Директор департамента информационной безопасности

Москва, Кадашёвская набережная, 30

Метро: Новокузнецкая

Показать контакты

Описание вакансии

Обязанности:

Обеспечение непрерывного соответствия инфраструктуры требованиям Указа Президента РФ №250, ФЗ-152, ФЗ-187 и подзаконных актов.
Методическое сопровождение жизненного цикла ИСПДн и КИИ: проведение классификации информационных систем и категорирования объектов КИИ, актуализация сведений в реестрах регуляторов и ведение соответствующей документации.
Разработка, актуализация и контроль исполнения Политики ИБ и частных технических регламентов (парольных, ролевых, резервного копирования).
Поддержание в актуальном состоянии моделей угроз и нарушителей для ИСПДн и объектов КИИ по методикам ФСТЭК от 2021 года.
Формирование и актуализация полного пакета организационно-распорядительной документации (ОРД) по защите персональных данных и КИИ.
Архитектурный надзор и контроль внедрения СЗИ: формирование технических заданий (ТЗ) и программных методик испытаний (ПМИ), контроль этапов пусконаладочных работ (ПНР), проводимых подрядными организациями, и проведение приемо-сдаточных испытаний систем защиты.
Организация технического взаимодействия с регуляторами (ФСТЭК, ФСБ, Роскомнадзор, Минцифры) и сопровождение надзорных проверок.
Планирование и обоснование бюджета на развитие систем защиты информации.
Проведение обучения персонала (врачей и администраторов) по вопросам цифровой гигиены и минимизации рисков социальной инженерии.
Управление непрерывностью и отказоустойчивостью (BCP/DRP): обеспечение работоспособности и доступности медицинских систем путем контроля стратегий резервного копирования, планов аварийного восстановления и мониторинга состояния СЗИ.
Организация мониторинга событий ИБ (SIEM), техническое взаимодействие с НКЦКИ/ГосСОПКА и руководство процессами локализации и устранения последствий инцидентов.
Проведение регулярных проверок эффективности мер защиты, реализованных сторонними интеграторами, и методическая подготовка к аттестационным испытаниям информационных систем.

Требования:

Высшее образование по направлению «Информационная безопасность» (специалитет или магистратура). При наличии иного высшего профиля — обязательная профессиональная переподготовка по информационной безопасности объемом не менее 500 часов.
Стаж работы в сфере информационной безопасности не менее 5 лет.
Опыт работы на руководящих должностях (начальник отдела, заместитель по ИБ) от 3 лет.
Английский язык на уровне чтения технической литературы
Владение технологическим стеком:
Системное ПО: ОС Windows desktop, Windows Server, Linux, виртуализация VMware, KVM;
Средства управления доступом, СЗИ от НСД;
Средства многофакторной аутентификации;
Сетевая безопасность: NGFW, IPS/IDS, WAF, NAC;
Криптозащита: СКЗИ site-to-site, RA;
Антивирусные средства защиты;
Сканеры уязвимостей;
Средства контроля действий администраторов;
Средства резервного копирования;
SIEM-системы.
Бизнес-ориентированность, стрессоустойчивость, лидерство и навыки управления, коммуникабельность, адаптивность и обучаемость, критическое мышление, пунктуальность
Подтвержденный опыт взаимодействия с регуляторами (ФСТЭК, ФСБ, Роскомнадзор, Минцифры).
Знание законодательной базы: 152-ФЗ (ПДн), 187-ФЗ (КИИ), 323-ФЗ (Врачебная тайна), приказы ФСТЭК №21, №117, №235, №239, постановление Правительства №1119, № 127, Указ Президента РФ №250, требования по подключению к ЕСИА и ЕГИСЗ.
Дополнительно необходим:
Опыт разработки и внедрения верхнеуровневой Политики информационной безопасности организации, а также частных политик (парольная политика, политика управления доступом, политика использования СКЗИ, политика резервного копирования).
Опыт методического обеспечения и проведения классификации ИСПДн.
Опыт методического обеспечения и непосредственного проведения категорирования объектов КИИ.
Опыт разработки и актуализации частных моделей угроз и моделей нарушителя на основе методических документов ФСТЭК России от 2021 года
Опыт разработки пакета организационно-распорядительной документации (ОРД) по 152-ФЗ: положений об обработке ПДн, регламентов доступа, политик конфиденциальности, согласий на обработку и т.д.
Опыт проектирования и аттестации информационных систем по требованиям безопасности (ГИС/ИСПДн).
Навыки управления проектами по внедрению систем защиты «с нуля».
Знание принципов функционирования медицинских систем (МИС).
Умение проводить обучение персонала (врачей и администраторов) правилам цифровой гигиены.
Опыт планирования бюджета ИБ.
Наличие международного сертификата CISM (Certified Information Security Manager) или CISSP (Certified Information Systems Security Professional), подтверждающего системный подход к управлению безопасностью.