ИТ. Норма ИТ и ИБ специалистов в гос. учреждениях

Аватар пользователя SergeyBorisov
Автор: Борисов Сергей,
(19)
()
Несколько коллег недавно просили подсказать какие-то нормы или статистику по РФ, сколько ИТ и ИБ специалистов должно быть в организации на такое-то количество техники. Ниже то что удалось найти (в том числе с вашей помощью), возможно будет полезным.


1.       Из адекватной статистики удалось обнаружить только глобальные цифры:

a.       700 тыс. ИТ специалистов в РФ

b.       2% населения РФ заняты ИКТ

c.       ВУЗами выпускается примерно 7 (семь) ИТ специалистов в год на 10000 чел. населения


2.       Перечень типовых отраслевых (межотраслевых) нормтруда, утвержденных нормативными правовыми актами Российской Федерации и СССР 


В этом перечни пропущены некоторые более свежие нормы, например, как эта от Минздравсоцразвития за 2011 г.


Приведенные документы содержат нормы времени на конкретные микро-работы на одну единицу объекта обслуживания, а также периодичность этих работ.

Для того чтобы на основании этих данных рассчитать необходимую численность персонала ИТ, необходимо, во-первых, зафиксировать перечень задач ИТ подразделения, во-вторых определить количество обслуживаемых объектов (АРМ, ОС, серверов, СУБД, ППО, …). Пример расчета можно брать из Постановления Минтруда РФ от 23.07.98 № 28, хотя сами работы там порядком устарели.


3.       На работы по ИБ или ЗИ подобных публичных норм нет. Но у меня в блоге есть пример экспертной оценки количества ИБ специалистов, необходимых в соответствии с законодательством об обработке и защите ПДн (без учета какой-либо автоматизации или оптимизации). Разработанные по аналогии с нормами из 1-ого пункта, исходя из типовых работ, их периодичности и типовых трудозатрат. 


4.       У ФСТЭК есть методические рекомендации поформированию аналитического прогноза укомплектования подразделений ИБ, в том числе опросные формы и формулы для расчета прогноза. Есть даже целый раздел насайте, посвященный этому. Но никаких норм, статистики или самих прогнозов, которые помогли бы учреждениям не опубликовано.  


5.       РС БР ИББС-2.7-2015 «Ресурсное обеспечение информационной безопасности». Рекомендуется зафиксировать задачи и функции возложенные на службу ИБ, сделать прогноз по расширению перечня задач в соответствии с планами повышения уровня зрелости. Необходимую численность необходимо определять исходя из трудозатрат на выполнение задач, количества процессов СОИБ, количества объектов защиты (филиалов, АБС, работников).  


Из вышеприведенных примеров (1,2,5) видно, что требуемое количество ИТ и ИБ специалистов необходимо рассчитывать в индивидуальном порядке, исходя из задач конкретной организации. И это логично.


Но что, если у нас типовое гос. учреждение, такое как ВУЗ, школа, поликлиника, МФЦ, типовой муниципальный орган.  Задачи и функции ИТ и ИБ в таких учреждениях абсолютно идентичны. Для них можно было бы сделать точные расчеты на уровне РФ или субъекта федерации и распространять такие нормы как рекомендации.


Действительно, подобные расчеты есть, но носят они, к сожалению, кусочный и несистематический характер. Примеры:

6.       Методических рекомендаций по расчету штатных нормативов специалистов по применению в медицинских учреждениях компьютерных информационных технологий. Приказ Министерства здравоохранения Республики Татарстан от 26 ноября 2001 г. N 1095.    

Например, на 100 АРМ – 2,4 программиста и 1,6 электроник. Про ИБ нет.


7.       Постановление правительства Красноярского края от 17 февраля 2017 года N 97-п «Об утверждении нормативов штатной численности краевых государственных учреждений социального обслуживания».

от 0.5 до 4 инженеров-программистов / инженеров по ЗИ в зависимости от количества “коек”


8.       Приказ Министерства образования Московской области от 07 ноября 2011 года № 2866. “Об утверждении типовых штатных расписаний государственных образовательных учреждений начального профессионального и среднего профессионального образования Московской области, подведомственных Министерству образования Московской области”

1 программист при наличии ЛВС, доступа в интернет и сайта. 1 инженер кабинета информатики при наличии более 31 АРМ. Про ИБ нет.



 Хотелось бы подобных методик по РФ либо по всем субъектам РФ. И чтобы про ИБ там было.... 
Оцените материал:
Total votes: 48
 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя riskmn

Нереальная задача. При современном подходе - подмена понятий - в РФ практически нет специалистов по ИБ. Печально, но из песн и слов не выкинуть.

Текуще положение такре, что все спецы по ИБ выходцы из ИТ и не занимаются ИБ:-((((
 

По сути спецы ИБ нужнв в компаниях от 30 000 сотрудников и выше. И их количество будет 1 на 1000 сотрудников (распределенность по территории и если они займутся своим делом а не фигней, типа ИТ. это для компаний.

А в гос учреждениях - возьмите норму 1 отдела в СССР - вот примерно и получите штатный состав.

Это по подходу для понимания проблемы.

Ну как-то так.

 

up
2 users have voted.
Аватар пользователя SergeyBorisov

Дело в том что есть обязательные мероприятия по ИБ. Их должен кто-то делать. Даже если это не целая ставка, а 0.5      

А чтобы отнимать эти 0.5 у ИТ надо посмотреть на сколько ИТ соответствует норме. Может быть там надо 3, а имеем 1.

up
1 user has voted.
Аватар пользователя riskmn

Не надо ничего и ни у кого отнимать!!!!  Надо ИСКЛЮЧИТЬ пересечения ИТ и ИБ на одной поляне. И все будет "ровно". Сделать это - "как 2 байта переслать".

"Отнимать" у кого-нибудь (ИТ, HR, СМК, RM и прочих) - это дело дурное. Надо разобраться с понятийным аппаратом, потом верно описать (а не как сейчас) БП и все будет нормально.

Об этом здесь в основном и "ломают копья" те, кто понимает и пытается достучаться до "большинсьтва". А здесь в основном вываливают новости:кто кого купил или кто лучше прорекламирует очередную сожданную "железяку" - это интерес сторонников современной кривизны:-((((

"Договоритесь о понятиях - многие иллюзии в жизни перестанут существовать"(@)

up
1 user has voted.
Аватар пользователя Атаманов Геннадий

Я согласен с Михаилом: задача нереальная. Более того – абсолютно ненужная!

Когда задача нормирования ставится сверху – это от избытка глупости, потому что это будет попытка узаконить «среднюю температуру по больнице». Когда снизу – это проявление рабской психологии: сами мы ничего объяснить и добиться не можем, пусть «барин нас рассудит».

Нормировать количество ИТишников или ТЗИшников – это, примерно, то же самое, что нормировать количество каменщиков и охранников на стройплощадке или количество и породу собак на личном подворье. Наши депутаты не перестают думать над этой проблемой (нормирования собак), но по каким-то причинам закон пока не принят. Думаю, не стоит вводить их в искушение ещё одной глупостью.

Проблема в другом – полном непонимании со стороны руководителей и бизнеса, и власти ситуации, в которой мы все сейчас находимся. Не у всех, конечно, но у подавляющего большинства полностью отсутствуют знания по ИТ- ИБ-направлениям. Знания не тонкостей специальности, а их места и значения, а также возможностей в решении производственных вопросов. Проще: полное отсутствие информационной культуры и её составной и неотъемлемой части – культуры информационной безопасности, в состав которой, в свою очередь, входит и культура обеспечения безопасности информационных ресурсов. Ни в школе, ни в ВУЗе этому не учат, а если и учат, то совершенно неправильно. У нас вообще сегодня учат и не тому, и неправильно, но, что касается ИТ/ИБ, – это вне конкуренции.

up
3 users have voted.
Аватар пользователя Атаманов Геннадий

Что касается специалистов по ИБ, опять согласен с Михаилом – в России не было, и нет специалистов по информационной безопасности, за исключением 2-3 человек (одного я знаю лично, но допускаю, что кроме него есть ещё кто-то). А за более чем десятилетний период активных попыток показать и доказать это, у меня сложилось впечатление, что в России деятели, именующие себя ИБешниками, – либо недалёкие упрямцы, либо агенты госдепа. Как можно ещё объяснить такое тупое упорство в непризнании очевидных истин? Для особо «продвинутых» уже на совсем примитивном уровне расписал [1]. Неужели и это не доходит?

up
2 users have voted.
Аватар пользователя riskmn

Я не говорил, что реальных специалистов по ИБ в РФ нет))) Есть конечно, только их немного (несколько сотен) и заняты они, после завершения работы по прфилю, совсем далекими от этого делами. Знаю, что: кто-то работает охранником (((, кто-то сисадмином, кто-то пишет книги, а кто-то преподает (причем не по профилю)..... Но знаю одно точно, в современной "тусовке" по ИБ их реально нет...., а кто на виду и на трибунах - это "ряженные".

Тут надо понять, что как в любой отрасли есть специализация. Узконаправленных по разным направлениям ИБ (инфраструктура, крипто, каналы, БД, ПДИТР, акустика, ЭМИ, RF, доки, HR, нормативка, связь и прочее) - их великое множество. По УЗКИМ направлениям Мастеров навалом.

Я о тех, кто является Мастером во всех (если точнее - в подавляющем числе главных направлений спецам высокого уровня). Вот таких совсем мало:-((( и речь именно о  них. По "шкале компетенций ИБ" я говорю о спецах 9 и 10 уровней. А современные не дотягивают и до 4-го:-(((

И у нас (в бизнесе в РФ - я не говорю про службы) есть плохая практика - этих Мастеров в отдельных видах начинают считать Мастерами в "многоборье". Так считают коммерсы и вешают на них все, что под руку созвучное попадется. Логика ясна - другие вообще даже названий таких не слыхали, а делать надо.... Вот от этого и кривизна нарастает.... 

up
0 users have voted.
Аватар пользователя Атаманов Геннадий

Читаю только то, что написано. Если написано, что «в РФ практически нет специалистов по ИБ», то понимаю, что и «реальных специалистов по ИБ в РФ нет».

 

И про мастеров по узким направлениям тоже согласен: их достаточно много и очень хороших. Но точно так же как сторож продовольственного склада не является специалистом по продовольственной безопасности, администратор безопасности ИС не является специалистом по информационной безопасности. Он – СТОРОЖ, ОХРАННИК, в лучшем случае – ЗАЩИТНИК информационного ресурса, и не более того. Ещё и не всего ресурса, а только того, который хранится и обрабатывается в ИТКС. Ну совсем узкие специалисты, а мнят себя специалистами широкого профиля. Всё бы ничего и пусть бы тешили своё больное самолюбие и раздували самомнение, да только сфера очень важная. И не просто важная, а жизненно важная как для отдельных индивидов, так и для общества в целом. Поэтому игрища вокруг подмены понятий в сфере ИБ/БИ не так безобидны, как многие думают.

up
1 user has voted.
Аватар пользователя riskmn

Если не вдаваться в мелкие детали (причин, следствий и мотивов) - тогда согласен, так оно и есть - к моему глубокому сожалению.Природа так устроена, что самозванцы никогда ничего важного не сделают. Именно посему и "буксует" на месте вся отрасль.

Будет еще немного времени у коммерсов наиграться в свои игры, потом будет некий большой системный провал ("грянет гром"), а потом начнут искать (начнут "креститься") тех, кто сможет реально двигать этот воз, а не "бабки" пререраспределять....

Так все развивалось, отрасль ИБ не исклюячение. "Пони бегает по кругу...".

up
1 user has voted.
Аватар пользователя SergeyBorisov

Нет смысла в каждой школе/поликлинике отдельно проводить обоснование для руководоства необходимости ИТ/ИБ и т.п. И некому там проводить такое обоснование. 

Также как и нет у них необходимости в "настоящем" специалисте по ИБ.

Но ИТ/ИБ задачи там нужно решать. Как минимум установленные законодательством РФ и вышестоящими органами. 

Поэтому лучше и легче сделать типовые расчеты и дать как рекомендацию. 95% примут. А продвинутые 5% могут посчитать самостоятельно... 

 

up
0 users have voted.
Аватар пользователя Атаманов Геннадий

Сергей, я не про обоснование. Я про обучение, которое, если начать немедленно, даст отдачу лет через пять-десять. Если этого не делать, ничего хорошего вообще никогда не получится. Сегодня и ТСОХПИ, и ТСЗИ используются и не те, и не так. Особенно ТСЗИ. Занормировали дурь и все обязаны её выполнять, а кто не выполняет, того в бараний рог скручивают. Зачем такое нормирование нужно?

Кстати, со здравоохранением проще всего: все врачи в обязательном порядке каждые 5 лет проходят переподготовку. В каждом медицинском учреждении (МУ) есть компы и (в подавляющем большинстве) сети, а как всё это правильно эксплуатировать (с максимальной эффективностью) и как это защищать (правильно, а не по дури) никто им не рассказывает. В результате эффективность использования ТСОХПИ в МУ «ниже плинтуса» (опять же не везде, но в подавляющем большинстве). Но и рассказывать им – медикам – всё это тоже нельзя. Начнут понимать, куда ушли деньги и сколько. Сейчас-то они только догадываются.

Дилемма, однако.

Но я, как всегда, не о том, как есть, а о том, как должно быть. А здесь главное – так, как есть, быть не должно. И начинать нужно с основ – с обучения и воспитания. Всё другое – латание дыр и только усугубит ситуацию. Правда, и обучение, такое как есть, тоже дурь. А воспитания – правильного – вообще нет. Замкнутый круг. Но выход есть! Только он не в расчётах численности персонала. Он – в кардинальном изменении парадигмы!

up
1 user has voted.
Аватар пользователя riskmn

Сергей, Вы интересно подходите к проблеме!

Конечно, про школы. поликлинники, СМБ и ИЧП - трудно не согласиться...

Но дальше - множество терминов м подходов, которые каждый понимает по-своему.

1. Кто такой "настоящий" специалист по ИБ? Как его описать - в одной уважаемой и очень большой компании я видел требования к директору Департамента компьютерной безопасности, в которых были перечислены несколько сертификатов по ИТ нфраструктуре, обслуживанию конкретного HW и прочие коонкретные навыки)))) Но это не настоящий  спец по ИБ!!!!!!!!!!!! А кто он?

2. Правила надо исполнять - кто спорит, только можно все организовать непопадая под действия большинства ограничений!!! Но для этого надо понимать, знать, иметь опыт и уметь. Не нарушать и игнорировать, а не противоречить и не заходить на "лишние" поляны.

3. Типовые расчеты - чего их придумывать(см. мой первый ответ - взять за основу практику Первых отделов). Не дураки делали. У нас полное непонимание кому, что, как, зачем, ... ЗАЩИЩАТЬ? Если основательно просеять сквозь сито понимания - остаток будет не очень большим. Ладно - это уже о другом.

Знаете, есть в отношениях к ИБ два лагеря. Подход лагеря "военных" и есть подход лагеря "штатских". Никогда одни не поймут других. Почему?

- "Военные" должны решать любые поставленные задачи, любой ценой, на "неограниченных" ресурсах;

- "Штатские" могут решить только те задачи, на которые у них есть ресурсы.

Первые решают проблемы Конституции РФ со всеми вытекающими рисками и последствиями, вторые - стараются как можно больше себе денег заработать. Они никогда друг друга не поймут((((

"В одну телегу впрячь на можно коня и трепетную лань" ("Полтава", ПАС)(@)

 

up
0 users have voted.
Аватар пользователя Атаманов Геннадий

Кстати, очень интересно, есть ли в стране хоть одна организация, которая воспользовалась рекомендациями ФСТЭК, которые упоминаются в статье, и, тем более, поступила в соответствии с ними???

up
1 user has voted.
Аватар пользователя Атаманов Геннадий

Вспомнил случай из своей жизни. Конец семидесятых, нужна ТВ-антенна. Взял отечественный справочник, рассчитал по приведенным там (заумным) формулам, изготовил детали, собрал. Не работает! Купил американский справочник по радиотехнике. Рассчитал по имеющимся (примитивным) формулам, переделал детали, собрал. Работает! Причём, сразу и отлично. Мораль: если и давать рекомендации, то не на базе заумных расчётов, а простые и работающие.

up
2 users have voted.
Аватар пользователя Ржавский Константин

Вот зря Вы сейчас, Геннадий Альбертович, про советский справочник по радитехнике так, ой зря! Скорее дело то не в нем!
 

up
0 users have voted.
Аватар пользователя Атаманов Геннадий

Нет, Константин Васильевич, именно в нём! Только не в том смысле, что советский, значит плохой. Напротив, например, советский справочник по радиотехнике для сержанта войск ПВО был написан на высочайшем научном уровне. Нынешние кандидаты наук в нём вряд ли разберутся. Только зря это было. Сержантам (читай – практикам) не нужна высокая наука, им нужен результат.  В том смысле, что практикам не нужны заумные формулы расчёта потребного количества специалистов в той или иной сфере деятельности. Им нужны либо конкретные указания, либо реализуемые на практике рекомендации. 

up
0 users have voted.
Аватар пользователя Атаманов Геннадий

Кстати, а по какой формуле можно рассчитать качество подготовки специалиста, его работоспособность, способность применять имеющиеся знания на практике и качество выполняемых им работ. Ведь результат зависит от этих параметров значительно больше, чем от количества. Ведь можно взять на работу сотню дипломированных дебилов и мучиться с ними, а можно одного самоучку и наслаждаться результатами его труда. Это я к тому, что есть вещи, которые нельзя формализовать по определению.

up
2 users have voted.
Аватар пользователя riskmn

А формула и не нужна. Достаточно использовать такой алгоритм:

1. Определить набор компетенций и личных качеств сотрудника. Отранжировать оба набора. Знания в оласти ИТ - в конце первой десятки).

2. Особое внимание к опыту (качеству тех контор, в которых обучался и работал ранее кандидат). Чем ближе ВУЗы к ВПК и ВС том предпочтительнее, Чем ближе (по географии) к Москве - тем лучше.

 3. Оценить реальные задачи и ресурсы под их решение. Нет смысла для "ларька" строить ситуационный центр (даже если в этом "ларьке" достаточно денег).

и после этого подбирать команду -"по одёжке протягивать ножки". Ну это совсем просто.......  

Однако - это слишком "заумно" для современных подходов. Не знаю кто способен потянуть такой подход. Невозможность сбора отличной команды заключается в базовом противоречии сегодняшнего момента  - официалы не могут позволить принять на работу полный комплект Мастеров из-за отсутсвия возможности обеспречить их достойный уровеень содержания и невозможностью смитирься с их "капризами" (чем выше уровень Мастера, тем хуже он сносит руководство от дилетантов), а коммерсы не смогут позволить содержать достаточный по компетенциям штат "очень дорогих" спецов.....по тем же причинам (это второстипенный БП и он не генерит деньги). Вот и тупик. 

up
1 user has voted.
Аватар пользователя Атаманов Геннадий

И я о том же: формула не нужна, и, по логике, невозможна.

Но народ требует простых и чётких рекомендаций/указаний, а Вы предлагаете определять, ранжировать, сравнивать, оценивать …. Это ж думать надо. Куда проще – сунул начальнику бумагу «в нос» и голова не боли.

 

Тупик? - Наверное!

Выход есть? - Есть! Довольно простой и абсолютно очевидный.

Будет найден? - Однозначно – НЕТ! 

up
0 users have voted.
Аватар пользователя riskmn

Говорю только про коммерсов, с гос вопросами все проще и очевиднее.

Меня удивляет другое. С каким рвением и энтузиазмом люди, абсолютно непонимающие куда суются - тем не менее лезут туда,  расталкивая всех локтями!? Что денег хотят - это понятно, только шарлатаны долго водить клиентов за нос не смогут.

Я вообще не понимаю позицию владельцев вендоров (зачем вкладывают деньги туда, не зня куда?).

Ладно, уехал не туда - их деньги пусть хоть прикуривают от них...

По сути:

Согласен. Выход из тупика конечно есть.... Найдут - при современных подходах - согласен, что нет. 

 

 

up
0 users have voted.
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.