Политики безопасности компании при работе в Интернет - Сергей Петренко

 защита важнейшей деловой информации;

Лишь 48 % участников опроса в СНГ (по сравнению с 70 % участников опроса по всему миру) оценили свой уровень защиты важнейшей деловой информации, как соответствующий мировому уровню или достаточный. Можно сделать вывод, что многие компании в СНГ чувствуют себя уязвимыми из-за отсутствия целостного подхода к вопросам информационной безопасности.

 выявление вторжений и атак на информационные системы;

Уверенность в способности своей компании обнаруживать хакерские атаки выразили 59 % участников опроса в СНГ (66 % участников опроса в мире).

 обеспечение непрерывной деятельности в случае атаки.

Всего 54 % участников нашего опроса (67 % участников опроса в мире) вполне уверены в способности своей компании продолжать деятельность в случае хакерской атаки или иной экстренной ситуации. Хотя в результате прошлого опроса мы выяснили, что в большинстве компаний СНГ имеются планы обеспечения деятельности в экстренной ситуации, но они, очевидно, не являются полными, не протестированы и, соответственно, неэффективны для предотвращения сбоев в деятельности компании. В СНГ наибольшую уверенность относительно принятых мер информационной безопасности выражают компании, занимающиеся банковской деятельностью, информационными технологиями и операциями с ценными бумагами, а также работающие в нефтегазовой отрасли. Что касается общего мнения, то участники опроса и в СНГ, и во всем мире сочли, что информационная безопасность лучше всего обеспечивается в банковском секторе.

Комментарий «Эрнст энд Янг»:

• лучшая защита от вторжений в информационные системы – профилактические меры. В компаниях должна присутствовать официальная процедура непрерывного анализа выявленных уязвимых мест. Необходимо регулярно проводить оценку рисков по информационной безопасности, обеспечивая комплексный и своевременный анализ уязвимости сети по отношению к внешним или внутренним вторжениям;

• после обнаружения уязвимых мест в системе следует принять меры, чтобы не допустить использования этих мест хакерами. Выбор верного решения по обеспечению безопасности может оказаться сложной задачей. Здесь важно отдавать себе отчет в том, что решение, оптимальное для одной компании, может оказаться абсолютно непригодным для другой. Выбранное решение должно обеспечивать защиту от комплекса угроз и уязвимых мест, характерных для данной компании;

• бессистемная, выборочная реализация средств безопасности не обеспечивает необходимого уровня защиты. Чтобы надежно защитить важнейшую деловую информацию, компаниям необходимо интегрировать вопросы физической и информационной безопасности в единый для всей организации свод правил, стандартов и инструкций. Стратегия безопасности проверяется на прочность в своем самом слабом звене;

• системы обнаружения вторжений (IDS) обеспечивают раннее обнаружение атак на информационные системы, давая специалистам по безопасности возможность отследить нарушителя, представить себе возможные последствия инцидента, оценить его значение, а затем принять меры, необходимые для минимизации ущерба и предотвращения атак в будущем;

• компаниям необходимо составлять планы мероприятий по обеспечению непрерывности и восстановлению своей деятельности в экстренных ситуациях, особенно если такая деятельность в значительной степени зависит от информационных систем. Этот план должен быть полным и предусматривать действия в самых различных экстренных ситуациях, он также должен регулярно проходить тестирование на предмет своей эффективности;

• компаниям необходимо проводить оценку достаточности собственных ресурсов, требуемых для выполнения всех мероприятий в области безопасности – от выявления угроз и уязвимых мест до выбора и внедрения верных решений. Независимые фирмы, основной деятельностью которых является оказание услуг в области информационных технологий и информационной безопасности, могут стать самым экономически оправданным вариантом, учитывая объем их знаний, квалификацию, опыт и объективность.

Опрос показал, что многие компании не интересуются вопросами соблюдения стандартов информационной безопасности третьими сторонами.

Те компании, которые обмениваются конфиденциальной информацией по компьютерным сетям с ключевыми деловыми партнерами (независимыми подрядчиками, филиалами, поставщиками, клиентами), ожидают, что их контрагенты обеспечат их данным такой же уровень защиты, который поддерживают они сами. Точно так же компании, постоянно осуществляющие торговые сделки через компьютерные сети, ожидают, что третьи стороны обеспечат постоянный доступ и функционирование своих информационных систем.

По оценкам значительной части участников нашего опроса в СНГ, их коллеги и деловые партнеры в состоянии гарантировать примерно такой же уровень обнаружения атак и обеспечения деятельности в случае вторжения, как и они сами. Тем не менее создается впечатление, что многие компании как в СНГ, так и во всем мире не уделяют внимания вопросу о достаточности информационной безопасности третьих сторон. Иногда этот вопрос действительно не имеет значения, например, если клиент – частное лицо или если в деловых отношениях практически не используются информационные системы. В других случаях компании, возможно, не обращают внимания на соблюдение стандартов безопасности третьими лицами просто потому, что не задумываются о последствиях, которые для них может иметь инцидент в области безопасности.

Комментарий «Эрнст энд Янг»:

• компания, ведущая активный обмен информацией с деловыми партнерами через компьютерные сети и системы, подвергается серьезному риску. Такая компания должна настаивать на соблюдении минимальных стандартов информационной безопасности всеми участвующими в информационном обмене сторонами;

• компании должны представлять себе объем возможного ущерба для своей деятельности, который они могут понести в случае сбоя в работе систем третьих сторон (например, интернет-провайдера или Web-хостинга). Если такой ущерб оценивается как значительный, сторонам следует официально согласовать план мероприятий, позволяющих обеспечить непрерывность деятельности. Кроме того, компании необходимо ознакомиться с программами третьих сторон по обеспечению непрерывности деятельности и ее восстановлению в экстренных ситуациях для оценки их адекватности;

• если компании известно о том, что ее конкуренты обеспечивают более высокие стандарты информационной безопасности, то необходимо оценить, не станет ли в долгосрочной перспективе этот факт преимуществом конкурентов. Этот вопрос имеет особенно важное значение для компаний, которые занимаются электронной торговлей или работают со строго конфиденциальными данными. В таком случае преимущества по обеспечению безопасности информационной среды вполне могут оправдать затраты, связанные с инвестициями в этой области.

Обеспечение непрерывности деятельности компаний в экстренных ситуациях требует особого внимания из-за частых сбоев в работе их систем.

Наше исследование показало, что перед руководителями компаний в СНГ стоят те же проблемы, связанные с отказами в работе важнейших систем, что и перед их коллегами за рубежом.

Среди участников опроса в СНГ 54 % (52 % участников опроса в мире) признали, что в прошедшем году им приходилось сталкиваться с неожиданным выходом из строя (отказом) важной системы более чем на 2 часа. Основные причины сбоя носили технический характер, то есть были связаны с отказами программного и аппаратного обеспечения, систем связи и инфраструктуры.

Однако многие отказы, о которых сообщили участники опроса, были вызваны следующими обстоятельствами:

• отказом в работе систем третьих сторон – это подтверждает необходимость оценки стандартов информационной безопасности, используемых третьими сторонами, от которых зависит деятельность компании;

• преднамеренными атаками – вирусами и атаками с целью вызвать отказ в обслуживании (DDoS);

• человеческим фактором – операционной ошибкой (например, загрузкой неправильного программного обеспечения), системными перегрузками....

Рис. П2.5. Основные причины отказов важнейших систем

...

Рис. П2.6. Основные угрозы информационной безопасности (не связанные с техникой)

Но все больше компаний начинает отдавать себе отчет в значимости таких внутренних угроз, связанных с информационными системами, как нарушения в работе, вызванные действиями сотрудников. Серьезную обеспокоенность вызывают также атаки DDoS и хищение конфиденциальной информации.