Политики безопасности компании при работе в Интернет
Шрифт:
Рис. П1.10. Данные по внешнему страхованию информационных рисков
Характеристика инцидентов безопасности. Исследование 2004 года показало (см. рис. П1.11) сохранение тенденции 2000 года сокращения общей частоты успешных атак на информационные системы. Доля респондентов, ответивших, что на предприятии столкнулись с несанкционированным использованием компьютерных систем, за последние 12 месяцев сократилась до 53 % (это наименьший процент с 1999 года). Доля респондентов, ответивших, что случаев несанкционированного использования компьютерных систем не было, увеличилась до 35 %, в то время как доля респондентов, которым не известно, имело ли место такое несанкционированное использование, снизилась до 11 %.
Рис. П1.11. Данные по несанкционированному использованию компьютерных систем
Таблица П1.1. Характеристика инцидентов безопасности в 2004 году
Приведенная здесь таблица наглядно демонстрирует, что количество инцидентов безопасности постепенно снижается. При этом угрозы безопасности равномерно распределились на внешние и внутренние. Эта таблица также показывает, что доля респондентов, фиксирующих за год от 6 до 10 инцидентов безопасности, судя по всему, стабилизировалась на уровне 20 %, в то время как доля респондентов, фиксирующих количество инцидентов безопасности за год от одного до пяти, увеличилась до 47 %. В 2004 году впервые зафиксирован самый низкий процент (12 %) респондентов, оценивающих, что их организация столкнулась за год более чем с десятью инцидентами безопасности.
Рис. П1.12. Характеристика атак или злоупотреблений в 2004 году
Рис. П1.12. показывает, что общее количество атак на компьютерные системы или выявленное злоупотребление этими системами медленно, но вполне устойчиво уменьшается.
Рис. П1.13. Данные по происшествиям на Web-сайтах предприятий США
Как видно на рис. П1.13, на большинстве предприятий в 2004 году столкнулись с происшествиями на Web-сайтах. При этом 5 % респондентов сообщили о том, что их организации столкнулись более чем с десятью происшествиями на Web-сайтах. Подавляющее большинство (89 %) респондентов указали, что в течение года их организации столкнулись с происшествиями на Web-сайтах числом от одного до пяти.
Анализ убытков предприятий и организаций США (см. рис. П1.14) из-за инцидентов безопасности в 2004 году позволяет сделать следующие выводы. Во-первых, реальная история подсчета убытков свидетельствует о том, что общие потери (в расчете на одного респондента) сократились. Общие потери предприятий в 2004 году составили 141 496 560 долларов по сравнению с 201 797 340 долларами в 2003 году. Во-вторых, как и в предыдущих исследованиях, респонденты часто были не готовы оценить потери в денежном эквиваленте. В исследовании 2004 года только 269 респондентов из 494 смогли предоставить количественные данные об убытках в долларах. В-третьих, впервые на первое место по приносимым убыткам вышли вирусные атаки, опередив хищения частной информации, которые влекли наибольшие убытки на протяжении последних пяти лет.
Рис. П1.14. Данные по убыткам из-за инцидентов безопасности в 2004 году
Технологии безопасности. В ходе исследования 2004 года респондентам был задан вопрос о том, какие технологии и технические средства безопасности используются в компании. Ответы показали (см. рис. П1.15), что 99 % респондентов используют на предприятии антивирусное программное обеспечение; 98 % – межсетевые экраны; 68 % – системы обнаружения вторжений (это на 5 % меньше по сравнению с исследованием 2003 года); 45 % – системы предупреждения вторжений, которые определяют и блокируют злоумышленную деятельность в сети в реальном масштабе времени; 71 % – контрольные листы доступа; 56 % – парольную защиту; 35 % – смарт-карты и электронные брелки с паролями; 11 % – биометрические средства защиты от НСД; 64 % – криптографические средства защиты информации; 42 % – технологию шифрования файлов; 30 % – инфраструктуру открытых ключей (PKI).
Рис. П1.15. Технологии безопасности современного предприятия
Аудит безопасности и вопросы обучения. Результаты исследования 2004 года показали (см. рис. П1.16), что 82 % предприятий регулярно проводят аудит безопасности информационных активов и компании в целом. Хотя для многих предприятий и организаций США процедура аудита безопасности пока не является общепринятой процедурой. Здесь будущие исследования помогут точно определить зависимость защищенности информационных систем предприятий от аудитов безопасности.
Рис. П1.16. Проводит ли ваша организация аудиты безопасности?
В исследовании 2004 года был поднят новый вопрос о необходимости обучения в области защиты информации. Во-первых, респондентов просили определить степень их согласия с формулировкой: «Моя организация инвестирует соответствующую сумму в знания по безопасности». Рис. П1.17 показывает, что в среднем респонденты не считают, что их организации инвестируют достаточные средства в обучение по вопросам безопасности.
Рис. П1.17. Оценка достаточности инвестиций в обучение по безопасности
На рис. П1.18 представлены процентные доли респондентов, указавших на важность получения знаний по защите информации (для оценки важности обучения использовалась семибалльная шкала). Для пяти из восьми основных направлений обеспечения защиты информации обучение было признано достаточно важным. При этом обучение вопросам разработки политик безопасности и по сетевой безопасности было выделено как наиболее актуальное и полезное (70 %), далее следовало обучение по системам контроля доступа (64 %), управлению безопасностью (63 %), а также по экономическим аспектам защиты информации (51 %). Менее полезными в 2004 году оказались знания по архитектуре корпоративных систем защиты информации (47 %), расследованию компьютерных преступлений (43 %) и криптографии (28 %).
Рис. П1.18. Актуальность обучения по направлениям защиты информации
Обмен информацией. Исследование продемонстрировало, что большинство компаний не проявляют явной заинтересованности в обмене информацией по имевшим место инцидентам в области защиты информации. На рис. П1.19 отображена реакция опрошенных организаций на вторжения в информационные системы, начиная с 1999 года. Более 90 % респондентов указали: их организация реагирует на вторжения путем устранения недостатков в корпоративной системе защиты информации. Лишь половина респондентов указала, что их организация обменивается информацией о том или ином нарушении безопасности. Обмен информацией в процентах не увеличился за прошедшие годы и остается практически на том же уровне, что и в более ранних исследованиях. В прошлом году зафиксировано заметное снижение процентной доли компаний, которые сообщали правоохранительным органам о вторжениях в корпоративные информационные системы.