Эксперт Алексей Раевский рассуждает о том, что контроль за организациями, использующими биометрию, ужесточат:
В основном предложения по усилению контроля сводятся к тому, чтобы проверить, действительно ли у организации есть нужные специалисты. Дело в том, что в требованиях, которые нужно выполнить для аттестации таких организаций, обычно есть пункт о наличии в ней специалистов по информационной безопасности с определенным уровнем подготовки, то есть организация должна либо искать такие кадры, либо отправлять собственных сотрудников на переподготовку, что занимает не так уж мало времени.
Поэтому некоторые организации, как я уже слышал не раз, прибегают для прохождения аттестации к такому методу: принимают на работу людей на время – грубо говоря, на период проверок для получения лицензии или аттестации, а потом увольняют. Может быть, сразу договариваются, что это будет работа на 3 месяца, например. В результате формально аттестацию они проходят, но фактически требования, обязательные для их работы, не выполняются. И насколько при этом страдает безопасность данных, остается только догадываться.
Есть ли какая-то специфика сферы деятельности, которая не позволяет человеку не одновременно работать в двух таких организациях на должностях из сферы обеспечения кибербезопасности? Формально нет, но обычно компании в требованиях прописывают, что им нужен специалист на полную рабочую ставку. Все же это работа, которая не предусматривает совмещения – на него просто нет времени. Поэтому если проверка обнаружит, что один и тот же специалист трудоустроен в нескольких таких компаниях, можно не сомневаться, что работает он в одной, а в прочих только числится.
В связи с этим, кстати, не исключено, что в случае разрешения совмещений мы увидим подобие махинаций с пропиской, когда в однокомнатной двадцатиметровой квартире прописано 50 человек. А в сфере информационной безопасности введение в заблуждение чрезвычайно рискованно.
Действительно ли для нас уже необходимо ужесточение контроля в этом вопросе? Тут, я думаю, виднее регулятору. Но тот факт, что такая практика существует, известен. И еще более широко известна проблема в получении аккредитаций и разрешении из-за того, что в штате компании нет специалистов с соответствующим дипломом.