Обучение. Профессиональные стандарты по ИБ. Часть 2
Продолжение предыдущей статьи. Итак, мы ожидаем в этом году принятие 6 проф. стандартов по ИБ. Что в них есть? Что с ними делать?
В стандартах есть общая функциональная карта
Есть описание обобщенной трудовой функции с указанием наименования должностей, требованиями к образованию и опыту.
Есть описание отдельной трудовой функции с указанием трудовых действий, необходимых знаний и умений.
Как работодатели будут применять эти проф. Cтандарты по ИБ?
· цитировать из стандарта требования к образованию, опыту, знаниям и умениям в описании вакансии при поиске персонала
· проверять соответствие квалификации при найме персонала
· вносить изменения в действующие трудовые договора/должностные инструкции – приводить описание трудовых функций в соответствии со стандартом
· оценить квалификацию имеющихся сотрудников по ИБ на соответствие стандарту
· отправить на повышение квалификации или переподготовку несоответствующих сотрудников либо уволить и нанять на работу соответствующих стандарту
· учитывать при оплате труда уровни квалификации (в ИБ они достаточно высокие, соответственно и уровень оплаты труда должен быть выше)
Обязательны ли будут профессиональные стандарты ИБ для применения?
В соответствии с письмом Минтруда РФ от 04.04.2016 № 14-0/10/В-2253
“ТК РФ устанавливает обязательность применения требований, содержащихся в профессиональных стандартах, в том числе при приеме работников на работу, в следующих случаях:
- согласно части второй статьи 57 ТК РФ наименование должностей, профессий, специальностей и квалификационные требования к ним должны соответствовать наименованиям и требованиям, указанным в квалификационных справочниках или профессиональных стандартах, если в соответствии с ТК РФ или иными федеральными законами с выполнением работ по этим должностям, профессиям, специальностям связано предоставление компенсаций и льгот либо наличие ограничений;
- согласно статье 195.3 ТК РФ требования к квалификации работников, содержащиеся в профессиональных стандартах, обязательны для работодателя в случаях, если они установлены ТК РФ, другими федеральными законами, иными нормативными правовыми актами Российской Федерации.”
По поводу ограничений хороший пример – это сотрудники, допущенные к гос. тайне. На них накладываются ограничения и соответственно они должны соответствовать требованиям к квалификации из стандарта.
По поводу иных НПА – есть требования к лицензиатам и есть Постановление Правительства Российской Федерации от 27.06.2016 № 584 "Об особенностях применения профессиональных стандартов в части требований, обязательных для применения государственными внебюджетными фондами Российской Федерации, государственными или муниципальными учреждениями, государственными или муниципальными унитарными предприятиями, а также государственными корпорациями, государственными компаниями и хозяйственными обществами, более пятидесяти процентов акций (долей) в уставном капитале которых находится в государственной собственности или муниципальной собственности".
В соответствии с этим НПА во всех указанных организациях должны применяться профессиональные стандарты в следующем порядке:
· разработать план применения профстандартов
o определить список ПС подлежащих применению – в том числе ИБ
o провести анализ квалификации сотрудников и определить потребность в обучении
o выделить этапы применения ПС
· реализовать план не позднее 1 января 2020 года
Так как во всех организациях есть обязанность назначить ответственного за обеспечение безопасности ПДн в ИСПДн (ПП 1119) а у гос. учреждений назначить ответственного за ЗИ (ПП 399), то будет обязательным как минимум применение ПС “Специалист по защите информации в автоматизированных системах”.
Что ещё интересного можно ждать в области профстандартов для ИБ? Федеральный закон «О независимой оценке квалификации» № 238-ФЗ от 03.07.2016 вступает в силу 1 января 2017 года.
В соответствии с этим ФЗ работодатели для проверки квалификации могут отправлять сотрудников на независимую оценку в Центр оценки квалификации; либо специалисты могут самостоятельно отправляться на такую оценку – проходить профессиональный экзамен. Национальное агентство развития квалификаций будет вести реестры специалистов подтвердивших свою квалификацию.
До свидания CISSP и CISM. Здравствуй квалифицированный “Специалист по защите информации в автоматизированных системах” и т.п.
Об этом и некотором другом недавно разговаривали на семинаре с учреждениями здравоохранения. Выкладываю презу с данного мероприятия, возможно будет интересной.
Комментарии
Возможно вы имеете в виду, если ответственный за организацию защиты информации не соответствует проф. стандарту?
Лицензиат во время аттестации обязан оценить организацию повышения квалификации (наличие планов обучения, их выполнение и достаточность). В случаях когда применение проф. стандартов обязательное, лицензиату следует проверить соответствие квалификации ответственных лиц - требования стандарта. Далее как с любыми другими несоответствиями ...
Общий принцип c обязанностями такой:
изначально все обязанности которые упоминаются в НПА ложатся на руководителя организации.
Если руководитель организации не делает всё сам, вполне логично что он эти обязанности перепоручает ответственным лицам. А дальше уже варианты - можно поручить всё одному, а можно задействовать много ролей/сотрудников