Бумажная vs реальная – какую безопасность выбрать бизнесу

На фоне растущей активности киберпреступников на первый план выходит обеспечение информационной безопасности компании. В условиях ограниченности ресурса бизнес вынужден решать, какой путь обеспечения кибербезопасности более эффективный, и чему уделить внимание в первую очередь — «бумажной» или «практической» ИБ.

Специалистам по ИБ хорошо знаком неофициальный термин «бумажная» безопасность. Под «бумажной» безопасностью подразумевают те меры, которые необходимо реализовать во избежание штрафов, предписаний и иных санкций со стороны контролирующих органов — ФСТЭК, ФСБ, Роскомнадзора.

Регуляторы не могут проверять практическую защищенность в режиме реального времени, поэтому они оценивают соответствие компании требованиям по наличию регламентов, планов и разнообразных политик — проверяют документальную составляющую ИБ.

Под практической безопасностью обычно понимают реальные инструменты противодействия киберинцидентам – например, технические средства защиты информации, тестирования на проникновение.

«Бумажная» безопасность часто воспринимается как набор документов, необходимых для того, чтобы показать при очередной проверке. Формальный подход к «бумажной» безопасности неэффективен, так как документация, не адаптированная под нужды конкретной организации, не встраивается в процессы обеспечения ИБ.

Вектор развития ИБ для бизнеса: бумажный или реальный

Мы прослеживаем тенденцию отказа бизнеса от формального подхода к «бумажной» безопасности. Причина этому кроется в общем росте осознанности — все больше компаний оценивают наличие эффективной системы информационной безопасности как критичный фактор для устойчивости бизнеса.

«Бумажная» безопасность формирует структурированный подход и организует свою систему безопасности таким образом, чтобы она эффективно работала как в штатном режиме, так и при возникновении инцидентов. Такое возможно, если документация действительно разрабатывается с учетом потребностей конкретной компании. Формальный подход со стандартными «обезличенными» политиками и планами не станет эффективным фундаментом в развитии корпоративной ИБ.

Здесь важно понимать: качественно проработав только «бумажную» сторону ИБ, компания не может считать себя защищенной. Без практического применения даже безупречная документация будет бесполезной. Ни один регламент не поможет справиться с DDoS-атакой, если не будет подкреплен современными техническими средствами, опытом и квалификацией специалистов.

В защиту бумаги: можно ли игнорировать бумажную кибербезопасность 

«Бумажная» безопасность бесполезна без проработанной и эффективной безопасности практической, однако это правило работает и в обратную сторону. Если сосредоточиться только на практической ИБ, можно заметить, что уровень защищенности компании оставляет желать лучшего.

Отсутствие регламентирующих документов, планов мероприятий и тренировок, проработанной стратегии в сфере ИБ часто приводит к тому, что практические инструменты не работают в полную силу.

«Бумажная» ИБ позволяет обеспечить взаимодействие структурных подразделений, встроить кибербезопасность в бизнес-процессы компании с минимальным ущербом для их функционирования. Кроме того, подразделения, участвующие в обеспечении ИБ, должны четко знать, как действовать в случае реальной кибератаки, сбоя или утечки.

Нередко можно встретить мнение, что безупречному набору практических инструментов обеспечения ИБ никакие «бумаги» не нужны, потому что злоумышленников не интересует, насколько совершенен стандарт. Они действуют, не ограничивая себя ничем, кроме своих возможностей. Однако для того, чтобы успешно противостоять киберугрозам, необходим системный и структурированный подход. Так появляется шанс выявить и закрыть максимальное количество уязвимостей.

Когда мы говорим о ценности «бумажной» безопасности, мы понимаем, что важна не документация сама по себе и не набор сухих регламентов. Документы, даже идеально проработанные, не помогут защитить цифровые активы, если убрать их на дальнюю полочку. Задача документации — закрепить эффективную стратегию цифровой защиты, поддерживать ее и адаптировать в ответ на внешние вызовы. Последнее особенно важно в условиях постоянного роста и развития киберугроз.

Здесь стоит вспомнить о том, что внутренние угрозы, такие, как умышленные и неумышленные потенциально опасные действия собственных сотрудников компании, могут представлять не меньшую угрозу информационной безопасности, чем хакеры, пытающиеся проникнуть в ее ИТ-инфраструктуру извне. Корпоративные регламенты, инструкции и прочие элементы «бумажной» ИБ помогают снизить и этот риск. Но, разумеется, эффективность выше в том случае, если бумаги подкреплены практическими инструментами — например, регулярными киберучениями.

Рациональный подход к ИБ в условиях ограниченности ресурсов

На практике бюджет на ИБ — как «бумажную», так и практическую — всегда ограничен. Это выступает фактором риска — компании обеспечивают только бумажную или только техническую составляющую кибербезопасности, хотя эффективнее всего они работают в комплексе.

Другим фактором риска выступает нехватка человеческих ресурсов для создания полноценного отдела ИБ. В условиях дефицита кадров безопасность часто отдают на аутсорс.

Аутсорсинг будет полезен, когда нужна независимая экспертиза, проведение точечных аудитов, объективных пентестов, содействие в разработке документации или обеспечение оперативного реагирования на киберинциденты.

Напомню, что реагировать на инциденты с ЗО КИИ необходимо в течение 3 часов независимо от времени суток, поэтому внутренний отдел должен состоять минимум из 3-4 человек с достаточно высокой квалификацией и опытом работы. Найти подобных специалистов и постоянно содержать в штате на сменном режиме работы непросто и дорого. Привлечение сторонних профессионалов помогает решить эту задачу без расширения штата и резкого роста затрат на ФОТ, налоги, оснащение рабочих мест, повышение квалификации.

Результат на стыке бумаги и практики

Когда речь идет о киберзащищенности бизнеса, противостояние бумажной и реальной безопасности может привести к недостаточной эффективности защитных мер. Истина как обычно кроется где-то посередине — только «бумажные» или только «технические» меры сами по себе не так сильны, как их сочетание.

«Бумажная» безопасность — это основа, фундамент, на котором строится эффективная защита. Практическая безопасность — это реальные инструменты, позволяющие защитить компанию от внешних и внутренних угроз.

Эффективно работать они могут только в комплексе, нельзя обеспечить высокий уровень безопасности, если сосредоточиться только на документах или сконцентрироваться исключительно на практике. Баланс между бумажной и практической безопасностью —  ключ к стабильно высокому уровню киберзащищенности любой компании.