17.6.16

Повышение квалификации специалиста по ИБ в госорганах

Не станет преувеличением утверждение, что технологии злоумышленников, информационные и безопасности развиваются очень динамично и необходимо регулярно обновлять свои знания в этой сфере. Да и для построения архитектуры ИБ необходимо иметь определенный набор знаний и квалификаций. Поэтому неслучайно, что в последнее время сразу два регулятора в области ИБ (ФСТЭК и Банк России) выпустили ряд нормативных актов и рекомендаций по повышению квалификации специалистов по защите информации. Подходу Банка России я посвящу отдельную заметку, а сейчас хотелось коснуться документов ФСТЭК.

Первым документом стало Постановление Правительства №399 от 6 мая 2016-го года "Об организации повышения квалификации специалистов по защите информации и должностных лиц, ответственных за организацию защиты информации в органах государственной власти, органах местного самоуправления, организациях с государственным участием и организациях оборонно-промышленного комплекса", которое утверждает соответствующие правила организации повышения квалификации. Это постановление небольшое и по сути просто обращает внимание на необходимость регулярного повышения квалификации в области ИБ в соответствие с примерными программами переподготовки, утвержденными ФСТЭК.

Но выпущено данное Постановление очень вовремя. Только в Поволжском федеральном округе, как свидетельствует секретарь Совета Безопасности г-н Патрушев в 2015-м году было совершено около 190 миллионов кибератак, из которых более 80% приходилось на государственные органы. Понятно, что цифра 190 миллионов (это 520 тысяч атак в день, то есть 360 атак в минуту) представляет собой статистику какой-нибудь IDSки или ГосСОПКИ, которая каждый чих или пинг засчитывает за атаку. Но сам факт роста числа атак, в т.ч. и на госорганы сомнений не вызывает.

А кто занимается ИБ в госорганах? Полпред Президента в ПФО Михаил Бабич заявил, что "В региональных органах исполнительной власти и органах местного самоуправления (в ПФО - примечание мое) защиту информации обеспечивают 1672 специалиста, из них лишь 26% предусмотрены штатным расписанием, и только 6% имеют профильное образование". Профильное образование только у 6%!!! Поэтому вполне логично, что безопасники должны повышать свою квалификацию, чему и посвящено ПП-399.

1-го июня ФСТЭК разместила у себя на сайте информационное сообщение по данному вопросу, а также выписку из перечня примерных программ профессиональной переподготовки и повышения квалификации специалистов в области противодействия иностранным техническим разведкам и технической защиты информации, разработанных ФСТЭК России. На сайте ФСТЭК выложен и регулярно обновляется перечень организаций, осуществляющих образовательную деятельность, имеющих дополнительные профессиональные программы в области информационной безопасности, согласованные с ФСТЭК. Таких организаций свыше 130.


У упомянутого ПП-399 только один недостаток - оно не очень конкретное. Требования увеличить штаты по ИБ нет. Требование выделить финансирования на ИБ и повышение квалификации тоже нет. Как сказал Бабич на соверщании СовБеза: "Кроме того, для большинства государственных информационных систем в 2014-2015 годах мероприятия по их созданию, модернизации и эксплуатации профинансированы немногим более чем на 50% от запланированных средств, а финансирование защиты информации проводится по остаточному принципу". Так что при всей своей нужности и полезности, новое Постановление Правительства сродни известному высказыванию премьер-министра, который и подписал ПП-399 - "Денег нет, но вы держитесь".

9 коммент.:

Александр Германович комментирует...

Насчет "денег нет" стало еще интереснее. Госслужащие обычно учились по 72-часовым программам. Учились со скрипом: оторвать человека от работы на 2 недели трудновато. Теперь типовые программы ФСТЭК имеют объем от 216 часов. Это месяц занятий. Интересно, кто-то считал, во сколько обойдется бюджету месячный отрыв госслужащего от работы, оплата ему командировочных и проживания?

Алексей Лукацкий комментирует...

По перечню ФСТЭК 80+% всех программ - это 72 часа

Александр Германович комментирует...

В том-то и дело, что их придется переделывать: они не соответствуют "типовым". А согласовать можно только соответствующую.

Алексей Лукацкий комментирует...

Ну я думаю ФСТЭК даст указания соответствующие. Но проблема с отрывом, конечно, есть. Но ее никак не решать, пока государство не решится на финансирование ИБ в госах

Александр Германович комментирует...

Дать-то она даст. А решиться на финансирование ИБ будет сложно: "денег нет".
Хотя, конечно, можно просто сказать: "вы там держитесь...".

Алексей Лукацкий комментирует...

Вот поэтому мой последний абзац и был про это

ЗВД комментирует...

Да, еще и четких требований по периодичности нет (для обоснования перед руководством): "с периодичностью, позволяющей специалистам в условиях нарастания количества угроз безопасности информации, а также с учетом необходимости постоянного совершенствования методов и средств их нейтрализации получать новые знания, умения и навыки, необходимые для профессиональной деятельности".

Алексей Лукацкий комментирует...

Не совсем. Как минимум, раз в пять лет. Таковы требования Минобра и Роструда

Авдеев Алексей Александрович комментирует...

Если посмотреть на Указ Президента РФ от 28.12.2006 № 1474 "О дополнительном профессиональном образовании государственных гражданских служащих Российской Федерации", то увидим там такой пункт:
"5. Повышение квалификации гражданского служащего осуществляется в случаях, предусмотренных пунктом 3 настоящего Положения, по мере необходимости, определяемой представителем нанимателя, но не реже одного раза в три года."