29.09.2022 Экспертиза, Безопасность
Рамиль Хантимиров, CEO и сооснователь StormWall
Специалистам по информационной безопасности (ИБ) широко известен подход, получивший название «бумажная безопасность». Суть его в том, чтобы концентрировать внимание на тех мерах ИБ, на которых настаивают регулирующие органы, и добиваться не столько их фактической реализации, сколько документирования и получения сертификатов и прочих «бумажных» доказательств того, что безопасность информационных систем приведена в соответствие с требованиями регуляторов. Те, кто следует этому подходу, стремятся достичь двух основных целей. Первая — минимизация регуляторных рисков: если кто-то из проверяющих придет, им можно будет предъявить документацию, свидетельствующую о том, что все заявленные регуляторами требования выполнены. Вторая достигаемая цель — экономия затрат за счет того, что служба ИБ реализует только те меры и в том объеме, который требуется, чтобы зафиксировать, задокументировать соответствие нормативным актам регуляторов. Разумеется, вопрос о фактической безопасности информационных систем при таком подходе отходит на второй, а то и на третий план. Время от времени нам приходится сталкиваться с «бумажным» подходом некоторых клиентов в отношении DDoS-рисков. Выглядит это примерно так: организация подключает сервис DDoS-защиты и, с одной стороны, требует от провайдера Anti-DDoS получения всевозможных сертификатов, заключений и прочих документов, доказывающих, что защита от DDoS-атак обеспечивается на высоком уровне, а с другой, игнорирует рекомендации провайдера по повышению ...
читать далее.
