Что делать, если мобилизовали единственного ибэшника?

Ну что, снова поговорим за мобилизацию, но в контексте кибербезопасности. Я не буду писать про отсрочку для ИБ-специалистов аккредитованных компаний — про это уже написано немало и сейчас остается только ждать, насколько военкомы на местах будут придерживаться договоренностей между Минцифры и Минобороны.

Давайте посмотрим на других ИБшников, которые не работают ни в ИТ/ИБ-компаниях, ни в финсекторе (хотя по нему пока нет никаких разъяснений — кто в финансовой организации попадает под отсрочку, а кто нет). Таких, как мы понимаем, большинство. И, допустим, что никакие регуляторы больше не впишутся за ИБшников и кто-то из них вынужден будет волею пославшего их на военную операцию президента покинуть свое рабочее место. И вот тут начинается самое интересное.

Согласно одобренным вчера поправкам в Трудовой Кодекс мобилизованным гражданам гарантируют сохранение за ними рабочего места, должности, а также социально-трудовых гарантий на весь период военной службы. Но, и это главное, трудовой договор на время мобилизации приостанавливает свое действие, то есть и фактически, и формально, работник выводится за штат и на его место должен/может быть взят новый кандидат (все как у уходящих в декрет). И вот тут с точки зрения возникает ряд сложностей формального характера. Проблема не в том, что мобилизовать могут единственного ИБшника организации, а в том, что на этом ИБшнике может «висеть» лицензия ФСБ или ФСТЭК, то есть именно его указывали в лицензионных документах как человека с высшим профильным образованием, что и являлось условием получения лицензии. И теперь, внезапно его нет.

 

Какой в вашей организации средний срок закрытия вакансии?

С формальной точки зрения, например, если мы говорим о лицензии ФСБ, то согласно ПП-313 отсутствие в штате у лицензиата квалифицированного персонала, является грубым нарушением лицензионных требований. Аналогичная ситуация и с лицензированием деятельности по технической защиты конфиденциальной информации — отсутствие людей согласно ПП-79 также считается грубым нарушением, которое может повлечь за собой отзыв или приостановление лицензии.

Чуть менее проблематичным выглядит мобилизация специалистов по ИБ, исполняющих требования приказов ФСТЭК №17/21/31/31/239, которые устанавливают свои требования к персоналу. Если этого персонала нет, то пока сложно сказать, что будет делать регулятор, если он именно в этот момент придет с проверкой в организацию. Хотелось бы надеяться, что он с пониманием отнесется к ситуации.

Наконец, немного особняком стоят мобилизованные работники с доступом к гостайне. Я не знаю (и вряд ли кто-то из обычных людей знает) как формируются мобилизационные списки, но стоит задуматься о том, что делать в ситуации, когда призовут тех, кто по роду своей работы имеет доступ к сведениям, составляющим государственную тайну, а больше никого и не останется из тех, кто должен будет работать с соответствующими секретными документами.

 

Кстати, лицо, имеющее допуск к гостайне не может покидать пределы страны без согласования со своим руководством и соответствующими структурами. За нарушение этого требования предусмотрена ответственность в виде штрафа от 200 до 500 тысяч рублей или лишение свободы сроком до трех лет. А отъезд на территории ДНР и ЛНР — это выезд за пределы РФ (независимо от результатов референдумов, которые еще надо признать в России и оформить соответствующим образом, чтобы считать эти территории частью нашей страны).

 

Помните, во время пандемии COVID-19, в планах обеспечения непрерывности приходилось учитывать ситуации, когда главный бухгалтер или генеральный директор, попавший в больницу, уносил с собой флешку с ключами электронной подписи? А что вы делали, когда также попадал в больницу тот же самый руководитель ИБ или ведущий ИБшник? Да, это не мобилизация; всего лишь временная отлучка. И нам приходилось на это время искать замену вышедшему из строю специалисту (или специалистам) по ИБ. Сейчас у нас двойная задача — надо не только оперативно найти замену (тут может помочь аутсорсинг; если есть деньги на него), но и «закрыть» чисто формальные требования, что сложно. Я вижу несколько вариантов решения и этой задачи:

  • опять аутсорсинг, в рамках которого можно поручить лицензируемые виды деятельности внешней организации,
  • услуга vCISO (тот же аутсорсинг, но в отношении руководителя ИБ),
  • взятие специалистов по ИБ на часть ставки,
  • введение моратория на проверки и на выполнение отдельных требований законодательства в области ИБ, которые завязаны на мобилизованных ИБшников.

В любом случае, как мне кажется, нашим регуляторам стоило бы сейчас дать разъяснения по тому, как вести себя компаниям, чьи сотрудники ИБ уже мобилизованы или могут быть мобилизованы. В конце концов, если не удастся выбить для них отсрочку (а они все-таки находятся пусть и на виртуальной, но все-таки передовой), то хотя бы облегчить жизнь оставшимся «на гражданке».

 

Источник: «Бизнес без опасности»

5 октября, 2022

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

28.03.2024
Аитов: Ограничения Samsung Pay на использование карт «Мир» можно обойти
28.03.2024
Киберпреступления — 35% всех преступлений в России
28.03.2024
Почему путешествовать «налегке» не всегда хорошо
28.03.2024
«Тинькофф»: Несколько платёжных систем лучше, чем одна
28.03.2024
В РФ готовят базу для «усиленной блокировки» незаконного контента
27.03.2024
Samsung Pay перестанет дружить с «мировыми» картами
27.03.2024
Канадский университет восстанавливает работу после ИБ-инцидента
27.03.2024
Crypto Summit 2024. Трейдинг, майнинг и перспективы развития рынка ЦФА
27.03.2024
РКН начал работу по контролю за «симками» иностранцев
26.03.2024
Регулятор порекомендовал банкам и МФО списать долги погибших в теракте

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных