Что делать, если мобилизовали единственного ибэшника?

Ну что, снова поговорим за мобилизацию, но в контексте кибербезопасности. Я не буду писать про отсрочку для ИБ-специалистов аккредитованных компаний — про это уже написано немало и сейчас остается только ждать, насколько военкомы на местах будут придерживаться договоренностей между Минцифры и Минобороны.

Давайте посмотрим на других ИБшников, которые не работают ни в ИТ/ИБ-компаниях, ни в финсекторе (хотя по нему пока нет никаких разъяснений — кто в финансовой организации попадает под отсрочку, а кто нет). Таких, как мы понимаем, большинство. И, допустим, что никакие регуляторы больше не впишутся за ИБшников и кто-то из них вынужден будет волею пославшего их на военную операцию президента покинуть свое рабочее место. И вот тут начинается самое интересное.

Согласно одобренным вчера поправкам в Трудовой Кодекс мобилизованным гражданам гарантируют сохранение за ними рабочего места, должности, а также социально-трудовых гарантий на весь период военной службы. Но, и это главное, трудовой договор на время мобилизации приостанавливает свое действие, то есть и фактически, и формально, работник выводится за штат и на его место должен/может быть взят новый кандидат (все как у уходящих в декрет). И вот тут с точки зрения возникает ряд сложностей формального характера. Проблема не в том, что мобилизовать могут единственного ИБшника организации, а в том, что на этом ИБшнике может «висеть» лицензия ФСБ или ФСТЭК, то есть именно его указывали в лицензионных документах как человека с высшим профильным образованием, что и являлось условием получения лицензии. И теперь, внезапно его нет.

 

Какой в вашей организации средний срок закрытия вакансии?

С формальной точки зрения, например, если мы говорим о лицензии ФСБ, то согласно ПП-313 отсутствие в штате у лицензиата квалифицированного персонала, является грубым нарушением лицензионных требований. Аналогичная ситуация и с лицензированием деятельности по технической защиты конфиденциальной информации — отсутствие людей согласно ПП-79 также считается грубым нарушением, которое может повлечь за собой отзыв или приостановление лицензии.

Чуть менее проблематичным выглядит мобилизация специалистов по ИБ, исполняющих требования приказов ФСТЭК №17/21/31/31/239, которые устанавливают свои требования к персоналу. Если этого персонала нет, то пока сложно сказать, что будет делать регулятор, если он именно в этот момент придет с проверкой в организацию. Хотелось бы надеяться, что он с пониманием отнесется к ситуации.

Наконец, немного особняком стоят мобилизованные работники с доступом к гостайне. Я не знаю (и вряд ли кто-то из обычных людей знает) как формируются мобилизационные списки, но стоит задуматься о том, что делать в ситуации, когда призовут тех, кто по роду своей работы имеет доступ к сведениям, составляющим государственную тайну, а больше никого и не останется из тех, кто должен будет работать с соответствующими секретными документами.

 

Кстати, лицо, имеющее допуск к гостайне не может покидать пределы страны без согласования со своим руководством и соответствующими структурами. За нарушение этого требования предусмотрена ответственность в виде штрафа от 200 до 500 тысяч рублей или лишение свободы сроком до трех лет. А отъезд на территории ДНР и ЛНР — это выезд за пределы РФ (независимо от результатов референдумов, которые еще надо признать в России и оформить соответствующим образом, чтобы считать эти территории частью нашей страны).

 

Помните, во время пандемии COVID-19, в планах обеспечения непрерывности приходилось учитывать ситуации, когда главный бухгалтер или генеральный директор, попавший в больницу, уносил с собой флешку с ключами электронной подписи? А что вы делали, когда также попадал в больницу тот же самый руководитель ИБ или ведущий ИБшник? Да, это не мобилизация; всего лишь временная отлучка. И нам приходилось на это время искать замену вышедшему из строю специалисту (или специалистам) по ИБ. Сейчас у нас двойная задача — надо не только оперативно найти замену (тут может помочь аутсорсинг; если есть деньги на него), но и «закрыть» чисто формальные требования, что сложно. Я вижу несколько вариантов решения и этой задачи:

  • опять аутсорсинг, в рамках которого можно поручить лицензируемые виды деятельности внешней организации,
  • услуга vCISO (тот же аутсорсинг, но в отношении руководителя ИБ),
  • взятие специалистов по ИБ на часть ставки,
  • введение моратория на проверки и на выполнение отдельных требований законодательства в области ИБ, которые завязаны на мобилизованных ИБшников.

В любом случае, как мне кажется, нашим регуляторам стоило бы сейчас дать разъяснения по тому, как вести себя компаниям, чьи сотрудники ИБ уже мобилизованы или могут быть мобилизованы. В конце концов, если не удастся выбить для них отсрочку (а они все-таки находятся пусть и на виртуальной, но все-таки передовой), то хотя бы облегчить жизнь оставшимся «на гражданке».

 

Источник: «Бизнес без опасности»

5 октября, 2022

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

28.03.2024
Аитов: Ограничения Samsung Pay на использование карт «Мир» можно обойти
28.03.2024
Киберпреступления — 35% всех преступлений в России
27.03.2024
Samsung Pay перестанет дружить с «мировыми» картами
27.03.2024
Канадский университет восстанавливает работу после ИБ-инцидента
27.03.2024
Crypto Summit 2024. Трейдинг, майнинг и перспективы развития рынка ЦФА
27.03.2024
РКН начал работу по контролю за «симками» иностранцев
26.03.2024
Регулятор порекомендовал банкам и МФО списать долги погибших в теракте
26.03.2024
Хакеры не оставляют Канаду в покое
26.03.2024
Binance снова ищет покупателя на свои российские активы
26.03.2024
Безумцы или сознательные соучастники. Кто потворствует кредитным мошенникам

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных