Политики безопасности компании при работе в Интернет
Шрифт:
Шаг 4. Избыточность VPN-концентратора. Хотя в данный момент доступ через VPN не является критически важным, но при изменении этого требования может понадобиться покупка дополнительно концентратора. Если не будет возможности купить такую же модель, можно остановиться на модели Cisco VPN 3005 для первичной замены в случае выхода из строя основного концентратора. Следует задать правила безопасности.
Шаг 5. Избыточность сервера syslog. Сервер – центральная и единственная точка сбора всех журналов, и его доступность является критически важной для функционирования сети. Рекомендуется организовать кластеризацию программного обеспечения сервера и определить правила безопасности.
Шаг 6. Избыточность инфраструктуры компании. Для повышения отказо– и катастрофоустойчивости инфраструктуры компании рекомендуется
Приложение 1 ОЦЕНКА СОСТОЯНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В США
В начале 2005 года Институт компьютерной безопасности (Computer Security Institute, CSI) и Группа по компьютерным вторжениям отделения Федерального бюро расследований в Сан-Франциско (San Francisco Federal Bureau of Investigation\'s Computer Intrusion Squad) опубликовали очередное, девятое, исследование состояния информационной безопасности в США. Этот проект (www.GoCSI.соm) является наиболее продолжительным в мире по времени по сравнению с аналогичными. Как изменилась динамика инцидентов в области информационной безопасности в 2004 году? Какие проблемы безопасности сегодня злободневны? Как эти проблемы безопасности проецируются на российские компании и организации? Далее представлены основные результаты исследования CSI/FBI2004 года и комментарии к ним.
Новые проблемы безопасности. Исследование CSI/FBI 2004 года наряду с хорошо известными техническими проблемами в области защиты информации выявило ряд новых проблем. К ним относятся:
• оценка требуемых затрат на защиту информации;
• оценка возврата инвестиций на защиту информации;
• определение потребностей в обучении по вопросам безопасности;
• расчет требуемого бюджета на защиту информации;
• оценка возможности аутсорсинга решения задач в области защиты информации;
• оценка влияния законодательных актов, и в частности закона Сарбейнса-Оксли 2002 года, на организацию режима информационной безопасности предприятия;
• оценка возможности внешнего страхования информационных рисков и роли аудита безопасности.
Интересно отметить, что все перечисленные проблемы так или иначе связаны с экономическими аспектами защиты информации, а также с вопросами управления информационными рисками, которые являются не менее актуальными и для российских компаний и организаций.
Состав респондентов. Результаты исследования CSI/FBI 2004 года основаны на ответах 494 респондентов из числа лиц, ответственных за организацию режима информационной безопасности на предприятии. Сводные данные по респондентам, представлявшим ведущие предприятия из различных отраслей экономики США, приведены на рис. П1.1-П1.4. Большая часть респондентов (см. рис. П1.1) была из финансового сектора экономики США (19 %), за ними следовали респонденты из области высоких технологий (13 %) и сферы производства (12 %). Респонденты из правительственных учреждений и организаций (на федеральном и местном уровне) составили 13 %, а на долю респондентов из учебных заведений пришлось только 7 %.
Рис. П1.1. Распределение респондентов по отраслям экономики США
По количеству сотрудников (см. рис. П1.2) лидируют предприятия и организации, насчитывающие от 1,5 тыс, до 9 999 работников (31 %), и с численностью сотрудников менее 100 работников (19 %). Предприятия и организации, насчитывающие 50 тыс, и более работников, составили 7 %.
Рис. П1.2. Распределение респондентов по количеству сотрудников на предприятии
Данные по годовым доходам опрашиваемых предприятий и организаций представлены на рис. П1.3. Доход 57 % предприятий и организаций составил более 100 млн. долларов, включая 37 % организаций с доходом более 1 млрд. долларов. Доход 20 % предприятий и организаций составил менее 10 млн. долларов. Новыми для исследования 2004 года стали данные по занимаемым должностям респондентов на предприятии (см. рис. П1.4). Как оказалось, в исследовании приняло участие 18 % руководителей высшего эшелона управления предприятиями: 4 % респондентов –
президенты компаний и учреждений (СЕО), 8 % – начальники служб автоматизации (СIO) и 6 % – начальники служб информационной безопасности (CISO). Большая часть респондентов (53 %) оказалась представленной менеджерами безопасности предприятий (BISO) и/или техническими специалистами в области защиты информации. При этом 9 % респондентов занимали должность системного администратора, а 19 % – другие инженерные должности.Рис. П1.3. Распределение респондентов по доходам предприятия
Рис. П1.4. Распределение респондентов по занимаемым должностям на предприятии
Бюджеты защиты информации. Исследование 2004 года коснулось вопроса планирования бюджета на защиту информации. Как видно на рис. П1.5, данные по бюджетам опрашиваемых предприятий и организаций на защиту информации распределились следующим образом: 46 % респондентов указали, что на защиту информации выделяется от 1 до 5 % от общего бюджета на информационные технологии; 16 % – менее 1 %; 23 % – более 5 % от бюджета на информационные технологии; 14 % респондентов указали, что сумма бюджета на защиту информации им не известна.
Рис. П1.5. Планирование бюджета на защиту информации предприятия
Определение величины средних эксплуатационных расходов на защиту информации в пересчете на одного работника предприятия показало следующее (см. рис. П.1.6.). Как и следовало ожидать, подтвердилось предположение о том, что по мере роста доходов предприятий эксплуатационные и капитальные затраты на защиту информации растут менее быстрыми темпами. Например, компании с годовым оборотом менее 10 млн. долларов США тратят на одного сотрудника в среднем около 500 долларов (334 доллара эксплуатационных расходов и 163 доллара капитальных затрат), в то время как компании с годовым оборотом более 1 млрд. долларов тратят в среднем около 110 долларов на одного сотрудника (82 доллара эксплуатационных расходов и 30 долларов капитальных затрат).
Рис. П1.6. Средние затраты на защиту информации на одного сотрудника предприятия
Величины затрат на защиту информации в перерасчете на одного сотрудника предприятия по отраслям экономики США представлены на рис, П1.7. Как оказалось, самые большие затраты на защиту информации (608 долларов) на предприятиях транспорта (449 долларов эксплуатационных расходов и 159 долларов капитальных затрат на одного сотрудника). Далее по убыванию эксплуатационных расходов следует федеральное правительство (261 доллар), предприятия телекоммуникаций (209 долларов) и высоких технологий (183 доллара). С точки зрения капитальных затрат на защиту информации в убывающем порядке места распределились следующим образом: в отрасли телекоммуникаций (150 долларов), в отрасли высоких технологий (83 доллара) и в федеральном правительстве (61 доллар).
Рис. П1.7. Средние затраты на защиту информации на одного сотрудника предприятия по отраслям экономики США
Интересно отметить, что если федеральное правительство сообщило об одних из самых больших затратах на защиту информации на одного сотрудника, правительственные учреждения на местах тратят на одного сотрудника меньше всего (примерно 17 долларов), а правительства штатов по аналогичным затратам оказались где-то посередине (примерно 154 доллара).