На просторах Интернета почти спустя месяц после указанного в 250-м Указе срока появился проект Постановления Правительства об утверждении типового положения о заместителе руководителя организации по вопросам ИБ и типового положения о подразделении ИБ. И хотя у меня на сегодня была запланирована немного иная заметка, я не мог пройти мимо этого проекта; надеясь (хотя это и маловероятно), что в него еще успеют внести поправки, потому что в текущем виде он не выполним 🙁
Интересно, что данные положения, в случае принятия, вступят в силу сразу, без какого-либо переходного периода. И если актуализировать или написать с нуля положение по подразделению ИБ не выглядит сложным, то вот с заместителем руководителя организации есть нюансы.
Типовое положение по заместителю руководителя
Основной нюанс касается требований к образованию. Если раньше еще были вопросы, авторы положения пойдут по пути определения нужных компетенций и навыков или по более простому пути указания нужного уровня образования, то выложенные проекты развеяли весь туман — выбран более простой путь. Ответственный за ИБ, который должен подчиняться руководителю организации и входить в состав основных коллегиальных (совещательных) управленческих и исполнительных органов организации, должен иметь либо высшее профильное образование не ниже уровня специалитета или магистратуры, либо просто иметь высшее образование, но при этом пройти профессиональную переподготовку по ИБ. Кстати, согласно проведенному мной опросу, у нас только у половины ИБшников профильное высшее образование.
И тут, конечно, есть свои тонкости. ВУЗов, которые бы у нас готовили специалистов или магистров по ИБ, не так уж и много (список посмотреть можно на сайте УМО по ИБ) и все вместе они не в состоянии подготовить 500 тысяч замов по ИБ. И, кстати, вопрос. ИБшников сегодня готовят не только по ФГОСам, но и вне них. И тут вопрос — что будет считаться подтверждением профильного образования? Что должно быть написано в дипломе?
Откуда выплыло число 500 тысяч компаний, попавших под действие Указа? Это оценка ФСТЭК, представленная в пояснительной записке к одному из представленных ими проектов НПА по КИИ.
Роль заместителя генерального директора по ИБ, особенно в крупных компаниях, вполне может быть отдана людям, которые давно работают в ИБ, но при этом получали образование до 1992-го года, когда в России начали преподавать ИБ, как открытую специальность. И чем они подтвердят свое образование? Идти на курсы переподготовки?
С профпереподготовкой у нас тоже не все так радужно. Формально, она должна быть не менее 250 часов, но в области ИБ таких программ не существует. Минимальная длительность «наших» программ начинается с 506 часов, которые требуются для получения/продления лицензии ФСТЭК/ФСБ. Поэтому будущему ответственному за ИБ в организации придется потратить 4 (!) месяца на переподготовку по направлению ИБ, что немало. Повезло банковским ИБшникам — они все эти 500+ часов проходили перед получением лицензий ФСБ на деятельность в области шифрования.
А различные корпоративные университеты и образовательные проекты от Group-IB, Лаборатории Касперского, Positive Technologies и т.п. вряд ли по формальным признакам пройдут под новое Постановление. Хотя они-то как раз вполне могли бы закрыть новые требования к знаниям, умениям и компетенциям, установленным Правительством, среди которых появилась и такая важная тема как Security Governance, которой у нас, к сожалению, никто не учит. А еще в списка обязательных знаний — измерение эффективности ИБ, антикризисное управление, управление проектами, безопасность цифровой трансформации и т.п.
Интересно, ИБшные УЦ (Информзащита, АИС и иже с ними) будут делать облегченные программы профпереподготовки? Ведь заму по ИБ не нужны многие знания, которые даются будущим лицензиатам ФСБ, но нужны другие.
Требования к тому, что ответственный организует, осуществляет и контролирует комментировать не буду — там все понятно и вопросов у меня не вызывает. А вот откуда в проекте Постановление появилось требование взаимодействия с НКЦКИ непонятно — в Указе про это не было сказано ничего. Да, между строк читалось, что необходимость обнаруживать, предотвращать и ликвидировать последствия надо в соответствии с видением ФСБ, но Правительство решило, что это никак не сделать без взаимодействия с этой спецслужбой и прямо вписало в должностные обязанности либо заключать соглашение с НКЦКИ напрямую, либо через аккредитацию службы ИБ как центра ГосСОПКИ, либо через сторонние аккредитованные центры ГосСОПКИ.
А что, теперь просто обратиться в НКЦКИ за помощью и советом, не имея аккредитации или соглашения нельзя?
Мягко, но твердо Правительство включило обязанность ответственного реагировать на запросы со стороны федеральных органов исполнительной власти, уполномоченных в области информационной безопасности, предоставляя им достоверные сведения о результатах реализации политики ИБ (фактически достигнутом эффекте и результате) и текущем уровне (состоянии) информационной безопасности в организации. Может и зарплаты тогда они будут платить?..
Прав ответственному отвесили аж 15 пунктов, но все предельно неконкретно 🙁 Можно было хотя бы включить в Постановление требование о регулярном повышении квалификации ответственного, чтобы хотя бы поучиться можно было чему-то полезному с заданной периодичностью, но нет. Право на обеспечение всех хотелок, нужных для исполнения обязанностей тоже дали, но опять же совсем неконкретно и как к этому отнесется руководство организации (к которому теперь относится и главный за ИБ) непонятно. Как говорится «съесть-то он съест, но кто ж ему даст«. Если уж «рубить с плеча», то можно было бы вписать процент, который организация должна тратить на ИБ от ИТ-бюджета или от бюджета всей организации. Было бы круто!
Типовое положение по подразделению ИБ
Типовое положение о подразделении больших сюрпризов не принесло. Про численность его не сказано ни слова, что и понятно, сложно типизировать службу ИБ условного Сбербанка или Газпрома и обычного ломбарда или курьерской службы. И хотя про различные оценки численности ИБ я уже писал, формализовать их на уровне НПА достаточно сложно. Хотя методику расчета такой численности иметь было бы и неплохо (я про нее тоже уже писал).
Про подчинение службы ИБ были опасения, которые Правительство успешно обошло. Служба должна подчиняться или ответственному за ИБ, либо любому другому руководителю при условии осуществления кураторства со стороны… нет, не главного за ИБ, а самого руководителя организации. В чем смысл такого кураторства не совсем понятно, если честно. Да, службы ИБ часто подчиняется ИТ, но это же не значит, что это надо оставлять «как есть». Теперь же получается, что ответственный за ИБ в компании будет назначен, но если ИБ входила раньше в состав ИТ и никто оргштатную структуру менять не захочет, то у нового ответственного не будет никаких рычагов влияния на службу ИБ — ведь курировать ее будет не он, а гендиректор, которому этого еще и не хватало.
Упоминание обеспечения киберустойчивости в деятельности подразделения по ИБ заслуживает похвалы, а вот требование взаимодействия с НКЦКИ вновь вызывает мое удивление. Ну почему тогда нельзя было в Указ это прямо так и записать?
Вот такой вот проект. Надежд на внесение изменений в него нет, но теперь хотя бы понятно, куда все это будет развиваться, а это уже немало. Хотя, все-таки не дело Правительства заниматься такими темами, не дело. Пусть лучше экономикой занимаются.
Обрати внимание, что еще и в обязанности зама прописан переход на отечественные СрЗИ и запрет на использование зарубежных СрЗИ с 2025 года.
Так это из Указа — уже не ново
Это не так. В Указе нет запрета на иностранные СрЗИ. И требования перейти на отечественное тоже отсутствует в 2025 году
Видимо 6-й пункт Указа мы читаем по-разному
«иностранные государства, совершающие в отношении Российской Федерации, российских юридических лиц и физических лиц недружественные действия»
Ну ты же знаешь как это называется? США входит в этот список, а это 95% всех иностранных средств защиты, используемых в России. Так что можно просто называть «иностранные». Особенно учитывая, что многие заказчики по опросам сейчас не готовы брать даже израильские решения, опасаясь, что Израиль может быть легко внесен в список недружественных. Не говоря уже о 166-м Указе, где вообще про недружественность ни слова
1. Минцифры прямо утверждает при разъяснении требований 250 Указа, что речи о запрете иностранного не идет. Вот принципиально стоят на своем. Но правда, признаются, что единственно гарантированно » не враждебное к РФ» это российское производство 🙂
2. Положение разрабатывается на основании Указа и не может содержать иную формулировку, отличную от Указа. Это либо ошибка, либо попытка ужесточить требования Указа
1. Ну разъяснения Указа Президента министерством — это тот еще юридический трюк 🙂 И фактически речь идет об иностранном — об этом твердят все, кому не лень из властных коридоров
2. Да, но оно содержит упоминание НКЦКИ, которого в Указе тоже нет. Так что обращать внимание на такие «мелочи» уже нет смысла 🙂
Переподготовка по ИБ не такое уж напряжное занятие. Если нужна формальная корочка, то 3 месяца по 3.5 часа 6 дней в неделю на онлайн курсах и вот оно свидетельство о профпереподготовке. Официальное.
Другой вопрос, что это будет скорее для галочки и полезного принесет слушателю не так уж и много.
Хотя справятся ли учебные организации с таким наплывом желающих…
Когда молод, и тусовки каждый вечер до утра не в тягость 🙂 А человеку занятому тратить 3,5 часа ежедневно — это перебор-перебор. Все закончится покупками дипломов
Все зависит от конкретного обучающегося. Не слышал, чтобы там кого то отчисляли за прогулы. Все как обычно — не очень сильно пропускать и стараться не сильно затягивать со сдачей практических работ. Которые, как это ни удивительно, тоже в дистанционном формате и зачастую без учета времени/попыток на сдачу. Впрочем, с практической точки зрения это та же покупка корочки, но растянутая по времени.
Вот именно 🙁 Проще просто купить корочку и не тратить 4 месяца. Допускаю, что и такие варианты тоже есть. Кто ж от денег откажется
Ну у меня ситуация вышла еще веселее. Назначили приказом зама по медчасти, с высшим мед образованием, а чтоб упасти «неприкасаемых» замов, в приказе не обеспечение безопасности, а контроль. На все возражения — я руководитель, я решаю как трактовать указ президента. Ну это финиш, правда до первой проверки.
О как 🙁 Интересно девки пляшут
Коллеги, а ссылку на первоисточник можете приложить? Хочется весь текст прочитать. Надеюсь через 5-10 лет зам по иб будет восприниматься также нормально, как «финдир», «зам по юр.работе» и т. д.
Алексей,
пара мыслей по проекту постановления
1) В подавляющем большинстве организаций (неважно — государственных, коммерческих, квазигосударственных) заместители руководителя — это не люди, нанятые по объявлению. Это специально отобранные и непростые люди. И достаточно высокий процент этих людей имеет высшее военное образование, которое помогает, в том числе, в общении с регуляторами… И, например, бывший выпускник академии связи (я уж не говорю про специализированные заведения), вышедший в отставку и работающий заместителем руководителя по не-ИБ вопросам, вполне может считаться специалистом с профильным образованием. Вопрос к нему — захочет ли он руководить ИБ.
2) Переподготовка
Я решил тут оценить для себя необходимость прохождения переподготовки с учетом имеющегося опыта. Имея 36 лет стажа в ИТ (и 19 лет работы начальником) и занимаясь с 2014 года вопросами сертификации и соответствия требованиям безопасности, я позвонил в один уважаемый центр и попросил помочь мне выбрать программу. Спасибо сотрудникам, мне перезвонил один из руководителей центра, и, заслушав мои хотелки и узнав о моем опыте, посоветовал переподготовку не проходить, а идти наниматься к тем, кто на рынке оказывает соответствующие услуги. И не пытаться попасть в заместители, т.к. несовершенство нормативной базы в настоящее время, по его мнению, всю деятельность заместителя делает «потемкинской деревней».
А на мой вопрос про обучение методам аттестации мне было сказано — «сам все видишь и знаешь». Типа, не мешай людям работать ))))
1. Ну «вполне может считаться» тут не пройдет — Постановление достаточно четко говорит о том, что будет считаться. Я вот при опыте 30+ лет в ИБ не пройду по квалифицирующим признакам 🙁
2. А вот с этим я согласен. «Потемкинские деревни» и будут, к бабке не ходи. Это можно было сразу предсказать
а что из последних указов начиная со 152 фз…не из потемкинских? Какой из указов четко позволяет решать задачу? Ни одного….
Ну не настолько
Мало важно сколько отработал и в каком качестве, бумажку просят как есть, даже не смотря на то, что к методических рекомендациях указано явно — «корочки» или опыт работы,
Кадровики мало хотят идти на «прецендент» и сидят прижав точку опоры на стуле.
Поэтому я прошёл переподготовку в 1000 часов, однако дорого, но надо было.
Да, это проблема, конечно, когда у нас смотрят не на «как полезно», а на «как написано в бумажке» 🙁
Именно галочная система и может привести к «бездарности» и «галочной безопасности», но есть кто действительно любит трудиться в этом направлении и это зд0рово.
Да, на них и держится отрасль
Насколько я понимаю, эти Положения являются типовыми, то есть, не запрещено адаптировать их под конкретную организацию (в том числе — конкретизировать права ответственного и прочие размыто сформулированные положения).
Так вопрос не в той части, которая размыта, а в той, которая как раз конкретизирована
Но тем не менее, если это «типовое», то оно не требует принятия именно в таком виде. Да и вообще ни в этом ПП, ни в Указе Президента явно не написано, что нужно утверждать в компании именно эти документы, т.е. они идут как рекомендация. Поэтому, получается, можно их использовать, можно не использовать, можно отредактировать какую-то часть, например, по образованию.
Или я в чем-то не прав?
Правоприменение покажет 🙂
Алексей, не привели ссылку, по которой можно ознакомиться с проектами ПП.
В сети данных проектов также не нашел. Возможно, не там искал или не в свободном доступе они?
В Телеграмме у меня лежат