Ведущие специалисты «Академии Информационных Систем» (АИС, входит в ГК Stins Coman) рассказали об основных событиях 2012 года в сфере информационной безопасности, о требованиях регуляторов и подготовке специалистов для отрасли.
«Нам 16 лет, — рассказал ректор АИС Юрий Малинин, — и все эти годы мы занимаемся преимущественно информационной безопасностью и ИТ, хотя наши учебные курсы охватывают широкий круг тем — от конкурентной разведки в Интернете до маркетинга, экологической безопасности и даже английского языка — естественно, с акцентом на ИТ. За последние два года оборот «Академии» вырос на 40%. А в 2013-м мы планируем переступить отметку в 100 млн. рублей». Преподаватели «Академии» входят в рабочие группы и комитеты, участвующие в разработке государственных нормативных актов в сфере ИБ.
Дмитрий Левиев, один из ведущих экспертов «Академии», выступил с обзором основных событий минувшего года в сфере регулирования ИБ. Более 70 принятых в 2012 году нормативных актов имеют прямое отношение к ИБ, а многие другие документы затрагивают эту тему опосредованно (№ 79 от 3 февраля 2012 года) — также ужесточает требования регулятора (ФСТЭК) к соискателям лицензии и вводит бессрочные лицензии. В то же время понижены требования к организациям, которым требуется лицензия для собственной деятельности, без оказания услуг на стороне.
Значительно усиливает требования регуляторов и Постановление Правительства РФ от 03.03.2012 № 171 «О лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации». Получить эту лицензию сегодня очень трудно: государство создает барьер для организаций, имеющих мало опыта или недостаточную квалификацию.
Принятый в 2011 году Федеральный закон N 161-ФЗ «О национальной платежной системе» повлек за собой целый поток нормативных документов. Один только Банк России издал их более 45. В их числе Положение № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации Такой плотный поток руководящей документации повышает заинтересованность организаций в дополнительном образовании своих сотрудников.
Во многие нормативные документы, связанные с Федеральным законом от 4 мая 2011 года N 99-ФЗ «О лицензировании отдельных видов деятельности», изменения вносятся постоянно. В частности, принятое 16 апреля прошлого года Постановление Правительства РФ № 313 о средствах криптографической защиты информации объединяет в одном акте сразу четыре вида лицензируемой деятельности, ужесточает требования к персоналу компаний и вводит бессрочные лицензии вместо пятилетних (в конце 2013 года ожидается корректировка этого документа по результатам его применения и в соответствии с деятельностью «электронного правительства»). Другое постановление — «О лицензировании деятельности по технической защите конфиденциальной информации» при осуществлении переводов денежных средств» и Указание № 2831-У «Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств». Оба эти документа, введенные в действие с 1 июля 2012 года, будут пересматриваться в первом квартале текущего года. Вступление в силу статьи 9 Закона № 161-ФЗ, регламентирующей возврат средств клиенту в случае проведения операций без его согласия, отложено до 1 января 2014 года.
1 ноября 2012 года принято Постановление Правительства РФ № 1119 «Об утверждении требований к защите ПДн при их обработке в ИС персональных данных», а в первом-втором кварталах 2013 года должны появиться соответствующие нормативнометодические документы ФСБ и ФСТЭК России. В конце года в них придется вносить коррективы в соответствии с решением Европарламента, вступающим в силу 1 января 2014 года. Целый ряд документов, касающихся «электронного правительства» и «электронной цифровой подписи», также интенсивно совершенствуются.
По словам проректора АИС по направлению ИБ Игоря Хайрова, «Академия» согласует свои авторские учебные программы с регуляторами, хотя это и не является обязательным. Авторизованные учебные курсы по продукции отдельных вендоров ведут сертифицированные преподаватели по утвержденной вендором программе, а по их окончании слушатели получают сертификат вендора. Практикуются различные формы обучения: очное, заочное, дистанционное смешанное, а также семинары, конференции, вебинары и т. п.
Юрий Курочкин
itnews / № 02 (205) 2013