Журнал "Information Security/ Информационная безопасность" #6, 2022

Требования законодательства В части требований к квалификации руководителей и специалистов в области защиты информации, кроме принятого ряда профстандартов, в 2022 г. для рынка стал особо важным Указ Прези- дента РФ № 250 от 01.05.2022 г. Он подразумевает создание в госорганах, госкомпаниях и стратегических пред- приятиях подразделений по обеспечению информбезопасности. Под это требова- ние, по оценкам экспертов, подпадает около 100 тыс. учреждений и организа- ций – это органы государственной вла- сти, государственные фонды, госкорпо- рации, стратегические предприятия, стратегические акционерные общества, системообразующие организации эко- номики и субъекты критической инфор- мационной инфраструктуры. Указ стал логичным продолжением ранее принятых стратегических документов в области информационной безопасности с точки зрения директив по созданию структур- ных подразделений и должностных пози- ций (Доктрина информационной без- опасности РФ, Стратегия национальной безопасности РФ) и специализированных (152-ФЗ, 187-ФЗ, Концепция ГосСОПКА и др.). Тут есть тонкости. Например, в боль- шом количестве учреждений здраво- охранения, которые являются субъектами КИИ, нет специалистов по информа- ционной безопасности. И в этой области мы наблюдаем взрывной рост спроса на обучение. Ведь если раньше вопро- сами ИБ занимался начальник отдела, то теперь ответственность возлагается на заместителя руководителя организа- ции. То же самое касается госкорпора- ций и органов государственной власти и, конечно же, субъектов КИИ. В июле вышло постановление Прави- тельства РФ № 1272 от 15.07.2022 г. "Об утверждении типового положения о заместителе руководителя органа (орга- низации), ответственном за обеспечение информационной безопасности в органе (организации), и типового положения о структурном подразделении в органе (организации), обеспечивающем инфор- мационную безопасность органа (орга- низации)". Оно утверждает требования к этим заместителям руководителя структурного подразделения. Квалифи- кационные требования к заместителю руководителя, согласно ПП № 1272, весьма высоки и требуют серьезного уровня подготовки в области информа- ционной безопасности. В соответствии с п. 6 ПП№ 1272 ответ- ственное лицо должно иметь высшее образование (не ниже уровня специали- тета, магистратуры) по направлению обес- печения информационной безопасности. Если ответственное лицо имеет высшее образование по другому направлению подготовки, то необходимо пройти обуче- ние по программе профессиональной переподготовки по направлению "Инфор- мационная безопасность", а это не менее 500 часов. Нам поступает большое коли- чество запросов от заказчиков. Мы пока только в диалоге с регуляторами о новых требованиях и продолжаем обучение по ранее согласованным программам. Есть приказ Минобрнауки России № 1316 от 19.10.2020 г. "Об утверждении Порядка разработки дополнительных профессиональных программ, содержа- щих сведения, составляющие государст- венную тайну, и дополнительных про- фессиональных программ в области информационной безопасности", в кото- ром написано, что минимальный срок освоения программ профессиональной переподготовки в области информа- ционной безопасности – 360 часов. Поэтому многие заказчики запрашивают переподготовку именно на 360 часов. Но поскольку требования по лицензиро- ванию предполагают обучение в коли- честве более 500 часов, то, как правило на рынке вы увидите программы, кото- рые соответствуют продолжительности более 500 часов. Это могут быть про- граммы общего плана по информацион- ной безопасности или связанные с тех- ническими аспектами защиты. На что обращать внимание при планировании обучения Сейчас работает большое количество онлайн-школ с модными темами, сервис которых заключается в предоставлении доступа к порталу с записанным обра- зовательным контентом. Но для про- фессиональной переподготовки это не подходит. Важно, чтобы договор обяза- тельно составлялся на оказание обра- зовательных услуг, только тогда обуче- ние будет считаться профессиональной переподготовкой с дипломом установ- ленного образца. Опять же для ряда программ важно их согласование с регу- ляторами и соответствие профессио- нальным стандартам, которых только в этом году вышло четыре в области защиты информации. Желательно, чтобы обучение прово- дилось живыми экспертами и препода- вателями. Ситуация меняется достаточно быстро, появляются новые законода- тельные акты. Если вы отправили сотруд- ников на обучение, где им демонстри- руют записи прошлых лет, то обучение пройдет впустую. Отчасти записи допу- стимы там, где нет необходимости в обновлении контента. Но должна быть и возможность живого общения с экс- пертами, которые будут подстраиваться под актуальные требования и повестку. В обучении персонала в целях повы- шения осведомленности пользователей, выстраивания корпоративной культуры кибербезопасности и кибергигиены мы рекомендуем микрообучение. В рамках такого формата заказчик может полу- чить портал дистанционного обучения, где собраны необходимые электронные учебные модули, а конкретный слуша- тель сможет сам их выбирать и прохо- дить в удобном для себя режиме. В этом направлении Академия АйТи также вла- деет глубокой экспертизой и предлагает разные форматы: l короткие электронные курсы – симу- ляции, с интерактивом; l мастер-классы; l воркшопы в группах; l и любые другие форматы, под задачи заказчика. Заключение Академия АйТи работает на рынке более 27 лет, и за это время многое изменилось – образовательные подходы, информационные технологии, угрозы, вендоры. Сейчас у нас в линейке более тысячи курсов, не считая электронных, заказных, и программ, которые мы про- водим в рамках федеральных проектов. Всем, кто выстраивает траекторию тех- нологического суверенитета, мы реко- мендуем учитывать, кто в организации уже имеет нужное образование, и обяза- тельно обучать заранее руководителей. Обращайте внимание на планирова- ние кастомизированного обучения по всему замещаемому стеку технологий в симбиозе с программами по проектным методологиям, к примеру, для тех ком- паний, которым важны подходы по без- опасной разработке. Обучение должно опережать техно- логические изменения, поэтому заказы- вайте программы под свои потребности, благо образовательный бизнес может гибко и оперативно ответить на такие потребности. Учитывая необходимость в специали- стах, сложно закрываемые вакансии, планируйте программы кадрового резер- ва: набирайте стажеров из внутренних отделов или внешних кандидатов и зара- нее их обучайте. l Чеклист при переходе на технологический суверенитет 1. Переподготовить (профпереподготовка) руководителей, у которых нет профильного образования по иб (Указ Президента РФ № 250, ПП 1272) 2. Перестроить процесс обучения ит- и иб-команд на параллельное обучение в связке с развитием импортозамещающих продуктов 3. Запланировать дорожную карту построения культуры информационной безопасности. Массово повысить квалификацию персонала по повышению осведомленности пользователей 4. Запланировать проекты по подготовке кадрового резерва • 19 Защита объектов кии www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru На правах рекламы