понедельник, 5 сентября 2016 г.

Обучение. Профессиональные стандарты по ИБ. Часть 2

Продолжение предыдущей статьи. Итак, мы ожидаем в этом году принятие 6 проф. стандартов по ИБ.  Что в них есть? Что с ними делать?
               
В стандартах есть общая функциональная карта



Есть описание обобщенной трудовой функции с указанием наименования должностей, требованиями к образованию и опыту.

Есть описание отдельной трудовой функции с указанием трудовых действий, необходимых знаний и умений.


Как работодатели будут применять эти проф. Cтандарты по ИБ?  
·         цитировать из стандарта требования к образованию, опыту, знаниям и умениям в описании вакансии при поиске персонала
·         проверять соответствие квалификации при найме персонала
·         вносить изменения в действующие трудовые договора/должностные инструкции – приводить описание трудовых функций в соответствии со стандартом
·         оценить квалификацию имеющихся сотрудников по ИБ на соответствие стандарту
·         отправить на повышение квалификации или переподготовку несоответствующих сотрудников либо уволить и нанять на работу соответствующих стандарту
·         учитывать при оплате труда уровни квалификации (в ИБ они достаточно высокие, соответственно и уровень оплаты труда должен быть выше)


 Обязательны ли будут профессиональные стандарты ИБ для применения?

В соответствии с письмом Минтруда РФ от 04.04.2016 № 14-0/10/В-2253
“ТК РФ устанавливает обязательность применения требований, содержащихся в профессиональных стандартах, в том числе при приеме работников на работу, в следующих случаях:
- согласно части второй статьи 57 ТК РФ наименование должностей, профессий, специальностей и квалификационные требования к ним должны соответствовать наименованиям и требованиям, указанным в квалификационных справочниках или профессиональных стандартах, если в соответствии с ТК РФ или иными федеральными законами с выполнением работ по этим должностям, профессиям, специальностям связано предоставление компенсаций и льгот либо наличие ограничений;
- согласно статье 195.3 ТК РФ требования к квалификации работников, содержащиеся в профессиональных стандартах, обязательны для работодателя в случаях, если они установлены ТК РФ, другими федеральными законами, иными нормативными правовыми актами Российской Федерации.”

По поводу ограничений хороший пример – это сотрудники, допущенные к гос. тайне.  На них накладываются ограничения и соответственно они должны соответствовать требованиям к квалификации из стандарта.
По поводу иных НПА – есть требования к лицензиатам и есть Постановление Правительства Российской Федерации от 27.06.2016 № 584 "Об особенностях применения профессиональных стандартов в части требований, обязательных для применения государственными внебюджетными фондами Российской Федерации, государственными или муниципальными учреждениями, государственными или муниципальными унитарными предприятиями, а также государственными корпорациями, государственными компаниями и хозяйственными обществами, более пятидесяти процентов акций (долей) в уставном капитале которых находится в государственной собственности или муниципальной собственности".

В соответствии с этим НПА во всех указанных организациях должны применяться профессиональные стандарты в следующем порядке:
·         разработать план применения профстандартов
o   определить список ПС подлежащих применению – в том числе ИБ
o   провести анализ квалификации сотрудников и определить потребность в обучении
o   выделить этапы применения ПС
·         реализовать план не позднее 1 января 2020 года
Так как во всех организациях есть обязанность назначить ответственного за обеспечение безопасности ПДн в ИСПДн (ПП 1119) а у гос. учреждений назначить ответственного за ЗИ (ПП 399), то будет обязательным как минимум применение ПС “Специалист по защите информации в автоматизированных системах”.

Что ещё интересного можно ждать в области профстандартов для ИБ?  Федеральный закон «О независимой оценке квалификации» № 238-ФЗ от 03.07.2016 вступает в силу 1 января 2017 года.
В соответствии с этим ФЗ работодатели для проверки квалификации могут отправлять сотрудников на независимую оценку в Центр оценки квалификации; либо специалисты могут самостоятельно отправляться на такую оценку – проходить профессиональный экзамен. Национальное агентство развития квалификаций будет вести реестры специалистов подтвердивших свою квалификацию.
До свидания CISSP и CISM. Здравствуй квалифицированный “Специалист по защите информации в автоматизированных системах” и т.п.

Об этом и некотором другом недавно разговаривали на семинаре с учреждениями здравоохранения. Выкладываю презу с данного мероприятия, возможно будет интересной.




6 комментариев:

Алексей Мамин комментирует...

Имеет ли право лицензиат выдавать аттестат соответствия если ответственный за организацию защиты информации (в соответствии с Постановление Правительства Российской Федерации № 399) не имеет профессиональных стандартов(после их принятия) в области информационной безопасности (Постановление Правительства Российской Федерации от 27.06.2016 № 584)?

Сергей Борисов комментирует...

Что значит не имеет стандартов? Стандарты общедоступные

Возможно вы имеете в виду, если ответственный за организацию защиты информации не соответствует проф. стандарту?
Лицензиат во время аттестации обязан оценить организацию повышения квалификации (наличие планов обучения, их выполнение и достаточность). В случаях когда применение проф. стандартов обязательное, лицензиату следует проверить соответствие квалификации ответственных лиц - требования стандарта. Далее как с любыми другими несоответствиями ...

Алексей Мамин комментирует...

Да Вы все правильно поняли =) Спасибо за консультацию =)

Алексей Мамин комментирует...

Есть еще 1 интересный вопрос. Не подскажите в каком документе указаны обязанности ответственного за организацию защиты информации и ответственный за обеспечение безопасности персональных данных в информационной системе. А также требования к ним.

Алексей Мамин комментирует...

Заранее спасибо!

Сергей Борисов комментирует...

Смотрите статью https://sborisov.blogspot.ru/2015/12/blog-post.html и ссылку на большую и детальную таблицу. Там расписаны все обязательные требования по ПДн / СКЗИ

Общий принцип c обязанностями такой:
изначально все обязанности которые упоминаются в НПА ложатся на руководителя организации.
Если руководитель организации не делает всё сам, вполне логично что он эти обязанности перепоручает ответственным лицам. А дальше уже варианты - можно поручить всё одному, а можно задействовать много ролей/сотрудников