пятница, 20 марта 2009 г.

Насколько важно согласование учебных программ с регуляторами?

   В ИТ и ИБ сообществе бытует мнение, что для получения лицензий ФТСЭК на техническую защиту конфиденциальной информации и/или лицензий ФСБ на работу (эксплуатация, разработка, обслуживание, ...) с криптосредствами (средствами шифрования) одним из требований является необходимость обучения (переподготовка, повышение квалификации) по учебным программам, согласованным с соответствующими регуляторами (ФСТЭК и ФСБ). Попробуем разобраться, на сколько это мнение оправдано.
   Во-первых, читаем, что написано в соответствующих лицензионных требованиях (требованиях к соискателям лицензий). Согласно постановления Правительства РФ от 15 августа 2006 г. № 504 "... 4. Лицензионными требованиями и условиями при осуществлении деятельности по технической защите конфиденциальной информации являются: а) наличие в штате соискателя лицензии (лицензиата) специалистов, имеющих высшее профессиональное образование в области технической защиты информации либо высшее или среднее профессиональное (техническое) образование и прошедших переподготовку или повышение квалификации по вопросам технической защиты информации ...". Согласно постановления правительства РФ от 29 декабря 2007 № 957 "... 4. Лицензионными требованиями и условиями при распространении (это относится и к другим видам работ) шифровальных (криптографических) средств являются: ... б) наличие в штате у соискателя лицензии (лицензиата) следующего квалифицированного персонала: руководитель и (или) лицо, уполномоченное руководить работами по лицензируемой деятельности, имеющие высшее профессиональное образование и (или) профессиональную подготовку в области информационной безопасности, а также стаж работы в этой области не менее 5 лет; инженерно-технические работники, имеющие высшее профессиональное образование или прошедшие переподготовку (повышение квалификации) в области информационной безопасности с получением специализации, необходимой для работы с шифровальными (криптографическими) средствами;...". При этом хочу обратить ваше внимание, что предыдущее постановление Правительства Российской Федерации от 23 сентября 2002 г. № 691 имело другую формулировку требований к инженерно-техническому персоналу "... 5. Лицензионными требованиями и условиями при распространении (это относится и к другим видам работ) шифровальных (криптографических) средств являются:... т) наличие следующего квалифицированного персонала:...инженерно-технический персонал, имеющий высшее профессиональное образование или прошедший переподготовку (повышение квалификации) в области информационной безопасности с получением специализации, соответствующей виду шифровальных (криптографических) средств ...". Трактовать действующее постановление № 957 и утратившее силу № 691 можно по разному, достаточно просто вчитаться в смысл.
Как видим, здесь ничего о согласовании не говорится.
   Во-вторых, качество дополнительных образовательных программ (соответственно и качество обучения) регламентируется законами, Постановлениями Правительства и подзаконными актами Министерства образования и науки РФ. К таким документам, в частности, относятся Закон Российской Федерации "Об образовании" и Постановление Правительства РФ "Об утверждении типового положения об образовательном учреждении дополнительного профессионального образования (повышения квалификации) специалистов" от 26 июня 1995 г. № 610 (в ред. Постановлений Правительства РФ от 10.03.2000 № 213, от 23.12.2002 № 919, от 31.03.2003 № 175). Также, здесь не маловажным является вопрос о том, как учебный центр зарекомендовал себя на рынке образовательных услуг и вопрос доверия к нему.
   В-третьих, наличие у образовательного учреждения Свидетельства о Государственной аккредитации, лицензии на образовательную деятельность с перечнем направлений обучения, дающих соответствующие специализации и учебных программ, удовлетворяющих «Требования к содержанию дополнительных профессиональных образовательных программ» (утвержденным приказом Министерства общего и профессионального образования Российской Федерации от 18 июня 1997г. № 1221) говорит о качестве образования. Если в этом возникают сомнения, то это вопросы уже к Департаментам образования соответствующих субъектов, выдавших лицензию, но ни как не к регуляторам в лице ФСТЭК и ФСБ.

   Соответственно, наличие согласования учебной программы с соответствующим регулятором является дополнительной гарантией (но ни как не обязательным условием) того, что при выдаче лицензии вам не будут задавать лишние каверзные вопросы. При этом, если специалист имеет Государственный документ об образовании с соответствующей специализацией, но учебная программа курса, по которому он проходил обучение не согласовывалась с регуляторами, то это не может служить основанием для отказа в выдаче (продлении) лицензии по пункту об уровне компетенции специалистов лицензиата (или соискателя лицензии). ФСТЭК и ФСБ являются исполнительными органами власти, которые осуществляют государственный контроль в рамках своих полномочий и не признание ими Государственных документов об образовании является не совсем правильным (я постарался написать как можно корректнее :)). Уровень компетенции специалистов для того, либо иного лицензируемого вида деятельности может быть не признан регуляторами в том случае, если специализация согласно документу не соответствует тому виду деятельности, который будет выполнять лицензиат. Т.е. для выполнения работ по технической защите информации наличие дипломированных специалистов по криптографической защите информации будет не достаточно и предписание на устранение нарушения будет получено с большой долей вероятности.

   Если говорить о том, что происходит на практике, то здесь мнения одного и того же регулятора в разных Федеральных округах достаточно сильно разнятся. Было несколько прецедентов, когда в одном из банков, наличие двух специалистов с сертификатами по защите информации (не буду конкретизировать специализацию), в которых указана продолжительность обучения менее 72 академ.часов признавалось, как соответствие  пунктам лицензионных требований, а в филиале этого же банка, но находящемся в другом ФО выписывалось предписание о нарушении с необходимостью устранения путем повышения квалификации по ЗИ в объеме не менее 72 часов (при этом в предписании НЕ ПИШЕТСЯ, что обучение должно проводиться по программам согласованным с регулятором, а может писаться необходимый минимальный объем. Главное, чтобы была необходимая специализация). Если говорить строго, то это требование логично, т.к. после обучения в объеме от 72 до 100 академ.часов выдается Государственное Удостоверение о краткосрочном повышении квалификации. А наличие Государственного документа является гарантией качества обучения.

   Кстати, согласно Требований... №1221 (см. выше), помимо таких видов обучения как переподготовка и повышение квалификации есть понятие стажировка, после которой также выдается документ о краткосрочном или длительном повышении квалификации в зависимости от сроков стажировки. При этом стажировка может представлять собой самостоятельную теоретическую подготовку.

2 комментария:

  1. Вопрос такой, кто должен выдавать документ по факту прохождения стажировки? нужно искать лицензиата Минобразования?

    ОтветитьУдалить
  2. Да, нужно искать лицензиата Минобразования.
    Любые документы об образовании, включая сертификаты, свидетельства, удостоверения, справки о прослушивании внутреннего образца учебного центра и т.п. могут выдавать только организации имеющие лицензию на образовательную деятельность. Если организация не имеет такой лицензии и проводит какие-либо мероприятия (круглые столы, семинары и т.п.), то она НЕ ИМЕЕТ ПРАВА выдавать даже справку об участии в этом мероприятии. Тоже самое относится и к стажировке. Главное, чтобы план стажировки был оформлен в соответствии с "Требованиями к содержанию дополнительных профессиональных образовательных программ" (утвержденным приказом Министерства общего и профессионального образования Российской Федерации от 18 июня 1997г. № 1221). Если учебный центр имеет Гос.аккредитацию, то после стажировки может выдавать Гос.удостоверение о краткосрочном повышении квалификации. Стажировка может проходить как на базе учебного центра (УЦ), так и на базе какой-либо организации, если стажер направляется туда от УЦ.

    ОтветитьУдалить