Чтение онлайн

на главную

Жанры

Политики безопасности компании при работе в Интернет

Петренко Сергей Александрович

Шрифт:

...

Рис. П1.19. Действия организаций в случаях вторжения в компьютерные системы

...

Рис. П1.20. Основные причины отказа от сообщений о вторжениях правоохранительным органам

На рис. П1.20 приведены причины, по которым организации

не сообщали о вторжениях в информационные системы правоохранительным органам. Здесь отражены процентные доли респондентов, определяющих каждую сформулированную причину как очень важную (оценка важности – пять баллов и выше по семибалльной шкале) для принятия именно такого решения. Свыше 50 % респондентов (из тех, кто указал, что их организации не должны сообщать о вторжении правоохранительным органам) посчитали достаточно важной причиной падение курса акций и/или потерю репутации организации в результате огласки вторжения. Почти 35 % опрошенных в качестве важной причины назвали выгоду, которой могли бы воспользоваться конкуренты. Лишь 20 % посчитали, что использование гражданско-правовых средств судебной защиты было важной причиной для того, чтобы не сообщать о вторжении. Менее одной пятой от принявших участие в исследовании заявили, что они не знали о том, что о вторжении в корпоративную информационную систему следует сообщать правоохранительным органам. Другими словами, предприятиям хотя и известно о роли правоохранительных органов в борьбе с компьютерной преступностью, они предпочитают не сообщать о большинстве инцидентов и нарушений в области безопасности.

...

Рис. П1.21. Данные по предприятиям, входящим в организации обмена информацией об инцидентах безопасности

В ходе исследования 2004 года был предложен вопрос о том, входят ли предприятия в какую-либо организацию обмена информацией о нарушениях и инцидентах безопасности. Результаты исследования свидетельствуют о том, что ряд компаний входят сразу в несколько групп обмена информацией (см. рис. П1.21); 42 % респондентов указали, что их организации не входят в какую-либо организацию обмена информацией; 39 % входят в InfraGard; 19 % – в ISAC и 25 % входят в другие аналогичные организации. При этом большинство компаний готовы участвовать в полномасштабном обмене информацией о нарушениях в области защиты информации, что соответствует последним выводам в теоретических работах ученых.

Влияние законодательных актов. В исследовании CSI/FBI 2004 года был включен новый вопрос о влиянии законодательных актов, и в частности закона Сарбейнса-Оксли, на организацию режима информационной безопасности предприятия. Как показано на рис. П 1.22, респонденты из числа представителей финансовых, коммунальных и телекоммуникационных отраслей экономики США считают, что закон Сарбейнса-Оксли оказал значительное влияние на организацию режима информационной безопасности в компании. В то же время респонденты из других отраслей экономики США не столь единодушны. По-видимому, для принятия окончательного решения о значении этого и других аналогичных законодательных актов для организации режима информационной безопасности на предприятии необходимо подождать результатов будущих исследований.

...

Рис. П1.22. Влияние закона Сарбейнса-Оксли на организацию режима информационной безопасности предприятия

Резюме

Результаты исследования CSI/FBI позволили выявить следующие основные тенденции и перспективы развития современных технологий защиты информации:

• в целом несанкционированное использование информационных систем снизилось, как и суммы ежегодных финансовых убытков от инцидентов, связанных с нарушением безопасности информации;

• в отличие от прошлых лет вирусные атаки и атаки типа «отказ в обслуживании» превзошли самый высокий прежний показатель – стоимость хищения частной информации. Ущерб от вирусных атак вырос до 55 млн. долларов;

• процент организаций, сообщавших о вторжениях в компьютерные системы правоохранительным органам, в течение последнего года снизился. Основной причиной этого является опасение негативных последствий публичной огласки инцидентов безопасности, выражающихся в возможной потере имиджа и доходности компании;

• большинство организаций проводят экономическую оценку затрат и возврата инвестиций на защиту информации. При этом 55 % организаций используют показатель возврата инвестиций (ROI или ROSI), 28 % используют показатель внутренней нормы доходности (IRR) и 25 % используют показатель чистой текущей стоимости (NPV);

• свыше 80 % организаций регулярно проводят аудит безопасности информационных активов и компании в целом;

• большинство организаций не передают работы по обеспечению информационной безопасности сторонним организациям. Среди тех организаций, которые считают это возможным, процент работ по обеспечению информационной безопасности на основе аутсорсинга является весьма низким;

• законодательные акты, и в частности закон Сарбейнса-Оксли, оказывают определенное влияние на организацию режима информационной безопасности компании;

• подавляющее большинство организаций считают обучение сотрудников компании вопросам защиты информации достаточно важным элементом общей программы обеспечения безопасности. При этом респонденты исследования считают, что текущие затраты на обучение являются скорее необходимыми, чем достаточными.

Приложение 2 МЕЖДУНАРОДНЫЙ ОПРОС 2003 ГОДА ПО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. ОБЗОР РЕЗУЛЬТАТОВ ПО СТРАНАМ СНГ

В начале 2004 года компания «Эрнст энд Янг» опубликовала результаты своего исследования состояния информационной безопасности в СНГ ( www.eu.com/russia ). В этом исследовании специалисты «Эрнст энд Янг» провели анализ и сопоставили проблемы, мнения и действия компаний стран СНГ по вопросам информационной безопасности в сравнении с ведущими мировыми компаниями. Далее рассмотрены основные результаты исследования и комментарии к ним «Эрнст энд Янг».

Краткая справка

Один из основных результатов данного опроса – вывод о том, что во всем мире компании сталкиваются с одинаковыми проблемами по информационной безопасности. Сбои в работе важнейших информационных систем компаний продолжают оставаться серьезной помехой для ведения бизнеса во всех странах мира. Несмотря на то, что такие сбои в основном связаны с проблемами программно-аппаратного комплекса и каналов связи, компании все чаще сталкиваются со сбоями, вызванными компьютерными вирусами либо злоумышленными действиями и недобросовестной работой сотрудников, что приводит к отказу в работе информационных систем. Для предотвращения этого и повышения существующего уровня защиты корпоративных систем необходимы дополнительные инвестиции в обеспечение информационной безопасности. За последние годы мы также осознали необходимость контроля и управления в этой сфере.

Многие компании используют разнообразные технические решения для защиты информационных систем. Однако в странах СНГ принятые меры не позволили достичь желаемого эффекта. Наш опрос помог выяснить, что руководители многих компаний, работающих в СНГ, менее уверены в достаточности принятых мер по обеспечению безопасности, чем их зарубежные коллеги. Некоторые из специфичных проблем, с которыми они сталкиваются, такие, как: недостаточная системная интеграция, использование устаревшей инфраструктуры и отсутствие комплексного подхода к внедрению средств обеспечения информационной безопасности, существенно затрудняют достижение приемлемого уровня информационной безопасности.

Еще одним фактором, усложняющим ситуацию, может быть нежелание использовать сторонних подрядчиков даже при отсутствии собственных специалистов и ресурсов для осуществления управления информационными рисками, требующего серьезной технической и организационной работы.

В то же время эффективное управление вопросами информационной безопасности приобретает все большее значение для компаний стран СНГ по мере их роста и продвижения на новые рынки. Инвесторам необходима уверенность в том, что для защиты бизнеса и информационных активов принимаются необходимые меры. Клиентам важно знать, что соблюдается конфиденциальность их персональных данных. Деловые партнеры ожидают, что компания будет функционировать без сбоев. Результаты нашего исследования и комментарии к ним, как мы рассчитывали, помогут улучшить стандарты информационной безопасности как в отдельных компаниях, так и в деловом сообществе СНГ в целом.

Поделиться:
Популярные книги

Вечная Война. Книга VIII

Винокуров Юрий
8. Вечная Война
Фантастика:
боевая фантастика
юмористическая фантастика
космическая фантастика
7.09
рейтинг книги
Вечная Война. Книга VIII

Идеальный мир для Лекаря 16

Сапфир Олег
16. Лекарь
Фантастика:
боевая фантастика
юмористическая фантастика
аниме
5.00
рейтинг книги
Идеальный мир для Лекаря 16

Отмороженный

Гарцевич Евгений Александрович
1. Отмороженный
Фантастика:
боевая фантастика
рпг
5.00
рейтинг книги
Отмороженный

Сфирот

Прокофьев Роман Юрьевич
8. Стеллар
Фантастика:
боевая фантастика
рпг
6.92
рейтинг книги
Сфирот

Снегурка для опера Морозова

Бигси Анна
4. Опасная работа
Любовные романы:
современные любовные романы
5.00
рейтинг книги
Снегурка для опера Морозова

Волк: лихие 90-е

Киров Никита
1. Волков
Фантастика:
попаданцы
альтернативная история
5.00
рейтинг книги
Волк: лихие 90-е

Газлайтер. Том 8

Володин Григорий
8. История Телепата
Фантастика:
попаданцы
альтернативная история
аниме
5.00
рейтинг книги
Газлайтер. Том 8

Враг из прошлого тысячелетия

Еслер Андрей
4. Соприкосновение миров
Фантастика:
фэнтези
попаданцы
аниме
5.00
рейтинг книги
Враг из прошлого тысячелетия

Кодекс Охотника. Книга XVII

Винокуров Юрий
17. Кодекс Охотника
Фантастика:
фэнтези
попаданцы
аниме
5.00
рейтинг книги
Кодекс Охотника. Книга XVII

Неудержимый. Книга XVIII

Боярский Андрей
18. Неудержимый
Фантастика:
фэнтези
попаданцы
аниме
5.00
рейтинг книги
Неудержимый. Книга XVIII

Диверсант

Вайс Александр
2. Фронтир
Фантастика:
боевая фантастика
космическая фантастика
5.00
рейтинг книги
Диверсант

Королевская Академия Магии. Неестественный Отбор

Самсонова Наталья
Любовные романы:
любовно-фантастические романы
8.22
рейтинг книги
Королевская Академия Магии. Неестественный Отбор

Неудержимый. Книга XI

Боярский Андрей
11. Неудержимый
Фантастика:
фэнтези
попаданцы
аниме
5.00
рейтинг книги
Неудержимый. Книга XI

Бестужев. Служба Государевой Безопасности. Книга вторая

Измайлов Сергей
2. Граф Бестужев
Фантастика:
фэнтези
попаданцы
аниме
5.00
рейтинг книги
Бестужев. Служба Государевой Безопасности. Книга вторая