В сфере информационной безопасности есть ярко выраженная особенность, связанная с тем, что существует два направления деятельности специалиста по информационной безопасности: соответствие регуляторным требованиям (т.н. «бумажная безопасность») и защита информационных активов от угроз и компьютерных атак (т.н. «реальная безопасность»).
Термин «бумажная безопасность» в отечественном деловом обороте означает обеспечение соответствия требованиям по безопасности, установленным нормативно-правовыми актами. Наибольшую распространенность данный термин получил именно в информационной безопасности, т.к. из всех направлений корпоративной безопасности оно является наиболее «зарегулированным», т.е. регулируется большим количеством законов и подзаконных нормативно-правовых актов.
В качестве примера можно назвать только четыре «основных» закона регулирующих данную сферу общественных отношений:
- Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27.07.2006 № 149-ФЗ
- Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ
- Федеральный закон «О коммерческой тайне» от 29.07.2004 № 98-ФЗ
- Федеральный закон от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»
Помимо указанных федеральных законов нормы права, регулирующие информационную безопасность, содержатся еще в целом ряде иных федеральных законов, а также подзаконных нормативных правовых актах.
Очевидно, что наличие такого большого количеств регулирующих норм требует глубокого погружения в несвойственную «классической IT» тему правоприменения и приводит к выделению отдельного класса специалистов, чей первоочередной задачей является обеспечение соответствия нормам права (исполнение законодательства), а не реальная защита информационных ресурсов организации.
Противоположным термину «бумажная безопасность» является, также распространенный в отечественном деловом обороте, термин «реальная безопасность», означающий обеспечение состояния защищенности объекта (организация, информационный ресурс, человек и т.п.) от внутренних и внешних угроз.
На практике не встречается организаций, где бы уделялось внимание только «реальной» или исключительно «бумажной» безопасности, обычно в каждом конкретном случае преобладает то или иное направление деятельности. Так, например, если организация принадлежит государственному сектору, то с большей вероятностью повышенное внимание в ней будет уделяться вопросам «бумажной» безопасности ввиду нахождения под постоянным контролем большого количества надзорных органов. Аналогичная ситуация сейчас наблюдается и в части обеспечения безопасности организаций, функционирующих в сферах, отнесенных к критической информационной инфраструктуре.
В то же время, мелкие и средние компании цифровой отрасли, например интернет-магазины, уделяют большее внимание именно реальной безопасности, т.к. регуляторное воздействие на указанные компании минимально, а риски понести значительный вред (как репутационный, так и финансовый) от атаки злоумышленника достаточно велики.
При этом, есть мнение, что сейчас происходит смещение акцента с «бумажной» безопасности на «реальную». Однако, практическая деятельность современного специалиста по информационной безопасности еще долго будет нераздельно связана с документационным обеспечением этой деятельности. Так, на сегодняшний день подавляющее большинство организаций должно на систематической основе разрабатывать и корректировать кучу различных:
- планов: по безопасности КИИ, по уровням опасности, по реагированию на инциденты, по импортозамещению программного обеспечения (на очереди аппаратной составляющей);
- отчетов регуляторам, которых все прибавляется: как известно с недавнего времени одним из основных регуляторов стало Минцифры России (на очереди Минпромторг России);
а также постоянно вносить изменения в модели угроз, локальные нормативные акты организации (организационно-распорядительные документы) в связи с изменениями законодательства.
Поэтому «бумажная» безопасность не только не утрачивает своего значения, но и, наоборот, приводит к тому, что во многих организациях создаются целые подразделения «бумажных безопасников», или как их более ласково принято называть - «методологов».