Политики безопасности компании при работе в Интернет
Шрифт:
Всего 54 % участников нашего опроса (67 % участников опроса в мире) вполне уверены в способности своей компании продолжать деятельность в случае хакерской атаки или иной экстренной ситуации. Хотя в результате прошлого опроса мы выяснили, что в большинстве компаний СНГ имеются планы обеспечения деятельности в экстренной ситуации, но они, очевидно, не являются полными, не протестированы и, соответственно, неэффективны для предотвращения сбоев в деятельности компании. В СНГ наибольшую уверенность относительно принятых мер информационной безопасности выражают компании, занимающиеся банковской деятельностью, информационными технологиями и операциями с ценными бумагами, а также работающие в нефтегазовой отрасли. Что касается общего мнения, то участники опроса и в СНГ, и во всем мире сочли, что информационная безопасность лучше всего обеспечивается в банковском секторе.
Комментарий «Эрнст энд Янг»:
• лучшая защита от вторжений в информационные системы – профилактические меры.
• после обнаружения уязвимых мест в системе следует принять меры, чтобы не допустить использования этих мест хакерами. Выбор верного решения по обеспечению безопасности может оказаться сложной задачей. Здесь важно отдавать себе отчет в том, что решение, оптимальное для одной компании, может оказаться абсолютно непригодным для другой. Выбранное решение должно обеспечивать защиту от комплекса угроз и уязвимых мест, характерных для данной компании;
• бессистемная, выборочная реализация средств безопасности не обеспечивает необходимого уровня защиты. Чтобы надежно защитить важнейшую деловую информацию, компаниям необходимо интегрировать вопросы физической и информационной безопасности в единый для всей организации свод правил, стандартов и инструкций. Стратегия безопасности проверяется на прочность в своем самом слабом звене;
• системы обнаружения вторжений (IDS) обеспечивают раннее обнаружение атак на информационные системы, давая специалистам по безопасности возможность отследить нарушителя, представить себе возможные последствия инцидента, оценить его значение, а затем принять меры, необходимые для минимизации ущерба и предотвращения атак в будущем;
• компаниям необходимо составлять планы мероприятий по обеспечению непрерывности и восстановлению своей деятельности в экстренных ситуациях, особенно если такая деятельность в значительной степени зависит от информационных систем. Этот план должен быть полным и предусматривать действия в самых различных экстренных ситуациях, он также должен регулярно проходить тестирование на предмет своей эффективности;
• компаниям необходимо проводить оценку достаточности собственных ресурсов, требуемых для выполнения всех мероприятий в области безопасности – от выявления угроз и уязвимых мест до выбора и внедрения верных решений. Независимые фирмы, основной деятельностью которых является оказание услуг в области информационных технологий и информационной безопасности, могут стать самым экономически оправданным вариантом, учитывая объем их знаний, квалификацию, опыт и объективность.Опрос показал, что многие компании не интересуются вопросами соблюдения стандартов информационной безопасности третьими сторонами.
Те компании, которые обмениваются конфиденциальной информацией по компьютерным сетям с ключевыми деловыми партнерами (независимыми подрядчиками, филиалами, поставщиками, клиентами), ожидают, что их контрагенты обеспечат их данным такой же уровень защиты, который поддерживают они сами. Точно так же компании, постоянно осуществляющие торговые сделки через компьютерные сети, ожидают, что третьи стороны обеспечат постоянный доступ и функционирование своих информационных систем.
По оценкам значительной части участников нашего опроса в СНГ, их коллеги и деловые партнеры в состоянии гарантировать примерно такой же уровень обнаружения атак и обеспечения деятельности в случае вторжения, как и они сами. Тем не менее создается впечатление, что многие компании как в СНГ, так и во всем мире не уделяют внимания вопросу о достаточности информационной безопасности третьих сторон. Иногда этот вопрос действительно не имеет значения, например, если клиент – частное лицо или если в деловых отношениях практически не используются информационные системы. В других случаях компании, возможно, не обращают внимания на соблюдение стандартов безопасности третьими лицами просто потому, что не задумываются о последствиях, которые для них может иметь инцидент в области безопасности.Комментарий «Эрнст энд Янг»:
• компания, ведущая активный обмен информацией с деловыми партнерами через компьютерные сети и системы, подвергается серьезному риску. Такая компания должна настаивать на соблюдении минимальных стандартов информационной безопасности всеми участвующими в информационном обмене сторонами;
• компании должны представлять себе объем возможного ущерба для своей деятельности, который они могут понести в случае сбоя в работе систем третьих сторон (например, интернет-провайдера или Web-хостинга). Если такой ущерб оценивается как значительный, сторонам следует официально согласовать план мероприятий, позволяющих обеспечить непрерывность деятельности. Кроме того, компании необходимо ознакомиться с программами третьих сторон по обеспечению непрерывности деятельности и ее восстановлению в экстренных ситуациях для оценки их адекватности;
• если компании известно о том, что ее конкуренты обеспечивают более высокие стандарты информационной безопасности, то необходимо оценить, не станет ли в долгосрочной перспективе этот факт преимуществом конкурентов. Этот вопрос имеет особенно важное значение для компаний, которые занимаются электронной торговлей или работают со строго конфиденциальными данными. В таком случае преимущества по обеспечению безопасности информационной среды вполне могут оправдать затраты, связанные с инвестициями в этой области.Обеспечение непрерывности деятельности компаний в экстренных ситуациях требует особого внимания из-за частых сбоев в работе их систем.
Наше исследование показало, что перед руководителями компаний в СНГ стоят те же проблемы, связанные с отказами в работе важнейших систем, что и перед их коллегами за рубежом.
Среди участников опроса в СНГ 54 % (52 % участников опроса в мире) признали, что в прошедшем году им приходилось сталкиваться с неожиданным выходом из строя (отказом) важной системы более чем на 2 часа. Основные причины сбоя носили технический характер, то есть были связаны с отказами программного и аппаратного обеспечения, систем связи и инфраструктуры.
Однако многие отказы, о которых сообщили участники опроса, были вызваны следующими обстоятельствами:
• отказом в работе систем третьих сторон – это подтверждает необходимость оценки стандартов информационной безопасности, используемых третьими сторонами, от которых зависит деятельность компании;
• преднамеренными атаками – вирусами и атаками с целью вызвать отказ в обслуживании (DDoS);
• человеческим фактором – операционной ошибкой (например, загрузкой неправильного программного обеспечения), системными перегрузками.Рис. П2.5. Основные причины отказов важнейших систем
Рис. П2.6. Основные угрозы информационной безопасности (не связанные с техникой)
Но все больше компаний начинает отдавать себе отчет в значимости таких внутренних угроз, связанных с информационными системами, как нарушения в работе, вызванные действиями сотрудников. Серьезную обеспокоенность вызывают также атаки DDoS и хищение конфиденциальной информации.
В СНГ потеря клиентских данных не считается столь серьезной проблемой, как в западных странах, в связи с тем, что законодательство об охране конфиденциальности данных практически отсутствует. Кроме того, компании в СНГ не считают серьезной угрозу доступа сторонних консультантов к информационным системам, так как не часто используют их услуги. Хакеры-дилетанты рассматриваются в качестве угрозы международными компаниями в большей степени, чем участниками опроса в СНГ, вероятно, потому, что именно известные западные компании нередко подвергались таким атакам за последние годы.
Учитывая участившиеся случаи отказов важнейших систем и причины этих отказов, многие участники опроса сообщили, что бюджет, выделяемый на обеспечение информационной безопасности, предназначен не только для совершенствования технологии, но и для работы по программам обеспечения непрерывности деятельности и ее восстановления в экстренных ситуациях. Как представляется, организационным мерам безопасности, например составлению официальных правил и процедур, а также приобретению опытных специалистов (передача некоторых функций бизнеса на субподряд, привлечение консультантов для проведения экспертизы, подбор подготовленного персонала или обеспечение обучения и повышения квалификации) придается второстепенное значение.
Рис. П2.7. Основные области вложения средств в информационную безопасность
В опросе по СНГ, который мы проводили в 2001 году, в качестве одной из главных проблем обеспечения информационной безопасности на должном уровне компании называли недостаточную информированность. Несмотря на это, компании по-прежнему не уделяют данному вопросу достаточного внимания. Менее 40 % участников опроса в СНГ сообщили, что они проводят регулярное обучение. Еще меньше (20 %) постоянно проводят семинары и инструктажи по информационной безопасности.
Таблица П2.1. Передача функций безопасности на субподряд
В СНГ довольно небольшое число компаний (по сравнению с другими странами) передает функции бизнеса на субподряд или внешнее ведение. Среди передаваемых функций большую долю занимает Web-хостинг, оказание интернет-услуг, виртуальные выделенные сети и удаленный доступ. Тем не менее контроль за состоянием информационных сетей и систем все чаще передается на субподряд, возможно, из-за неуверенности в способности обнаружить атаку собственными силами и продолжать деятельность в случае такой атаки.