среда, 2 сентября 2015 г.

СОИБ. Анализ. Учить или не учить?



Посмотрим на недавние (недавно обновленные) нормативные документы РФ в области ИБ, такие как 152-ФЗ, 149-ФЗ, Постановление правительства №1119, Приказ ФСТЭК №21 о мерах защиты ПДн, Методические рекомендации ФСТЭК по защите ГИС, Приказ ФСБ №378 о мерах защиты ПДн  - там фактически ничего нет про квалификацию (знания и умения) лиц, ответственных за организацию обработки информации ограниченного доступа (ПДн) или за защиту информации, про проверку и повышение квалификации этих лиц, про необходимость повышения осведомленности и обучения в области информационной безопасности.

Если в приведенных НМД что-то требуется в этой части – это поставить роспись об ознакомлении с комплектом документов. Так можно дворника назначить ответственным за организацию обработки ПДн, вахтера на входе ответственным за защиту информации, вручить им ОРД и не выпускать, пока не поставят 20 подписей. Разве этого достаточно?

Регуляторы считают, что достаточно! При проверках – смотрят только приказы, инструкции и подпись ответственных лиц в ознакомлении с ними. А самый большой вопрос к Методическим рекомендациям ФСТЭК – кто мешал там написать пару слов по поводу квалификации, повышения осведомленности и обучение?

В былые времена хоть пару слов, но не забывали:
СТР-К:3.16. На стадии проектирования и создания объекта информатизации и СЗИ в его составе на основе предъявляемых требований и заданных заказчиком ограничений на финансовые, материальные, трудовые и временные ресурсы осуществляются:
·       определение заказчиком подразделений и лиц, ответственных за эксплуатацию средств защиты информации, обучение назначенных лиц специфике работ по защите информации на стадии эксплуатации объекта информатизации;”

ГОСТ 34.601 – 90: “Стадии и этапы создания АС
16. На этапе 7.2 "Подготовка персонала" проводят обучение персонала и проверку его способности обеспечить функционирование АС.”

Приказ ФАПСИ №152: “17. Обучение и повышение квалификации сотрудников органов криптографической защиты осуществляют организации, имеющие лицензию на ведение образовательной деятельности по соответствующим программам.
21.          Непосредственно к работе с СКЗИ пользователи допускаются только после соответствующего обучения. ”

Продолжение следует…


Комментариев нет: