Высшее образование по ИБ — зло или нет?

Высшее образование по ИБ — зло или нет?

Сразу надо отметить, что именно сейчас высшее образование для специалистов по ИБ, работающих в аккредитованных компаниях, это хорошо, так как дает им отсрочку от частичной мобилизации. Но заметка будет о другом.

250-й Указ подсветил одну проблему, связанную с требованием получения высшего образования у заместителей руководителя организации, ответственного за информационную безопасность; оно должно быть согласно ПП-1272. Альтернативой является наличие обычного высшего образования с обязательным прохождением профпереподготовки по направлению ИБ. В целом, вопросов к этому требованию нет (исключая, пожалуй, сам факт такого требования для людей, которые раньше даже не задумывались об ИБ, занимаясь совершенно иными вопросами управления в организации, и которые вряд ли имеют высшее образование по ИБ и также вряд ли готовы учиться 360 часов по данному направлению). Проблема заключается в другом.

250-й Указ — это только один из НПА, устанавливающих требования по квалификации персонала в области ИБ. Но таких документов я нашел около двух десятков по совершенно различным направления — от КИИ до госухи, от специалистов SOC до противодействия действиям иностранных технических разведок. И они являются такими же обязательными, как и 250-й Указ. А может быть даже более обязательными, так как они более известны и их используют многие организации, включая и их отделы кадров. И часто получается интересная коллизия, по одному НПА достаточно среднего профессионального образования с профпереподготовкой по ИБ, по другому — обязательно любое высшее и тоже с профпереподготовкой по ИБ, а по третьему — в обязательном порядке должно быть только высшее профильное образование. И все это в одной организации. И если для рядовых работников по ИБ чаще всего работает связка обычное высшее образование + профпереподготовка, то для руководителей это не так — часто там требуется именно профильное высшее образование без каких-либо исключений.

Следовательно, заместитель руководителя организации, если он является и непосредственным руководителем по ИБ, должен обязательно иметь высшее профильное образование. Либо в организации должна быть «прослойка» между заместителем и службой ИБ, то есть руководитель отдела защиты информации, который и будет иметь ВПО и заниматься операционкой по ИБ. А уж заместитель руководителя организации будет довольствоваться только профпереподготовкой.

Отдельный вопрос, что делать в ситуации, когда заместитель руководителя не имеет никакого высшего образования (или оно не закончено, или оно просто среднее)? Но тут вариантов никаких, как с отсутствием отсрочки для айтишников без высшего образования. Надо идти и получать его.

Дополнительной сложностью является необходимость учитывать и иное законодательство, обязательное для организации, в которой необходимо назначить заместителя по ИБ. В качестве примера возьмем медицинское учреждение, которое у нас является субъектом КИИ и попадает под действие 250-го Указа Президента. Согласно квалификационным требованиям к заместителям руководителя такой организации они должны иметь медицинское ВПО (например, по специальностям «Лечебное дело», «Педиатрия», «Медико-профилактическое дело», «Стоматология» и т.п.), а также послевузовское профессиональное образование (интернатура/ординатура) и/или дополнительное профессиональное образование. Можно ли ждать, что такой заместитель будет еще иметь и ВПО по ИБ? Конечно, нет. Аналогичная ситуация и в других сферах, на которые распространяется 250-й Указ, и в которых уже могут быть установлены свои требования для заместителей руководителя.

Особую пикантность всей истории с требованием высшего профильного образования добавляет тот факт, что согласно пояснительной записке ФСТЭК к одному из НПА по КИИ, они насчитывают чуть ли не полмиллиона таких организаций в стране. То есть каждая из них должна иметь как минимум одного специалиста с ВПО по ИБ (а то и двух). И где их столько взять?

Какие варианты решения данной проблемы можно назвать?

  1. Существующий заместитель руководителя получает профпереподготовку по ИБ к своему основному образованию и начинает соответствовать требованиям 250-го Указа, но при этом необходимо учесть требования иных НПА, устанавливающих условия по квалификации руководителя по ИБ (начальника отдела защиты информации). Возможно придется нанимать отдельного ИБшника с ВПО на операционку.
  2. Существующий заместитель руководителя получает второе высшее образование по ИБ и начинает соответствовать требованиям 250-го Указа и всех остальных НПА. В этом случае нанимать отдельного ИБшника с высшим образованием не потребуется, но «заместителю» придется заниматься еще и операционкой по ИБ.
  3. Организация, в дополнение к существующему руководителю отдела ИБ, нанимает нового заместителя руководителя (если оргструктура позволяет) с соответствующей квалификацией, который «закрывает» задачи 250-го Указа.
  4. Существующий руководитель отдела ИБ, имеющий высшее профильное образование, назначается заместителем руководителя организации и включается в исполнительный орган предприятия. Но в этом случае от него может потребоваться выполнение иных требований по квалификации, что может быть затруднительно. Вы можете представить начальника ИБ, который пошел получать второе высшее в области медицины? Вот и я не могу.

Нельзя сбрасывать со счетов и вариант, когда организации физически не смогут выполнить требования по квалификации (откуда у нас столько ИБшников, особенно в условиях мобилизации?) или просто не захотят заморачиваться, рассчитывая «на авось».

Есть и еще один вариант, но он требует изменения существующей нормативной базы. Речь о легализации института vCISO (аутсорсинга функции руководителя ИБ). И в условиях катастрофической нехватки квалифицированных специалистов и длительного срока по их подготовке (многие НПА требуют магистратуру или специалитет, а это 5-6 лет), этот вариант кажется наиболее правильным. Слово за регуляторами…

Заметка Высшее образование по ИБ — зло или нет? была впервые опубликована на Бизнес без опасности .

Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Ищем уязвимости в системе и новых подписчиков!

Первое — находим постоянно, второе — ждем вас

Эксплойтните кнопку подписки прямо сейчас