О квалификации специалистов по защите информации

О квалификации специалистов по защите информации
Интересный вопрос у меня возник на днях. Существует Постановление Правительства №610 от 26 июня 1995 года «Об утверждении Типового положения об образовательном учреждении дополнительного профессионального образования (повышения квалификации) специалистов», в котором говорится о том, что минимальный срок повышения квалификации специалистов составляет 72 часа. Согласно этому Постановлению специалисты должны проходить повышение квалификации каждые 5 лет. Тут вроде все ясно.

Теперь смотрим на второй (или даже первый) основополагающий документ - Приказ Минздравсоцразвития от 22 апреля 2009 г. № 205 "Об утверждении единого квалификационного справочника должностей руководителей, специалистов и служащих, раздел "квалификационные характеристики должностей руководителей и специалистов по обеспечению безопасности информации в ключевых системах информационной инфраструктуры, противодействию техническим разведкам и технической защите информации". В этом документе указываются требования к квалификации руководителей, специалистов и других должностей, отвечающих за информационную безопасность.

Я выписыл все эти квалификационные требования:
  • Главный специалист по ТЗИ – высшее образование по ИБ + стаж – 5 лет и руководящий стаж – 3 года
  • Начальник отдела по ТЗИ – высшее образование по ИБ + стаж – 5 лет и руководящий стаж – 2 года
  • Специалист по ТЗИ I категории – высшее образование по ИБ + стаж работы по II категории – 3 года
  • Специалист по ТЗИ II категории – высшее образование по ИБ + стаж работы по ТЗИ – 3 года
  • Специалист по ТЗИ – высшее образование по ИБ
  • Администратор по ОБИ - высшее образование по ИБ + стаж работы специалистом – 3 года
  • Инженер по ТЗИ – высшее образование по ИБ или среднее образование по ИБ + стаж работы техником по ЗИ I категории 3 года или стаж по другим должностям 5 лет
  • Инженер-программист по ТЗИ I категории – высшее образование по ИБ (или техническое) + стаж инженером-программистом II категории 3 года
  • Инженер-программист по ТЗИ II категории – высшее образование по ИБ (или техническое) + стаж инженером-программистом 3 года
  • Инженер-программист по ТЗИ – высшее образование по ИБ или среднее образование по ИБ + стаж техником по ЗИ I категории 3 года
  • Техник по ЗИ I категории – среднее образование по ИБ + стаж работы техником по ЗИ II категории 2 года
  • Техник по ЗИ II категории – среднее образование по ИБ + стаж работы техником по ЗИ 2 года
  • Техник по ЗИ – среднее образование по ИБ
Что получается... Чтобы работать специалистом по защите информации, не говоря уже о позиции руководителя, необходимо иметь высшее профессиональное (в ряде случаев среднее) образование по направлению "Информационная безопасность". Вот тут и кроется мой вопрос. А что если в отделе работает специалист или руководитель, поступивший в ВУЗ до 92-го года (именно тогда специальность по ИБ стала открытой и стала преподаваться в обычных ВУЗах)? Я, например, не имею высшего профильного образования (хотя специализация по диплому у меня именно "Защита информации"). Может ли такой специалист или руководитель занимать свой пост? Ведь он не выполняет квалификационных требований.

Ну и фиг с ним, скажете вы. Кому нужны эти квалификационные требования? Был бы человек хороший и специалист неплохой. Так-то оно так, но... не будет ли это препятствием при прохождении проверок со стороны регуляторов? Ведь по данным ФСТЭК одним из ключевых нарушений является отсутствие достаточного количества квалифицированных специалистов по защите информации. И если с количеством все ясно (минимум 2, а в ряде случаев 3), то с квалификацией вопрос остается открытым. Не будет ли при проверке проверяться выполнение квалификационных требований согласно единому квалификационному справочнику?

Частично задача может быть решена Постановление Минтруда РФ от 9 февраля 2004 №9 "Об утверждении порядка применения единого квалификационного справочника должностей руководителей, специалистов и других служащих". В нем говорится, что "лица, не имеющие специальной подготовки или стажа работы, установленных требованиями к квалификации, но обладающие достаточным практическим опытом и выполняющие качественно и в полном объеме возложенные на них должностные обязанности, по рекомендации аттестационной комиссии назначаются на соответствующие должности так же, как и лица, имеющие специальную подготовку и стаж работы". Но тут возникает другой вопрос - а у вас в организации есть такая рекомендация аттестационной комиссии?

Но вообще вопрос, наверное, риторический...
законодательство повышение осведомленности обучение
Alt text

Домашний Wi-Fi – ваша крепость или картонный домик?

Узнайте, как построить неприступную стену