Политики безопасности компании при работе в Интернет - Сергей Петренко

В международном опросе по информационной безопасности приняли участие более 1 400 генеральных директоров, директоров по информационным системам и других руководителей компаний из 66 стран (включая страны СНГ).

...

Рис. П2.1. Участники опроса (по странам)

В настоящем обзоре рассматриваются ответы, полученные только от компаний, ведущих свою деятельность в СНГ. В опросе приняли участие 56 компаний, работающих в России, Украине, Казахстане и Беларуси.

Большинство компаний считает, что основную ответственность за обеспечение информационной безопасности должен нести либо директор по информационным системам (руководитель отдела ИТ), либо директор по безопасности. На самом деле, ответственность за координацию вопросов безопасности должна быть возложена на совет директоров.

...

Рис. П2.2. Участники опроса (по отраслям)

...

Рис. П2.3. Участники опроса (по количеству сотрудников)

По мере усиления зависимости компаний от информационных технологий в их повседневной деятельности даже кратковременное нарушение информационной безопасности, приведшее к сбою систем, уничтожению данных или программ, может иметь катастрофические последствия для бизнеса. Вот почему для руководства компании становится все более важным вопрос о принятии на себя всей полноты ответственности за вопросы информационной безопасности. Кроме того, компании редко докладывают совету директоров о происшествиях в области безопасности и связанных с этим вопросах. Менее 40 % участников опроса (в основном это международные компании) делают такие доклады регулярно (ежеквартально, ежемесячно или чаще).

Опрос показал, что как в СНГ, так и за рубежом ответственным за вопросы информационной безопасности, как правило, назначается руководитель ИТ-подразделений или руководитель отдела общей безопасности. Относительно небольшое число компаний в СНГ, большей частью работающих в сфере ИТ, операций с ценными бумагами и мобильной связи, сообщили, что в их компаниях за эти вопросы отвечает представитель высшего руководства (генеральный директор, финансовый директор или руководитель отдела).

Комментарий «Эрнст энд Янг»:

• планирование и реализация стратегии информационной безопасности должны быть поручены представителю высшего руководства, имеющему полное представление о бизнесе организации и технических аспектах угроз и уязвимых мест в информационных системах. Тем не менее за координацию вопросов безопасности должен отвечать в конечном итоге совет директоров;

• во всем мире наблюдается рост компьютерной преступности. Чем успешнее работают компании в странах СНГ, тем больше возникает рисков в этой области. То, что в прошлом хакеры не атаковали эти компании, не означает, что и в будущем этого не произойдет. Чтобы убедить инвесторов в том, что для защиты важнейших активов компании (то есть ее стоимости) принимаются необходимые меры, совет директоров должен продемонстрировать свое внимание к вопросам информационной безопасности и руководить их решением.

Большинство участников опроса заявили о том, что их стратегия информационной безопасности приведена в соответствие с задачами бизнеса. Однако определенные однажды правила редко пересматриваются, и это вызывает сомнения в том, что они действительно всегда соответствуют бизнес-целям.

Любая стратегия информационной безопасности, чтобы стать эффективной, должна быть нацелена на минимизацию бизнес-рисков и создание конкурентных преимуществ. Исходя из наблюдений, сделанных нами в ходе опроса, большинство компаний в СНГ считают вопросы информационной безопасности важным аспектом своей деятельности. Почти две трети (62 %) участников опроса указали, что их специалисты по информационной безопасности регулярно (ежеквартально, ежемесячно или чаще) встречаются с руководителями подразделений, чтобы обсудить, каким образом меры информационной безопасности могут лучше защитить бизнес и способствовать его расширению.

Тем не менее руководители очень многих компаний в СНГ практически не занимаются вопросами стратегии и политики информационной безопасности. В результате 66 % участников опроса высказали сомнения в том, действительно ли внедренные правила соответствуют целям бизнеса.

Комментарий «Эрнст энд Янг»:

• стратегия информационной безопасности будет способствовать экономии средств только в том случае, если ее внедряют руководители различных подразделений и если она направлена на минимизацию важнейших бизнес-рисков компании. Регулярные встречи между руководством службы информационной безопасности и руководителями компании обеспечивают более полное понимание постоянно меняющихся требований к бизнесу и связанных с ними рисков;

• информационные технологии и информационная безопасность могут служить стимулом для развития бизнеса и создать конкурентное преимущество. Руководители компании должны совместно со специалистами в этих областях постоянно изучать возможности, открывающиеся в связи с новыми достижениями технологий;

• руководство компании должно регулярно пересматривать стратегию и правила информационной безопасности на предмет соответствия задачам бизнеса. Это позволит обеспечить выделение достаточного объема ресурсов компании на решение вопросов информационной безопасности, имеющих огромное значение для бизнеса.

Решения в области информационной безопасности в СНГ реализуются в основном для минимизации рисков, ликвидации уязвимых мест, защиты репутации, создания доверительных отношений с партнерами и соблюдения законодательства.

...

Рис. П2.4. Основные факторы, влияющие на принятие решений в области безопасности

Основополагающей целью большинства мероприятий по информационной безопасности является защита и расширение бизнеса компании.

Участники опроса в СНГ и за рубежом сообщают, что наиболее весомым фактором при принятии решений о внедрении новых технологий информационной безопасности является снижение рисков. Кроме того, компании в СНГ придают большое значение проверкам и оценке безопасности информационных систем с целью выявления и устранения уязвимых мест.

Нередко внедрение решений вызвано необходимостью поддержать репутацию компании и внушить партнерам уверенность в способности компании защитить свои информационные активы. О своей готовности включать в годовую отчетность данные о программах по обеспечению информационной безопасности заявили 71 % участников опроса в СНГ.

Комментарий «Эрнст энд Янг»:

• прежде чем приступить к разработке стратегии информационной безопасности, компании необходимо решить, какие информационные активы имеют наиболее важное значение для ее деятельности. Основное внимание в программе должно уделяться защите этих активов от нарушения конфиденциальности, хищения или уничтожения;

• любые изменения в информационных системах и сетях приведут к появлению новых уязвимых мест. Даже при отсутствии изменений в существующем программном и аппаратном обеспечении постоянно обнаруживаются все новые уязвимые места. Этим часто пользуются хакеры для проникновения в информационные системы, поэтому компаниям необходимо научиться оперативно распознавать такие места и разрабатывать контрмеры по защите;

• успех многих компаний зависит исключительно от их репутации. Однажды случившееся нарушение в области безопасности может подорвать доверие к компании со стороны клиентов и инвесторов. Вот почему профилактические меры должны приниматься заблаговременно.

Многие компании в СНГ не уверены в достаточности принимаемых ими мер по обеспечению информационной безопасности.

Сегодня большинство компаний принимают меры для защиты своих информационных систем. В ходе предыдущего опроса, проведенного «Эрнст энд Янг» в 2001 году, нами было выявлено, что многие компании стран СНГ внедрили антивирусную защиту, межсетевые экраны и системы обнаружения вторжения. Тем не менее эти меры не обеспечивают стопроцентной защиты, и в ходе опроса 2003 года было установлено, что в целом по СНГ не хватает уверенности в уровне обеспечения безопасности:

•  выявление уязвимых мест в системах;

По сравнению с 66 % участников опроса во всем мире только 48 % участников опроса в странах СНГ заявили, что их компании могут с достаточной степенью уверенности выявить уязвимые места в своих информационных системах. Такая ситуация говорит о недостаточном внимании к этому вопросу со стороны руководства, недостаточности имеющихся средств, квалификации и опыта, а также об отсутствии правил и процедур обнаружения уязвимых мест и принятия мер по их устранению.