суббота, 28 сентября 2019 г.

"Саммит субъектов КИИ-1. Практикум."


   26 сентября на ВДНХ прошел саммит субъектов КИИ. Задумка была неплохая, но реализация подкачала. Самым полезным оказался не "мозговой штурм субъектов КИИ" конкретных проблем при реализации 187-ФЗ, а выступление А.Кубарева из ФСТЭК России. Который в обсуждении не участвовал, но в итоговой части прокомментировал часть обсуждаемых вопросов.

     Со своей стороны попытался привлечь внимание к важности "активации и мотивации" работников на местах, задействованных в реализации 187-ФЗ.
     Остальные участники с актуальностью поставленного вопроса согласились, а дальше просто тупик.
      Слушаешь ответственных представителей субъектов КИИ и диву даешься. Никто не хочет работать с людьми. Постоянно "мы всех заинструктируем", "напугаем уголовкой по 274.1". Спрашиваешь " а с мотивацией то как"? А никак, банальные слова про повышение зарплаты и возможности карьерного роста. А вот не будет этого ничего в жизни!
        Единицам удастся выбить увеличение ФОТ на  компенсирующие выплаты сотрудникам, задействованным в эксплуатации и/или поддержании функционирования ОКИИ. Про карьерный рост вообще не серьезно, для этого просто оснований нет.
         Итог, все субъекты КИИ признали, что встречают противодействие в производственных подразделениях, и не только  скрытое. Но никто из ибешников даже не задумался о возможностях повышения лояльности работников, действуют по старинке - ломают через колено, с помощью высшего руководства организации. Это тупик, никакой безопасности ОКИИ мы не добьемся, если производственники будут запуганы.
          Основная проблема - производственники не чувствуют поддержки. Им навязывают дополнительные обязанности, усложняют работу через внедрение дополнительных инструкций и регламентов безопасности, вводят тотальный контроль, отвлекают на совещание по КИИ. А с уголовной ответственностью и с возможной административной они остаются один один. Обреченные и проклятые.
           Считаю, что реальными мерами повышения лояльности работника будут мероприятия, направленные на устранение чувства отверженности. Необходимо дать понять работнику, что работодатель готов помочь в кризисной ситуации и риски по КИИ общие.
             Предлагаю:
1.В допсоглашение к трудовым договорам прописать не только ответственность работника за инциденты на ОКИИ, но и обязанность работодателя о предоставлении работнику юридического сопровождения в случаях инцидентов на ОКИИ. Минимум - корпоративного юриста, а в случаях возбуждения уголовного дела - оплата адвоката.
2. В должностную инструкцию директора по безопасности ввести обязанность по сопровождению всех мероприятий в ходе расследования инцидентов на ОКИИ (речь не только о компьютерных инцидентах).  Цель - защитить работника от попыток давления на него.
3. При наличии профсоюза и коллективного договора в субъекте КИИ, внести поправки по защите прав работника при возникновении инцидентов на ОКИИ.
4. Все инструкции и регламенты по безопасности КИИ внедрять с обязательным тестовым (пилотным) этапом. Необходимо убедится в реализуемости всех требований и в достаточной обеспеченности работника при их выполнении.
5. Провести с работниками занятия, разъясняющие особенности уголовного следствия и необходимую последовательность действий работника, попавшего под него.
         
         P. S. Телеграм-группа для обсуждения заметки https://t.me/joinchat/C4fmQ

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

       

       

24 комментария:

  1. Предложения может быть и здравые, но на примере гостайны видно, как может выразиться такая мотивация. Введут, в лучшем случае, надбавку за работу в субъекте КИИ или за работу с объектами КИИ, сделают процентную градацию, разумеется, от оклада, чтобы надбавка не была супер большой, которая будет зависеть от того значимый объект или нет. А ещё, чтобы уж совсем жизнь мёдом не казалось, сделают так, что надбавка эта будет платиться за время эксплуатации объекта, ведь у нас же уголовная ответственность за нарушение правил эксплуатации, а значит, если работник на больничном или в отпуске, то и платить ему не надо.

    ОтветитьУдалить
  2. Проблема том, что в гостайне эти меры принудительно установлены государством. И при этом довольно часто нарушаются в организации. А в КИИ это все на усмотрение руководителя субъекта КИИ.Это будут очень редкие случаи.

    ОтветитьУдалить
  3. И должен быть внутренний инициатор и "проталкиватель" мероприятий по повышению лояльности работников.
    В этом цель заметки.

    ОтветитьУдалить
  4. Большинство мер, предложенных в заметке, не требуют финансовых затрат. Все реализуется штатным правовым управлением или юристом. С адвокатом сложнее случай, но он не потребует текущих расходов, только при необходимости.

    ОтветитьУдалить
  5. В том и проблема, что, лично я, не уверен, что руководитель субъекта самостоятельно имеет какую-либо заинтересованность, чтобы мотивировать и безопасников, и эксплуатирующий персонал. Да и юристы организации, как показывает практика, отстраивают интересы не работников, но защищают организацию от недовольных, так сказать, работников (конечно, не всегда так, но встречал и такое).

    ОтветитьУдалить
  6. Да, так и есть. Здесь важна работа директора по безопасности. Директора по ИБ такого не потянут.

    ОтветитьУдалить
  7. Значит надо идти традиционным путем, пытаться через регулятора обязать субъект КИИ мотивировать работников, задействованных в эксплуатации ОКИИ.
    А пока повышать сознательность ответственных лиц на местах.

    ОтветитьУдалить
  8. Предложения правильные, на в наших условиях утопичные. Любые нововведения у нас сводятся к заинструктированиям и запугиваниям. Будет как в медицине или в образовании, где врачей/учителей замордовали горой инструкций и реальной возможностью попасть под уголовную ответственность по любому поводу.
    Ни увеличения штата, ни повышения зарплат не будет: будет борьба за полномочия между замами и увеличение нагрузки на эксплуатационщиков.
    В отраслях с АСУ уже и так тьма нормативки по технической/антитеррористической/пожарной/транспортной и прочим видам "безопасности". Теперь будет еще одна.

    ОтветитьУдалить
  9. Смириться или пытаться изменить ситуацию?
    Есть конкретная задача - мотивация работника.
    Какие есть предложения по решению задачи?

    ОтветитьУдалить
  10. По-моему, самый прямой путь это четко поставить работнику задачу (объяснить, какой результат требуется получить) и далее не мешать. Если есть возможность, еще и оплатить эту работу.
    Но вот с "не мешать" у нас в любой сфере бо-о-льшие проблемы.

    ОтветитьУдалить
  11. То есть, пункт 4 из моих предложений?

    ОтветитьУдалить
  12. И п.4, и другие.
    Я же сказал, что предложения хорошие, но... С трудом представляю себе предприятие, на котором эти пункты удастся выполнить.
    У нас задача чаще ставится так "Сделай то, не знаю что, чтобы завтра было сделано!" Отсюда и результат.

    ОтветитьУдалить
  13. С другой стороны, если безопасник или его руководитель великий энтузиаст, то хоть что-то возмлжно протащить в своей организации. Но, к сожалению, мотивировать надо как-то выше, так как мотивация нужна и безопаснику.

    ОтветитьУдалить
  14. Странно говорить про мотивацию безопасника по выполнению норм безопасности. Он профессию выбрал добровольно. А вот эксплуатирующий персонал под требования ИБ и безопасности КИИ не подписывался.

    ОтветитьУдалить
    Ответы
    1. Я говорю о мотивации безопасника делать что-то, что не предусмотрено каким-либо НПА или методическим документом.

      Удалить
  15. Хорошим мотивом для руководителя к оказанию помощи своему сотруднику может оказаться ст.293 УК России "Халатность".

    Более того, недавно анализировали возможную работу ТОБ по КИ без КИИ, с признанием КИИ через суд. Получается, что ст.293 УК России может быть применима к членам комиссии.

    ОтветитьУдалить
  16. Необходимо доказать причино-следственную связь между наступлением вреда и бездействие должностного лица. А тем более члена комиссии. Сильные сомнения в перспективности таких дел.

    ОтветитьУдалить
  17. Почему постоянно все через запугивание хотят? Работника мотивируем через угрозу 274.1, руководителя через халатность.Только страх и никаких разумных аргументов?

    ОтветитьУдалить
  18. Причин-следственная часть доказывается по уд, это да. Логика следователя понятна. Кии уже установлено судом. Значит не были приняты должны меры по защите ИС. И вот нарисовываются вынужденные визиты к следователи.

    Про страх. Логика запрета с наказанием признак слабости управления. Здесь нужен регулирование. ФСТЭК, захлебнувшись от первой волны документов от субъектов, считает, что она слабая. Итог: поправки в коап и озабоченный тоб, тк надо работать на территории, а инструмент только в УК и натянутая ч.6 ст.13.12 Коап. То есть все хотят жестить.

    ОтветитьУдалить
  19. Нет, логика не правильная. Регуляторы ещё хлебнут проблем из-за введения в законодательство не значимых ОКИИ. Отнесением к ОКИИ недостаточно, для не значимых ОКИИ нет обязанности субъекта КИИ его защищать. Только для ЗОКИИ.

    ОтветитьУдалить
  20. Это не ГИС или Испдн, вот там можно упрощенную связь обосновать. И то тяжело.

    ОтветитьУдалить
  21. Здесь, как мне кажется, ФСТЭК указывает на эту обязанность:
    https://yadi.sk/d/33O9AnWQ47yejw
    Либо требуется обоснование "почему не принимаем меры", а это раздел точно "понравится" следователя.

    ОтветитьУдалить
  22. Там просто разъяснение требований ПП127. Область действия ПП127 задана в 187-ФЗ. И не более.

    ОтветитьУдалить
  23. Следователю понравится исключительно ответ организации. Вот он в дело войдет.

    ОтветитьУдалить