Вопрос: У кредитных организаций возникают вопросы, касающиеся соблюдения квалификационных требований в сфере информационной безопасности.
С 1 сентября 2023 г. вступил в силу Профессиональный стандарт для специалистов информационной безопасности в финансовой сфере, утвержденный Приказом Минтруда России от 28.11.2022 N 739н "Об утверждении профессионального стандарта "Специалист по информационной безопасности в кредитно-финансовой сфере" (далее - Профессиональный стандарт). Указанный документ описывает требования к специалистам по управлению рисками информационной безопасности, обеспечению защиты информации и операционной надежности в финансовых институтах.
Из меры ОРО.5.1 <1> Национального стандарта Российской Федерации ГОСТ Р 57580.3-2022 "Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения" следует, что организация кадрового обеспечения в рамках управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации должна строиться в соответствии с Профессиональным стандартом.
--------------------------------
<1> Установление требований на основе профессиональных стандартов к квалификации работников, в том числе профессионального стандарта для специалистов по информационной безопасности в кредитно-финансовой сфере.
Из содержания разд. III "Характеристика обобщенных трудовых функций" Профессионального стандарта можно сделать вывод о том, что для некоторых категорий специалистов по информационной безопасности (далее - ИБ), которые обеспечивают трудовые функции в области защиты информации, необходимо иметь только высшее образование в области ИБ (код специальности 2.10.03.01), а не высшее (непрофильное) образование совместно с дополнительным профессиональным образованием в области информационной безопасности.
В связи с этим:
1) достаточно ли специалисту по ИБ, в трудовые функции которого входит обеспечение информационной безопасности (с указанной выше трудовой функцией в области защиты информации) в кредитно-финансовой сфере, иметь высшее (непрофильное) образование совместно с дополнительным сертифицированным ФСТЭК и ФСБ России профессиональным образованием в области информационной безопасности в количестве 520 (512) ч;
2) все ли работники в сфере информационной безопасности обязательно должны соответствовать квалификационным требованиям Профессионального стандарта;
3) требуется ли кредитно-финансовой организации предпринимать дополнительные действия в целях обеспечения получения работниками в сфере информационной безопасности дополнительного высшего образования в области ИБ, если у текущих работников уже имеется высшее (непрофильное) образование совместно с дополнительным сертифицированным ФСТЭК и ФСБ России профессиональным образованием в области информационной безопасности и информационных технологий?
Ответ: Департамент информационной безопасности Банка России рассмотрел обращение от 06.02.2025 по вопросу соблюдения квалификационных требований к сотрудникам информационной безопасности и сообщает следующее.
В соответствии с частью первой статьи 195.3 Трудового кодекса Российской Федерации (далее - ТК РФ) если ТК РФ, другими федеральными законами, иными нормативными правовыми актами Российской Федерации установлены требования к квалификации, необходимой работнику для выполнения определенной трудовой функции, профессиональные стандарты в части указанных требований обязательны для применения работодателями.
Согласно части второй статьи 195.3 ТК РФ характеристики квалификации, которые содержатся в профессиональных стандартах и обязательность применения которых не установлена в соответствии с частью первой данной статьи, применяются работодателями в качестве основы для определения требований к квалификации работников с учетом особенностей выполняемых работниками трудовых функций, обусловленных применяемыми технологиями и принятой организацией производства и труда.
Таким образом, в случае если федеральными законами, иными нормативными правовыми актами Российской Федерации не установлены требования к квалификации работников информационной безопасности в кредитно-финансовой сфере, профессиональный стандарт "Специалист по информационной безопасности в кредитно-финансовой сфере", утвержденный приказом Минтруда России от 28.11.2022 N 739н, носит рекомендательный характер и может быть использован для определения требований к квалификации работников.
С учетом изложенного кредитные организации вправе самостоятельно определять требования к уровню образования работников информационной безопасности, который является необходимым для осуществления ими трудовых функций, при условии отсутствия в законодательстве соответствующих требований к квалификации.
Дополнительно сообщаем, что Банком России в 2024 году и в начале 2025 года были проведены совещания в формате круглых столов по темам "Кадры по информационной безопасности в финансовой сфере: ключевые проблемы и поиск решений" и "Подготовка специалистов по информационной безопасности: исследование ожиданий работодателей". По их результатам в адрес организаций кредитно-финансовой сферы планируется направление информационных писем Банка России с рекомендациями по применению в корпоративной кадровой политике указанного профессионального стандарта.
Директор Департамента
информационной безопасности
В.А.УВАРОВ
18.02.2025
Вот это удача! Да это же отличный шанс стать первым, кто прокомментирует!
Упс, комментировать могут только зарегистрированные пользователи, пожалуйста, авторизуйтесь.