет соответствия требованиям защиты информации.

Необходимые умения:

- Методы и средства получения, обработки и передачи информации в операционных системах, системах управления базами данных и компьютерных сетях;

- Виды атак и механизмы их реализации в компьютерных системах;

- Методы и средства защиты информации в компьютерных сетях, операционных системах и системах управления базами данных;

- Принципы построения систем защиты информации компьютерных систем, в том числе антивирусного программного обеспечения;

- Методы анализа безопасности компьютерных систем;

- Теоретико-числовые методы и алгоритмы, применяемые в средствах защиты информации;

- Формальные модели управления доступом;

- Принципы и методы проектирования программно-аппаратного обеспечения;

- Методологии и технологии разработки программного обеспечения;

- Принципы и методы управления проектами в области информационной безопасности;

- Криптографические алгоритмы и особенности их программной реализации;

- Нормативные правовые акты в области защиты информации;

- Руководящие и методические документы уполномоченных федеральных органов исполнительной власти по защите информации;

- Организационные меры по защите информации;

- Национальные, межгосударственные и международные стандарты в области защиты информации.

2. Оценивание уровня безопасности компьютерных систем и сетей.

2.1. Проведение экспертизы при расследовании компьютерных преступлений, правонарушений и инцидентов.

Трудовые действия

- Определение свойств аппаратных средств в составе компьютерной системы и их фактического и первоначального состояния;

- Классификация свойств аппаратных средств в составе компьютерной системы;

- Диагностика причин, условий изменения свойств (эксплуатационных режимов) аппаратных средств в составе компьютерной системы;

- Определение характеристик операционной системы и используемых технологий системного программирования;

- Анализ функциональных свойств программного обеспечения;

- Исследование алгоритма программного продукта и типов поддерживаемых аппаратных платформ;

- Определение причин, целей и условий изменения свойств (состояния) программного обеспечения;

- Индивидуальное отождествление оригинала программы (инсталляционной версии) и ее копии на носителях данных компьютерной системы;

- Установление групповой принадлежности программного обеспечения;

- Выработка предложений по устранению выявленных уязвимостей;

- Выявление индивидуальных признаков программы, позволяющих впоследствии идентифицировать ее автора, а также взаимосвязи с информационным обеспечением исследуемой компьютерной системы;

- Установление вида, свойств и состояния информации (фактического и первоначального, в том числе до ее удаления и модификации) в компьютерной системе;

- Определение причин и условий изменения свойств исследуемой информации;

- Определение механизма, динамики и обстоятельств события по имеющейся информации на носителе данных или ее копиям;

- Установление участников события, их роли, места, условий, при которых была создана, модифицирована или удалена информация;

- Установление соответствия либо несоответствия действий с информацией специальному регламенту (правилам);

- Составление экспертного заключения.

Необходимые умения:

- Форматы хранения информации в анализируемой компьютерной системе;

- Основные форматы файлов, используемые в компьютерных системах;

- Особенности хранения конфигурационной и системной информации в компьютерных системах;

- Уязвимости компьютерных систем и сетей;

- Технологии поиска и анализа следов компьютерных преступлений, правонарушений и инцидентов;

- Порядок фиксации и документирования следов компьютерных преступлений, правонарушений и инцидентов;

- Нормы уголовного и административного права в сфере компьютерной информации;

- Характеристики правонарушений в области связи и информации;

- Виды преступлений в сфере компьютерной информации;

- Порядок проведения экспертизы вычислительной техники и носителей компьютерной информации с учетом нормативных правовых актов;

- Способы обнаружения и нейтрализации последствий вторжений в компьютерные системы;

- Методы анализа систем обеспечения информационной безопасности объектов информатизации на базе компьютерных систем в защищенном исполнении;

- Порядок подготовки научно-технических экспертных заключений по результатам выполненных работ по информационно-аналитической и технической экспертизе компьютерных систем;

- Методы проведения расследования компьютерных преступлений, правонарушений и инцидентов;

- Методы анализа остаточной информации и поиска следов для фиксации компьютерных инцидентов;

- Криптографические алгоритмы и особенности их программной реализации;

- Нормативные правовые акты в области защиты информации;

- Руководящие и методические документы уполномоченных федеральных органов исполнительной власти по защите информации;

- Организационные меры по защите информации.

2.2. Проведение инструментального мониторинга защищенности компьютерных систем и сетей.

Трудовые действия:

- Выполнение анализа защищенности компьютерных систем с использованием сканеров безопасности;

- Выполнение анализа защищенности сетевых сервисов с использованием средств автоматического реагирования на попытки несанкционированного доступа к ресурсам компьютерных систем и сетей;

- Составление отчетов по результатам проверок.

Необходимые умения:

- Принципы построения компьютерных систем и сетей;

- Формальные модели безопасности компьютерных систем и сетей;

- Принципы построения систем обнаружения компьютерных атак;

- Методы обработки данных мониторинга безопасности компьютерных систем и сетей;

- Порядок создания и структура отчета, создаваемого по результатам проверок;

- Способы обнаружения и нейтрализации последствий вторжений в компьютерные системы;

- Криптографические протоколы, применяемые в компьютерных сетях;

- Нормативные правовые акты в области защиты информации;

- Руководящие и методические документы уполномоченных федеральных органов исполнительной власти по защите информации;

- Организационные меры по защите информации.

2.3. Проведение сертификации программно-аппаратных средств защиты информации и анализ результатов.

Трудовые действия:

- Проведение теоретических исследований уровней защищенности компьютерных систем и сетей;

- Проведение экспериментальных исследований уровней защищенности компьютерных систем и сетей;

- Проведение сертификационных испытаний с использованием инструментальных средств;

- Подготовка аналитического отчета по результатам проведенных сертификационных испытаний;

- Формулирование выводов по оценке защищенности.

Необходимые умения:

- Национальные, межгосударственные и международные стандарты в области защиты информации;

- Национальные стандарты на проведение научно-исследовательских и опытно-конструкторских работ, сертификационных испытаний и создание систем защиты информации;

- Способы организации работ при проведении сертификации программно-аппаратных средств защиты;

- Принципы построения средств криптографической защиты информации;

- Нормативные правовые акты в области защиты информации;

- Руководящие и методические документы уполномоченных федеральных органов исполнительной власти по защите информации;

- Организационные меры по защите информации.

2.4. Проведение анализа безопасности компьютерных систем.

Трудовые действия:

- Определение уровня защищенности и доверия в компьютерных системах;

- Оценка рисков, связанных с осуществлением угроз безопасности в отношении компьютерных систем;

- Оценка соответствия механизмов безопасности компьютерной системы требованиям существующих нормативных документов, а также их адекватности существующим рискам;

- Подготовка аналитического отчета по результатам проведенного анализа;

- Формулирование предложений по устранению выявленных уязвимостей.

2.5. Разработка требований по защите, формирование политик безопасности компьютерных систем и сетей.

Трудовые действия:

- Формирование политик безопасности компьютерных систем Консультирование по вопросам безопасности компьютерных систем Разработка профилей защиты и заданий по безопасности;

- Разработка технических заданий на создание средств защиты информации;

- Принятие решения о необходимости защиты информации, содержащейся в информационной системе;

- Классификация информационной системы по требованиям защиты информации;

- Определение угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в компьютерной системе и сети;

- Разработка модели угроз безопасности информации;

- Задание требований к защите информации компьютерной системы;

- Разработка руководящих документов по защите информации в организации.

Необходимые умения:

- Принципы построения компьютерных систем и сетей;

- Модели безопасности компьютерных систем;

- Виды политик безопасности компьютерных систем и сетей;

- Принципы построения средств криптографической защиты информации;

- Национальные, межгосударственные и международные стандарты в области защиты информации;

- Возможности используемых и планируемых к использованию средств защиты информации;

- Нормативные правовые акты в области защиты информации;

- Руководящие и методические документы уполномоченных федеральных органов исполнительной власти по защите информации;

- Организационные меры по защите информации.

2.6. Проведение контрольных проверок работоспособности и эффективности применяемых программно-аппаратных средств защиты информации.

Трудовые действия:

- Оценка работоспособности применяемых программно-аппаратных средств защиты информации с использованием штатных средств и методик;

- Оценка эффективности применяемых программно-аппаратных средств защиты информации с использованием штатных средств и методик;

- Определение уровня защищенности и доверия программно-аппаратных средств защиты информации.

Необходимые умения:

- Принципы построения компьютерных систем и сетей;

- Методы и методики оценки безопасности программно-аппаратных средств защиты информации;

- Принципы построения программно-аппаратных средств защиты информации;

- Принципы построения подсистем защиты информации в компьютерных системах;

- Методы оценки эффективности политики безопасности, реализованной в программно-аппаратных средствах защиты информации;

- Методы и средства оценки корректности и эффективности программных реализаций алгоритмов защиты информации;

- Методы анализа программного кода с целью поиска потенциальных уязвимостей и недокументированных возможностей;

- Способы анализа применяемых методов и средств защиты информации на предмет соответствия политике безопасности;

- Национальные, межгосударственные и международные стандарты в области защиты информации;

- Нормативные правовые акты в области защиты информации;

- Руководящие и методические документы уполномоченных федеральных органов исполнительной власти по защите информации;

- Организационные меры по защите информации.

3. Администрирование средств защиты информации в компьютерных системах и сетях.

3.1. Администрирование средств защиты информации прикладного и системного программного обеспечения.

Трудовые действия:

- Определение порядка установки программного обеспечения с целью соблюдения требований по защите информации;

- Контроль над соблюдением требований по защите информации при установке программного обеспечения, включая антивирусное программное обеспечение;

- Формулирование требований к параметрам средств антивирусной защиты для корректной работы программного обеспечения;

- Выполнение работ по обнаружению вредоносного программного обеспечения;

- Ликвидация обнаруженного вредоносного программного обеспечения и последствий его функционирования.

Необходимые умения:

- Архитектура подсистем защиты информации в операционных системах;

- Принципы построения систем управления базами данных;

- Основные средства и методы анализа программных реализаций Принципы построения антивирусного программного обеспечения Виды политик управления доступом и информационными потоками применительно к прикладному программному обеспечению;

- Источники угроз информационной безопасности программного обеспечения и меры по их предотвращению;

- Уязвимости используемого программного обеспечения и методы их эксплуатации.

3.2. Администрирование программно-аппаратных средств защиты информации в компьютерных сетях.

Трудовые действия:

- Определение состава применяемых программно-аппаратных средств защиты информации в компьютерных сетях;

- Разработка порядка применения программно-аппаратных средств защиты информации в компьютерных сетях;

- Формирование шаблонов конфигурации программно-аппаратных средств защиты информации в компьютерных сетях;

- Настройка программных и аппаратных средств построения компьютерных сетей, использующих криптографическую защиту информации;

- Контроль корректности функционирования программно-аппаратных средств защиты информации в компьютерных сетях.

Необходимые умения:

- Принципы построения компьютерных сетей;

- Стек сетевых протоколов операционных систем;

- Стек протоколов сетевого оборудования;

- Порядок реализации методов и средств межсетевого экранирования;

- Принципы функционирования сетевых протоколов, включающих криптографические алгоритмы;

- Нормативные правовые акты в области защиты информации;

- Руководящие и методические документы уполномоченных федеральных органов исполнительной власти по защите информации;

- Организационные меры по защите информации.

3.3. Администрирование подсистем защиты информации в операционных системах.

Трудовые действия:

- Определение состава применяемых программно-аппаратных средств защиты информации в операционных системах;

- Разработка порядка применения программно-аппаратных средств защиты информации в операционных системах;

- Формирование шаблонов установки программно-аппаратных средств защиты информации в операционных системах;

- Установка программно-аппаратных средств защиты информации в операционных системах, включая средства криптографической защиты информации;

- Контроль корректности функционирования программно-аппаратных средств защиты информации в операционных системах;

- Управление антивирусной защитой операционных систем в соответствии с действующими требованиями.

Необходимые умения:

-  Архитектура и принципы построения операционных систем;

- Программные интерфейсы операционных систем Виды политик управления доступом и информационными потоками применительно к операционным системам;

- Архитектура подсистем защиты информации в операционных системах;

- Принципы функционирования средств защиты информации в операционных системах, в том числе использующих криптографические алгоритмы;

- Нормативные правовые акты в области защиты информации;

- Организационные меры по защите информации.

4. Обслуживание средств защиты информации в компьютерных системах и сетях.

4.1. Обслуживание средств защиты информации прикладного и системного программного.

Трудовые действия:

- Установка программного обеспечения;

- Настройка программного обеспечения с соблюдением требований по защите информации;

- Настройка средств антивирусной защиты для корректной работы программного обеспечения по заданным шаблонам;

- Инструктаж пользователей о соблюдении требований по защите информации при работе с программным обеспечением;

- Настройка встроенных средств защиты информации программного обеспечения по заданным шаблонам;

- Проверка функционирования встроенных средств защиты информации программного обеспечения;

- Своевременное обнаружение признаков наличия вредоносного программного обеспечения

Необходимые умения:

- Порядок настройки программного обеспечения, систем управления базами данных и средств электронного документооборота;

- Общие принципы функционирования вредоносного программного обеспечения;

- Сущность и содержание понятия информационной безопасности, характеристики ее составляющих Источники угроз информационной безопасности и меры по их предотвращению;

- Типовые уязвимости программного обеспечения и методы их эксплуатации Общие принципы функционирования средств защиты информации программного обеспечения;

- Нормативные правовые акты в области защиты информации по защите информации;

- Организационные меры по защите информации.

4.2. Обслуживание программно-аппаратных средств защиты информации в компьютерных сетях.

Трудовые действия:

- Ввод в эксплуатацию программно-аппаратных средств защиты информации в компьютерных сетях;

-  Установка программно-аппаратных средств защиты информации в компьютерных сетях;

- Установка средств межсетевого экранирования в соответствии с действующими требованиями по защите информации.

- Оформление эксплуатационной документации на программно-аппаратные средства защиты информации в компьютерных сетях.

Необходимые умения:

-  Топологии и протоколы сетевого взаимодействия, применяемые в эксплуатируемых компьютерных сетях;

- Состав и основные характеристики оборудования, применяемого при построении компьютерных сетей;

- Типовые методы и протоколы идентификации, аутентификации и авторизации в компьютерных сетях;

- Формы и методы инструктажа пользователей по порядку работы в компьютерных сетях;

- Нормативные правовые акты в области защиты информации;

- Основные руководящие и методические документы уполномоченных федеральных органов исполнительной власти по защите информации;

- Организационные меры по защите информации.

4.3. Обслуживание программно-аппаратных средств защиты информации в операционных системах:

Трудовые действия:

- Ввод в эксплуатацию программно-аппаратных средств защиты информации в операционных системах;

- Установка программно-аппаратных средств защиты информации;

- Установка средств антивирусной защиты в соответствии с действующими требованиями;

- Оформление эксплуатационной документации на программно-аппаратные средства защиты информации в операционных системах;

- Восстановление работоспособности программно-аппаратных средств защиты информации в операционных системах согласно технической документации;

- Проверка корректности работы программно-аппаратных средств защиты информации при их взаимодействии с техническими средствами и программным обеспечением.

Необходимые умения:

- Архитектура и пользовательские интерфейсы операционных систем;

- Порядок обеспечения безопасности информации при эксплуатации операционных систем;

- Источники угроз информационной безопасности и меры по их предотвращению;

- Сущность и содержание понятия информационной безопасности, характеристики ее составляющих;

- Типовые средства защиты информации в операционных системах;

- Программно-аппаратные средства и методы защиты информации

- Порядок эксплуатации средств антивирусной защиты в операционных системах;

- Нормативные правовые акты в области защиты информации;

- Организационные меры по защите информации.

В профессиональном стандарте «Специалист по безопасности компьютерных систем и сетей» использованы следующие классификаторы:

1. Общероссийский классификатор занятий;

2. Общероссийский классификатор видов экономической деятельности;

3. Единый квалификационный справочник должностей руководителей, специалистов и других служащих;

4. Общероссийский классификатор специальностей по образованию;

5. Общероссийский классификатор специальностей высшей научной квалификации;

6. Общероссийский классификатор профессий рабочих, должностей служащих и тарифных разрядов.

Ответственная организация-разработчик профессионального стандарта: ЗАО «Ассоциация специалистов информационных систем», город Санкт-Петербург.

Исполнительные организации-разработчики:

1. Межрегиональная общественная организация «Ассоциация защиты информации», город Москва;

2. ФГКОУ ВО «Академия Федеральной службы безопасности Российской Федерации», город Москва;

3. ФГУП «Научно-технический центр «Атлас», город Москва;

4. Федеральное учебно-методическое объединение по укрупненной группе специальностей и направлений подготовки «Информационная безопасность», город Москва.

 


Список использованн ых источников

 

1. Приказ Министерства труда и социальной защиты РФ от 1 ноября 2016 г. N 598н «Об утверждении профессионального стандарта «Специалист по безопасности компьютерных систем и сетей» Система ГАРАНТ: http://base.garant.ru/71550966/#ixzz67XvzgYJk

2. Профессиональный стандарт «Специалист по безопасности компьютерных систем и сетей».

Дата добавления: 2021-04-15; просмотров: 48; Мы поможем в написании вашей работы!

Поделиться с друзьями:


Мы поможем в написании ваших работ!
.
.
© 2014-2024 — Студопедия.Нет — Информационный студенческий ресурс. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав (0.115)