Интересный вопрос у меня возник на днях. Существует Постановление Правительства №610 от 26 июня 1995 года «Об утверждении Типового положения об образовательном учреждении дополнительного профессионального образования (повышения квалификации) специалистов», в котором говорится о том, что минимальный срок повышения квалификации специалистов составляет 72 часа. Согласно этому Постановлению специалисты должны проходить повышение квалификации каждые 5 лет. Тут вроде все ясно.
Теперь смотрим на второй (или даже первый) основополагающий документ - Приказ Минздравсоцразвития от 22 апреля 2009 г. № 205 "Об утверждении единого квалификационного справочника должностей руководителей, специалистов и служащих, раздел "квалификационные характеристики должностей руководителей и специалистов по обеспечению безопасности информации в ключевых системах информационной инфраструктуры, противодействию техническим разведкам и технической защите информации". В этом документе указываются требования к квалификации руководителей, специалистов и других должностей, отвечающих за информационную безопасность.
Я выписыл все эти квалификационные требования:
Ну и фиг с ним, скажете вы. Кому нужны эти квалификационные требования? Был бы человек хороший и специалист неплохой. Так-то оно так, но... не будет ли это препятствием при прохождении проверок со стороны регуляторов? Ведь по данным ФСТЭК одним из ключевых нарушений является отсутствие достаточного количества квалифицированных специалистов по защите информации. И если с количеством все ясно (минимум 2, а в ряде случаев 3), то с квалификацией вопрос остается открытым. Не будет ли при проверке проверяться выполнение квалификационных требований согласно единому квалификационному справочнику?
Частично задача может быть решена Постановление Минтруда РФ от 9 февраля 2004 №9 "Об утверждении порядка применения единого квалификационного справочника должностей руководителей, специалистов и других служащих". В нем говорится, что "лица, не имеющие специальной подготовки или стажа работы, установленных требованиями к квалификации, но обладающие достаточным практическим опытом и выполняющие качественно и в полном объеме возложенные на них должностные обязанности, по рекомендации аттестационной комиссии назначаются на соответствующие должности так же, как и лица, имеющие специальную подготовку и стаж работы". Но тут возникает другой вопрос - а у вас в организации есть такая рекомендация аттестационной комиссии?
Но вообще вопрос, наверное, риторический...
Теперь смотрим на второй (или даже первый) основополагающий документ - Приказ Минздравсоцразвития от 22 апреля 2009 г. № 205 "Об утверждении единого квалификационного справочника должностей руководителей, специалистов и служащих, раздел "квалификационные характеристики должностей руководителей и специалистов по обеспечению безопасности информации в ключевых системах информационной инфраструктуры, противодействию техническим разведкам и технической защите информации". В этом документе указываются требования к квалификации руководителей, специалистов и других должностей, отвечающих за информационную безопасность.
Я выписыл все эти квалификационные требования:
- Главный специалист по ТЗИ – высшее образование по ИБ + стаж – 5 лет и руководящий стаж – 3 года
- Начальник отдела по ТЗИ – высшее образование по ИБ + стаж – 5 лет и руководящий стаж – 2 года
- Специалист по ТЗИ I категории – высшее образование по ИБ + стаж работы по II категории – 3 года
- Специалист по ТЗИ II категории – высшее образование по ИБ + стаж работы по ТЗИ – 3 года
- Специалист по ТЗИ – высшее образование по ИБ
- Администратор по ОБИ - высшее образование по ИБ + стаж работы специалистом – 3 года
- Инженер по ТЗИ – высшее образование по ИБ или среднее образование по ИБ + стаж работы техником по ЗИ I категории 3 года или стаж по другим должностям 5 лет
- Инженер-программист по ТЗИ I категории – высшее образование по ИБ (или техническое) + стаж инженером-программистом II категории 3 года
- Инженер-программист по ТЗИ II категории – высшее образование по ИБ (или техническое) + стаж инженером-программистом 3 года
- Инженер-программист по ТЗИ – высшее образование по ИБ или среднее образование по ИБ + стаж техником по ЗИ I категории 3 года
- Техник по ЗИ I категории – среднее образование по ИБ + стаж работы техником по ЗИ II категории 2 года
- Техник по ЗИ II категории – среднее образование по ИБ + стаж работы техником по ЗИ 2 года
- Техник по ЗИ – среднее образование по ИБ
Ну и фиг с ним, скажете вы. Кому нужны эти квалификационные требования? Был бы человек хороший и специалист неплохой. Так-то оно так, но... не будет ли это препятствием при прохождении проверок со стороны регуляторов? Ведь по данным ФСТЭК одним из ключевых нарушений является отсутствие достаточного количества квалифицированных специалистов по защите информации. И если с количеством все ясно (минимум 2, а в ряде случаев 3), то с квалификацией вопрос остается открытым. Не будет ли при проверке проверяться выполнение квалификационных требований согласно единому квалификационному справочнику?
Частично задача может быть решена Постановление Минтруда РФ от 9 февраля 2004 №9 "Об утверждении порядка применения единого квалификационного справочника должностей руководителей, специалистов и других служащих". В нем говорится, что "лица, не имеющие специальной подготовки или стажа работы, установленных требованиями к квалификации, но обладающие достаточным практическим опытом и выполняющие качественно и в полном объеме возложенные на них должностные обязанности, по рекомендации аттестационной комиссии назначаются на соответствующие должности так же, как и лица, имеющие специальную подготовку и стаж работы". Но тут возникает другой вопрос - а у вас в организации есть такая рекомендация аттестационной комиссии?
Но вообще вопрос, наверное, риторический...
Аттестационная комиссия - это внутренний орган работодателя, создается приказом по предприятию. Так что если даже ее и нет, то создать ничто не мешает - нужен только приказ и положение о комиссии, а для назначения - еще и протокол заседания.
ОтветитьУдалитьАлексей, читая Ваш блог не могу отделаться от ощущения, что у российских безопасников кроме прохождения проверок и разбирательств в хитросплетениях законодательства в области ИБ других задач и нет. Один сплошной compliance. А когда же безопасностью заниматься?
ОтветитьУдалитьЕТКС обязателен только для гос. структур. Берем ст.57 ТКРФ: Если в соответствии с настоящим Кодексом, иными федеральными законами с выполнением работ по определенным должностям, профессиям, специальностям связано предоставление компенсаций и льгот либо наличие ограничений, то наименование этих должностей, профессий или специальностей и квалификационные требования к ним должны соответствовать наименованиям и требованиям, указанным в квалификационных справочниках, утверждаемых в порядке, устанавливаемом Правительством Российской Федерации;
ОтветитьУдалитьПро компенсации и льготы ЗИшникам я что-то не слышал, про ограничения, установленные федеральными законами тоже.
Dmitriy: Именно так ;-) В России над реальной безопасностью превалирует бумажная. Но и не стоит забывать, что это мой блог, отражающий мой взгляд на ИБ ;-) Пусть о практике пишут те, кто ею постоянно занимается.
ОтветитьУдалитьСергей: Вот поэтому у меня вопрос и возник. Как доказать квалификацию при проверках?
Без бумажки - никак :)
ОтветитьУдалитьСам темой ИБ занимаюсь 30 лет, из них 25 - на общественных началах (в нагрузку к основной работе), хотя может тема диплома: "Защита информации в ..." устроит.
Про начальника вопрос интересный - а где взять 2 года руководящего стажа? Замкнутый круг получается, набрал 5 лет стажа, пора быть начальником, а никак - нет 2 лет руководящего стажа)))
ОтветитьУдалитьТ.е придет ФСТЭК проверять, а такой начальник что должен будет сказать, подождите, я временый, вот сейчас 2 года на этой должности побуду и стану полноценным)))
Алексей, а Вы не в курсе про мин.связи документ по квалификации специалистов, или это даже стандартом даже должно было стать - что с ним?
Этот приказ (205) обходится легко с помощью ТК. Много случаев, когда квалификация на бумаге не соответствует требованиям, а работник в натуре - другого не надо. Назначаем И.О., а через год - на должность - требование ТК и никакие приказы не указ. Проверено лично.
ОтветитьУдалитьИли еще круче ситуация. Специальность "Сети связи и системы коммутации", 5 лет, ВИПС, 2000 г. выпуска, диплом гос. образца - специальность не подходит по названию, она не "высшая" (переходный период - переходные программы в ВУЗе). А с другой стороны - если с этой специальностью не ЗИ, то кто тогда с ней? Фактически только-только выпускники подходят под формальные требования. А исполнять надо будет от и до - иначе спрос с выдавшего лицензию.
ОтветитьУдалитьЗаконотворители не подумали о "старом поколении". Так проверяющие сами могут не соответствовать )))) А молодежи открыта дорога!
Не совсем только-только выпускники подходят - специальности по ИБ (ранее 075ХХХ, потом, кажется, стали 0901ХХ) не очень новая.
ОтветитьУдалитьСтандарты образовательные: http://mon.gov.ru/dok/fgos/
ОтветитьУдалитьтам в магистратуре есть http://www.edu.ru/db-mon/mo/Data/d_09/m497.html
Его год - 2009. То что ранее - не та программа, которая есть, нужна сейчас и подразумевается НПА (даже если они полностью совпадают - не уровня лицензирующего органа полномочия такие вопросы решать). Нет, так сказать, "обратной совместимости". Как и разъяснений нет. Все работают по действующим документам, а не по отмененным.
Так что "только-только" или нарушать.
>от 22 апреля 2009 г.
ОтветитьУдалитьа орбратную силу это имеет, для тех кто вступил в должность до 2009г, но профильного образования не имеет?
В общем не зря я этот вопрос поднял... Копать там и копать...
ОтветитьУдалитьвот. прямо таки интересно.
ОтветитьУдалитья дипломированный специалист 090104 (комплексная защита), отслужить успел. а вот по специальности и года не проработал. и никому по своей специальности не нужен %( как выясняется на практике работодателю выгоднее взять недипломированного, отправить на курсы, вменить каой-то круг задач (типа смотри в монитор чтобы никто на порно сайты не лазил или вон те бумажки надо переделать). при этом платить 12.000-14.000 российских денег
Я думаю Вам не стоит волноваться по поводу подтверждения квалификации, т.к. насколько я понимаю основным являются все же знания и организованность человека. Его способность думать и анализировать. На мой взгляд проблем возникнуть не должно, хотя бы потому что живем мы в РОССИИ!
ОтветитьУдалить