Мысли о «бумажной безопасности»
Некоторое время назад в жаргон матерых специалистов по информационной безопасности был введен термин «бумажная безопасность». Фактически фраза стала своеобразным ярлыком на направление ИБ, связанное с выполнением внешних требований (например, необходимость сертификации СЗИ по требованиям регуляторов).
Больше всех ярлык поддержали представители западных компаний-производителей средств защиты информации. Конечно, иностранным компаниям не хочется раскрывать информацию о своих продуктах и отвечать на неудобные вопросы из серии «Почему отладочный код оказался в финальном релизе?» или «Что это за административные учетные записи, о которых нет ни слова в документации?». Ведь интереснее просто без лишнего шума продавать свою продукцию в госорганизации с хорошими бюджетами.
Кстати, очень сложно найти на просторах интернета критику со стороны этих же вендоров относительно необходимости выполнения требований других государств (например, для попадания в списки Минобороны США ) Также не слышно громкого осуждения действий правительства, ограничивающих проникновение на американский рынок решений китайских компаний.
Больше всего удивительно то, что ярлык подхватили и представители ряда отечественных компаний, для которых сертификация в свое время обеспечила историческую возможность застолбиться на рынке ИБ, а сейчас стала надежным щитом от действий мощных западных конкурентов — лидеров мирового рынка ИБ.
На кого это вы намекаете?