Бумажная безопасность представлена в России регламентами и стандартами, которые носят общее название «фрэймворки». Основаны они на требованиях регуляторов. Фрэймворки позволяют совместить в себе обеспечения соблюдения норм законодательства, экономику и потребности бизнеса в одном документе. Один из самых распространенных в России документов по обеспечению безопасности – ISO27001. Он позволяет встраиваться даже в стандарты безопасности других стран, поэтому, «если ваш бизнес планирует выходить на международные рынки, то стоит реализовать у себя стандарт ISO27001», — комментирует Андрей Прозоров. Также, по мнению эксперта, этот документ может пригодиться при составлении должностных инструкций или методик оценки эффективности ИБ. Его дополнила Наталья Гуляева (Hogan Lovells): “Стандарты пригодятся вам при аудите, проводимом ФСТЭК или прокуратурой. С чего-то вам надо начинать, дать какие-то документы проверяющим, и тут вам на помощь придут эти регламенты».
Ряд экспертов на конференции выразил скепсис по отношению к составлению регламентов и бумаг в сфере управления информационной безопасностью. В их числе Евгений Волошин (BI.Zone): «Когда в компании назревает необходимость во фрэймворке, надо понимать, для чего в конечном счете это делается. Введя в работу какой-то стандарт в форме документа, вы «просто причесались», но должны быть какие-то внешние меры, которые актуализируются согласно внешним угрозам». Антон Карпов (Яндекс) уверен, что «безопасность – это не про фрэймворки, безопасность в первую очередь, про людей». Любой внедренный стандарт, по убеждению спикера, не вреден, но при внедрении очень важно не перегнуть палку, чтобы оставить место для маневра в условиях динамично меняющейся киберсреды. «С другой стороны, — подытожил эксперт, — если вы у себя в компании защитили все бизнес-процессы, то, наверное, нет смысла делать под это специальный регламент. Если все работает хорошо, значит, вы добились конечной цели».
«Безусловно, информационная безопасность компании начинается с формирования политики и регламентов, которые должны соответствовать определенным стандартам. Конечно, эту задачу упрощают различные фреймворки. Но изложенное на бумаге нужно эффективно воплотить в жизнь, при этом минимально повлияв на бизнес. Стремительно набирающие популярность решения класса PAM (Privileged Account Management) закрывают большое количество требований различных стандартов и политик, поскольку получение доступа к учетным данным привилегированных пользователей является главным направлением любых атак. Ценность Thycotic в быстром внедрении и простоте использования, что, несомненно, упрощает достижение бумажного идеала», — комментирует директор по развитию бизнеса Thycotic по России и СНГ Илья Горюнов. Свое мнение относительно бумажной безопасности выразил программный директор конференции Алексей Лукацкий: «Злоумышленнику все равно, какой стандарт вы внедряли, он вас ломает не по стандарту». Для того, чтобы обезопасить бизнес в практическом смысле существует множество вендорских решений. Однако, по опыту экспертов Кода ИБ ПРОФИ, часто бюджеты на ИБ осваиваются эффективно, а на практике купленные решения не внедряются, а «лежат на полках» или остаются интегрированными в лучшем случае лишь на половину. Такую безопасность спикеры называют бессмысленной тратой денег.
