В продолжение публикаций на тему информационной безопасности предлагаем обзор данных*, полученных компанией PricewaterhouseCoopers (www.pwcglobal.com)
-----
* Обзор и комментарий к нему составлен А. В. Лукацким, руководителем отдела Интернет-решений НИП “Информзащита”.
В 1998 г. компания PricewaterhouseCoopers при информационной поддержке InformationWeek провела в 50 странах мира опрос среди 1600 специалистов в области защиты информации. Его структура отражает целостный подход к созданию эффективной и надежной системы информационной безопасности организации. Предполагается последовательное выполнение комплекса мер, разделенного на несколько этапов:
- разработка политики безопасности;
- выбор технических средств защиты информации;
- периодический компьютерный аудит;
- обучение сотрудников.
Разработка политики безопасности
На этом этапе анализируются вероятные атаки, угрозы и оценивается возможный ущерб от них. Затем строится модель потенциального нарушителя и разрабатываются документы, регламентирующие деятельность по защите информации на предприятии.
Пересмотр перечня конфиденциальных данных (%)
Типы нарушений
Результаты опроса свидетельствуют, что в 1997 г. самой распространенной угрозой безопасности были компьютерные вирусы, важнейшим этот тип угрозы назвали 60% опрошенных. В 1991 и 1992 гг. эта цифра составляла соответственно 22 и 44%.
Источники нарушений
Результаты опроса свидетельствуют о том, что основная часть угроз по-прежнему исходит от персонала компании. В 58% ответов указывается, что хотя бы один из авторизованных пользователей был уличен в злоупотреблении (в 1991 г. эта цифра равнялась 75%). Опасность, исходящая от внешних злоумышленников, оказалась не так велика, как это можно было бы себе представить. Ее значение гипертрофировано усилиями прессы и телевидения. Неавторизованные пользователи проникали в корпоративные сети только в 24% случаев. Поставщики и покупатели являются источниками атак лишь в 12% случаев.
Финансовые потери в результате нарушений безопасности (%)
Финансовые потери
Почти половина опрошенных (49%) не знают, понесли ли они ущерб из-за нарушений в области защиты информации, а 28% уверены, что не имели финансовых потерь по этой причине. Среди тех, кто может оценить свои потери за прошедшие 12 месяцев, 84% оценивают их в сумму от 1000 до 100 000 долл. О потерях свыше 100 000 долл. сообщили 16% от этого числа.
Политика безопасности
По сравнению с предыдущими опросами зафиксировано изменение профессионального состава людей, непосредственно принимающих решения. В то время как реализация системы защиты остается в руках технических специалистов, ответственность за проектирование системы защиты частично переходит из технических отделов в коммерческие - отделы продаж и маркетинга.
Кто устанавливает политику безопасности в вашей организации (%)
Какие средства защиты информации используются в вашей организации
Технические средства
Опрос показал, что приоритет отдается техническим средствам во вред другим компонентам комплексной системы защиты информации. Конкретный выбор средств защиты информации определяется наиболее распространенными угрозами. Совершенно очевидно, что поскольку наиболее распространенными нарушениями безопасности являются вирусы, то и средствам защиты от них уделяется наибольшее внимание (в 90% компаний). На втором месте находятся межсетевые экраны, а средства адаптивного управления безопасностью, например системы анализа защищенности и обнаружения атак, пока применяются не столь широко, как того требуют динамично изменяющиеся сетевые технологии. Но если судить по наметившейся тенденции, то спрос на такие средства постоянно растет.
Периодический компьютерный аудит
Удивителен тот факт, что более 40% опрошенных компаний не предпринимают никаких мер по периодическому анализу защищенности своей информационной системы. Это крайне важный шаг в построении системы защиты информации любого предприятия. Пересмотра политики безопасности в соответствии с текущей ситуацией и, в частности, пересмотра перечня конфиденциальных данных не осуществляют 43% опрошенных компаний, 19% делают это ежедневно, а 14% пересматривают такой перечень только один раз в год.
Обучение
Обучение конечных пользователей считается важной задачей в 44% опрошенных компаний, а обучение технических специалистов новым технологиям в области безопасности - только в 9%.
Мнение эксперта
Какие выводы можно сделать по результатам данного опроса?
Продолжается рост числа компьютерных вирусов и связанных с ними нарушений безопасности. По некоторым оценкам, число вирусов удваивается каждый год. Как следствие, антивирусные средства являются самыми распространенными инструментами защиты информации.
Типы нарушений безопасности, зафиксированные в вашей организации за последний год
Лишний раз подтвердился тезис, что в коммерческом секторе основная цель защиты информации - это обеспечение ее целостности и доступности. Поэтому растет число компаний, применяющих системы резервного копирования и средства обнаружения атак, нарушающих доступность систем (атаки типа “отказ в обслуживании”). По результатам опроса, применение систем резервного копирования стоит на третьем месте, а применение средств обнаружения атак по сравнению с предыдущими годами увеличилось.
По-прежнему основная угроза безопасности исходит от сотрудников организации. Поэтому расширяются средства защиты информации, которые обеспечивают необходимый уровень защищенности даже в случае атак, совершаемых авторизованными пользователями (антивирусные программы, средства обнаружения атак и т. п.).
Использование Интернета для совершения электронных сделок требует увеличения числа средств, обеспечивающих защиту IP-сетей, таких, как межсетевые экраны, системы контроля Java и ActiveX и т. п. Стоит отметить, что виртуальные частные сети (VPN) до сих пор не столь распространены, как можно было предполагать прежде. Связано это с тем, что пока наиболее распространенным типом соединения с Интернетом является dialup (и, как следствие, использование более дешевых защищенных модемов). Кроме того, функции организации VPN интегрированы во многие межсетевые экраны и приобретение средств VPN считается нецелесообразным.
В целом происходит постепенная смена приоритетов. Если раньше основное внимание уделялось применению технических средств защиты информации, например межсетевых экранов, то сейчас на первый план выходит управление рисками, применение систем адаптивного управления безопасностью и т. п.
