В СНГ потеря клиентских данных не считается столь серьезной проблемой, как в западных странах, в связи с тем, что законодательство об охране конфиденциальности данных практически отсутствует. Кроме того, компании в СНГ не считают серьезной угрозу доступа сторонних консультантов к информационным системам, так как не часто используют их услуги. Хакеры-дилетанты рассматриваются в качестве угрозы международными компаниями в большей степени, чем участниками опроса в СНГ, вероятно, потому, что именно известные западные компании нередко подвергались таким атакам за последние годы.
Учитывая участившиеся случаи отказов важнейших систем и причины этих отказов, многие участники опроса сообщили, что бюджет, выделяемый на обеспечение информационной безопасности, предназначен не только для совершенствования технологии, но и для работы по программам обеспечения непрерывности деятельности и ее восстановления в экстренных ситуациях. Как представляется, организационным мерам безопасности, например составлению официальных правил и процедур, а также приобретению опытных специалистов (передача некоторых функций бизнеса на субподряд, привлечение консультантов для проведения экспертизы, подбор подготовленного персонала или обеспечение обучения и повышения квалификации) придается второстепенное значение.
Рис. П2.7. Основные области вложения средств в информационную безопасность
В опросе по СНГ, который мы проводили в 2001 году, в качестве одной из главных проблем обеспечения информационной безопасности на должном уровне компании называли недостаточную информированность. Несмотря на это, компании по-прежнему не уделяют данному вопросу достаточного внимания. Менее 40 % участников опроса в СНГ сообщили, что они проводят регулярное обучение. Еще меньше (20 %) постоянно проводят семинары и инструктажи по информационной безопасности.
Таблица П2.1. Передача функций безопасности на субподряд
В СНГ довольно небольшое число компаний (по сравнению с другими странами) передает функции бизнеса на субподряд или внешнее ведение. Среди передаваемых функций большую долю занимает Web-хостинг, оказание интернет-услуг, виртуальные выделенные сети и удаленный доступ. Тем не менее контроль за состоянием информационных сетей и систем все чаще передается на субподряд, возможно, из-за неуверенности в способности обнаружить атаку собственными силами и продолжать деятельность в случае такой атаки.
Комментарий «Эрнст энд Янг»:
• по мере постоянного усложнения информационных систем отдельные сбои становятся неизбежными. Иногда бывает невозможно предотвратить отказы аппаратного и программного обеспечения и систем связи, а учитывая повысившуюся вероятность террористических актов, направленных на глобальную информационную инфраструктуру, компаниям необходимо разработать эффективную программу обеспечения непрерывности деятельности и ее восстановления в экстренных ситуациях;
• во многих компаниях наблюдается непропорционально высокий объем вложений в технические средства обеспечения безопасности. Однако следует уделять больше внимания самим процессам обеспечения безопасности и человеческому фактору в этих процессах. Перечисленные ниже аспекты являются самыми важными для минимизации риска отказа систем в результате ошибки сотрудника, недостаточной информированности персонала по вопросам безопасности или в случае преднамеренной атаки:
– создание официальных процедур для проведения таких операций, как загрузка новых программных приложений и планирование системной нагрузки, позволяет избежать операционных ошибок и перегрузки систем;
– программы обучения и семинары по вопросам безопасности снижают риск того, что сотрудники сведут на нет преимущества технических средств (из-за неправильной конфигурации самого надежного межсетевого фильтра или открытия зараженного файла);
– жесткие процедуры и правила по использованию паролей и получению прав доступа уменьшают риск внутренней атаки (например, со стороны недовольного сотрудника) или со стороны деловых партнеров, имеющих санкционированный доступ в сети и системы компании.
Таблица П2.2. Бюджеты информационной безопасностиГлавное препятствие на пути эффективного обеспечения информационной безопасности – недостаток финансирования.
Сегодня большинство компаний хорошо осведомлены о необходимости действенных мер по обеспечению информационной безопасности. Однако осознание важности информационной безопасности – это лишь первый шаг. Для достижения практических результатов требуются ресурсы. Компаниями, работающими в сфере высоких технологий, выделяются самые крупные бюджеты на развитие информационных систем. За ними следуют компании банковского сектора, финансовые и телекоммуникационные компании.
Согласно данным опроса, главными препятствиями на пути обеспечения информационной безопасности являются другие приоритеты в распределении ресурсов и бюджетные ограничения. Компании нередко выделяют единый бюджет на удовлетворение всех потребностей по информационным системам (аппаратное и программное обеспечение, зарплата, консультанты и т. п.), при этом основная часть средств идет на повышение производительности, а вопросы информационной безопасности остаются без внимания.
Еще одна серьезная проблема – нехватка квалифицированного персонала. Причиной этого, вероятно, является ограниченный бюджет, выделяемый на его привлечение, и недостаточные вложения в программы обучения. Помимо этого, компании в СНГ довольно редко привлекают к работе независимых подрядчиков, несмотря на недостаточный опыт собственных сотрудников в решении вопросов информационной безопасности.Комментарий «Эрнст энд Янг»:
• последние 10 лет мы наблюдаем постоянное расхождение объемов финансирования в обеспечении безопасности по отношению к финансированию сферы ИТ в целом. В связи с этим у многих компаний уже сегодня может возникнуть угроза сбоя работы их систем, вторжений и вирусных атак. Единственный способ изменить эту тенденцию – решить вопросы информационной безопасности. Это означает, что стратегия информационной безопасности должна быть основана на требованиях бизнеса и руководители компании должны быть информированы о рисках и последствиях нарушения безопасности для бизнеса. (Компании, которые никогда не сталкивались в реальности с нарушением безопасности, могут провести моделирование «этичной» хакерской атаки на информационные системы, чтобы полностью представить себе, какими будут последствия и ущерб от реального инцидента.);
• экономические выгоды от внедрения комплексной структуры и соблюдения правил в области безопасности следует довести до сведения руководства компании и совета директоров. Только у них имеются полномочия отдавать распоряжения и выделять ресурсы, необходимые для укрепления информационной безопасности;
• нередко приходится видеть, как компания принимает меры по укреплению информационной безопасности только после произошедшего инцидента, причем для решения проблемы выбирается временный вариант. Такой односторонний и устаревший подход приводит к увеличению затрат и потере и без того ограниченных финансовых ресурсов. Взвешенный, инициативный, комплексный подход к обеспечению информационной безопасности в масштабах всей организации в конечном итоге часто оказывается дешевле.Данные опроса показывают, что многие компании в СНГ не заботятся о соблюдении законодательства в области информационной безопасности.
Информационная безопасность – относительно новая тема, и правительства ряда стран продолжают совершенствовать законодательство в этой сфере и разрабатывать официальные структуры поддержки, необходимые для защиты компаний и граждан от компьютерных преступлений.
Некоторые из участников нашего опроса, занимающиеся банковской деятельностью, страхованием, телекоммуникациями, операциями с ценными бумагами и управлением средствами фондов, заявили, что нормативные документы, регламентирующие вопросы безопасности, оказывают серьезное влияние на сферу их деятельности. Однако результаты нашего опроса показывают, что компании, работающие в одних и тех же отраслях, имеют совершенно разное мнение относительно масштаба такого влияния. Это является очевидным подтверждением недостаточной осведомленности и ясности относительно того, какими документами регламентируются вопросы информационной безопасности.
Среди участников опроса в СНГ 13 % признали, что они не соблюдают действующие нормативные документы в области безопасности, а еще 27 % заявили, что не обязаны выполнять подобные требования. В действительности, принятые недавно законы налагают на компании новые обязательства по обеспечению защиты информации персонального характера (информация по клиентам и сотрудникам).Комментарий «Эрнст энд Янг»: • во всем мире ужесточаются требования законодательства к обеспечению достаточного уровня информационной безопасности, причем многие из них распространяются и на страны СНГ. Компаниям необходимо получить консультацию профессионального юриста относительно нормативных документов, которым необходимо следовать, или государственного ведомства, куда следует обращаться по вопросам информационной безопасности.
Резюме
В результате недостаточного финансирования в сфере информационной безопасности, наблюдавшегося в течение последних десятилетий, многие компании оказались не защищенными от сбоев в деятельности важнейших систем, вирусных атак и хищения конфиденциальной информации. Только теперь компании начинают осознавать насущную необходимость усиления безопасности:
• обеспечение информационной безопасности – поддержка совета директоров;
Обеспечение действенной системы информационной безопасности требует принятия мер в масштабах всей организации и при поддержке «на самом верху». Руководство компании и совет директоров должны быть полностью осведомлены о возможном ущербе для бизнеса и репутации компании в результате нарушения безопасности или отказа в работе систем. Варианты стратегии и политика в области безопасности должны быть направлены на защиту важнейших активов и поддержку бизнеса компании. Все перечисленные факторы имеют большое значение для обоснования необходимости выделения ресурсов и получения поддержки, без которых невозможно реализовать комплексную стратегию безопасности.