Не станет преувеличением утверждение, что технологии злоумышленников, информационные и безопасности развиваются очень динамично и необходимо регулярно обновлять свои знания в этой сфере. Да и для построения архитектуры ИБ необходимо иметь определенный набор знаний и квалификаций. Поэтому неслучайно, что в последнее время сразу два регулятора в области ИБ (ФСТЭК и Банк России) выпустили ряд нормативных актов и рекомендаций по повышению квалификации специалистов по защите информации. Подходу Банка России я посвящу отдельную заметку, а сейчас хотелось коснуться документов ФСТЭК.
Первым документом стало Постановление Правительства №399 от 6 мая 2016-го года "Об организации повышения квалификации специалистов по защите информации и должностных лиц, ответственных за организацию защиты информации в органах государственной власти, органах местного самоуправления, организациях с государственным участием и организациях оборонно-промышленного комплекса", которое утверждает соответствующие правила организации повышения квалификации. Это постановление небольшое и по сути просто обращает внимание на необходимость регулярного повышения квалификации в области ИБ в соответствие с примерными программами переподготовки, утвержденными ФСТЭК.
Но выпущено данное Постановление очень вовремя. Только в Поволжском федеральном округе, как свидетельствует секретарь Совета Безопасности г-н Патрушев в 2015-м году было совершено около 190 миллионов кибератак, из которых более 80% приходилось на государственные органы. Понятно, что цифра 190 миллионов (это 520 тысяч атак в день, то есть 360 атак в минуту) представляет собой статистику какой-нибудь IDSки или ГосСОПКИ, которая каждый чих или пинг засчитывает за атаку. Но сам факт роста числа атак, в т.ч. и на госорганы сомнений не вызывает.
А кто занимается ИБ в госорганах? Полпред Президента в ПФО Михаил Бабич заявил , что "В региональных органах исполнительной власти и органах местного самоуправления (в ПФО - примечание мое) защиту информации обеспечивают 1672 специалиста, из них лишь 26% предусмотрены штатным расписанием, и только 6% имеют профильное образование". Профильное образование только у 6%!!! Поэтому вполне логично, что безопасники должны повышать свою квалификацию, чему и посвящено ПП-399.
1-го июня ФСТЭК разместила у себя на сайте информационное сообщение по данному вопросу, а также выписку из перечня примерных программ профессиональной переподготовки и повышения квалификации специалистов в области противодействия иностранным техническим разведкам и технической защиты информации, разработанных ФСТЭК России. На сайте ФСТЭК выложен и регулярно обновляется перечень организаций , осуществляющих образовательную деятельность, имеющих дополнительные профессиональные программы в области информационной безопасности, согласованные с ФСТЭК. Таких организаций свыше 130.
У упомянутого ПП-399 только один недостаток - оно не очень конкретное. Требования увеличить штаты по ИБ нет. Требование выделить финансирования на ИБ и повышение квалификации тоже нет. Как сказал Бабич на соверщании СовБеза: "Кроме того, для большинства государственных информационных систем в 2014-2015 годах мероприятия по их созданию, модернизации и эксплуатации профинансированы немногим более чем на 50% от запланированных средств, а финансирование защиты информации проводится по остаточному принципу". Так что при всей своей нужности и полезности, новое Постановление Правительства сродни известному высказыванию премьер-министра, который и подписал ПП-399 - "Денег нет, но вы держитесь".
Первым документом стало Постановление Правительства №399 от 6 мая 2016-го года "Об организации повышения квалификации специалистов по защите информации и должностных лиц, ответственных за организацию защиты информации в органах государственной власти, органах местного самоуправления, организациях с государственным участием и организациях оборонно-промышленного комплекса", которое утверждает соответствующие правила организации повышения квалификации. Это постановление небольшое и по сути просто обращает внимание на необходимость регулярного повышения квалификации в области ИБ в соответствие с примерными программами переподготовки, утвержденными ФСТЭК.
Но выпущено данное Постановление очень вовремя. Только в Поволжском федеральном округе, как свидетельствует секретарь Совета Безопасности г-н Патрушев в 2015-м году было совершено около 190 миллионов кибератак, из которых более 80% приходилось на государственные органы. Понятно, что цифра 190 миллионов (это 520 тысяч атак в день, то есть 360 атак в минуту) представляет собой статистику какой-нибудь IDSки или ГосСОПКИ, которая каждый чих или пинг засчитывает за атаку. Но сам факт роста числа атак, в т.ч. и на госорганы сомнений не вызывает.
А кто занимается ИБ в госорганах? Полпред Президента в ПФО Михаил Бабич заявил , что "В региональных органах исполнительной власти и органах местного самоуправления (в ПФО - примечание мое) защиту информации обеспечивают 1672 специалиста, из них лишь 26% предусмотрены штатным расписанием, и только 6% имеют профильное образование". Профильное образование только у 6%!!! Поэтому вполне логично, что безопасники должны повышать свою квалификацию, чему и посвящено ПП-399.
1-го июня ФСТЭК разместила у себя на сайте информационное сообщение по данному вопросу, а также выписку из перечня примерных программ профессиональной переподготовки и повышения квалификации специалистов в области противодействия иностранным техническим разведкам и технической защиты информации, разработанных ФСТЭК России. На сайте ФСТЭК выложен и регулярно обновляется перечень организаций , осуществляющих образовательную деятельность, имеющих дополнительные профессиональные программы в области информационной безопасности, согласованные с ФСТЭК. Таких организаций свыше 130.
У упомянутого ПП-399 только один недостаток - оно не очень конкретное. Требования увеличить штаты по ИБ нет. Требование выделить финансирования на ИБ и повышение квалификации тоже нет. Как сказал Бабич на соверщании СовБеза: "Кроме того, для большинства государственных информационных систем в 2014-2015 годах мероприятия по их созданию, модернизации и эксплуатации профинансированы немногим более чем на 50% от запланированных средств, а финансирование защиты информации проводится по остаточному принципу". Так что при всей своей нужности и полезности, новое Постановление Правительства сродни известному высказыванию премьер-министра, который и подписал ПП-399 - "Денег нет, но вы держитесь".
