пятница, 13 декабря 2019 г.

Не все учебные курсы одинаково полезны для субъекта КИИ





   Алексей Комаров столкнулся с любопытным кейсом. Казалось бы, отличная возможность бесплатно и дистанционно выполнить требования 235 приказа ФСТЭК к квалификации специалиста по безопасности ЗОКИИ. Ведь норма по академическим часам перекрывается с запасом (92 часа против 72) и даже удостоверение выдают о повышении квалификации. Название только странное у курса - «Обеспечение информационной безопасности объектов критической информационной инфраструктуры», да и ФСТЭК программу этого курса не согласовал.Что же у нас творится с образованием специалистов по безопасности КИИ?

    235 Приказ ФСТЭК требует через год иметь в штате субъекта ЗОКИИ 
"12. Работники структурного подразделения по безопасности, специалисты по безопасности должны соответствовать следующим требованиям:
- наличие у руководителя структурного подразделения по безопасности высшего профессионального образования по направлению подготовки (специальности) в области информационной безопасности или иного высшего профессионального образования и документа, подтверждающего прохождение обучения по программе профессиональной переподготовки по направлению "Информационная безопасность" (со сроком обучения не менее 360 часов), наличие стажа работы в сфере информационной безопасности не менее 3 лет;
- наличие у штатных работников структурного подразделения по безопасности, штатных специалистов по безопасности высшего профессионального образования по направлению подготовки (специальности) в области информационной безопасности или иного высшего профессионального образования и документа, подтверждающего прохождение обучения по программе повышения квалификации по направлению "Информационная безопасность" (со сроком обучения не менее 72 часов);
прохождение не реже одного раза в 5 лет обучения по программам повышения квалификации по направлению "Информационная безопасность".";
   Формально подходит любой курс по ИБ с нужным количеством часов. Но хотелось бы, что бы работник знал не только про персональные данные, но и про ЗОКИИ что-то услышал на этих курсах.
   ФСТЭК провела за 2018 довольно большой объем подготовительной работы:
   Информационное сообщение ФСТЭК от 31 мая 2018 г. N 240/11/2426
   "В целях приведения примерных программ профессиональной переподготовки и повышения квалификации специалистов, работающих в области технической защиты информации (далее – примерные программы) в соответствие с Методическими рекомендациями по разработке программ профессиональной переподготовки и повышения квалификации специалистов, работающих в области обеспечения безопасности значимых объектов критической информационной инфраструктуры, противодействия иностранным техническим разведкам и технической защиты информации, утвержденными ФСТЭК России 16 апреля 2018 г., ФСТЭК России разработаны и утверждены изменения, вносимые в следующие примерные программы:
 - профессиональной переподготовки специалистов «Техническая защита информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну», утвержденная ФСТЭК России 30 апреля 2015 г. (изменения утверждены ФСТЭК России 30 мая 2018 г.);
- профессиональной переподготовки специалистов «Информационная безопасность. Техническая защита конфиденциальной информации», утвержденная ФСТЭК России 28 апреля 2017 г. (изменения утверждены ФСТЭК России 30 мая 2018 г.);
- повышения квалификации  «Техническая защита информации. Организация защиты информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну», утвержденная ФСТЭК России 30 марта 2016 г. (изменения утверждены ФСТЭК России 30 мая 2018 г.);
- повышения квалификации  «Техническая защита информации. Способы и средства защиты информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, от утечки по техническим каналам», утвержденная ФСТЭК России 30 марта 2016 г. (изменения утверждены ФСТЭК России 30 мая 2018 г.);
- повышения квалификации  «Техническая защита информации. Сертификация средств защиты информации по требованиям безопасности информации», утвержденную ФСТЭК России 30 марта 2016 г. (изменения утверждены ФСТЭК России 30 мая 2018 г.);
- повышения квалификации  «Техническая защита информации. Способы и средства защиты информации от несанкционированного доступа», утвержденная ФСТЭК России 30 марта 2016 г. (изменения утверждены ФСТЭК России 30 мая 2018 г.).
   То есть, эти курсы уже должны содержать разделы обучения по обеспечению безопасности КИИ. Но из них походят только курсы «повышения квалификации», а вот курсы «переподготовки» исключительно для руководителей подразделений СБ допускаются 235 приказом и минимум 360 часов.
   Кроме этого, ФСТЭК выпустила «Методические рекомендации по разработке программ профессиональной переподготовки и повышения квалификации специалистов, работающих в области обеспечения безопасности ЗОКИИ, ПДТиР и ТЗИ» и «примерную программу повышения квалификации специалистов, работающих в области обеспечения безопасности ЗОКИИ».
  По этим программам появились соответствующие курсы в учебных центрах
https://fstec.ru/tekhnicheskaya-zashchita-informatsii/obuchenie-spetsialistov/12-perechen-obrazovatelnykh-uchrezhdenij

«Подготовка, профессиональная переподготовка и повышение квалификации специалистов в области информационной безопасности» 
Перечень организаций, осуществляющих образовательную деятельность

Учреждение
Название программы
Часы
1
«Учебный центр безопасности информации «МАСКОМ», г. Москва
Программа повышения квалификации специалистов, работающих в области обеспечения безопасности ЗОКИИ
108
2
УЦ ФГУП «Научно-производственное предприятие «Гамма»,
 г. Москва
"-"
108
3
АНООПО «Лаборатория противодействия промышленному шпионажу» г. Санкт-Петербург
"-"
108
4
Частное учреждение ДПО «Инфоцентр»,
 г. Владивосток
"-"
108
5
ООО «Специальные технологии защиты информации», г. Новосибирск
"-"
105
6
ФГБОУВО «Владивостокский государственный университет экономики и сервиса», г. Владивосток 
"-"
216
7
ФГБОУВО «Московский физико-технический институт» (МФТИ)
"-"
216
Неопознанное
8
АО «Федеральный центр науки и высоких технологий «Специальное научно-производственное объединение «Элерон»,
г. Москва
«Информационная безопасность критической информационной инфраструктуры»
520
9
ФГБОУВО «Институт повышения квалификации  руководящих работников и специалистов топливно-энергетического комплекса», г. Раменское, Московская обл.
Программа повышения квалификации «Обеспечение безопасности авто-матизированных систем управления технологическими и производственными процессами критически важных объектов ТЭК»
80

  Учебные центры № 6 и № 7 увеличили количество часов в два раза.

  №8 (Элерон) запустил какой-то гибрид, тянущий по количеству часов на переквалификацию. 
  По № 9 ситуация под вопросом, но для предприятий ТЭК должен пройти.
  Непонятно что делать с многочисленными курсами повышения квалификации по защите персональных данных, да и статус специализированных курсов по КИИ то же под вопросом. Ведь формально они не относятся к «информационной безопасности». 
   Понятно, что у ФСТЭК не будет замечаний при проверке, если субъект ЗОКИИ предоставит корочки по специализированным курсам по КИИ, согласованные с ними. Но вопросы возможны у контрольно-надзорных органов при проверке бюджетных затрат субъекта КИИ. 
   Да, у ФСТЭК есть полномочия на методическое руководство подготовкой, профессиональной переподготовкой и повышением квалификации специалистов, работающих в области обеспечения безопасности значимых объектов критической информационной инфраструктуры, противодействия техническим разведкам и технической защиты информации;»
   А для для органов государственной власти, органов местного самоуправления, организаций с государственным участием и организаций оборонно-промышленного комплекса

«Форма и продолжительность повышения квалификации специалистов, а также тематика программ повышения квалификации, подлежащих освоению специалистами, определяются работодателем в соответствии с утвержденными Федеральной службой по техническому и экспортному контролю примерными программами повышения квалификации в области безопасности государства в части, касающейся обеспечения безопасности значимых объектов критической информационной инфраструктуры, противодействия иностранным техническим разведкам и технической защиты информации.» Замечу, что переподготовка и переквалификация не упоминается.
   
   Ситуация аховая у нас с единством терминологии и гармоничностью законодательства.С одной стороны ФГОСы по "Информационной безопасности", в которых про обеспечение безопасности ЗОКИИ ни слова, но им можно и без повышения квалификации по курсам с разделами КИИ. А с другой, не ибешные программы специалистов, в которых разделы по обеспечению безопасности КИИ больше 72 часов, но их нельзя учитывать и требуется готового специалиста отправлять на курсы повышения квалификации по ИБ, где КИИ занимает малую часть от 72 часов.
  Пример:
  Национальный исследовательский университет «Высшая школа экономики»
Программа дисциплины "Кибербезопасность в Интернете вещей" для направления подготовки
11.04.02 «Инфокоммуникационные технологии и системы связи» подготовки магистра
Рабочая программа дисциплины "Кибербезопасность в Интернете вещей"
для образовательной программы "Интернет вещей и киберфизические системы"
направления подготовки 11.04.02 «Инфокоммуникационные технологии и системы связи»
уровень – магистр
Раздел 7. Критическая информационная инфраструктура: основные понятия, определения, проектирование систем безопасности. 96 часов!

  Или другой пример:
  Зачем я должен направлять инженера-радиоэлектронщика на курсы повышения квалификация по ИБ, если он по программе магистратуры 144 часа изучал ИБ и экзамены сдавал? 

  Относится ли выпускник  11.04.02– "Инфокоммуникационные технологии и системы связи" Магистерская программа – "Безопасность и программная защита инфокоммуникаций" к  специалистам  с высшим профессиональным образованием по направлению подготовки (специальности) в области информационной безопасности? Судя по Приказу Министерства образования и науки РФ от 12 сентября 2013 г. N 1061 "Об утверждении перечней специальностей и направлений подготовки высшего образования"  - не относится.
   С профстандартами Минтруда все не однозначно. Кроме профиля "Специалист по защите информации" есть профиль "Специалист по автоматизации информационно-аналитической деятельности в сфере безопасности". Он может выполнять задачи по обеспечению безопасности ЗОКИИ дополнительно к своим основным обязанностям?

  Итог: отправляйте сотрудников на курсы повышения квалификации по ИБ (не КИИ)  из перечня ФСТЭК (программы курсов согласованны). При наличии в штате инженерных специалистов, прошедших в ВУЗе обучение по ИБ (с отметкой в дипломе), запрашивайте официально у ФСТЭК добро на возможность его привлечения как специалиста по безопасности ЗОКИИ.
    Получается, что ярославский курс подходит субъектам КИИ, которые не госы и не оборонка. В 235 приказе отсутствует указание, что программы повышения квалификации по ИБ должны быть с ФСТЭК согласованы. Если ЯрГУ реально выдает удостоверение установленного образца о повышении квалификации по направлению ИБ на 92 часа, то никаких противопоказаний у ФСТЭК к субъекту КИИ не должно быть. И ЯрГУ ничем не рискует. Есть приказ  Министерства образования и науки РФ от 5 декабря 2013 г. N 1310 "Об утверждении Порядка разработки дополнительных профессиональных программ, содержащих сведения, составляющие государственную тайну, и дополнительных профессиональных программ в области информационной безопасности" обязательный для всех учреждений образования. Но он требует обязательного согласования с ФСТЭК только программ переподготовки по ИБ, а про программы повышения квалификации по ИБ такого указания нет. И ФСТЭК об этом прямо пишет в своем информационном сообщении "Принятие решения о направлении в ФСТЭК России на рассмотрение и согласование проектов программ повышения квалификации специалистов, работающих в области обеспечения безопасности информации, остается за образовательной организацией."
     Пока от ФСТЭК были разъяснения только по длительности программ. Что длительность должна быть единая не менее 72 часов, а не несколькими отдельными курсами в сумме набираться.
  

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

*** YouTube - канал блога

2 комментария:

  1. Добавьте, пожалуйста, в список учебных центров - Учебный центр "Информзащита", г. Москва, 108 часов. Название - "Обеспечение безопасности значимых объектов критической информационной инфраструктуры"

    Учебный центр "Информзащита" по ссылке под номером 11:
    https://fstec.ru/tekhnicheskaya-zashchita-informatsii/obuchenie-spetsialistov/12-perechen-obrazovatelnykh-uchrezhdenij

    Заранее большое спасибо.

    ОтветитьУдалить
  2. У меня нет возможности вносить изменения в перечни/реестры, размещенные на официальном сайте ФСТЭК. Я не работник ФСТЭК.

    ОтветитьУдалить