О проблемах подготовки руководителей территориальных органов государственной власти в области ИБ

Вадим Лебедев
доцент кафедры информационных технологий
управления органами внутренних дел
Академии управления МВД России, к.т.н.,
полковник полиции

Актуальность проблемы

Органы государственной власти в своей деятельности используют сведения, составляющие государственную тайну, и информацию конфиденциального характера (прежде всего персональные данные граждан, служебную тайну и др.). В этом случае указанные органы обязаны получать лицензию на право проведения работ, связанных с использованием сведений, составляющих государственную тайну.

После того как такая лицензия получена, защита указанных сведений становится одним из видов основной деятельности органа государственной власти.

Это обусловливает, в свою очередь, необходимость проведения мероприятий, направленных на создание системы информационной безопасности (ИБ) органа. Ответственность за организацию такой системы закон возлагает на руководителей.

Основной обязанностью руководителя органа является проведение организационно-управленческих мероприятий, направленных  на  создание системы информационной безопасности, при этом наиболее важными являются формирование подразделения ИБ и организация его деятельности.

Основной задачей руководителя подразделения ИБ является проведение организационно-технических мероприятий, направленных прежде всего на аттестацию объектов информатизации.

Таким образом, в территориальных органах государственной власти за организацию системы информационной безопасности отвечает в первую очередь начальник данного органа и руководитель подразделения информационной безопасности.

Кроме того, в ходе лицензирования организации на право проведения работ, связанных с использованием сведений, составляющих государственную тайну, руководители, ответственные за защиту названных сведений, в обязательном порядке проходят государственную аттестацию. В ходе аттестации определяется знание руководителем нормативных правовых актов и организационно-распорядительных документов в области защиты государственной тайны, противодействия техническим разведкам и защиты информации от утечки по техническим каналам.

Основные проблемы

Однако, как показывает практика, руководители территориальных органов далеко не в полной мере обладают необходимыми знаниями и организационными навыками и умениями в данной области.

Одновременно с этим руководители подразделения ИБ, как правило, обладая специальными знаниями в области информационной безопасности, не обладают управленческим опытом и полномочиями по созданию системы информационной безопасности.

Как представляется, основными причинами данной ситуации являются следующие:

1.  Руководители территориальных органов не имеют специальной подготовки, в большинстве своем не изучали дисциплин, посвященных вопросам обеспечения информационной безопасности, а если и изучали, то с этого времени проходит достаточно долгое время и полученные знания просто забываются.

Данную проблему можно было бы решить путем повышения квалификации руководителей в области ИБ.

2. Как правило, в министерствах отсутствует ведомственная система повышения квалификации руководителей территориальных органов и руководителей подразделений ИБ, легитимная с точки зрения органов регуляторов (в первую очередь ФСТЭК России), и именно управленческой направленности.

3. Для проведения организационно-управленческих мероприятий по созданию системы ИБ, руководителю территориального органа государственной власти необходимо изучить около 20 законодательных и иных нормативно-правовых актов, большинство из которых являются достаточно специфичными для восприятия неспециалистами в области ИБ.

Все это способствует тому, что руководители территориальных органов не знают и не умеют проводить необходимые управленческие мероприятия, направленные на создание системы ИБ в подчиненном органе, не могут поставить задачи своим подчиненным, организовать проведение аттестации объектов информатизации в подразделении.

Таким образом, можно сделать общий вывод о том, что руководители территориальных органов государственной власти являются ответственными за организацию системы информационной безопасности.

Они обязаны знать требования нормативно-правовых актов и организационно-распорядительных документов в области информационной безопасности. Однако целенаправленной, регулярной и системной подготовки в данной области практически не существует.

Предлагаемые пути решения

В этой связи необходимо создавать     ведомственные системы повышения квалификации руководителей территориальных органов государственной власти по направлению "Организация системы информационной безопасности (защиты информации) в органах исполнительной власти", руководителей подразделений информационной безопасности (защиты информации) по направлению "Организация защиты информации. Аттестация объектов информатизации по требованиям безопасности информации".

Как представляется, данная система должна быть легитимной с точки зрения органов регуляторов. Если исходить из количества территориальных органов государственной власти, которые в своей деятельности использую сведения, составляющие государственную тайну, то становится очевидным, что два-три ведомственных учебных заведения не справятся с такой задачей. Кроме того, встает вопрос оснащения данных учебных заведений, которые будут проводить такую подготовку, дорогостоящими   специальными аппаратно-программными комплексами. На данном этапе такая задача представляется сложно выполнимой.

Одним из направлений решения данной проблемы может стать проведение повышения квалификации руководителей территориальных органов на базе сторонних организаций, имеющих право подготовки в области информационной безопасности.

Но и тут есть проблемы. Большинство таких организаций осуществляет подготовку инженерного состава, то есть сотрудников подразделения информационной безопасности, а не руководителей организаций, ответственных за информационную безопасность, и это стоит немалых денег.

Но уже в некоторых учебных заведениях ведется подготовка руководителей территориальных органов внутренних дел и руководителей подразделений защиты информации.