«Формальное соблюдение 152-ФЗ часто становится самоцелью, отодвигая реальную безопасность на второй план. Системы документируются не для работы, а для проверок, а голос инженеров, говорящих о технических угрозах, тонет в бюрократическом шуме.»
Эволюция угроз и статичность защиты
Регуляторные требования в России, особенно 152-ФЗ и приказы ФСТЭК, задают базовый каркас. Однако они часто отстают от скорости появления новых векторов атак. Атаки становятся сложнее: растёт число инцидентов с цепочками поставок, целевых атак на инфраструктуру. Защита, выстроенная строго по предписаниям пятилетней давности, может пропустить современный способ компрометации.
Сценарий, который встречается слишком часто: в организации внедрён сертифицированный межсетевой экран, ведётся журнал аудита, назначен ответственный за безопасность персональных данных. При этом никто не отслеживает аномальную активность серверов в корпоративной сети, потому что это не прописано в приказе. Система защищена на бумаге, но уязвима на практике.
Бюрократия как основной KPI
Когда функция информационной безопасности (ИБ) вырастает из формального назначения ответственного в крупный отдел, её эффективность начинают измерять не снижением числа инцидентов, а количеством подготовленных отчётов и исполненных предписаний. Безопасность превращается в бумагооборот.
Например, процесс согласования доступа к новой системе. Вместо быстрой автоматизированной процедуры с проверкой ролей строится длинный маршрут согласований на бумажных носителях или в электронной системе документооборота. Цель смещается с «обеспечить безопасный доступ» на «получить все визы в срок». Сама система учёта доступов при этом может быть устроена примитивно, что сводит на нет смысл всех согласований.
Разрыв между документацией и реальной архитектурой
Политики и регламенты пишутся под идеальную, часто упрощённую модель инфраструктуры. В реальности же IT-ландшафт обрастает legacy-системами, сторонними сервисами и «временными» решениями, которые работают годами. Документация устаревает сразу после подписания, но пересмотр её — трудоёмкий процесс, который постоянно откладывается. В результате при проверке демонстрируется одно, а реальные риски живут в совершенно другом, неучтённом контуре.
Изоляция команды ИБ от бизнес-процессов
Отдел безопасности работает как инспекция, а не как интегратор. Его задача — запретить или наложить вето, а не помочь бизнес-подразделению реализовать проект с учётом требований безопасности. Это порождает конфликты и приводит к поиску обходных путей.
Разработчики запускают тестовые среды в обход утверждённых процессов, просто чтобы не проходить двухнедельную процедуру согласования. Сотрудники используют неутверждённые мессенджеры для оперативного обсуждения рабочих вопросов, потому что корпоративный инструмент неудобен. Каждый такой случай — брешь, созданная не злым умыслом, а негибкостью системы безопасности.
Фетишизация сертифицированных средств защиты
Существует устойчивое убеждение, что наличие в штате сертифицированного по ФСТЭК средства защиты информации (СЗИ) автоматически решает проблему. На деле сертификация гарантирует лишь то, что продукт прошёл лабораторные испытания на соответствие конкретным техническим требованиям в контролируемой среде. Она не отменяет необходимости его правильной настройки, интеграции в процессы и регулярного мониторинга эффективности.
Частая ситуация: организация приобретает дорогой DLP-комплекс, внедряет его «из коробки» со стандартными правилами и считает задачу по защите конфиденциальной информации выполненной. При этом не анализируются реальные каналы утечек, не настраиваются политики под специфику бизнеса, а алерты от системы либо тонут в шуме, либо игнорируются из-за их большого количества.
Недооценка человеческого фактора и инсайдерских угроз
Основные усилия и бюджет тратятся на технические средства: межсетевые экраны, системы обнаружения вторжений, антивирусы. Программа обучения информационной безопасности для сотрудников сводится к ежегодному прохождению формального теста с заранее известными ответами. Культура безопасности не формируется.
Это приводит к классическим, но от этого не менее опасным инцидентам: бухгалтер пересылает зарплатную ведомость на личную почту, чтобы работать из дома; инженер использует один и тот же простой пароль для корпоративной почты и личного аккаунта в соцсети, которая подвергается утечке данных. Технические средства могут частично предотвратить такие события, но без изменения поведения людей риски остаются критически высокими.
Отсутствие проактивности и фокус на реагировании
Работа команды ИБ зачастую строится по принципу «тушения пожаров». Активность возникает только после инцидента или получения предписания от регулятора. Нет ресурсов или полномочий на проактивный поиск уязвимостей, моделирование угроз, регулярный pentest или построение системы Security Operations Center (SOC), которая занимается непрерывным мониторингом.
В итоге уязвимость в публичном веб-приложении может существовать месяцами, пока ею не воспользуются злоумышленники или пока не выйдет отчёт внешних аудиторов. Проактивная деятельность воспринимается как излишняя трата средств, пока не случится серьёзный инцидент, после которого выделяются бюджеты, но уже на ликвидацию последствий.
Сложность измерения реальной эффективности
Как измерить, что функция ИБ работает хорошо? Отсутствие громких инцидентов? Это может быть и следствием удачи, а не качественной работы. Количество отклонённых уязвимых запросов на изменение? Это может говорить лишь об агрессивной запретительной политике.
Отсутствие понятных метрик, связанных с бизнес-рисками (например, снижение вероятности реализации ключевых угроз, время на обнаружение и реагирование), приводит к тому, что ценность команды ИБ для руководства неочевидна. Её воспринимают как центр затрат, что напрямую влияет на бюджеты и приоритеты.
Таблица: Типовые болезни роста и их последствия
| «Болезнь» | Ключевое проявление | Возможное последствие |
|---|---|---|
| Статичность защиты | Ориентация только на формальные требования устаревших нормативов | Пропуск современных сложных атак, отрыв от реальных угроз |
| Бюрократизация | KPI в виде количества отчётов и закрытых предписаний | Замедление бизнес-процессов, создание иллюзии безопасности |
| Изоляция команды ИБ | Роль «инспектора» и «запретителя» | Конфликты с бизнес-подразделениями, рост теневой IT-активности |
| Фетишизация сертификатов | Вера, что купленный сертифицированный продукт решит все проблемы | Неэффективное использование бюджета, ложное чувство защищённости |
| Игнорирование человеческого фактора | Формальное обучение, отсутствие культуры безопасности | Регулярные инсайдерские инциденты и утечки по неосторожности |
| Реактивный подход | Работа по факту инцидента или проверки | Постоянное отставание от злоумышленников, высокие costs инцидентов |
Вместо заключения: куда расти
Преодоление этих «болезней» требует смены парадигмы. Функция ИБ должна эволюционировать от контролирующего органа в сторону бизнес-партнёра, который помогает управлять рисками, а не просто закрывает требования регуляторов. Ключевые шаги: интеграция в процессы разработки и эксплуатации (DevSecOps), внедрение риск-ориентированного подхода, где ресурсы направляются на приоритетные угрозы, инвестиции в повышение осведомлённости сотрудников и построение системы мониторинга, способной обнаруживать аномалии, а не только известные сигнатуры. Безопасность, это не состояние, которого можно достичь, а непрерывный адаптивный процесс.