На этой неделе было опубликовано Постановление Правительства от 15 июля 2022 года №1272 «Об утверждении типового положения о заместителе руководителя органа (организации), ответственного за обеспечение информационной безопасности в органе (организации), и типового положения о структурном подразделении в органе (организации), обеспечивающим информационную безопасность органа (организации)». В нем прописаны ключевые положения, направленные на реализацию Указа Президента от 01 мая 2022 года №250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации».
Постановление определяет права, полномочия, обязанности, квалификационные требования и ответственность заместителя руководителя по информационной безопасности — эта должность вводится Указом — и соответствующего структурного подразделения.
Чтобы разобраться в новых требованиях к кибербезопасности, мы поговорили с кандидатом технических наук, заместителем директора Академии Информационных Систем Игорем Хайровым.
Что изменится после реализации Указа Президента №250?
Вопрос обеспечения информационной безопасности (ИБ) в организации поднимется на совершенно иной уровень, т.к. ответственным за обеспечение ИБ должен быть назначен заместитель руководителя организации.
Руководитель организации теперь несет персональную ответственность за обеспечение ИБ — безопасникам будет проще достучаться до руководства.
Также появятся подразделения, ответственные за обеспечение ИБ, хотя эту функцию можно возложить на уже имеющееся департаменты.
Согласно Постановлению Правительства руководящий состав организации и сотрудники подразделений ИБ должны участвовать в профильных мероприятия: форумах, конференциях. Это впервые прямо прописывается в нормативном документе такого уровня.
Какие установлены сроки реализации этих положений?
Воплотить это всё в жизнь нужно было ещё «вчера».
Любая организация, тем более имеющая объекты критической информационной инфраструктуры (КИИ), должна быть защищена изначально. Если возникнут проблемы с ИБ, проверяющие органы не будут смотреть на то, что Постановление Правительства утвердили лишь июле и требования Указа выполнить ещё не успели.
Они будут смотреть на масштаб бедствия и отталкиваться от него, применяя санкции к руководителю организации. По части его персональной ответственности Указ уже можно считать вступившим в силу.
На каких предприятиях появятся зам. руководителя по ИБ?
В Указе речь идет о коммерческих и государственных организациях, включая стратегические, системообразующие и просто субъекты КИИ. По факту это сотни тысяч организаций.
Какое образование должно быть у зам. руководителя?
В Постановлении к ним предъявляются следующие квалификационные требования: высшее образование в области ИБ (не менее магистратуры или специалитета — бакалавриата недостаточно) или диплом о профессиональной переподготовке по ИБ.
Также он должен регулярно повышать компетенции и знания в области ИБ, проходя курсы повышения квалификации.
Чем профпереподготовка отличается от повышения квалификации?
Профессиональная переподготовка — это билет в новую специальность, которая может кардинально отличаться от предыдущей.
Повышения квалификации — это возможность актуализировать навыки и знания в рамках уже имеющейся профессии.
Отличаются они и длительностью. Если повышение квалификации по ИБ начинается от 40 часов, а по лицензионным требованиям ФСБ России — со 100 часов, то профпереподготовка по ИБ даже в теории не может быть короче 360 часов, а на практике это чаще всего минимум 500 часов.
Есть ли курсы по переподготовке короче 500 часов?
500 часов — это минимум по лицензионным требованиям ФСБ, если у специалиста нет профильного ИБ-образования. Именно такие курсы чаще всего реализуют компетентные в области ИБ учебные центры.
Первая программа свыше 500 часов, которую ФСБ согласовала по появившимся тогда требованиям, была разработана в Академии Информационных Систем в 2012 году и с тех пор активно применяется на рынке.
Однако согласно Приказу Минобрнауки от 19.10.2020 №1316 «Об утверждении Порядка разработки дополнительных профессиональных программ, содержащих сведения, составляющие государственную тайну, и дополнительных профессиональных программ в области информационной безопасности» профпереподготовка по ИБ не должна быть короче 360 часов. Аналогичное требование прописано в лицензионных требованиях ФСТЭК России.
Подойдет ли для зам. руководителя по ИБ профпереподготовка в объеме 360 часов?
Прямо в Постановлении Правительства требования к продолжительности программы профпереподготовки не указаны. Однако в документе прописан ряд требований к квалификации ИБ-руководителей, т.е. то, что они должны знать и уметь. Речь идет об очень высоком стандарте подготовки.
Такой объем информации с учетом отработки на практике полученных знаний сложно дать даже за 500 часов, не говоря уже о 360. Готовить ответственных за обеспечение информационной безопасности объектов КИИ, системообразующих или стратегических предприятия по стандарту в 360 часов, на мой взгляд, — профанация.
Объясню. Программа в объеме 360 часов раскрывает лишь один хоть и большой аспект защиты информации — техническая защита конфиденциальной информации (ТЗКИ). В программах от 500 часов в том числе раскрываются многие другие аспекты, которые перечислены в
Постановлении. Например, вопросы обеспечения кибербезопасности, вопросы обнаружения, предупреждения и ликвидации последствий компьютерных атак, реагирование на инциденты ИБ, управление проектами по ИБ.
Кто может проводить профпереподготовку?
Учебный центр должен обладать соответствующей образовательной лицензией, а программы профпереподготовки по ИБ, по которым ведется обучение, согласно уже упомянутому Приказу Минобрнауки №1316 требуют согласования ФСТЭК и/или ФСБ.
Я бы ещё обращал внимание на опыт в реализации образовательных программ по ИБ и репутацию учебного центра.
Формализованных требований к преподавателям нет, но, учитывая специфику отрасли, это должен быть профессионал с большим практическим опытом в информационной безопасности.
Можно ли пройти профпереподготовку дистанционно?
Да, ряд учебных центров предусматривают такую возможность.
Закон «Об образовании» позволяет проводить обучения удаленно, если слушатели могут общаться с преподавателем напрямую в режиме реального времени. Это называется контактной формой обучения.
Важно, чтобы в дистанционном формате сохранялась практическая часть обучения. В ИБ без практики никуда.
Этот процесс можно реализовать по-разному. Например, в АИС, наряду с работой на реальном оборудовании, мы используем виртуальные машины, которые эмулируют реальные средства защиты. Учащимся выдаются подробные инструкции, а преподаватели в обязательном порядке проверяют их работы.
Риски неисполнения Указа
Как я уже отмечал ранее, за обеспечение ИБ персональную ответственность теперь несет руководитель организации. Причем ответственность эта в зависимости от квалификации может быть как административной, так и уголовной.
