Что делать, если мобилизовали единственного ИБшника?

Разное

Ну что, снова поговорим за мобилизацию, но в контексте кибербезопасности. Я не буду писать про отсрочку для ИБ-специалистов аккредитованных компаний — про это уже написано немало и сейчас остается только ждать, насколько военкомы на местах будут придерживаться договоренностей между Минцифры и Минобороны. Давайте посмотрим на других ИБшников, которые не работают ни в ИТ/ИБ-компаниях, ни в финсекторе (хотя по нему пока нет никаких разъяснений — кто в финансовой организации попадает под отсрочку, а кто нет). Таких, как мы понимаем, большинство. И, допустим, что никакие регуляторы больше не впишутся за ИБшников и кто-то из них вынужден будет волею пославшего их на военную операцию президента покинуть свое рабочее место. И вот тут начинается самое интересное.

Согласно одобренным вчера поправкам в Трудовой Кодекс мобилизованным гражданам гарантируют сохранение за ними рабочего места, должности, а также социально-трудовых гарантий на весь период военной службы. Но, и это главное, трудовой договор на время мобилизации приостанавливает свое действие, то есть и фактически, и формально, работник выводится за штат и на его место должен/может быть взят новый кандидат (все как у уходящих в декрет). И вот тут с точки зрения возникает ряд сложностей формального характера. Проблема не в том, что мобилизовать могут единственного ИБшника организации, а в том, что на этом ИБшнике может «висеть» лицензия ФСБ или ФСТЭК, то есть именно его указывали в лицензионных документах как человека с высшим профильным образованием, что и являлось условием получения лицензии. И теперь, внезапно его нет.

Какой в вашей организации средний срок закрытия вакансии?

С формальной точки зрения, например, если мы говорим о лицензии ФСБ, то согласно ПП-313 отсутствие в штате у лицензиата квалифицированного персонала, является грубым нарушением лицензионных требований. Аналогичная ситуация и с лицензированием деятельности по технической защиты конфиденциальной информации — отсутствие людей согласно ПП-79 также считается грубым нарушением, которое может повлечь за собой отзыв или приостановление лицензии.

Чуть менее проблематичным выглядит мобилизация специалистов по ИБ, исполняющих требования приказов ФСТЭК №17/21/31/31/239, которые устанавливают свои требования к персоналу. Если этого персонала нет, то пока сложно сказать, что будет делать регулятор, если он именно в этот момент придет с проверкой в организацию. Хотелось бы надеяться, что он с пониманием отнесется к ситуации.

Наконец, немного особняком стоят мобилизованные работники с доступом к гостайне. Я не знаю (и вряд ли кто-то из обычных людей знает) как формируются мобилизационные списки, но стоит задуматься о том, что делать в ситуации, когда призовут тех, кто по роду своей работы имеет доступ к сведениям, составляющим государственную тайну, а больше никого и не останется из тех, кто должен будет работать с соответствующими секретными документами.

Кстати, лицо, имеющее допуск к гостайне не может покидать пределы страны без согласования со своим руководством и соответствующими структурами. За нарушение этого требования предусмотрена ответственность в виде штрафа от 200 до 500 тысяч рублей или лишение свободы сроком до трех лет. А отъезд на территории ДНР и ЛНР — это выезд за пределы РФ (независимо от результатов референдумов, которые еще надо признать в России и оформить соответствующим образом, чтобы считать эти территории частью нашей страны).

Помните, во время пандемии COVID-19, в планах обеспечения непрерывности приходилось учитывать ситуации, когда главный бухгалтер или генеральный директор, попавший в больницу, уносил с собой флешку с ключами электронной подписи? А что вы делали, когда также попадал в больницу тот же самый руководитель ИБ или ведущий ИБшник? Да, это не мобилизация; всего лишь временная отлучка. И нам приходилось на это время искать замену вышедшему из строю специалисту (или специалистам) по ИБ. Сейчас у нас двойная задача — надо не только оперативно найти замену (тут может помочь аутсорсинг; если есть деньги на него), но и «закрыть» чисто формальные требования, что сложно. Я вижу несколько вариантов решения и этой задачи:

  • опять аутсорсинг, в рамках которого можно поручить лицензируемые виды деятельности внешней организации,
  • услуга vCISO (тот же аутсорсинг, но в отношении руководителя ИБ),
  • взятие специалистов по ИБ на часть ставки,
  • введение моратория на проверки и на выполнение отдельных требований законодательства в области ИБ, которые завязаны на мобилизованных ИБшников.

В любом случае, как мне кажется, нашим регуляторам стоило бы сейчас дать разъяснения по тому, как вести себя компаниям, чьи сотрудники ИБ уже мобилизованы или могут быть мобилизованы. В конце концов, если не удастся выбить для них отсрочку (а они все-таки находятся пусть и на виртуальной, но все-таки передовой), то хотя бы облегчить жизнь оставшимся «на гражданке».

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. Nikita

    Почему все забывают, что не только для аккредитованных ИТ компаний, но и для операторов связи и системообразующих СМИ тоже отсрочку минцифры согласовало

    Ответить
    1. Алексей Лукацкий автор

      Мы не забываем, просто в контексте ИБ эти две сферы чуть менее интересны

      Ответить
  2. Дарья

    Добрый день. Вчера от профильного министерства ИТ региона направили в Минцифру РФ письмо с просьбой инициировать вопрос освобождения от мобилизации специалистов в области ИБ, на плечах которых лежит сопровождение, администрирование и техническая защита ГИСов и ресурсов органов государственной власти. Ждем, надеемся, верим. Даже дико как-то, что никто про ИБ в ГИСах не подумал на федеральном уровне. Дело ведь не в том, что мы без сотрудника останемся, а в функционале, который окажется никем не закрытым (установка критических обновлений безопасности, мониторинг событий безопасности и реагирование на них, блокирование DDoS атак, сканирование программного обеспечения на наличие уязвимостей, контроль удаленного доступа и прочее). А ведь посредством ГИСов население получает государственные и муниципальные услуги. Слив баз данных, которые в таких ГИСах обрабатываются последствия будут иметь колоссальные.
    В общем, надеемся, что на федеральном уровне под патронаж возьмут не только частников, но и обычных, штатных безопасников, выполняющих критически важные для органа или организации функции.
    Вообще мне очень интересно на каком этапе ИБ перестала быть неотъемлемой составляющей национальной безопасности, вроде как Доктрину нац.безопасности никто не переписывал.

    Ответить
    1. Алексей Лукацкий автор

      Ну про многих никто не подумал, а если подумал, то побоялся противоречить Главнокомандующему и министру обороны. Очень сильно у нас непротивление вышестоящим начальникам 🙁 Хотелось бы верить, что ИБшникам на местах дадут отсрочку. Но там встанет вопрос и об айтишниках же

      Ответить
  3. Сергей

    ИМХО, проблема несколько надумана. В части организаций с лицензией и с гостайной. Те, кто имеют лицензии по ИБ зачастую аккредитованы как ИТ компании. Те, кто работает с гостайной, как правило, работают в таких учреждениях, где действует т.н. бронь (военно-учетные столы, планы мобилизации и все такое). Да и не для всей гостайны выезд за границу без согласования — нарушение. Это 1 и 2 (а им вообще можно?). Для третьей действует уведомительный характер.
    Вот призыв единственного безопасника в среднестатистической организации это да, проблема.

    Ответить
    1. Алексей Лукацкий автор

      Так для разных людей и компаний то, что я пишу, может быть проблемой или не проблемой 🙂 Но заметка не про ИБ-компании — с ними как раз чуть проще. Они действительно могут быть аккредитованы (хотя и не все это делали). Проблема в компаниях, которые имеют лицензии ФСБ на деятельность в области шифрования (таких немало), но которые не относятся к сектору ИТ/ИБ/Телеком. Также и с гостайной — часто она есть там, где никакой брони нет (не будем вдаваться в детали).

      Ответить
      1. Сергей

        Я это к тому, что с учетом остальных критериев мобилизации (количество, распределенность по регионам, возрастные и прочие критерии к мобилизованным) шансов организации так встрять — ноль целых фиг десятых. Компании, которые имеют лицензию ФСБ на криптографию, но не относятся к ИТ, как и гостайну в организациях, где нет военно-учетного стола и брони — не могу себе представить. Честно. Много таких? Примеры может возможно привести?

        Ответить
        1. Алексей Лукацкий автор

          Да финсектор в полный рост — имеет лицензию ФСБ, но не ИТ 😉 Многие ИБ компании работают с гостайной, но не имеет военно-учетного стола и брони

          Ответить
  4. Аля

    О!!!
    Это значит в штат нужно брать женщин ИБ-шников)))) максимум что может быть — это декрет. и то сейчас можно и не уходит никуда)

    Ответить
    1. Алексей Лукацкий автор

      Ну на фоне задачи улучшения демографии это тоже все непросто 🙂 Но так-то да

      Ответить
      1. пофиг

        тут пацаны то не хотят и не могут, а уж женский пол…было пару, так больше бумажек дальше не хотят и не могут и даж бумажки объясняешьньюансы говорят-сложно… ну вот как с сегодняшней темой))))))

        Ответить
        1. Алексей Лукацкий автор

          Увы

          Ответить
  5. Павел

    Про гостайну интересная мысль! В войсках, кстати, той гостайны полно, и (почти) весь офицерский состав допуски имеет. Но как-то вот ходят в атаку, не знаю, может, им разрешение дают 🙂

    Ответить
    1. Алексей Лукацкий автор

      Наверняка 🙂

      Ответить