Первым документом стало Постановление Правительства №399 от 6 мая 2016-го года «Об организации повышения квалификации специалистов по защите информации и должностных лиц, ответственных за организацию защиты информации в органах государственной власти, органах местного самоуправления, организациях с государственным участием и организациях оборонно-промышленного комплекса», которое утверждает соответствующие правила организации повышения квалификации. Это постановление небольшое и по сути просто обращает внимание на необходимость регулярного повышения квалификации в области ИБ в соответствие с примерными программами переподготовки, утвержденными ФСТЭК.
Но выпущено данное Постановление очень вовремя. Только в Поволжском федеральном округе, как свидетельствует секретарь Совета Безопасности г-н Патрушев в 2015-м году было совершено около 190 миллионов кибератак, из которых более 80% приходилось на государственные органы. Понятно, что цифра 190 миллионов (это 520 тысяч атак в день, то есть 360 атак в минуту) представляет собой статистику какой-нибудь IDSки или ГосСОПКИ, которая каждый чих или пинг засчитывает за атаку. Но сам факт роста числа атак, в т.ч. и на госорганы сомнений не вызывает.
А кто занимается ИБ в госорганах? Полпред Президента в ПФО Михаил Бабич заявил, что «В региональных органах исполнительной власти и органах местного самоуправления (в ПФО — примечание мое) защиту информации обеспечивают 1672 специалиста, из них лишь 26% предусмотрены штатным расписанием, и только 6% имеют профильное образование«. Профильное образование только у 6%!!! Поэтому вполне логично, что безопасники должны повышать свою квалификацию, чему и посвящено ПП-399.
1-го июня ФСТЭК разместила у себя на сайте информационное сообщение по данному вопросу, а также выписку из перечня примерных программ профессиональной переподготовки и повышения квалификации специалистов в области противодействия иностранным техническим разведкам и технической защиты информации, разработанных ФСТЭК России. На сайте ФСТЭК выложен и регулярно обновляется перечень организаций, осуществляющих образовательную деятельность, имеющих дополнительные профессиональные программы в области информационной безопасности, согласованные с ФСТЭК. Таких организаций свыше 130.
У упомянутого ПП-399 только один недостаток — оно не очень конкретное. Требования увеличить штаты по ИБ нет. Требование выделить финансирования на ИБ и повышение квалификации тоже нет. Как сказал Бабич на соверщании СовБеза: «Кроме того, для большинства государственных информационных систем в 2014-2015 годах мероприятия по их созданию, модернизации и эксплуатации профинансированы немногим более чем на 50% от запланированных средств, а финансирование защиты информации проводится по остаточному принципу». Так что при всей своей нужности и полезности, новое Постановление Правительства сродни известному высказыванию премьер-министра, который и подписал ПП-399 — «Денег нет, но вы держитесь».
Насчет "денег нет" стало еще интереснее. Госслужащие обычно учились по 72-часовым программам. Учились со скрипом: оторвать человека от работы на 2 недели трудновато. Теперь типовые программы ФСТЭК имеют объем от 216 часов. Это месяц занятий. Интересно, кто-то считал, во сколько обойдется бюджету месячный отрыв госслужащего от работы, оплата ему командировочных и проживания?
По перечню ФСТЭК 80+% всех программ — это 72 часа
В том-то и дело, что их придется переделывать: они не соответствуют "типовым". А согласовать можно только соответствующую.
Ну я думаю ФСТЭК даст указания соответствующие. Но проблема с отрывом, конечно, есть. Но ее никак не решать, пока государство не решится на финансирование ИБ в госах
Дать-то она даст. А решиться на финансирование ИБ будет сложно: "денег нет".
Хотя, конечно, можно просто сказать: "вы там держитесь…".
Вот поэтому мой последний абзац и был про это
Да, еще и четких требований по периодичности нет (для обоснования перед руководством): "с периодичностью, позволяющей специалистам в условиях нарастания количества угроз безопасности информации, а также с учетом необходимости постоянного совершенствования методов и средств их нейтрализации получать новые знания, умения и навыки, необходимые для профессиональной деятельности".
Не совсем. Как минимум, раз в пять лет. Таковы требования Минобра и Роструда
Если посмотреть на Указ Президента РФ от 28.12.2006 № 1474 "О дополнительном профессиональном образовании государственных гражданских служащих Российской Федерации", то увидим там такой пункт:
"5. Повышение квалификации гражданского служащего осуществляется в случаях, предусмотренных пунктом 3 настоящего Положения, по мере необходимости, определяемой представителем нанимателя, но не реже одного раза в три года."