- Любовные романы
- Фантастика и фэнтези
- Ненаучная фантастика
- Ироническое фэнтези
- Научная Фантастика
- Фэнтези
- Ужасы и Мистика
- Боевая фантастика
- Альтернативная история
- Космическая фантастика
- Попаданцы
- Юмористическая фантастика
- Героическая фантастика
- Детективная фантастика
- Социально-психологическая
- Боевое фэнтези
- Русское фэнтези
- Киберпанк
- Романтическая фантастика
- Городская фантастика
- Технофэнтези
- Мистика
- Разная фантастика
- Иностранное фэнтези
- Историческое фэнтези
- LitRPG
- Эпическая фантастика
- Зарубежная фантастика
- Городское фентези
- Космоопера
- Разное фэнтези
- Книги магов
- Любовное фэнтези
- Постапокалипсис
- Бизнес
- Историческая фантастика
- Социально-философская фантастика
- Сказочная фантастика
- Стимпанк
- Романтическое фэнтези
- Ироническая фантастика
- Детективы и Триллеры
- Проза
- Юмор
- Феерия
- Новелла
- Русская классическая проза
- Современная проза
- Повести
- Контркультура
- Русская современная проза
- Историческая проза
- Проза
- Классическая проза
- Советская классическая проза
- О войне
- Зарубежная современная проза
- Рассказы
- Зарубежная классика
- Очерки
- Антисоветская литература
- Магический реализм
- Разное
- Сентиментальная проза
- Афоризмы
- Эссе
- Эпистолярная проза
- Семейный роман/Семейная сага
- Поэзия, Драматургия
- Приключения
- Детская литература
- Загадки
- Книга-игра
- Детская проза
- Детские приключения
- Сказка
- Прочая детская литература
- Детская фантастика
- Детские стихи
- Детская образовательная литература
- Детские остросюжетные
- Учебная литература
- Зарубежные детские книги
- Детский фольклор
- Буквари
- Книги для подростков
- Школьные учебники
- Внеклассное чтение
- Книги для дошкольников
- Детская познавательная и развивающая литература
- Детские детективы
- Домоводство, Дом и семья
- Юмор
- Документальные книги
- Бизнес
- Работа с клиентами
- Тайм-менеджмент
- Кадровый менеджмент
- Экономика
- Менеджмент и кадры
- Управление, подбор персонала
- О бизнесе популярно
- Интернет-бизнес
- Личные финансы
- Делопроизводство, офис
- Маркетинг, PR, реклама
- Поиск работы
- Бизнес
- Банковское дело
- Малый бизнес
- Ценные бумаги и инвестиции
- Краткое содержание
- Бухучет и аудит
- Ораторское искусство / риторика
- Корпоративная культура, бизнес
- Финансы
- Государственное и муниципальное управление
- Менеджмент
- Зарубежная деловая литература
- Продажи
- Переговоры
- Личная эффективность
- Торговля
- Научные и научно-популярные книги
- Биофизика
- География
- Экология
- Биохимия
- Рефераты
- Культурология
- Техническая литература
- История
- Психология
- Медицина
- Прочая научная литература
- Юриспруденция
- Биология
- Политика
- Литературоведение
- Религиоведение
- Научпоп
- Психология, личное
- Математика
- Психотерапия
- Социология
- Воспитание детей, педагогика
- Языкознание
- Беременность, ожидание детей
- Транспорт, военная техника
- Детская психология
- Науки: разное
- Педагогика
- Зарубежная психология
- Иностранные языки
- Филология
- Радиотехника
- Деловая литература
- Физика
- Альтернативная медицина
- Химия
- Государство и право
- Обществознание
- Образовательная литература
- Учебники
- Зоология
- Архитектура
- Науки о космосе
- Ботаника
- Астрология
- Ветеринария
- История Европы
- География
- Зарубежная публицистика
- О животных
- Шпаргалки
- Разная литература
- Зарубежная литература о культуре и искусстве
- Пословицы, поговорки
- Боевые искусства
- Прочее
- Периодические издания
- Фанфик
- Военное
- Цитаты из афоризмов
- Гиды, путеводители
- Литература 19 века
- Зарубежная образовательная литература
- Военная история
- Кино
- Современная литература
- Военная техника, оружие
- Культура и искусство
- Музыка, музыканты
- Газеты и журналы
- Современная зарубежная литература
- Визуальные искусства
- Отраслевые издания
- Шахматы
- Недвижимость
- Великолепные истории
- Музыка, танцы
- Авто и ПДД
- Изобразительное искусство, фотография
- Истории из жизни
- Готические новеллы
- Начинающие авторы
- Спецслужбы
- Подростковая литература
- Зарубежная прикладная литература
- Религия и духовность
- Старинная литература
- Справочная литература
- Компьютеры и Интернет
- Блог
Политики безопасности компании при работе в Интернет - Сергей Петренко
Шрифт:
Интервал:
Закладка:
Рис. П2.6. Основные угрозы информационной безопасности (не связанные с техникой)
Но все больше компаний начинает отдавать себе отчет в значимости таких внутренних угроз, связанных с информационными системами, как нарушения в работе, вызванные действиями сотрудников. Серьезную обеспокоенность вызывают также атаки DDoS и хищение конфиденциальной информации.
В СНГ потеря клиентских данных не считается столь серьезной проблемой, как в западных странах, в связи с тем, что законодательство об охране конфиденциальности данных практически отсутствует. Кроме того, компании в СНГ не считают серьезной угрозу доступа сторонних консультантов к информационным системам, так как не часто используют их услуги. Хакеры-дилетанты рассматриваются в качестве угрозы международными компаниями в большей степени, чем участниками опроса в СНГ, вероятно, потому, что именно известные западные компании нередко подвергались таким атакам за последние годы.
Учитывая участившиеся случаи отказов важнейших систем и причины этих отказов, многие участники опроса сообщили, что бюджет, выделяемый на обеспечение информационной безопасности, предназначен не только для совершенствования технологии, но и для работы по программам обеспечения непрерывности деятельности и ее восстановления в экстренных ситуациях. Как представляется, организационным мерам безопасности, например составлению официальных правил и процедур, а также приобретению опытных специалистов (передача некоторых функций бизнеса на субподряд, привлечение консультантов для проведения экспертизы, подбор подготовленного персонала или обеспечение обучения и повышения квалификации) придается второстепенное значение.
...Рис. П2.7. Основные области вложения средств в информационную безопасность
В опросе по СНГ, который мы проводили в 2001 году, в качестве одной из главных проблем обеспечения информационной безопасности на должном уровне компании называли недостаточную информированность. Несмотря на это, компании по-прежнему не уделяют данному вопросу достаточного внимания. Менее 40 % участников опроса в СНГ сообщили, что они проводят регулярное обучение. Еще меньше (20 %) постоянно проводят семинары и инструктажи по информационной безопасности.
Таблица П2.1. Передача функций безопасности на субподряд
В СНГ довольно небольшое число компаний (по сравнению с другими странами) передает функции бизнеса на субподряд или внешнее ведение. Среди передаваемых функций большую долю занимает Web-хостинг, оказание интернет-услуг, виртуальные выделенные сети и удаленный доступ. Тем не менее контроль за состоянием информационных сетей и систем все чаще передается на субподряд, возможно, из-за неуверенности в способности обнаружить атаку собственными силами и продолжать деятельность в случае такой атаки.
Комментарий «Эрнст энд Янг»:
• по мере постоянного усложнения информационных систем отдельные сбои становятся неизбежными. Иногда бывает невозможно предотвратить отказы аппаратного и программного обеспечения и систем связи, а учитывая повысившуюся вероятность террористических актов, направленных на глобальную информационную инфраструктуру, компаниям необходимо разработать эффективную программу обеспечения непрерывности деятельности и ее восстановления в экстренных ситуациях;
• во многих компаниях наблюдается непропорционально высокий объем вложений в технические средства обеспечения безопасности. Однако следует уделять больше внимания самим процессам обеспечения безопасности и человеческому фактору в этих процессах. Перечисленные ниже аспекты являются самыми важными для минимизации риска отказа систем в результате ошибки сотрудника, недостаточной информированности персонала по вопросам безопасности или в случае преднамеренной атаки:
– создание официальных процедур для проведения таких операций, как загрузка новых программных приложений и планирование системной нагрузки, позволяет избежать операционных ошибок и перегрузки систем;
– программы обучения и семинары по вопросам безопасности снижают риск того, что сотрудники сведут на нет преимущества технических средств (из-за неправильной конфигурации самого надежного межсетевого фильтра или открытия зараженного файла);
– жесткие процедуры и правила по использованию паролей и получению прав доступа уменьшают риск внутренней атаки (например, со стороны недовольного сотрудника) или со стороны деловых партнеров, имеющих санкционированный доступ в сети и системы компании.
Таблица П2.2. Бюджеты информационной безопасностиГлавное препятствие на пути эффективного обеспечения информационной безопасности – недостаток финансирования.
Сегодня большинство компаний хорошо осведомлены о необходимости действенных мер по обеспечению информационной безопасности. Однако осознание важности информационной безопасности – это лишь первый шаг. Для достижения практических результатов требуются ресурсы. Компаниями, работающими в сфере высоких технологий, выделяются самые крупные бюджеты на развитие информационных систем. За ними следуют компании банковского сектора, финансовые и телекоммуникационные компании.
Согласно данным опроса, главными препятствиями на пути обеспечения информационной безопасности являются другие приоритеты в распределении ресурсов и бюджетные ограничения. Компании нередко выделяют единый бюджет на удовлетворение всех потребностей по информационным системам (аппаратное и программное обеспечение, зарплата, консультанты и т. п.), при этом основная часть средств идет на повышение производительности, а вопросы информационной безопасности остаются без внимания.
Еще одна серьезная проблема – нехватка квалифицированного персонала. Причиной этого, вероятно, является ограниченный бюджет, выделяемый на его привлечение, и недостаточные вложения в программы обучения. Помимо этого, компании в СНГ довольно редко привлекают к работе независимых подрядчиков, несмотря на недостаточный опыт собственных сотрудников в решении вопросов информационной безопасности.Комментарий «Эрнст энд Янг»:
• последние 10 лет мы наблюдаем постоянное расхождение объемов финансирования в обеспечении безопасности по отношению к финансированию сферы ИТ в целом. В связи с этим у многих компаний уже сегодня может возникнуть угроза сбоя работы их систем, вторжений и вирусных атак. Единственный способ изменить эту тенденцию – решить вопросы информационной безопасности. Это означает, что стратегия информационной безопасности должна быть основана на требованиях бизнеса и руководители компании должны быть информированы о рисках и последствиях нарушения безопасности для бизнеса. (Компании, которые никогда не сталкивались в реальности с нарушением безопасности, могут провести моделирование «этичной» хакерской атаки на информационные системы, чтобы полностью представить себе, какими будут последствия и ущерб от реального инцидента.);
• экономические выгоды от внедрения комплексной структуры и соблюдения правил в области безопасности следует довести до сведения руководства компании и совета директоров. Только у них имеются полномочия отдавать распоряжения и выделять ресурсы, необходимые для укрепления информационной безопасности;
• нередко приходится видеть, как компания принимает меры по укреплению информационной безопасности только после произошедшего инцидента, причем для решения проблемы выбирается временный вариант. Такой односторонний и устаревший подход приводит к увеличению затрат и потере и без того ограниченных финансовых ресурсов. Взвешенный, инициативный, комплексный подход к обеспечению информационной безопасности в масштабах всей организации в конечном итоге часто оказывается дешевле.Данные опроса показывают, что многие компании в СНГ не заботятся о соблюдении законодательства в области информационной безопасности.
Информационная безопасность – относительно новая тема, и правительства ряда стран продолжают совершенствовать законодательство в этой сфере и разрабатывать официальные структуры поддержки, необходимые для защиты компаний и граждан от компьютерных преступлений.
Некоторые из участников нашего опроса, занимающиеся банковской деятельностью, страхованием, телекоммуникациями, операциями с ценными бумагами и управлением средствами фондов, заявили, что нормативные документы, регламентирующие вопросы безопасности, оказывают серьезное влияние на сферу их деятельности. Однако результаты нашего опроса показывают, что компании, работающие в одних и тех же отраслях, имеют совершенно разное мнение относительно масштаба такого влияния. Это является очевидным подтверждением недостаточной осведомленности и ясности относительно того, какими документами регламентируются вопросы информационной безопасности.
