12.3.12

О квалификации специалистов по защите информации

Интересный вопрос у меня возник на днях. Существует Постановление Правительства №610 от 26 июня 1995 года «Об утверждении Типового положения об образовательном учреждении дополнительного профессионального образования (повышения квалификации) специалистов», в котором говорится о том, что минимальный срок повышения квалификации специалистов составляет 72 часа. Согласно этому Постановлению специалисты должны проходить повышение квалификации каждые 5 лет. Тут вроде все ясно.

Теперь смотрим на второй (или даже первый) основополагающий документ - Приказ Минздравсоцразвития от 22 апреля 2009 г. № 205 "Об утверждении единого квалификационного справочника должностей руководителей, специалистов и служащих, раздел "квалификационные характеристики должностей руководителей и специалистов по обеспечению безопасности информации в ключевых системах информационной инфраструктуры, противодействию техническим разведкам и технической защите информации". В этом документе указываются требования к квалификации руководителей, специалистов и других должностей, отвечающих за информационную безопасность.

Я выписыл все эти квалификационные требования:
  • Главный специалист по ТЗИ – высшее образование по ИБ + стаж – 5 лет и руководящий стаж – 3 года
  • Начальник отдела по ТЗИ – высшее образование по ИБ + стаж – 5 лет и руководящий стаж – 2 года
  • Специалист по ТЗИ I категории – высшее образование по ИБ + стаж работы по II категории – 3 года
  • Специалист по ТЗИ II категории – высшее образование по ИБ + стаж работы по ТЗИ – 3 года
  • Специалист по ТЗИ – высшее образование по ИБ
  • Администратор по ОБИ - высшее образование по ИБ + стаж работы специалистом – 3 года
  • Инженер по ТЗИ – высшее образование по ИБ или среднее образование по ИБ + стаж работы техником по ЗИ I категории 3 года или стаж по другим должностям 5 лет
  • Инженер-программист по ТЗИ I категории – высшее образование по ИБ (или техническое) + стаж инженером-программистом II категории 3 года
  • Инженер-программист по ТЗИ II категории – высшее образование по ИБ (или техническое) + стаж инженером-программистом 3 года
  • Инженер-программист по ТЗИ – высшее образование по ИБ или среднее образование по ИБ + стаж техником по ЗИ I категории 3 года
  • Техник по ЗИ I категории – среднее образование по ИБ + стаж работы техником по ЗИ II категории 2 года
  • Техник по ЗИ II категории – среднее образование по ИБ + стаж работы техником по ЗИ 2 года
  • Техник по ЗИ – среднее образование по ИБ
Что получается... Чтобы работать специалистом по защите информации, не говоря уже о позиции руководителя, необходимо иметь высшее профессиональное (в ряде случаев среднее) образование по направлению "Информационная безопасность". Вот тут и кроется мой вопрос. А что если в отделе работает специалист или руководитель, поступивший в ВУЗ до 92-го года (именно тогда специальность по ИБ стала открытой и стала преподаваться в обычных ВУЗах)? Я, например, не имею высшего профильного образования (хотя специализация по диплому у меня именно "Защита информации"). Может ли такой специалист или руководитель занимать свой пост? Ведь он не выполняет квалификационных требований.

Ну и фиг с ним, скажете вы. Кому нужны эти квалификационные требования? Был бы человек хороший и специалист неплохой. Так-то оно так, но... не будет ли это препятствием при прохождении проверок со стороны регуляторов? Ведь по данным ФСТЭК одним из ключевых нарушений является отсутствие достаточного количества квалифицированных специалистов по защите информации. И если с количеством все ясно (минимум 2, а в ряде случаев 3), то с квалификацией вопрос остается открытым. Не будет ли при проверке проверяться выполнение квалификационных требований согласно единому квалификационному справочнику?

Частично задача может быть решена Постановление Минтруда РФ от 9 февраля 2004 №9 "Об утверждении порядка применения единого квалификационного справочника должностей руководителей, специалистов и других служащих". В нем говорится, что "лица, не имеющие специальной подготовки или стажа работы, установленных требованиями к квалификации, но обладающие достаточным практическим опытом и выполняющие качественно и в полном объеме возложенные на них должностные обязанности, по рекомендации аттестационной комиссии назначаются на соответствующие должности так же, как и лица, имеющие специальную подготовку и стаж работы". Но тут возникает другой вопрос - а у вас в организации есть такая рекомендация аттестационной комиссии?

Но вообще вопрос, наверное, риторический...

14 коммент.:

Alexey Volkov комментирует...

Аттестационная комиссия - это внутренний орган работодателя, создается приказом по предприятию. Так что если даже ее и нет, то создать ничто не мешает - нужен только приказ и положение о комиссии, а для назначения - еще и протокол заседания.

Dmitriy Petrashchuk комментирует...

Алексей, читая Ваш блог не могу отделаться от ощущения, что у российских безопасников кроме прохождения проверок и разбирательств в хитросплетениях законодательства в области ИБ других задач и нет. Один сплошной compliance. А когда же безопасностью заниматься?

Анонимный комментирует...

ЕТКС обязателен только для гос. структур. Берем ст.57 ТКРФ: Если в соответствии с настоящим Кодексом, иными федеральными законами с выполнением работ по определенным должностям, профессиям, специальностям связано предоставление компенсаций и льгот либо наличие ограничений, то наименование этих должностей, профессий или специальностей и квалификационные требования к ним должны соответствовать наименованиям и требованиям, указанным в квалификационных справочниках, утверждаемых в порядке, устанавливаемом Правительством Российской Федерации;
Про компенсации и льготы ЗИшникам я что-то не слышал, про ограничения, установленные федеральными законами тоже.

Алексей Лукацкий комментирует...

Dmitriy: Именно так ;-) В России над реальной безопасностью превалирует бумажная. Но и не стоит забывать, что это мой блог, отражающий мой взгляд на ИБ ;-) Пусть о практике пишут те, кто ею постоянно занимается.

Сергей: Вот поэтому у меня вопрос и возник. Как доказать квалификацию при проверках?

Анонимный комментирует...

Без бумажки - никак :)
Сам темой ИБ занимаюсь 30 лет, из них 25 - на общественных началах (в нагрузку к основной работе), хотя может тема диплома: "Защита информации в ..." устроит.

Tomas комментирует...

Про начальника вопрос интересный - а где взять 2 года руководящего стажа? Замкнутый круг получается, набрал 5 лет стажа, пора быть начальником, а никак - нет 2 лет руководящего стажа)))
Т.е придет ФСТЭК проверять, а такой начальник что должен будет сказать, подождите, я временый, вот сейчас 2 года на этой должности побуду и стану полноценным)))
Алексей, а Вы не в курсе про мин.связи документ по квалификации специалистов, или это даже стандартом даже должно было стать - что с ним?

Анонимный комментирует...

Этот приказ (205) обходится легко с помощью ТК. Много случаев, когда квалификация на бумаге не соответствует требованиям, а работник в натуре - другого не надо. Назначаем И.О., а через год - на должность - требование ТК и никакие приказы не указ. Проверено лично.

ZZubra комментирует...

Или еще круче ситуация. Специальность "Сети связи и системы коммутации", 5 лет, ВИПС, 2000 г. выпуска, диплом гос. образца - специальность не подходит по названию, она не "высшая" (переходный период - переходные программы в ВУЗе). А с другой стороны - если с этой специальностью не ЗИ, то кто тогда с ней? Фактически только-только выпускники подходят под формальные требования. А исполнять надо будет от и до - иначе спрос с выдавшего лицензию.

Законотворители не подумали о "старом поколении". Так проверяющие сами могут не соответствовать )))) А молодежи открыта дорога!

Алексей Краснов комментирует...

Не совсем только-только выпускники подходят - специальности по ИБ (ранее 075ХХХ, потом, кажется, стали 0901ХХ) не очень новая.

ZZubra комментирует...

Стандарты образовательные: http://mon.gov.ru/dok/fgos/
там в магистратуре есть http://www.edu.ru/db-mon/mo/Data/d_09/m497.html

Его год - 2009. То что ранее - не та программа, которая есть, нужна сейчас и подразумевается НПА (даже если они полностью совпадают - не уровня лицензирующего органа полномочия такие вопросы решать). Нет, так сказать, "обратной совместимости". Как и разъяснений нет. Все работают по действующим документам, а не по отмененным.
Так что "только-только" или нарушать.

Фин комментирует...

>от 22 апреля 2009 г.

а орбратную силу это имеет, для тех кто вступил в должность до 2009г, но профильного образования не имеет?

Алексей Лукацкий комментирует...

В общем не зря я этот вопрос поднял... Копать там и копать...

Анонимный комментирует...

вот. прямо таки интересно.
я дипломированный специалист 090104 (комплексная защита), отслужить успел. а вот по специальности и года не проработал. и никому по своей специальности не нужен %( как выясняется на практике работодателю выгоднее взять недипломированного, отправить на курсы, вменить каой-то круг задач (типа смотри в монитор чтобы никто на порно сайты не лазил или вон те бумажки надо переделать). при этом платить 12.000-14.000 российских денег

truandrey92 комментирует...

Я думаю Вам не стоит волноваться по поводу подтверждения квалификации, т.к. насколько я понимаю основным являются все же знания и организованность человека. Его способность думать и анализировать. На мой взгляд проблем возникнуть не должно, хотя бы потому что живем мы в РОССИИ!