Обязанности:
В области связи:
требования к защите сетей связи (включая VoIP, IP-телефонию);
знание стандартов безопасности телекоммуникационных систем;
аудит систем маршрутизации и коммутации;
контроль соблюдения требований к резервированию и восстановлению связи.
В области разработки ИС:
анализ безопасности API и веб-сервисов ИС;
тестирование на XSS, SQL-инъекции, CSRF;
В области эксплуатации ИС:
контроль доступа к ИС (роли, права, аудит действий пользователей);
мониторинг инцидентов ИБ в ИС;
обеспечение резервного копирования и восстановления данных ИС.
аудит интеграции ИС с другими системами (ЭЦП, аутентификация).
В области связи:
требования к защите сетей связи (включая VoIP, IP-телефонию);
знание стандартов безопасности телекоммуникационных систем;
аудит систем маршрутизации и коммутации;
контроль соблюдения требований к резервированию и восстановлению связи.
В области аудита (практические навыки):
проведение аудита ИБ для операторов связи (анализ защищённости сетей, коммутационного оборудования, систем передачи данных);
аудит ПО для ИС на предмет уязвимостей (статический и динамический анализ кода, пентестинг);
оценка уровней защищённости ИС (УЗ 1–3 по ГОСТ Р 57580.1);
проверка мер защиты в ИТ-инфраструктуре операторов связи (VPN, SIP, TLS/SSL);
анализ логов и событий безопасности в ИС и телекоммуникационных системах;
работа с инструментами сканирования (Nessus, Acunetix, MaxPatrol, OpenVAS) для сетей и ПО;
составление отчётов с рекомендациями по устранению уязвимостей.
Требования:
Высшее образование в области информационной безопасности, телекоммуникаций, программирования или смежных направлений (например, «информационная безопасность телекоммуникационных систем», «разработка безопасного программного обеспечения»). Возможно также сочетание иного высшего образования с профессиональной переподготовкой по направлению «Информационная безопасность» (не менее 360 аудиторных часов);
Соответствие профессиональному стандарту «Специалист по защите информации в автоматизированных системах» (утверждён приказом Минтруда РФ от 15.09.2016 №522н)
Сертификаты по ИБ;
Прохождение курсов повышения квалификации по аудиту ИБ;
Знание специфики защиты информации в телекоммуникационных системах и ИС.
Дополнительное обучение: рекомендуется регулярное повышение квалификации в области ИБ.
Знание нормативно-правовой базы:
Федеральный закон от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации».
Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных».
Федеральный закон от 26.07.2017 №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Текст: .
Федеральный закон от 28.12.2010 №390-ФЗ «О безопасности».
Приказ ФСТЭК России от 11.04.2025 №117 «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений».
ГОСТ Р 59547-2021 «Защита информации. Мониторинг информационной безопасности. Общие положения».
Руководящие документы ФСБ, Роскомнадзора, Минцифры (в части криптографии, СКЗИ, ПДн).
ПП РФ, регулирующих вопросы защиты информации, и внутренних регламентов организации.
Умение работать с документами:
составление актов проверок, протоколов испытаний для связи и ИС;
разработка регламентов аудита, карт рисков;
Навыки взаимодействия с регуляторами:
подготовка к проверкам Роскомнадзора, ФСБ, ФСТЭК в части связи и ИС;
разъяснение требований законодательства руководству и сотрудникам;
сопровождение аттестации ИСПДн и ИС (лицензия ФСТЭК — для внешних аудиторов);
консультирование по устранению нарушений, выявленных регуляторами.
оформление заявок на аттестацию объектов ИТ-инфраструктуры (сети связи, серверы ИС);
ведение журналов событий (SIEM, Syslog) для обеих сфер;
подготовка отчётов для регуляторов (Роскомнадзор, ФСТЭК, ФСБ).
