Теперь смотрим на второй (или даже первый) основополагающий документ — Приказ Минздравсоцразвития от 22 апреля 2009 г. № 205 «Об утверждении единого квалификационного справочника должностей руководителей, специалистов и служащих, раздел «квалификационные характеристики должностей руководителей и специалистов по обеспечению безопасности информации в ключевых системах информационной инфраструктуры, противодействию техническим разведкам и технической защите информации». В этом документе указываются требования к квалификации руководителей, специалистов и других должностей, отвечающих за информационную безопасность.
Я выписыл все эти квалификационные требования:
- Главный специалист по ТЗИ – высшее образование по ИБ + стаж – 5 лет и руководящий стаж – 3 года
- Начальник отдела по ТЗИ – высшее образование по ИБ + стаж – 5 лет и руководящий стаж – 2 года
- Специалист по ТЗИ I категории – высшее образование по ИБ + стаж работы по II категории – 3 года
- Специалист по ТЗИ II категории – высшее образование по ИБ + стаж работы по ТЗИ – 3 года
- Специалист по ТЗИ – высшее образование по ИБ
- Администратор по ОБИ — высшее образование по ИБ + стаж работы специалистом – 3 года
- Инженер по ТЗИ – высшее образование по ИБ или среднее образование по ИБ + стаж работы техником по ЗИ I категории 3 года или стаж по другим должностям 5 лет
- Инженер-программист по ТЗИ I категории – высшее образование по ИБ (или техническое) + стаж инженером-программистом II категории 3 года
- Инженер-программист по ТЗИ II категории – высшее образование по ИБ (или техническое) + стаж инженером-программистом 3 года
- Инженер-программист по ТЗИ – высшее образование по ИБ или среднее образование по ИБ + стаж техником по ЗИ I категории 3 года
- Техник по ЗИ I категории – среднее образование по ИБ + стаж работы техником по ЗИ II категории 2 года
- Техник по ЗИ II категории – среднее образование по ИБ + стаж работы техником по ЗИ 2 года
- Техник по ЗИ – среднее образование по ИБ
Что получается… Чтобы работать специалистом по защите информации, не говоря уже о позиции руководителя, необходимо иметь высшее профессиональное (в ряде случаев среднее) образование по направлению «Информационная безопасность». Вот тут и кроется мой вопрос. А что если в отделе работает специалист или руководитель, поступивший в ВУЗ до 92-го года (именно тогда специальность по ИБ стала открытой и стала преподаваться в обычных ВУЗах)? Я, например, не имею высшего профильного образования (хотя специализация по диплому у меня именно «Защита информации»). Может ли такой специалист или руководитель занимать свой пост? Ведь он не выполняет квалификационных требований.
Ну и фиг с ним, скажете вы. Кому нужны эти квалификационные требования? Был бы человек хороший и специалист неплохой. Так-то оно так, но… не будет ли это препятствием при прохождении проверок со стороны регуляторов? Ведь по данным ФСТЭК одним из ключевых нарушений является отсутствие достаточного количества квалифицированных специалистов по защите информации. И если с количеством все ясно (минимум 2, а в ряде случаев 3), то с квалификацией вопрос остается открытым. Не будет ли при проверке проверяться выполнение квалификационных требований согласно единому квалификационному справочнику?
Частично задача может быть решена Постановление Минтруда РФ от 9 февраля 2004 №9 «Об утверждении порядка применения единого квалификационного справочника должностей руководителей, специалистов и других служащих». В нем говорится, что «лица, не имеющие специальной подготовки или стажа работы, установленных требованиями к квалификации, но обладающие достаточным практическим опытом и выполняющие качественно и в полном объеме возложенные на них должностные обязанности, по рекомендации аттестационной комиссии назначаются на соответствующие должности так же, как и лица, имеющие специальную подготовку и стаж работы«. Но тут возникает другой вопрос — а у вас в организации есть такая рекомендация аттестационной комиссии?
Но вообще вопрос, наверное, риторический…
Аттестационная комиссия — это внутренний орган работодателя, создается приказом по предприятию. Так что если даже ее и нет, то создать ничто не мешает — нужен только приказ и положение о комиссии, а для назначения — еще и протокол заседания.
Алексей, читая Ваш блог не могу отделаться от ощущения, что у российских безопасников кроме прохождения проверок и разбирательств в хитросплетениях законодательства в области ИБ других задач и нет. Один сплошной compliance. А когда же безопасностью заниматься?
ЕТКС обязателен только для гос. структур. Берем ст.57 ТКРФ: Если в соответствии с настоящим Кодексом, иными федеральными законами с выполнением работ по определенным должностям, профессиям, специальностям связано предоставление компенсаций и льгот либо наличие ограничений, то наименование этих должностей, профессий или специальностей и квалификационные требования к ним должны соответствовать наименованиям и требованиям, указанным в квалификационных справочниках, утверждаемых в порядке, устанавливаемом Правительством Российской Федерации;
Про компенсации и льготы ЗИшникам я что-то не слышал, про ограничения, установленные федеральными законами тоже.
Dmitriy: Именно так 😉 В России над реальной безопасностью превалирует бумажная. Но и не стоит забывать, что это мой блог, отражающий мой взгляд на ИБ 😉 Пусть о практике пишут те, кто ею постоянно занимается.
Сергей: Вот поэтому у меня вопрос и возник. Как доказать квалификацию при проверках?
Без бумажки — никак 🙂
Сам темой ИБ занимаюсь 30 лет, из них 25 — на общественных началах (в нагрузку к основной работе), хотя может тема диплома: "Защита информации в …" устроит.
Про начальника вопрос интересный — а где взять 2 года руководящего стажа? Замкнутый круг получается, набрал 5 лет стажа, пора быть начальником, а никак — нет 2 лет руководящего стажа)))
Т.е придет ФСТЭК проверять, а такой начальник что должен будет сказать, подождите, я временый, вот сейчас 2 года на этой должности побуду и стану полноценным)))
Алексей, а Вы не в курсе про мин.связи документ по квалификации специалистов, или это даже стандартом даже должно было стать — что с ним?
Этот приказ (205) обходится легко с помощью ТК. Много случаев, когда квалификация на бумаге не соответствует требованиям, а работник в натуре — другого не надо. Назначаем И.О., а через год — на должность — требование ТК и никакие приказы не указ. Проверено лично.
Или еще круче ситуация. Специальность "Сети связи и системы коммутации", 5 лет, ВИПС, 2000 г. выпуска, диплом гос. образца — специальность не подходит по названию, она не "высшая" (переходный период — переходные программы в ВУЗе). А с другой стороны — если с этой специальностью не ЗИ, то кто тогда с ней? Фактически только-только выпускники подходят под формальные требования. А исполнять надо будет от и до — иначе спрос с выдавшего лицензию.
Законотворители не подумали о "старом поколении". Так проверяющие сами могут не соответствовать )))) А молодежи открыта дорога!
Не совсем только-только выпускники подходят — специальности по ИБ (ранее 075ХХХ, потом, кажется, стали 0901ХХ) не очень новая.
Стандарты образовательные: http://mon.gov.ru/dok/fgos/
там в магистратуре есть http://www.edu.ru/db-mon/mo/Data/d_09/m497.html
Его год — 2009. То что ранее — не та программа, которая есть, нужна сейчас и подразумевается НПА (даже если они полностью совпадают — не уровня лицензирующего органа полномочия такие вопросы решать). Нет, так сказать, "обратной совместимости". Как и разъяснений нет. Все работают по действующим документам, а не по отмененным.
Так что "только-только" или нарушать.
>от 22 апреля 2009 г.
а орбратную силу это имеет, для тех кто вступил в должность до 2009г, но профильного образования не имеет?
В общем не зря я этот вопрос поднял… Копать там и копать…
вот. прямо таки интересно.
я дипломированный специалист 090104 (комплексная защита), отслужить успел. а вот по специальности и года не проработал. и никому по своей специальности не нужен %( как выясняется на практике работодателю выгоднее взять недипломированного, отправить на курсы, вменить каой-то круг задач (типа смотри в монитор чтобы никто на порно сайты не лазил или вон те бумажки надо переделать). при этом платить 12.000-14.000 российских денег
Я думаю Вам не стоит волноваться по поводу подтверждения квалификации, т.к. насколько я понимаю основным являются все же знания и организованность человека. Его способность думать и анализировать. На мой взгляд проблем возникнуть не должно, хотя бы потому что живем мы в РОССИИ!