воскресенье, 4 сентября 2016 г.

Обучение. Профессиональные стандарты по ИБ. Часть 1

Наверное, все вы сталкивались с тем, что ответственными за защиту информации назначались лица, не имеющие необходимых знаний, умений или опыта подобной работы (ИТ специалисты, кадровики, бухгалтера, специалисты по физ. безопасности и т.п.).   Особенно часто с такой ситуацией можно было столкнуться в небольших организациях или гос. учреждениях.


В 2012 году в ТК РФ внесены изменения связанные с понятиями квалификации работника и профессиональный стандарт.  Далее последовали правила разработки, утверждения и применения профстандартов. (сборник НПА)
“Квалификация работника – уровень знаний, умений, профессиональных навыков и опыта работы работника.
Профессиональный стандарт – характеристика квалификации, необходимой работнику для осуществления определенного вида профессиональной деятельности.”
Собственно, были прописаны 3 области применения стандартов:
·         Работодателями -  формирование кадровой политики, организация обучения, установление системы оплаты труда и т.п.
·         Образовательными организациями – разработка соответствующих учебных программ
·         Росминтрудом – при разработке федеральных гос. образовательных стандартов 

В 2014 году была начата разработка пакета профессиональных стандартов в области информационной безопасности. В марте 2016 года поступила информация, что пакет стандартов был одобрен на заседании национального совета при президенте РФ.

Были выложены сами стандарты и пояснительные записки (ПЗ) к ним:
·         Специалист по автоматизации информационно-аналитической деятельности в сфере безопасности
·         Специалист по безопасности компьютерных систем и сетей
·         Специалист по защите информации автоматизированных систем
·         Специалист по защите информации в телекоммуникационных системах и сетях
·         Специалист по технической защите информации

Кроме этого на 2016 год планировался к разработке стандарт Специалист по криптографической защите информации.

Что особенно понравилось в ПЗ – подробная информация об экспертах, участвующих в разработке стандартов и привлеченных к согласованию и обсуждению. Вплоть до их конкретных предложений. Вот чего не хватало при публичном обсуждении документов по защите ПДн.

Например, возьмём стандарт «защита информации в автоматизированных системах». Разрабатывали 13 экспертов. А к публичным обсуждениям привлекалось уже более 240. Причем большое количество гос. органов: ФСТЭК России, ФСБ России, Банк России, Минтруд России, Академия ФСБ, Минкомсвязи России, Роскомнадзор, МВД России, Минобороны России, Академия ФСО России, ГНИИ ПТЗИ ФСТЭК России, Аппарат совета безопасности РФ, огромное количество образовательных организаций, почти все ведущие российские вендоры, и Зегжда П.Д., на учебниках которого мы все учились – упомянут аж 3 раза.  Есть даже раздел посвященный конкретным предложениям конкретных экспертов:


Если это всё не палочные показатели, а реальная активность – то организаторами проделана огромная работа.

Я ожидал что проф. стандарты по ИБ вот-вот будут утверждены. Но прошло уже немало времени, а утверждения всё нет. По моему запросу получил следующую информацию:
“Данные профессиональные стандарты пока не утверждены Минтрудом России. В настоящее время профессиональный стандарт "Специалист по защите информации автоматизированных систем" проходит утверждение (находится на визировании у юристов). По остальным профессиональным стандартам идет устранение разработчиками замечаний, полученных от экспертов Минтруда России. ”

Ок, будем ждать в этом году.
 А в следующей части подробнее про применение стандартов…


3 комментария:

Proximo комментирует...

Сергей, добрый день!
Как Вы считаете, требования ПП-313 от 16.04.2012 по квалификации работников будут актуальны в связи с принятием стандартов по ИБ, о которых Вы говорите? Специалист, прошедший обучение в соответствии с требованиями ПП-313 (например 540 часов) и получивший диплом, сможет как-то вписаться в эти новые стандарты, или опять придётся переучиваться?

Сергей Борисов комментирует...

Думаю все впишется.
Обязательное требования там достаточно гибко прописано
"Дополнительное профессиональное образование – программы
повышения квалификации в области защиты информации". Под это любые обучения по ПП 313 подойдут.
А конкретные знания и умения, я уверен что на 90%-100% они будут перекрываться вашим обучением, так как профстандарты готовили те же учебные центры что и проводят сейчас обучение по ПП 313

Proximo комментирует...

Большое спасибо!