Когда речь заходит о подборе специалистов или трудоустройстве в области информационной безопасности, ключевым моментом становится вопрос компетенций кандидата и их соответствия требованиям регулирующих органов: ФСБ России и ФСТЭК России. Сегодня вместе с экспертами кадрового агентства «ЦИБИТ» рассмотрим подробно, какие правовые документы есть в этой области и какие нормы они диктуют.
Действительно, поиск сотрудников, соответствующих лицензионным требованиям ФСБ России и ФСТЭК России, является одним из самых сложных видов кадрового подбора. Требования к образованию и квалификации в данном случае регламентируются тремя постановлениями Правительства РФ: ПП-171, ПП-79 и ПП-313.
Приведём полную информацию, которая касается образования и стажа специалистов по информационной безопасности, из текстов документов.
- Постановление Правительства РФ от 03.03.2012 N 171 (ред. от 10.07.2020) “О лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации”.
Согласно документу, ФСТЭК России предъявляет требования по наличию в штате у соискателя лицензии по основному месту работы в соответствии со штатным расписанием следующего квалифицированного персонала:
– «руководитель и (или) уполномоченное руководить работами по лицензируемому виду деятельности лицо, имеющие высшее образование по направлению подготовки (специальности) в области информационной безопасности и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 5 лет, или высшее образование по направлению подготовки (специальности) в области математических и естественных наук, инженерного дела, технологий и технических наук и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 7 лет, или иное высшее образование и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 5 лет, прошедшие обучение по программам профессиональной переподготовки по одной из специальностей в области информационной безопасности (нормативный срок обучения – не менее 360 аудиторных часов);
– инженерно-технические работники (не менее 2 человек), имеющие высшее образование по направлению подготовки (специальности) в области информационной безопасности и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 3 лет или иное высшее образование и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 3 лет, прошедшие обучение по программам профессиональной переподготовки по одной из специальностей в области информационной безопасности (нормативный срок обучения – не менее 360 аудиторных часов);
Для удобства приводим сводную таблицу требований:
- Постановление Правительства РФ от 03.02.2012 N 79 (ред. от 15.06.2016) “О лицензировании деятельности по технической защите конфиденциальной информации”.
Согласно документу, лицензионным требованием, предъявляемым к соискателю лицензии на осуществление лицензируемого вида деятельности, является наличие у соискателя лицензии:
– «юридического лица – в штате по основному месту работы в соответствии со штатным расписанием руководителя и (или) уполномоченного руководить работами по лицензируемому виду деятельности лица, имеющих высшее образование по направлению подготовки (специальности) в области информационной безопасности и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 3 лет, или высшее образование по направлению подготовки (специальности) в области математических и естественных наук, лицензируемому виду деятельности не менее 5 лет, или иное высшее образование и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 5 лет, прошедших обучение по программам профессиональной переподготовки по одной из специальностей в области информационной безопасности (нормативный срок обучения – не менее 360 аудиторных часов);
– инженерно-технических работников (не менее 2 человек), имеющих высшее образование по направлению подготовки (специальности) в области информационной безопасности и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 3 лет или иное высшее образование и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 3 лет, прошедших обучение по программам профессиональной переподготовки по одной из специальностей в области информационной безопасности (нормативный срок обучения – не менее 360 аудиторных часов);
– индивидуального предпринимателя – высшего образования по направлению подготовки (специальности) в области информационной безопасности и стажа работы в области проводимых работ по лицензируемому виду деятельности не менее 3 лет, или высшего образования по направлению подготовки (специальности) в области математических и естественных наук, инженерного дела, технологий и технических наук и стажа работы в области проводимых работ по лицензируемому виду деятельности не менее 5 лет, или иного высшего образования и стажа работы в области проводимых работ по лицензируемому виду деятельности не менее 5 лет, а также дополнительного профессионального образования по программам профессиональной переподготовки по одной из специальностей в области информационной безопасности (нормативный срок обучения – не менее 360 аудиторных часов).
- Постановление Правительства РФ от 16.04.2012 N 313 (ред. от 18.05.2017) “Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)”.
В данном постановлении обозначено требование наличия в штате у соискателя лицензии (лицензиата) следующего квалифицированного персонала:
– «руководитель и (или) лицо, уполномоченное руководить работами в рамках лицензируемой деятельности, имеющие высшее профессиональное образование по направлению подготовки “Информационная безопасность” в соответствии с Общероссийским классификатором специальностей и (или) прошедшие переподготовку по одной из специальностей этого направления (нормативный срок – свыше 1000 аудиторных часов), а также имеющие стаж в области выполняемых работ в рамках лицензируемой деятельности не менее 5 лет (только для работ и услуг, указанных в пунктах 1, 4 – 6, 16 и 19 перечня);
– руководитель и (или) лицо, уполномоченное руководить работами в рамках лицензируемой деятельности, имеющие высшее профессиональное образование по направлению подготовки “Информационная безопасность” в соответствии с Общероссийским классификатором специальностей и (или) прошедшие переподготовку по одной из специальностей этого направления (нормативный срок – свыше 500 аудиторных часов), а также имеющие стаж в области выполняемых работ в рамках лицензируемой деятельности не менее 3 лет (только для работ и услуг, указанных в пунктах 2, 3, 7 – 15, 17, 18, 20, 25 – 28 перечня);
– руководитель и (или) лицо, уполномоченное руководить работами в рамках лицензируемой деятельности, имеющие высшее или среднее профессиональное образование по направлению подготовки “Информационная безопасность” в соответствии с Общероссийским классификатором специальностей и (или) прошедшие переподготовку по одной из специальностей этого направления (нормативный срок – свыше 100 аудиторных часов) (только для работ и услуг, указанных в пунктах 21 – 24 перечня);
– инженерно-технические работники (минимум 2 человека), имеющие высшее профессиональное образование по направлению подготовки “Информационная безопасность” в соответствии с Общероссийским классификатором специальностей и (или) прошедшие переподготовку по одной из специальностей этого направления (нормативный срок – свыше 1000 аудиторных часов), а также имеющие стаж в области выполняемых работ в рамках лицензируемой деятельности не менее 5 лет (только для работ и услуг, указанных в пунктах 1, 4 – 6, 16 и 19 перечня);
– инженерно-технический работник (минимум 1 человек), имеющий высшее профессиональное образование по направлению подготовки “Информационная безопасность” в соответствии с Общероссийским классификатором специальностей и (или) прошедший переподготовку по одной из специальностей этого направления (нормативный срок – свыше 500 аудиторных часов), а также имеющий стаж в области выполняемых работ в рамках лицензируемой деятельности не менее 3 лет (только для работ и услуг, указанных в пунктах 2, 3, 7 – 15, 17, 18, 20, 25 – 28 перечня);
– инженерно-технический работник, имеющий высшее или среднее профессиональное образование по направлению подготовки “Информационная безопасность” в соответствии с Общероссийским классификатором специальностей (только для работ и услуг, указанных в пунктах 21 – 24 перечня).
Для удобства приводим сводную таблицу требований:
Учитывая довольно жёсткие требования регуляторов, можно говорить о специфичности и многоэтапности подбора кадров в сфере информационной безопасности для компаний-лицензиатов и соискателей лицензий ФСБ России и ФСТЭК России. Все компетенции и опыт сотрудника, наличие нужного образования, прохождение программ профессиональной переподготовки и повышения квалификации необходимо подтвердить документально.