СОИБ. Анализ. Учить или не учить?

Аватар пользователя SergeyBorisov
Автор: Борисов Сергей,
(0)
()


Посмотрим на недавние (недавно обновленные) нормативные документы РФ в области ИБ, такие как 152-ФЗ, 149-ФЗ, Постановление правительства №1119, Приказ ФСТЭК №21 о мерах защиты ПДн, Методические рекомендации ФСТЭК по защите ГИС, Приказ ФСБ №378 о мерах защиты ПДн  - там фактически ничего нет про квалификацию (знания и умения) лиц, ответственных за организацию обработки информации ограниченного доступа (ПДн) или за защиту информации, про проверку и повышение квалификации этих лиц, про необходимость повышения осведомленности и обучения в области информационной безопасности.


Если в приведенных НМД что-то требуется в этой части – это поставить роспись об ознакомлении с комплектом документов. Так можно дворника назначить ответственным за организацию обработки ПДн, вахтера на входе ответственным за защиту информации, вручить им ОРД и не выпускать, пока не поставят 20 подписей. Разве этого достаточно?


Регуляторы считают, что достаточно! При проверках – смотрят только приказы, инструкции и подпись ответственных лиц в ознакомлении с ними. А самый большой вопрос к Методическим рекомендациям ФСТЭК – кто мешал там написать пару слов по поводу квалификации, повышения осведомленности и обучение?


В былые времена хоть пару слов, но не забывали:

СТР-К:3.16. На стадии проектирования и создания объекта информатизации и СЗИ в его составе на основе предъявляемых требований и заданных заказчиком ограничений на финансовые, материальные, трудовые и временные ресурсы осуществляются:

·       определение заказчиком подразделений и лиц, ответственных за эксплуатацию средств защиты информации, обучение назначенных лиц специфике работ по защите информации на стадии эксплуатации объекта информатизации;”


ГОСТ 34.601 – 90: “Стадии и этапы создания АС

16. На этапе 7.2 "Подготовка персонала" проводят обучениеперсонала и проверку его способности обеспечить функционирование АС.”


Приказ ФАПСИ №152: “17. Обучение и повышение квалификации сотрудников органов криптографической защиты осуществляют организации, имеющие лицензию на ведение образовательной деятельности по соответствующим программам.

21.          Непосредственно к работе с СКЗИ пользователи допускаются только после соответствующего обучения. ”


Продолжение следует…



 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.