Что делать, если мобилизовали единственного ИБшника?

Что делать, если мобилизовали единственного ИБшника?

Ну что, снова поговорим за мобилизацию, но в контексте кибербезопасности. Я не буду писать про отсрочку для ИБ-специалистов аккредитованных компаний — про это уже написано немало и сейчас остается только ждать, насколько военкомы на местах будут придерживаться договоренностей между Минцифры и Минобороны. Давайте посмотрим на других ИБшников, которые не работают ни в ИТ/ИБ-компаниях, ни в финсекторе (хотя по нему пока нет никаких разъяснений — кто в финансовой организации попадает под отсрочку, а кто нет). Таких, как мы понимаем, большинство. И, допустим, что никакие регуляторы больше не впишутся за ИБшников и кто-то из них вынужден будет волею пославшего их на военную операцию президента покинуть свое рабочее место. И вот тут начинается самое интересное.

Согласно одобренным вчера поправкам в Трудовой Кодекс мобилизованным гражданам гарантируют сохранение за ними рабочего места, должности, а также социально-трудовых гарантий на весь период военной службы. Но, и это главное, трудовой договор на время мобилизации приостанавливает свое действие, то есть и фактически, и формально, работник выводится за штат и на его место должен/может быть взят новый кандидат (все как у уходящих в декрет). И вот тут с точки зрения возникает ряд сложностей формального характера. Проблема не в том, что мобилизовать могут единственного ИБшника организации, а в том, что на этом ИБшнике может «висеть» лицензия ФСБ или ФСТЭК, то есть именно его указывали в лицензионных документах как человека с высшим профильным образованием, что и являлось условием получения лицензии. И теперь, внезапно его нет.

Какой в вашей организации средний срок закрытия вакансии?

С формальной точки зрения, например, если мы говорим о лицензии ФСБ, то согласно ПП-313 отсутствие в штате у лицензиата квалифицированного персонала, является грубым нарушением лицензионных требований. Аналогичная ситуация и с лицензированием деятельности по технической защиты конфиденциальной информации — отсутствие людей согласно ПП-79 также считается грубым нарушением, которое может повлечь за собой отзыв или приостановление лицензии.

Чуть менее проблематичным выглядит мобилизация специалистов по ИБ, исполняющих требования приказов ФСТЭК №17/21/31/31/239, которые устанавливают свои требования к персоналу. Если этого персонала нет, то пока сложно сказать, что будет делать регулятор, если он именно в этот момент придет с проверкой в организацию. Хотелось бы надеяться, что он с пониманием отнесется к ситуации.

Наконец, немного особняком стоят мобилизованные работники с доступом к гостайне. Я не знаю (и вряд ли кто-то из обычных людей знает) как формируются мобилизационные списки, но стоит задуматься о том, что делать в ситуации, когда призовут тех, кто по роду своей работы имеет доступ к сведениям, составляющим государственную тайну, а больше никого и не останется из тех, кто должен будет работать с соответствующими секретными документами.

Кстати, лицо, имеющее допуск к гостайне не может покидать пределы страны без согласования со своим руководством и соответствующими структурами. За нарушение этого требования предусмотрена ответственность в виде штрафа от 200 до 500 тысяч рублей или лишение свободы сроком до трех лет. А отъезд на территории ДНР и ЛНР — это выезд за пределы РФ (независимо от результатов референдумов, которые еще надо признать в России и оформить соответствующим образом, чтобы считать эти территории частью нашей страны).

Помните, во время пандемии COVID-19, в планах обеспечения непрерывности приходилось учитывать ситуации, когда главный бухгалтер или генеральный директор, попавший в больницу, уносил с собой флешку с ключами электронной подписи? А что вы делали, когда также попадал в больницу тот же самый руководитель ИБ или ведущий ИБшник? Да, это не мобилизация; всего лишь временная отлучка. И нам приходилось на это время искать замену вышедшему из строю специалисту (или специалистам) по ИБ. Сейчас у нас двойная задача — надо не только оперативно найти замену (тут может помочь аутсорсинг; если есть деньги на него), но и «закрыть» чисто формальные требования, что сложно. Я вижу несколько вариантов решения и этой задачи:

  • опять аутсорсинг, в рамках которого можно поручить лицензируемые виды деятельности внешней организации,
  • услуга vCISO (тот же аутсорсинг, но в отношении руководителя ИБ),
  • взятие специалистов по ИБ на часть ставки,
  • введение моратория на проверки и на выполнение отдельных требований законодательства в области ИБ, которые завязаны на мобилизованных ИБшников.

В любом случае, как мне кажется, нашим регуляторам стоило бы сейчас дать разъяснения по тому, как вести себя компаниям, чьи сотрудники ИБ уже мобилизованы или могут быть мобилизованы. В конце концов, если не удастся выбить для них отсрочку (а они все-таки находятся пусть и на виртуальной, но все-таки передовой), то хотя бы облегчить жизнь оставшимся «на гражданке».

CISO аутсорсинг лицензирование проблемы ИБ-компаний
Alt text

Мир сходит с ума и грянет киберапокалипсис. Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!