О новых Постановлениях Правительства о руководителе ИБ и службе ИБ

Законодательство

На просторах Интернета почти спустя месяц после указанного в 250-м Указе срока появился проект Постановления Правительства об утверждении типового положения о заместителе руководителя организации по вопросам ИБ и типового положения о подразделении ИБ. И хотя у меня на сегодня была запланирована немного иная заметка, я не мог пройти мимо этого проекта; надеясь (хотя это и маловероятно), что в него еще успеют внести поправки, потому что в текущем виде он не выполним 🙁

Интересно, что данные положения, в случае принятия, вступят в силу сразу, без какого-либо переходного периода. И если актуализировать или написать с нуля положение по подразделению ИБ не выглядит сложным, то вот с заместителем руководителя организации есть нюансы.

Типовое положение по заместителю руководителя

Основной нюанс касается требований к образованию. Если раньше еще были вопросы, авторы положения пойдут по пути определения нужных компетенций и навыков или по более простому пути указания нужного уровня образования, то выложенные проекты развеяли весь туман — выбран более простой путь. Ответственный за ИБ, который должен подчиняться руководителю организации и входить в состав основных коллегиальных (совещательных) управленческих и исполнительных органов организации, должен иметь либо высшее профильное образование не ниже уровня специалитета или магистратуры, либо просто иметь высшее образование, но при этом пройти профессиональную переподготовку по ИБ. Кстати, согласно проведенному мной опросу, у нас только у половины ИБшников профильное высшее образование.

И тут, конечно, есть свои тонкости. ВУЗов, которые бы у нас готовили специалистов или магистров по ИБ, не так уж и много (список посмотреть можно на сайте УМО по ИБ) и все вместе они не в состоянии подготовить 500 тысяч замов по ИБ. И, кстати, вопрос. ИБшников сегодня готовят не только по ФГОСам, но и вне них. И тут вопрос — что будет считаться подтверждением профильного образования? Что должно быть написано в дипломе?

Откуда выплыло число 500 тысяч компаний, попавших под действие Указа? Это оценка ФСТЭК, представленная в пояснительной записке к одному из представленных ими проектов НПА по КИИ.

Роль заместителя генерального директора по ИБ, особенно в крупных компаниях, вполне может быть отдана людям, которые давно работают в ИБ, но при этом получали образование до 1992-го года, когда в России начали преподавать ИБ, как открытую специальность. И чем они подтвердят свое образование? Идти на курсы переподготовки?

С профпереподготовкой у нас тоже не все так радужно. Формально, она должна быть не менее 250 часов, но в области ИБ таких программ не существует. Минимальная длительность «наших» программ начинается с 506 часов, которые требуются для получения/продления лицензии ФСТЭК/ФСБ. Поэтому будущему ответственному за ИБ в организации придется потратить 4 (!) месяца на переподготовку по направлению ИБ, что немало. Повезло банковским ИБшникам — они все эти 500+ часов проходили перед получением лицензий ФСБ на деятельность в области шифрования.

Куда податься блогеру с 30-тилетним стажем в ИБ?
Алексей Лукацкий
Алексей Лукацкий
К слову, лично я формально не имею высшего образования по ИБ. И хотя специализация по диплому у меня "Защита информации", в самом дипломе в качестве моей специальности указана "Прикладная математика". И что мне делать, куда идти за подтверждением своих знаний? Некоторые из преподавателей курсов по профессиональной переподготовке вообще учились у меня на курсах 🙂

А различные корпоративные университеты и образовательные проекты от Group-IB, Лаборатории Касперского, Positive Technologies и т.п. вряд ли по формальным признакам пройдут под новое Постановление. Хотя они-то как раз вполне могли бы закрыть новые требования к знаниям, умениям и компетенциям, установленным Правительством, среди которых появилась и такая важная тема как Security Governance, которой у нас, к сожалению, никто не учит. А еще в списка обязательных знаний — измерение эффективности ИБ, антикризисное управление, управление проектами, безопасность цифровой трансформации и т.п.

Интересно, ИБшные УЦ (Информзащита, АИС и иже с ними) будут делать облегченные программы профпереподготовки? Ведь заму по ИБ не нужны многие знания, которые даются будущим лицензиатам ФСБ, но нужны другие.

Требования к тому, что ответственный организует, осуществляет и контролирует комментировать не буду — там все понятно и вопросов у меня не вызывает. А вот откуда в проекте Постановление появилось требование взаимодействия с НКЦКИ непонятно — в Указе про это не было сказано ничего. Да, между строк читалось, что необходимость обнаруживать, предотвращать и ликвидировать последствия надо в соответствии с видением ФСБ, но Правительство решило, что это никак не сделать без взаимодействия с этой спецслужбой и прямо вписало в должностные обязанности либо заключать соглашение с НКЦКИ напрямую, либо через аккредитацию службы ИБ как центра ГосСОПКИ, либо через сторонние аккредитованные центры ГосСОПКИ.

А что, теперь просто обратиться в НКЦКИ за помощью и советом, не имея аккредитации или соглашения нельзя?

Мягко, но твердо Правительство включило обязанность ответственного реагировать на запросы со стороны федеральных органов исполнительной власти, уполномоченных в области информационной безопасности, предоставляя им достоверные сведения о результатах реализации политики ИБ (фактически достигнутом эффекте и результате) и текущем уровне (состоянии) информационной безопасности в организации. Может и зарплаты тогда они будут платить?..

Прав ответственному отвесили аж 15 пунктов, но все предельно неконкретно 🙁 Можно было хотя бы включить в Постановление требование о регулярном повышении квалификации ответственного, чтобы хотя бы поучиться можно было чему-то полезному с заданной периодичностью, но нет. Право на обеспечение всех хотелок, нужных для исполнения обязанностей тоже дали, но опять же совсем неконкретно и как к этому отнесется руководство организации (к которому теперь относится и главный за ИБ) непонятно. Как говорится «съесть-то он съест, но кто ж ему даст«. Если уж «рубить с плеча», то можно было бы вписать процент, который организация должна тратить на ИБ от ИТ-бюджета или от бюджета всей организации. Было бы круто!

Типовое положение по подразделению ИБ

Типовое положение о подразделении больших сюрпризов не принесло. Про численность его не сказано ни слова, что и понятно, сложно типизировать службу ИБ условного Сбербанка или Газпрома и обычного ломбарда или курьерской службы. И хотя про различные оценки численности ИБ я уже писал, формализовать их на уровне НПА достаточно сложно. Хотя методику расчета такой численности иметь было бы и неплохо (я про нее тоже уже писал).

Про подчинение службы ИБ были опасения, которые Правительство успешно обошло. Служба должна подчиняться или ответственному за ИБ, либо любому другому руководителю при условии осуществления кураторства со стороны… нет, не главного за ИБ, а самого руководителя организации. В чем смысл такого кураторства не совсем понятно, если честно. Да, службы ИБ часто подчиняется ИТ, но это же не значит, что это надо оставлять «как есть». Теперь же получается, что ответственный за ИБ в компании будет назначен, но если ИБ входила раньше в состав ИТ и никто оргштатную структуру менять не захочет, то у нового ответственного не будет никаких рычагов влияния на службу ИБ — ведь курировать ее будет не он, а гендиректор, которому этого еще и не хватало.

Упоминание обеспечения киберустойчивости в деятельности подразделения по ИБ заслуживает похвалы, а вот требование взаимодействия с НКЦКИ вновь вызывает мое удивление. Ну почему тогда нельзя было в Указ это прямо так и записать?

Вот такой вот проект. Надежд на внесение изменений в него нет, но теперь хотя бы понятно, куда все это будет развиваться, а это уже немало. Хотя, все-таки не дело Правительства заниматься такими темами, не дело. Пусть лучше экономикой занимаются.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

  1. Валерий

    Обрати внимание, что еще и в обязанности зама прописан переход на отечественные СрЗИ и запрет на использование зарубежных СрЗИ с 2025 года.

    Ответить
    1. Алексей Лукацкий автор

      Так это из Указа — уже не ново

      Ответить
      1. Валерий

        Это не так. В Указе нет запрета на иностранные СрЗИ. И требования перейти на отечественное тоже отсутствует в 2025 году

        Ответить
        1. Алексей Лукацкий автор

          Видимо 6-й пункт Указа мы читаем по-разному

          Ответить
          1. Валерий

            «иностранные государства, совершающие в отношении Российской Федерации, российских юридических лиц и физических лиц недружественные действия»

          2. Алексей Лукацкий автор

            Ну ты же знаешь как это называется? США входит в этот список, а это 95% всех иностранных средств защиты, используемых в России. Так что можно просто называть «иностранные». Особенно учитывая, что многие заказчики по опросам сейчас не готовы брать даже израильские решения, опасаясь, что Израиль может быть легко внесен в список недружественных. Не говоря уже о 166-м Указе, где вообще про недружественность ни слова

          3. Валерий

            1. Минцифры прямо утверждает при разъяснении требований 250 Указа, что речи о запрете иностранного не идет. Вот принципиально стоят на своем. Но правда, признаются, что единственно гарантированно » не враждебное к РФ» это российское производство 🙂
            2. Положение разрабатывается на основании Указа и не может содержать иную формулировку, отличную от Указа. Это либо ошибка, либо попытка ужесточить требования Указа

          4. Алексей Лукацкий автор

            1. Ну разъяснения Указа Президента министерством — это тот еще юридический трюк 🙂 И фактически речь идет об иностранном — об этом твердят все, кому не лень из властных коридоров
            2. Да, но оно содержит упоминание НКЦКИ, которого в Указе тоже нет. Так что обращать внимание на такие «мелочи» уже нет смысла 🙂

  2. Сергей

    Переподготовка по ИБ не такое уж напряжное занятие. Если нужна формальная корочка, то 3 месяца по 3.5 часа 6 дней в неделю на онлайн курсах и вот оно свидетельство о профпереподготовке. Официальное.
    Другой вопрос, что это будет скорее для галочки и полезного принесет слушателю не так уж и много.
    Хотя справятся ли учебные организации с таким наплывом желающих…

    Ответить
    1. Алексей Лукацкий автор

      Когда молод, и тусовки каждый вечер до утра не в тягость 🙂 А человеку занятому тратить 3,5 часа ежедневно — это перебор-перебор. Все закончится покупками дипломов

      Ответить
      1. Сергей

        Все зависит от конкретного обучающегося. Не слышал, чтобы там кого то отчисляли за прогулы. Все как обычно — не очень сильно пропускать и стараться не сильно затягивать со сдачей практических работ. Которые, как это ни удивительно, тоже в дистанционном формате и зачастую без учета времени/попыток на сдачу. Впрочем, с практической точки зрения это та же покупка корочки, но растянутая по времени.

        Ответить
        1. Алексей Лукацкий автор

          Вот именно 🙁 Проще просто купить корочку и не тратить 4 месяца. Допускаю, что и такие варианты тоже есть. Кто ж от денег откажется

          Ответить
  3. Евгений

    Ну у меня ситуация вышла еще веселее. Назначили приказом зама по медчасти, с высшим мед образованием, а чтоб упасти «неприкасаемых» замов, в приказе не обеспечение безопасности, а контроль. На все возражения — я руководитель, я решаю как трактовать указ президента. Ну это финиш, правда до первой проверки.

    Ответить
    1. Алексей Лукацкий автор

      О как 🙁 Интересно девки пляшут

      Ответить
  4. Андрей Босенко

    Коллеги, а ссылку на первоисточник можете приложить? Хочется весь текст прочитать. Надеюсь через 5-10 лет зам по иб будет восприниматься также нормально, как «финдир», «зам по юр.работе» и т. д.

    Ответить
  5. ТуркменЪ

    Алексей,
    пара мыслей по проекту постановления
    1) В подавляющем большинстве организаций (неважно — государственных, коммерческих, квазигосударственных) заместители руководителя — это не люди, нанятые по объявлению. Это специально отобранные и непростые люди. И достаточно высокий процент этих людей имеет высшее военное образование, которое помогает, в том числе, в общении с регуляторами… И, например, бывший выпускник академии связи (я уж не говорю про специализированные заведения), вышедший в отставку и работающий заместителем руководителя по не-ИБ вопросам, вполне может считаться специалистом с профильным образованием. Вопрос к нему — захочет ли он руководить ИБ.

    2) Переподготовка
    Я решил тут оценить для себя необходимость прохождения переподготовки с учетом имеющегося опыта. Имея 36 лет стажа в ИТ (и 19 лет работы начальником) и занимаясь с 2014 года вопросами сертификации и соответствия требованиям безопасности, я позвонил в один уважаемый центр и попросил помочь мне выбрать программу. Спасибо сотрудникам, мне перезвонил один из руководителей центра, и, заслушав мои хотелки и узнав о моем опыте, посоветовал переподготовку не проходить, а идти наниматься к тем, кто на рынке оказывает соответствующие услуги. И не пытаться попасть в заместители, т.к. несовершенство нормативной базы в настоящее время, по его мнению, всю деятельность заместителя делает «потемкинской деревней».
    А на мой вопрос про обучение методам аттестации мне было сказано — «сам все видишь и знаешь». Типа, не мешай людям работать ))))

    Ответить
    1. Алексей Лукацкий автор

      1. Ну «вполне может считаться» тут не пройдет — Постановление достаточно четко говорит о том, что будет считаться. Я вот при опыте 30+ лет в ИБ не пройду по квалифицирующим признакам 🙁
      2. А вот с этим я согласен. «Потемкинские деревни» и будут, к бабке не ходи. Это можно было сразу предсказать

      Ответить
      1. пофиг

        а что из последних указов начиная со 152 фз…не из потемкинских? Какой из указов четко позволяет решать задачу? Ни одного….

        Ответить
        1. Алексей Лукацкий автор

          Ну не настолько

          Ответить
    2. Владимир

      Мало важно сколько отработал и в каком качестве, бумажку просят как есть, даже не смотря на то, что к методических рекомендациях указано явно — «корочки» или опыт работы,
      Кадровики мало хотят идти на «прецендент» и сидят прижав точку опоры на стуле.
      Поэтому я прошёл переподготовку в 1000 часов, однако дорого, но надо было.

      Ответить
      1. Алексей Лукацкий автор

        Да, это проблема, конечно, когда у нас смотрят не на «как полезно», а на «как написано в бумажке» 🙁

        Ответить
        1. Владимир

          Именно галочная система и может привести к «бездарности» и «галочной безопасности», но есть кто действительно любит трудиться в этом направлении и это зд0рово.

          Ответить
          1. Алексей Лукацкий автор

            Да, на них и держится отрасль

  6. Максим

    Насколько я понимаю, эти Положения являются типовыми, то есть, не запрещено адаптировать их под конкретную организацию (в том числе — конкретизировать права ответственного и прочие размыто сформулированные положения).

    Ответить
    1. Алексей Лукацкий автор

      Так вопрос не в той части, которая размыта, а в той, которая как раз конкретизирована

      Ответить
  7. Роман

    Алексей, не привели ссылку, по которой можно ознакомиться с проектами ПП.
    В сети данных проектов также не нашел. Возможно, не там искал или не в свободном доступе они?

    Ответить
    1. Алексей Лукацкий автор

      В Телеграмме у меня лежат

      Ответить