Чтение онлайн

В начале 2004 года компания «Эрнст энд Янг» опубликовала результаты своего исследования состояния информационной безопасности в СНГ ( www.eu.com/russia ). В этом исследовании специалисты «Эрнст энд Янг» провели анализ и сопоставили проблемы, мнения и действия компаний стран СНГ по вопросам информационной безопасности в сравнении с ведущими мировыми компаниями. Далее рассмотрены основные результаты исследования и комментарии к ним «Эрнст энд Янг».

Краткая справка

Один из основных результатов данного опроса – вывод о том, что во всем мире компании сталкиваются с одинаковыми проблемами по информационной безопасности. Сбои в работе важнейших информационных систем компаний продолжают оставаться серьезной помехой для ведения бизнеса во всех странах мира. Несмотря на то, что такие сбои в основном связаны с проблемами программно-аппаратного комплекса и каналов связи, компании все чаще сталкиваются со сбоями, вызванными компьютерными вирусами

либо злоумышленными действиями и недобросовестной работой сотрудников, что приводит к отказу в работе информационных систем. Для предотвращения этого и повышения существующего уровня защиты корпоративных систем необходимы дополнительные инвестиции в обеспечение информационной безопасности. За последние годы мы также осознали необходимость контроля и управления в этой сфере.

Многие компании используют разнообразные технические решения для защиты информационных систем. Однако в странах СНГ принятые меры не позволили достичь желаемого эффекта. Наш опрос помог выяснить, что руководители многих компаний, работающих в СНГ, менее уверены в достаточности принятых мер по обеспечению безопасности, чем их зарубежные коллеги. Некоторые из специфичных проблем, с которыми они сталкиваются, такие, как: недостаточная системная интеграция, использование устаревшей инфраструктуры и отсутствие комплексного подхода к внедрению средств обеспечения информационной безопасности, существенно затрудняют достижение приемлемого уровня информационной безопасности.

Еще одним фактором, усложняющим ситуацию, может быть нежелание использовать сторонних подрядчиков даже при отсутствии собственных специалистов и ресурсов для осуществления управления информационными рисками, требующего серьезной технической и организационной работы.

В то же время эффективное управление вопросами информационной безопасности приобретает все большее значение для компаний стран СНГ по мере их роста и продвижения на новые рынки. Инвесторам необходима уверенность в том, что для защиты бизнеса и информационных активов принимаются необходимые меры. Клиентам важно знать, что соблюдается конфиденциальность их персональных данных. Деловые партнеры ожидают, что компания будет функционировать без сбоев. Результаты нашего исследования и комментарии к ним, как мы рассчитывали, помогут улучшить стандарты информационной безопасности как в отдельных компаниях, так и в деловом сообществе СНГ в целом.

В международном опросе по информационной безопасности приняли участие более 1 400 генеральных директоров, директоров по информационным системам и других руководителей компаний из 66 стран (включая страны СНГ).

В настоящем обзоре рассматриваются ответы, полученные только от компаний, ведущих свою деятельность в СНГ. В опросе приняли участие 56 компаний, работающих в России, Украине, Казахстане и Беларуси.

Большинство компаний считает, что основную ответственность за обеспечение информационной безопасности должен нести либо директор по информационным системам (руководитель отдела ИТ), либо директор по безопасности. На самом деле, ответственность за координацию вопросов безопасности должна быть возложена на совет директоров.

По мере усиления зависимости компаний от информационных технологий в их повседневной деятельности даже кратковременное нарушение информационной безопасности, приведшее к сбою систем, уничтожению данных или программ, может иметь катастрофические последствия для бизнеса. Вот почему для руководства компании становится все более важным вопрос о принятии на себя всей полноты ответственности за вопросы информационной безопасности. Кроме того, компании редко докладывают совету директоров о происшествиях в области безопасности и связанных с этим вопросах. Менее 40 % участников опроса (в основном это международные компании) делают такие доклады регулярно (ежеквартально, ежемесячно или чаще).

Опрос показал, что как в СНГ, так и за рубежом ответственным за вопросы информационной безопасности, как правило, назначается руководитель ИТ-подразделений или руководитель отдела общей безопасности. Относительно небольшое число компаний в СНГ, большей частью работающих в сфере ИТ, операций с ценными бумагами и мобильной связи, сообщили, что в их компаниях за эти вопросы отвечает представитель высшего руководства (генеральный директор, финансовый директор или руководитель отдела).

Комментарий «Эрнст энд Янг»:

• планирование и реализация стратегии информационной безопасности должны

быть поручены представителю высшего руководства, имеющему полное представление о бизнесе организации и технических аспектах угроз и уязвимых мест в информационных системах. Тем не менее за координацию вопросов безопасности должен отвечать в конечном итоге совет директоров;

• во всем мире наблюдается рост компьютерной преступности. Чем успешнее работают компании в странах СНГ, тем больше возникает рисков в этой области. То, что в прошлом хакеры не атаковали эти компании, не означает, что и в будущем этого не произойдет. Чтобы убедить инвесторов в том, что для защиты важнейших активов компании (то есть ее стоимости) принимаются необходимые меры, совет директоров должен продемонстрировать свое внимание к вопросам информационной безопасности и руководить их решением.

Большинство участников опроса заявили о том, что их стратегия информационной безопасности приведена в соответствие с задачами бизнеса. Однако определенные однажды правила редко пересматриваются, и это вызывает сомнения в том, что они действительно всегда соответствуют бизнес-целям.

Любая стратегия информационной безопасности, чтобы стать эффективной, должна быть нацелена на минимизацию бизнес-рисков и создание конкурентных преимуществ. Исходя из наблюдений, сделанных нами в ходе опроса, большинство компаний в СНГ считают вопросы информационной безопасности важным аспектом своей деятельности. Почти две трети (62 %) участников опроса указали, что их специалисты по информационной безопасности регулярно (ежеквартально, ежемесячно или чаще) встречаются с руководителями подразделений, чтобы обсудить, каким образом меры информационной безопасности могут лучше защитить бизнес и способствовать его расширению.

Тем не менее руководители очень многих компаний в СНГ практически не занимаются вопросами стратегии и политики информационной безопасности. В результате 66 % участников опроса высказали сомнения в том, действительно ли внедренные правила соответствуют целям бизнеса.

Комментарий «Эрнст энд Янг»:

• стратегия информационной безопасности будет способствовать экономии средств только в том случае, если ее внедряют руководители различных подразделений и если она направлена на минимизацию важнейших бизнес-рисков компании. Регулярные встречи между руководством службы информационной безопасности и руководителями компании обеспечивают более полное понимание постоянно меняющихся требований к бизнесу и связанных с ними рисков;

• информационные технологии и информационная безопасность могут служить стимулом для развития бизнеса и создать конкурентное преимущество. Руководители компании должны совместно со специалистами в этих областях постоянно изучать возможности, открывающиеся в связи с новыми достижениями технологий;

• руководство компании должно регулярно пересматривать стратегию и правила информационной безопасности на предмет соответствия задачам бизнеса. Это позволит обеспечить выделение достаточного объема ресурсов компании на решение вопросов информационной безопасности, имеющих огромное значение для бизнеса.

Решения в области информационной безопасности в СНГ реализуются в основном для минимизации рисков, ликвидации уязвимых мест, защиты репутации, создания доверительных отношений с партнерами и соблюдения законодательства.

Основополагающей целью большинства мероприятий по информационной безопасности является защита и расширение бизнеса компании.

Участники опроса в СНГ и за рубежом сообщают, что наиболее весомым фактором при принятии решений о внедрении новых технологий информационной безопасности является снижение рисков. Кроме того, компании в СНГ придают большое значение проверкам и оценке безопасности информационных систем с целью выявления и устранения уязвимых мест.

Нередко внедрение решений вызвано необходимостью поддержать репутацию компании и внушить партнерам уверенность в способности компании защитить свои информационные активы. О своей готовности включать в годовую отчетность данные о программах по обеспечению информационной безопасности заявили 71 % участников опроса в СНГ.

Комментарий «Эрнст энд Янг»:

• прежде чем приступить к разработке стратегии информационной безопасности, компании необходимо решить, какие информационные активы имеют наиболее важное значение для ее деятельности. Основное внимание в программе должно уделяться защите этих активов от нарушения конфиденциальности, хищения или уничтожения;

• любые изменения в информационных системах и сетях приведут к появлению новых уязвимых мест. Даже при отсутствии изменений в существующем программном и аппаратном обеспечении постоянно обнаруживаются все новые уязвимые места. Этим часто пользуются хакеры для проникновения в информационные системы, поэтому компаниям необходимо научиться оперативно распознавать такие места и разрабатывать контрмеры по защите;

• успех многих компаний зависит исключительно от их репутации. Однажды случившееся нарушение в области безопасности может подорвать доверие к компании со стороны клиентов и инвесторов. Вот почему профилактические меры должны приниматься заблаговременно.