Политики безопасности компании при работе в Интернет
Шрифт:
• Linux Red Hat – 30 млн. строк кода.
В-третьих, по данным независимых аналитических центров на начало 2005 года, системы обнаружения вторжений (IDS) обнаруживают не более 14–18 % всех осуществляемых атак. При этом большинство систем обнаружения вторжений построены на принципах обнаружения на основе сигнатур атак (см. табл. 1.1), то есть обладают теми же недостатками, что и антивирусное программное обеспечение. Таблица 1.1. Характеристика современных методов обнаружения вторжений и аномалий в сетях TCP/IP
В-четвертых, системы контроля доступа на основе биометрических параметров
Рис. 1.12. Оценки зрелости технологий защиты информации
В целом анализ инцидентов безопасности начиная с 2001 года и по настоящее время свидетельствует о ежегодном росте их числа в среднем на 200–300 % (см. рис. 1.13). При этом, согласно исследованиям Института компьютерной безопасности США, в 2004 году из 750 млн. долларов, потерянных компаниями из-за инцидентов в области информационной безопасности, более 500 млн. долларов убытков были обусловлены следующими видами инцидентов:
• неавторизованный доступ к ресурсам внутренних сотрудников,
• неразрешенное использование Интернета,
• саботаж,
• сканирование и взлом систем,
• кража конфиденциальной информации.
Рис. 1.13. Статистика инцидентов безопасности
Анализ статистики инцидентов в АС отечественных предприятий показывает, что для российских компаний наиболее злободневны вопросы нейтрализации следующих основных угроз (см. табл. 1.2)
Таблица 1.2. Актуальные угрозы безопасности для отечественных АС
В результате, по данным Gartner Group, проблема защиты информации выделилась среди других проблем совершенствования информационных технологий и стала одной из приоритетных проблем развития отечественных компаний и предприятий (см. рис. 1.14).
Рис. 1.14. Текущие проблемы развития информационных технологий
Как эффективно подойти к решению проблемы защиты информации? По-видимому, сначала необходимо разработать действенную политику информационной безопасности компании.
1.3. Основные причины создания политик безопасности
Любую отечественную компанию можно сравнить с небольшим государством. И если в каждом государстве существует законодательство, регламентирующее деятельность граждан, то в компании роль законов выполняют политики безопасности. За нарушение законов государства граждане несут ответственность, нарушение политик безопасности сотрудниками компании также влечет за собой ответственность.
Политики
Что должно мотивировать отечественные предприятия и компании разрабатывать политики информационной безопасности? К таким мотивам относятся:
выполнение требований руководства компании;
Как правило, руководство компании проявляет внимание к проблемам информационной безопасности под воздействием «фактора страха» или после нескольких серьезных инцидентов, повлекших за собой остановку или замедление работы компании. Например, в результате вирусной атаки или атаки «отказ в обслуживании», разглашения конфиденциальной информации или кражи компьютеров с ценной информацией.
выполнение требований российской нормативной базы в области защиты информации;
Каждая компания обладает информацией, представляющей некоторую ценность, и по понятным причинам она не желала бы ее разглашения. Политики информационной безопасности позволяют определить правила, в соответствии с которыми информация будет отнесена к категории коммерческой или служебной тайны. Это позволит компании юридически защитить информацию (ст. 139 Гражданского кодекса и Закон о коммерческой тайне). В зависимости от сферы действия компании она должна выполнять требования существующего законодательства, применимого к ее отрасли. Например, банки в соответствии со ст. 857 Гражданского кодекса должны гарантировать защиту банковской тайны клиентов. Страховые компании должны защищать тайну страхования (ст. 946 Гражданского кодекса) и т. д. Кроме этого, в соответствии с Указом
Президента РФ № 188 от 06.03.97 «Об утверждении перечня сведений конфиденциального характера» компании должны обеспечивать защиту персональных данных сотрудников.
В целом автоматизированные системы отечественных компаний должны удовлетворять требованиям российской нормативной базы в области защиты информации, нормативно-правовым документам (федеральным законам, указам Президента, постановлениям Правительства) и нормативно-техническим документам (государственным стандартам, руководящим документам Гостехкомиссии (ФСТЭК) России, отраслевым и ведомственным стандартам). При этом после принятия и вступления в силу Федерального закона «О техническом регулировании», а также ГОСТ Р ИСО/МЭК 15408 статус ряда нормативных документов (государственных стандартов, отраслевых стандартов, стандартов организаций и др.) изменился. Государственные стандарты Российской Федерации из основного инструмента технического регулирования стали трансформироваться в российские национальные стандарты, требования которых стали носить добровольный характер. Обязательные требования стали устанавливаться в технических регламентах.
выполнение требований клиентов и партнеров;
Клиенты и партнеры компании часто желают получить некоторые гарантии того, что их конфиденциальная информация защищена надлежащим образом и могут потребовать юридического подтверждения этого в контрактах. В этом случае политики информационной безопасности компании и являются доказательством предоставления подобных гарантий, так как в политиках безопасности декларируются намерения компании относительно качества обеспечения информационной безопасности. Интересно, что партнеров по бизнесу и клиентов компании, как правило, интересуют именно эти «намерения», а не технические средства, с помощью которых они могут быть достигнуты.