Большинство участников опроса заявили о том, что их стратегия информационной безопасности приведена в соответствие с задачами бизнеса. Однако определенные однажды правила редко пересматриваются, и это вызывает сомнения в том, что они действительно всегда соответствуют бизнес-целям.

Любая стратегия информационной безопасности, чтобы стать эффективной, должна быть нацелена на минимизацию бизнес-рисков и создание конкурентных преимуществ. Исходя из наблюдений, сделанных нами в ходе опроса, большинство компаний в СНГ считают вопросы информационной безопасности важным аспектом своей деятельности. Почти две трети (62 %) участников опроса указали, что их специалисты по информационной безопасности регулярно (ежеквартально, ежемесячно или чаще) встречаются с руководителями подразделений, чтобы обсудить, каким образом меры информационной безопасности могут лучше защитить бизнес и способствовать его расширению.

Тем не менее руководители очень многих компаний в СНГ практически не занимаются вопросами стратегии и политики информационной безопасности. В результате 66 % участников опроса высказали сомнения в том, действительно ли внедренные правила соответствуют целям бизнеса.

Комментарий «Эрнст энд Янг»:

• стратегия информационной безопасности будет способствовать экономии средств только в том случае, если ее внедряют руководители различных подразделений и если она направлена на минимизацию важнейших бизнес-рисков компании. Регулярные встречи между руководством службы информационной безопасности и руководителями компании обеспечивают более полное понимание постоянно меняющихся требований к бизнесу и связанных с ними рисков;

• информационные технологии и информационная безопасность могут служить стимулом для развития бизнеса и создать конкурентное преимущество. Руководители компании должны совместно со специалистами в этих областях постоянно изучать возможности, открывающиеся в связи с новыми достижениями технологий;

• руководство компании должно регулярно пересматривать стратегию и правила информационной безопасности на предмет соответствия задачам бизнеса. Это позволит обеспечить выделение достаточного объема ресурсов компании на решение вопросов информационной безопасности, имеющих огромное значение для бизнеса.

Решения в области информационной безопасности в СНГ реализуются в основном для минимизации рисков, ликвидации уязвимых мест, защиты репутации, создания доверительных отношений с партнерами и соблюдения законодательства.

Основополагающей целью большинства мероприятий по информационной безопасности является защита и расширение бизнеса компании.

Участники опроса в СНГ и за рубежом сообщают, что наиболее весомым фактором при принятии решений о внедрении новых технологий информационной безопасности является снижение рисков. Кроме того, компании в СНГ придают большое значение проверкам и оценке безопасности информационных систем с целью выявления и устранения уязвимых мест.

Нередко внедрение решений вызвано необходимостью поддержать репутацию компании и внушить партнерам уверенность в способности компании защитить свои информационные активы. О своей готовности включать в годовую отчетность данные о программах по обеспечению информационной безопасности заявили 71 % участников опроса в СНГ.

Комментарий «Эрнст энд Янг»:

• прежде чем приступить к разработке стратегии информационной безопасности, компании необходимо решить, какие информационные активы имеют наиболее важное значение для ее деятельности. Основное внимание в программе должно уделяться защите этих активов от нарушения конфиденциальности, хищения или уничтожения;

• любые изменения в информационных системах и сетях приведут к появлению новых уязвимых мест. Даже при отсутствии изменений в существующем программном и аппаратном обеспечении постоянно обнаруживаются все новые уязвимые места. Этим часто пользуются хакеры для проникновения в информационные системы, поэтому компаниям необходимо научиться оперативно распознавать такие места и разрабатывать контрмеры по защите;

• успех многих компаний зависит исключительно от их репутации. Однажды случившееся нарушение в области безопасности может подорвать доверие к компании со стороны клиентов и инвесторов. Вот почему профилактические меры должны приниматься заблаговременно.

Многие компании в СНГ не уверены в достаточности принимаемых ими мер по обеспечению информационной безопасности.

Сегодня большинство компаний принимают меры для защиты своих информационных систем. В ходе предыдущего опроса, проведенного «Эрнст энд Янг» в 2001 году, нами было выявлено, что многие компании стран СНГ внедрили антивирусную защиту, межсетевые экраны и системы обнаружения вторжения. Тем не менее эти меры не обеспечивают стопроцентной защиты, и в ходе опроса 2003 года было установлено, что в целом по СНГ не хватает уверенности в уровне обеспечения безопасности:

• выявление уязвимых мест в системах;

По сравнению с 66 % участников опроса во всем мире только 48 % участников опроса в странах СНГ заявили, что их компании могут с достаточной степенью уверенности выявить уязвимые места в своих информационных системах. Такая ситуация говорит о недостаточном внимании к этому вопросу со стороны руководства, недостаточности имеющихся средств, квалификации и опыта, а также об отсутствии правил и процедур обнаружения уязвимых мест и принятия мер по их устранению.

 защита важнейшей деловой информации;

Лишь 48 % участников опроса в СНГ (по сравнению с 70 % участников опроса по всему миру) оценили свой уровень защиты важнейшей деловой информации, как соответствующий мировому уровню или достаточный. Можно сделать вывод, что многие компании в СНГ чувствуют себя уязвимыми из-за отсутствия целостного подхода к вопросам информационной безопасности.

 выявление вторжений и атак на информационные системы;

Уверенность в способности своей компании обнаруживать хакерские атаки выразили 59 % участников опроса в СНГ (66 % участников опроса в мире).

 обеспечение непрерывной деятельности в случае атаки.

Всего 54 % участников нашего опроса (67 % участников опроса в мире) вполне уверены в способности своей компании продолжать деятельность в случае хакерской атаки или иной экстренной ситуации. Хотя в результате прошлого опроса мы выяснили, что в большинстве компаний СНГ имеются планы обеспечения деятельности в экстренной ситуации, но они, очевидно, не являются полными, не протестированы и, соответственно, неэффективны для предотвращения сбоев в деятельности компании. В СНГ наибольшую уверенность относительно принятых мер информационной безопасности выражают компании, занимающиеся банковской деятельностью, информационными технологиями и операциями с ценными бумагами, а также работающие в нефтегазовой отрасли. Что касается общего мнения, то участники опроса и в СНГ, и во всем мире сочли, что информационная безопасность лучше всего обеспечивается в банковском секторе.

Комментарий «Эрнст энд Янг»:

• лучшая защита от вторжений в информационные системы – профилактические меры. В компаниях должна присутствовать официальная процедура непрерывного анализа выявленных уязвимых мест. Необходимо регулярно проводить оценку рисков по информационной безопасности, обеспечивая комплексный и своевременный анализ уязвимости сети по отношению к внешним или внутренним вторжениям;

• после обнаружения уязвимых мест в системе следует принять меры, чтобы не допустить использования этих мест хакерами. Выбор верного решения по обеспечению безопасности может оказаться сложной задачей. Здесь важно отдавать себе отчет в том, что решение, оптимальное для одной компании, может оказаться абсолютно непригодным для другой. Выбранное решение должно обеспечивать защиту от комплекса угроз и уязвимых мест, характерных для данной компании;

• бессистемная, выборочная реализация средств безопасности не обеспечивает необходимого уровня защиты. Чтобы надежно защитить важнейшую деловую информацию, компаниям необходимо интегрировать вопросы физической и информационной безопасности в единый для всей организации свод правил, стандартов и инструкций. Стратегия безопасности проверяется на прочность в своем самом слабом звене;

• системы обнаружения вторжений (IDS) обеспечивают раннее обнаружение атак на информационные системы, давая специалистам по безопасности возможность отследить нарушителя, представить себе возможные последствия инцидента, оценить его значение, а затем принять меры, необходимые для минимизации ущерба и предотвращения атак в будущем;

• компаниям необходимо составлять планы мероприятий по обеспечению непрерывности и восстановлению своей деятельности в экстренных ситуациях, особенно если такая деятельность в значительной степени зависит от информационных систем. Этот план должен быть полным и предусматривать действия в самых различных экстренных ситуациях, он также должен регулярно проходить тестирование на предмет своей эффективности;

• компаниям необходимо проводить оценку достаточности собственных ресурсов, требуемых для выполнения всех мероприятий в области безопасности – от выявления угроз и уязвимых мест до выбора и внедрения верных решений. Независимые фирмы, основной деятельностью которых является оказание услуг в области информационных технологий и информационной безопасности, могут стать самым экономически оправданным вариантом, учитывая объем их знаний, квалификацию, опыт и объективность.