В соответствии с «Положением о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств…», утвержденным Постановлением Правительства РФ №313 от 16 апреля 2012 года, при осуществлении лицензионной деятельности выдвигаются достаточно жесткие квалификационные требования к персоналу лицензиата (соискателя лицензии).
Жесткость требований никто не оспаривает, т.к. речь идет о защите конфиденциальной информации. Вопрос в том, что эти требования должны быть физически реализуемыми.
Если мы внимательно посмотрим на лицензионные требования, то можем увидеть следующие противоречия и не соответствия. Требования к образованию руководителей и инженерно-технических работников лицензируемого вида деятельности на оказание услуг шифрования информации, технического обслуживания СКЗИ, а также распространения СКЗИ являются не выполнимыми. Указанным требованиям отвечают выпускники вузов только 2009 года, т.к. действующая редакция общероссийского классификатора специальностей принята в 2004 году. Срок базового обучения по направлению «Информационная безопасность» − 5(6) лет. В настоящее время отсутствует какой-либо нормативный документ, относящийся к специальностям, полученным при обучении до 2009 года.
Требования к инженерно-техническому работнику при осуществлении лицензируемого вида деятельности распространение СКЗИ выше, чем к его руководителю, что не соответствует требованиям Трудового кодекса РФ.
Требования к инженерно-техническому работнику по распространению СКЗИ противоречат требованиям к техническому персоналу, непосредственно осуществляющему деятельность по созданию и выдаче сертификатов в соответствии с пп. 4 п. 3 с. 16 федерального закона 63-ФЗ от 06.04.2011 «Об электронной подписи» (иметь высшее профессиональное образование в области информационных технологий или информационной безопасности либо высшее или среднее профессиональное образование с последующим прохождением переподготовки или повышения квалификации по вопросам использования электронной подписи).
Если сравнивать с требованиями к квалификации персонала, выдвигаемыми предыдущим Постановлением Правительства РФ № 957, то там мы не наблюдали никаких противоречий. Например, для инженерно-технических работников требовалось высшее профессиональное образование или переподготовка (повышение квалификации) в области информационной безопасности.
Также, согласно п.п. г) п. 7 «Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств…», утвержденного Постановлением Правительства РФ №313 от 16 апреля 2012 года для получения (продления) лицензии ФСБ России соискатель лицензии (лицензиат) представляет (направляет) в лицензирующий орган копии документов государственного образца (дипломы, аттестаты, свидетельства) об образовании, о переподготовке, повышении квалификации по направлению "Информационная безопасность"…
Требований наличия государственных документов о повышении квалификации в ПП РФ №957 не было.
С целью обратить внимание на указанные выше проблемы банковское сообщество в лице НП «Национальный платежный совет» подготовило и направило на имя Председателя Правительства Д.А. Медведева письмо (
http://platsovetrf.ru/ru/news/index.php?id=75), в котором было отмечено:
- Отмечается наличие проблемных вопросов у кредитных организаций в процессе выполнения требований ПП №313,
- Требования ПП №313 более жесткие, чем были в ПП №957. Некоторые нормы нового Положения требуют уточнения,
- Отмечается, что ранее действующий Общероссийский классификатор специальностей по образованию ОК 009-93, утвержденный в 1993 году, не содержал такого направления ВПО, как информационная безопасность,
- Общероссийский классификатор ОК 009-2003, утвержденный в 2003 году, введен в действие 1.1.2004г. Срок обучение по направлению «Информационная безопасность» 5 и более лет. При этом порядок соотношения специальностей, полученных до 2009 года, со специальностями по данному направлению не установлен.
Также в письме приводятся рекомендации по новым формулировкам требований к квалификации персонала.
Для реализации требований в части профессиональной переподготовки по направлению «Информационная безопасность» Академия Информационных Систем разработала и проводит обучение по соответствующей программе в объеме 530 часов.
Краткая информация по курсам профессиональной переподготовки Академии Информационных Систем:
Формы обучения: очная аудиторная (вечерние занятия) без отрыва от производства и смешанная (с использованием современных дистанционных технологий и двусторонней аудио и видео конференцсвязи) без отрыва от производства.
Продолжительность обучения – 1 месяц (106 часов) и 4 месяца (530 часов).
При очной форме обучения занятия проводятся в вечернее время ежедневно и по субботам. При смешанной форме обучения занятия проводятся с использованием современных дистанционных технологий и двусторонней аудио и видео конференцсвязи с очными вечерними сессиями и вебинарами (согласно утвержденного расписания).
Программы профессиональной переподготовки согласованы с ФСТЭК России и ФСБ России.
При разработке учебной программы профессиональной переподготовки соблюдена преемственность по отношению к Федеральным Государственным образовательным стандартам высшего образования (ФГОС ВПО) по направлению подготовки "Информационная безопасность" (в том числе к ФГОС ВПО по направлению подготовки 090900 «Информационная безопасность»), а также квалификационные требования, указанные в квалификационных справочниках, утверждаемых в порядке, устанавливаемом Правительством Российской Федерации, по соответствующим должностям, профессиям, специальностям (в соответствии с Общероссийским классификатором специальностей).
Также соблюдены требования профессиональных стандартов (включая международные) в области информационной безопасности и обеспечения непрерывности бизнеса, действующие на момент формирования учебной программы.
По окончании обучения по программе профессиональной переподготовки и успешном прохождении аттестационных испытаний (написание и защита выпускной аттестационной работы) слушателям выдается Государственный Диплом.
Данный Диплом удостоверяет право (соответствие квалификации) специалиста на ведение профессиональной деятельности (включая ведение нового вида деятельности) в сфере «Информационная безопасность», согласно п.п. г) п. 7 «Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств…», утвержденного Постановлением Правительства РФ №313 от 16 апреля 2012 года.
Основные темы, рассматриваемые в программах профессиональной переподготовки:
Модуль 1: «Вводные замечания. Законодательное и нормативно-правовое регулирование вопросов защиты информации в Российской Федерации»;
Модуль 2: «Построение комплексной системы обеспечения информационной безопасности в организации»;
Модуль 3: «Системы управления защитой информации и обеспечение бесперебойности и непрерывности бизнеса»;
Модуль 4: «Техническая защита конфиденциальной информации»;
Модуль 5: «Криптографическая (с помощью шифровальных средств) защита конфиденциальной информации»;
Модуль 6: «Особенности обеспечения информационной безопасности ПДн в ИСПДн организации»;
Модуль 7: «Особенности обеспечения информационной безопасности в кредитно-финансовой сфере».
По всем вопросам относительно обучения просьба обращаться:
Менеджер отдела информационной безопасности
Филимоненкова Ольга Николаевна,
+7(495) 231 3049,