Журнал "Information Security/ Информационная безопасность" #1, 2021

Если организация при- надлежит государственному сектору, то с большей веро- ятностью повышенное вни- мание в ней будет уделяться вопросам "бумажной" без- опасности ввиду нахожде- ния под постоянным контро- лем большого количества надзорных органов. Для банков уже достаточ- но давно и остро стоит вопрос соблюдения баланса между "реальной" и "бумаж- ной" безопасностью. Как появился термин "бумажная безопасность" Термин "бумажная безопасность" в отече- ственном деловом обо- роте означает обеспечение соответствия требованиям по безопасности, установленным нормативно-правовыми актами. Этот термин получил наиболь- шую распространенность имен- но в сфере информационной безопасности, так как из всех направлений корпоративной безопасности оно является наи- более "зарегулированным", то есть регулируется большим количеством законов и подза- конных нормативно-правовых актов. В качестве примера можно назвать четыре "основных" зако- на, регулирующих данную сферу общественных отношений: l Федеральный закон "Об информации, информа- ционных технологиях и о защите информации" от 27.07.2006 г. № 149-ФЗ; l Федеральный закон "О пер- сональных данных" от 27.07.2006 г. № 152-ФЗ; l Федеральный закон "О ком- мерческой тайне" от 29.07.2004 г. № 98-ФЗ; l Федеральный закон от 26.07.2017 г. № 187-ФЗ "О без- опасности критической инфор- мационной инфраструктуры Российской Федерации". Помимо указанных федераль- ных законов, нормы права, регу- лирующие информационную безопасность, также содержат- ся еще в целом ряде других федеральных законов и норма- тивно-правовых актов. Очевидно, что наличие такого большого количества регули- рующих норм требует глубокого погружения в несвойственную "классической ИТ" тему право- применения и приводит к выде- лению отдельного класса спе- циалистов, чьей первоочеред- ной задачей является обеспече- ние соответствия нормам права (исполнение законодательства), а не реальная защита инфор- мационных ресурсов организа- ции. Противоположным термину "бумажная безопасность" является также распространен- ный в отечественном деловом обороте термин "реальная без- опасность", означающий обес- печение состояния защищен- ности объекта (организации, информационного ресурса, человека и т.п.) от внутренних и внешних угроз. "Реальная" и "бумажная" безопасность: что важнее? На практике не встречается организаций, где бы уделялось внимание только "реальной" или исключительно "бумажной" без- опасности, обычно в каждом конкретном случае преобладает то или иное направление дея- тельности. Так, например, если организация принадлежит госу- дарственному сектору, то с большей вероятностью повы- шенное внимание в ней будет уделяться вопросам "бумажной" безопасности ввиду нахождения под постоянным контролем большого количества надзор- ных органов. В то же время мелкие и средние компании цифровой отрасли, например интернет-магазины, уделяют большее внимание именно реальной безопасности, так как регуляторное воздействие на компании указанной отрасли 1 минимально, а риски понести значительный вред (как репу- тационный, так и финансовый) от атаки злоумышленника достаточно велики. Исключением из правил является такой вид "цифровых предприятий", как банки, где присутствует достаточно серь- езное регуляторное воздей- ствие Центрального Банка России, а также высоки риски возникновения вреда от успешной атаки на информа- ционный ресурс. В этой связи для банков уже достаточно давно и остро стоит вопрос соблюдения баланса между "реальной" и "бумажной" без- опасностью. Аналогичная ситуация сейчас наблюдается и в части обес- печения безопасности критиче- ской информационной инфра- структуры (КИИ). КИИ в разрезе "бумажной" и "реальной" безопасности В 2018 г. вступил в законную силу Федеральный закон "О безопасности критической информационной инфраструк- туры Российской Федерации", во исполнение которого в 2018– 2020 гг. было выпущено поряд- ка 16 подзаконных норматив- но-правовых актов, требования которых должны быть выпол- нены государственными орга- нами (учреждениями), россий- скими юридическими лицами и индивидуальными предприни- мателями, попавшими в сферу действия указанного федераль- 6 • В ФОКУСЕ От бумажной к реальной безопасности критической информационной инфраструктуры сфере информационной безопасности есть ярко выраженная особенность, связанная с тем, что существует два направления деятельности специалиста по ИБ: соответствие регуляторным требованиям (“бумажная безопасность") и защита информационных активов от угроз и компьютерных атак (“реальная безопасность"). Попробуем разобраться, что есть что и как совместить оба этих направления. В Константин Саматов, руководитель комитета по безопасности КИИ, член Правления Ассоциации руководителей служб информационной безопасности 1 Если не принимать в расчет банки, которые зачастую относят к “цифровым предприятиям".