академия информационных систем

Версия для слабовидящих

28 июля 2022    580

На прошлой неделе было опубликовано Постановление Правительства от 15 июля 2022 года №1272 «Об утверждении типового положения о заместителе руководителя органа (организации), ответственного за обеспечение информационной безопасности в органе (организации), и типового положения о структурном подразделении в органе (организации), обеспечивающим информационную безопасность органа (организации)». В нем прописаны ключевые положения, направленные на реализацию Указа Президента от 01 мая 2022 года №250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации».

Постановление определяет права, полномочия, обязанности, квалификационные требования и ответственность заместителя руководителя по информационной безопасности — эта должность вводится Указом — и соответствующего структурного подразделения.

Чтобы разобраться в новых требованиях к кибербезопасности, мы поговорили с кандидатом технических наук, заместителем директора Академии Информационных Систем Игорем Хайровым.

Что изменится после реализации Указа Президента №250?

Вопрос обеспечения информационной безопасности (ИБ) в организации поднимется на совершенно иной уровень, т.к. ответственным за обеспечение ИБ должен быть назначен заместитель руководителя организации.

Руководитель организации теперь несет персональную ответственность за обеспечение ИБ — безопасникам будет проще достучаться до руководства.

Также появятся подразделения, ответственные за обеспечение ИБ, хотя эту функцию можно возложить на уже имеющееся департаменты.

Согласно Постановлению Правительства руководящий состав организации и сотрудники подразделений ИБ должны участвовать в профильных мероприятия: форумах, конференциях. Это впервые прямо прописывается в нормативном документе такого уровня.

Какие установлены сроки реализации этих положений?

Воплотить это всё в жизнь нужно было ещё «вчера».

Любая организация, тем более имеющая объекты критической информационной инфраструктуры (КИИ), должна быть защищена изначально. Если возникнут проблемы с ИБ, проверяющие органы не будут смотреть на то, что Постановление Правительства утвердили лишь в июле и требования Указа выполнить ещё не успели.

Они будут смотреть на масштаб бедствия и отталкиваться от него, применяя санкции к руководителю организации. По части его персональной ответственности Указ уже можно считать вступившим в силу.

На каких предприятиях появятся зам. руководителя по ИБ?

В Указе речь идет о коммерческих и государственных организациях, включая стратегические, системообразующие и просто субъекты КИИ.

По факту это сотни тысяч организаций.

Какое образование должно быть у зам. руководителя?

В Постановлении к ним предъявляются следующие квалификационные требования: высшее образование в области ИБ (не менее магистратуры или специалитета — бакалавриата недостаточно) или диплом о профессиональной переподготовке по ИБ.

Также он должен регулярно повышать компетенции и знания в области ИБ, проходя курсы повышения квалификации.

Чем профпереподготовка отличается от повышения квалификации?

Профессиональная переподготовка — это билет в новую специальность, которая может кардинально отличаться от предыдущей.

Повышения квалификации — это возможность актуализировать навыки и знания в рамках уже имеющейся профессии.

Отличаются они и длительностью. Если повышение квалификации по ИБ начинается от 40 часов, а по лицензионным требованиям ФСБ России — со 100 часов, то профпереподготовка по ИБ даже в теории не может быть короче 360 часов, а на практике это чаще всего минимум 500 часов.

Есть ли курсы по переподготовке короче 500 часов?

500 часов — это минимум по лицензионным требованиям ФСБ, если у специалиста нет профильного ИБ-образования. Именно такие курсы чаще всего реализуют компетентные в области ИБ учебные центры.

Первая программа свыше 500 часов, которую ФСБ согласовала по появившимся тогда требованиям, была разработана в Академии Информационных Систем в 2012 году и с тех пор активно применяется на рынке.

Однако согласно Приказу Минобрнауки от 19.10.2020 №1316 «Об утверждении Порядка разработки дополнительных профессиональных программ, содержащих сведения, составляющие государственную тайну, и дополнительных профессиональных программ в области информационной безопасности» профпереподготовка по ИБ не должна быть короче 360 часов. Аналогичное требование прописано в лицензионных требованиях ФСТЭК России.

Подойдет ли для зам. руководителя по ИБ профпереподготовка в объеме 360 часов?

Прямо в Постановлении Правительства требования к продолжительности программы профпереподготовки не указаны. Однако в документе прописан ряд требований к квалификации ИБ-руководителей, т.е. то, что они должны знать и уметь. Речь идет об очень высоком стандарте подготовки.

Такой объем информации с учетом отработки на практике полученных знаний сложно дать даже за 500 часов, не говоря уже о 360.

Готовить ответственных за обеспечение информационной безопасности объектов КИИ, системообразующих или стратегических предприятия по стандарту в 360 часов, на мой взгляд, — профанация.

Объясню. Программа в объеме 360 часов раскрывает лишь один хоть и большой аспект защиты информации — техническая защита конфиденциальной информации (ТЗКИ).

В программах от 500 часов, в том числе раскрываются многие другие аспекты, которые перечислены в Постановлении. Например, вопросы обеспечения кибербезопасности, вопросы обнаружения, предупреждения и ликвидации последствий компьютерных атак, реагирование на инциденты ИБ, управление проектами по ИБ.

Кто может проводить профпереподготовку?

Учебный центр должен обладать соответствующей образовательной лицензией, а программы профпереподготовки по ИБ, по которым ведется обучение, согласно уже упомянутому Приказу Минобрнауки №1316 требуют согласования ФСТЭК и/или ФСБ.

Я бы ещё обращал внимание на опыт в реализации образовательных программ по ИБ и репутацию учебного центра.

Формализованных требований к преподавателям нет, но, учитывая специфику отрасли, это должен быть профессионал с большим практическим опытом в информационной безопасности.

Можно ли пройти профпереподготовку дистанционно?

Да, ряд учебных центров предусматривают такую возможность.

Закон «Об образовании» позволяет проводить обучения удаленно, если слушатели могут общаться с преподавателем напрямую в режиме реального времени. Это называется контактной формой обучения.

Важно, чтобы в дистанционном формате сохранялась практическая часть обучения. В ИБ без практики никуда.

Этот процесс можно реализовать по-разному. Например, в АИС, наряду с работой на реальном оборудовании, мы используем виртуальные машины, которые эмулируют реальные средства защиты. Учащимся выдаются подробные инструкции, а преподаватели в обязательном порядке проверяют их работы.

Какие существуют риски неисполнения Указа?

Как я уже отмечал ранее, за обеспечение ИБ персональную ответственность теперь несет руководитель организации. Причем ответственность эта в зависимости от квалификации может быть как административной, так и уголовной.

Источник: CisoClub