Проектом приказа минцифры, опубликованным в пятницу для общественного обсуждения, предлагается дополнить перечень индикаторов риска, используемых для организаций, получивших аккредитацию минцифры для взаимодействия с ЕБС, дополнительным критерием. Срабатывание одного из таких индикаторов является основанием для проведения внеплановой проверки.
Новым индикатором является поступление в минцифры заявления об аккредитации организации, содержащего информацию о работниках, осуществляющих деятельность по аутентификации на основе биометрических данных, которые заявлены как работники, осуществляющие такую деятельность в уже аккредитованной организации. При этом вопросы у регулятора возникнут к компании, в которой специалисты работали ранее.
"Когда организация подает заявку на аккредитацию, она указывает в ней сотрудников, которые занимаются вопросами информационной безопасности. Если ранее эти же люди уже были заявлены от другой организации, это послужит поводом для ее дополнительной проверки на предмет наличия таких специалистов. Если в результате проверки выяснится, что сотрудников по информационной безопасности в организации нет, аккредитация будет приостановлена. В случае неустранения нарушения аккредитация может быть прекращена", - прокомментировали опубликованный документ в Минцифры России.
"Предложенные изменения позволят гарантировать наличие в штате оператора КБС действующих специалистов по информационной безопасности, будут способствовать еще более строгому соблюдению требований, предъявляемых к аккредитованным биометрическим системам", - добавили в Центре биометрических технологий.
Сегодня для организаций, работающих с биометрией, есть три индикатора: выявление пяти случаев технического сбоя в работе аппаратных шифровальных средств в течение 14 календарных дней со дня фиксации первого такого сбоя; возникновение более десяти случаев ложного совпадения предоставленных биометрических данных с соответствующими векторами ЕБС в течение 14 календарных дней со дня фиксации первого случая; возникновение более десяти ошибок при обнаружении атак на биометрическое предъявление в процессе прохождения аутентификации в течение 14 календарных дней со дня фиксации первой из указанных ошибок.
Использование системы индикаторов среди прочего призвано создать комфортные условия для развития деловой среды, сообщили в аппарате вице-премьера - руководителя аппарата правительства Дмитрия Григоренко. "Реформа контрольно-надзорной деятельности является одним из ключевых направлений этой работы. В основе нового регулирования сферы контроля и надзора лежит применение риск-ориентированного подхода. Это значит, что проверки проводятся на основании индикаторов риска, если возникает риск нарушения законодательства, что позволяет сконцентрировать деятельность надзорных органов на точечных проверках. Таким образом, была создана система, при которой бизнесу выгоднее работать честно, соблюдая правила", - отметили там.
В аппарате Григоренко добавили, что сейчас в различных сферах реализовано свыше 400 индикаторов риска. Контрольно-надзорные органы разрабатывали их на протяжении последних двух лет. Их применение уже привело к существенному снижению необоснованной нагрузки на бизнес. "В частности, эффективность проверок по индикаторам риска составляет около 80%. Для сравнения - средняя эффективность проверок по другим основаниям - порядка 50%. В рамках реформы контроля и надзора запланировано дальнейшее совершенствование индикаторов риска и их детальная настройка", - пояснили в аппарате.
Там добавили, что с 2025 года по поручению президента планируется законодательно закрепить проведение проверок исключительно на основании риск-ориентированного подхода.
Позитивно оценил предлагаемое нововведение Александр Хачиян, основатель ИТ-интегратора AWG и маркетплейса аутстаффинга SkillStaff. По его опыту крайне редко внешние сотрудники привлекаются для решения задач, связанных с информационной безопасностью. "Бизнес, как правило, почти всегда нанимает специалистов по кибербезопасности сразу в штат. У таких сотрудников есть больше доступа к коммерческой тайне, персональным данным и ответственности за безопасность компании в целом. Мы практически не сталкивались с запросами на кибербезопасников по модели аутстаффинга", - сообщил он "РГ".