Немного об обучении по информационной безопасности

Немного об обучении по информационной безопасности

В разгар лета, отпусков и вылазок к морю совсем не хочется писать в блоге аналитику или туториалы. Но внезапно захотелось написать об актуальном нынче вопросе — образовании в сфере информационной безопасности. Об этом сейчас говорят много — ФСТЭК планирует ввести целый раздел с мерами, связанными с обучением и информированием персонала по вопросам ИБ, в новую редакцию 17 приказа; ужесточились требования к лицензиатам, в том числе и к образованности в сфере ИБ работников соискателя лицензии и многое другое.

Так получилось, что с некоторых пор я тоже занимаюсь разработкой и преподаванием курсов по защите информации.  Не сказал бы, что во мне бушует какая-то непреодолимая тяга к наставничеству и несению знаний в массы. Занялся я этим, потому что с одной стороны, появилась производственная необходимость заняться этим, а с другой — разработка с нуля учебной программы, учебного пособия и учебных слайдов очень хорошо помогают упорядочить собственные знания и опыт.

Всем, кто связан с ИБ-сферой, хорошо известно, что наиболее котируются курсы повышения квалификации, согласованные с регулятором. Более полугода назад, мы решили согласовать свой курс по защите информации в государственных информационных системах с ФСТЭК России. Сказать, что процедура согласования учебного курса вещь очень долгая — это ничего не сказать, хотя может быть для учебных центров центрального региона России все происходит гораздо быстрее.

В первый раз программа отправилась по маршруту Владивосток-Хабаровск-Москва-Владивосток. Мы получили ответ, в котором нам предлагали исправить ошибки и прислать программу еще раз. Ошибки в основном касались запятых и прочих мелочей. По основному содержанию учебной программы — претензий не было. Мы исправили все указанные недочеты и отправили программу снова, надеясь на этот раз получить в ответ подписанный со стороны регулятора документ. Но не тут-то было.

Как позже выяснилось, непосредственно во время всех этих телодвижений изменились правила согласования учебных программ и в этот раз наш исправленный документ отправился по маршруту Владивосток-Хабаровск-Москва-Воронеж-Хабаровск-Владивосток. Да, да, все верно, теперь учебные программы вычитываются в ГНИИИ ПТЗИ ФСТЭК России . Это конечно же хорошо, и нам наверное просто не повезло, что как раз попали под такое изменение правил согласования. Хорошо это потому, что по письму с замечаниями видно, что программу действительно вдумчиво читали. Полный список замечаний я не могу тут привести, потому что письмо зачем-то снабдили пометкой «ДСП», но если в общих словах — с частью замечаний я согласился, с частью — нет, а часть вызвала чувство неопределенности (ох уже это слово «рекомендуется»).

Например, нам предложили убрать из программы раздел, связанный с криптосредствами. С одной стороны все понятно — криптография это сфера компетенции ФСБ России, а не ФСТЭК. С другой — ну как можно давать большой раздел курса, связанный с технической защитой информации без СКЗИ? Скорее всего придется для согласования убрать этот раздел, а на деле рассказывать этот «несогласованный» кусок. Согласовывать курс еще и с ФСБ ну совсем не вариант, иначе пока программа согласуется, изменится все законодательство и актуальные темы и так может происходить по бесконечному кругу.

Еще один момент, с которым нам жутко не повезло — пока наша программа колесила через всю страну, ФСТЭК выпустил набор типовых учебных программ примерно в мае этого года. Воронеж настоятельно рекомендует составлять свою учебную программу на основании наиболее подходящей типовой учебной программы. Типовые (или правильнее — примерные) учебные программы естественно ДСПшные и их нужно заказывать, отправляя специальный запрос во ФСТЭК. Такой запрос мы написали уже более месяца назад, но ответа, и тем более программы — не получили. Как выяснилось, занимается этим только один человек и он сейчас в отпуске, поэтому нам остается только ждать =) На данный момент, согласование зависло. Ждем примерные учебные программы, чтобы на их основе составить свою. Скорее всего учебную программу придется переписывать с нуля.

Но в этой всей неразберихе есть и очень положительный момент. Когда я созванивался с ГНИИИ ПТЗИ ФСТЭК России в Воронеже по вопросам замечаний к учебной программе, мне сказали, что переделанную программу можно будет отправить на вычитку по электронной почте. Когда мы получим наконец-то примерные учебные программы, это очень сильно ускорит процесс согласования.

Итак, какие выводы из всего этого нужно сделать всем, кто занимается разработкой и согласованием учебных программ по информационной безопасности с основным регулятором в этой сфере:

  1. Прежде чем составлять свою учебную программу, которая планируется к согласованию с ФСТЭК России, необходимо заказать примерные учебные программы и делать свою на основании наиболее подходящей примерной программы.
  2. Вычитываются программы теперь в ГНИИ ПТЗИ ФСТЭК России. Делают они это на совесть, поэтому согласовать что-то «на халяву» не получится. Лучше сразу подойти ответственно к разработке документа и делать все это в соответствии с методическими документами ФСТЭК (да-да, по составлению учебных программ тоже есть методичка).
  3. Если вы не ставите на свою учебную программу какую-нибудь кляксу типа «ДСП», то текст программы с ГНИИИ ПТЗИ ФСТЭК России можно согласовывать по электронной почте, что в разы ускорит этот процесс. При этом визирование по-прежнему происходит в Москве.
Alt text

Ваша приватность умирает красиво, но мы можем спасти её.

Присоединяйтесь к нам!

Андрей Березов

Информационная безопасность: личная и корпоративная