ИТ-риски раскладывают по понятиям

<BR><BR>Деятельность компаний в значительной степени зависит от информационных систем. Тем не менее многие из них не могут в полной мере оценить или понять, с какими рисками связана столь сильная зависимость.<BR>Акционерам необходимо иметь уверенность в том, что риски, связанные с новыми методами ведения бизнеса, вовремя обнаруживаются и устраняются.<BR>Ряд громких случаев нарушения компьютерной безопасности, получивших широкую огласку в прессе, служит еще одной иллюстрацией того, каким рискам подвергаются компании, у которых отсутствует надежная защита информационных систем.<BR>Достаточны ли эти меры?<BR>В ходе опроса 100 компаний 65% респондентов сообщили о нарушениях компьютерной безопасности в течение последнего года, причем 43% таких нарушений составили вирусные атаки. К другим часто встречающимся инцидентам относятся отказ в обслуживании (DoS), проникновение в систему извне и несанкционированный доступ изнутри компании.<BR>При этом 41% компаний, сообщивших о случаях нарушения компьютерной безопасности, не занимаются электронным бизнесом, что развеивает миф о том, что компьютерная преступность ориентируется только на компании, ведущие бизнес через Интернет.<BR>Имелись ли у компаний эффективные решения по стратегии безопасности и программы поддержания деятельности в экстремальных ситуациях?<BR>Для того чтобы свести к минимуму риск нарушения безопасности, компании должны иметь эффективную стратегию ее обеспечения.<BR>Для этого необходимо определить угрозы и уязвимые места, разработать эффективные меры обеспечения безопасности, в том числе для обнаружения вторжений в информационные системы (если и когда это произойдет), а также хорошо представлять себе последствия такого вторжения для своего бизнеса.<BR>Невозможно переоценить важность регулярного проведения анализа появляющихся в компьютерных системах уязвимых мест. Такие уязвимые места на программном и аппаратном уровне обнаруживаются практически каждый день. Прежде чем принимать какие-либо меры, необходимо выяснить, в чем именно заключается угроза. Тем не менее всего 64% респондентов, принявших участие в опросе, регулярно проводят такой анализ.<BR><B>Организация</B><BR><B>мер безопасности</B><BR>Необходимо иметь сотрудников, ответственных за надлежащую реализацию мер обеспечения информационной безопасности, а также за разработку официальных правил и процедур использования компьютерной техники. Согласно результатам опроса, основными задачами, которые необходимо решить для обеспечения желаемого или требуемого уровня безопасности, являются информированность сотрудников в вопросах безопасности и наличие решений и средств обеспечения безопасности.<BR>Действительно, зачастую хакерам удается взламывать информационные системы, пользуясь просчетами в системе обеспечения безопасности (например, нарушение конфигурации межсетевого экрана) и недобросовестностью сотрудников (например, сохранение без изменений гостевых паролей или паролей по умолчанию). Нет ничего удивительного и в том, что около половины респондентов, принявших участие в опросе, подвергались вирусным атакам: распространение таких вирусов зачастую ускоряется по вине сотрудников, которые неосмотрительно открывают зараженные файлы, пришедшие из ненадежных источников.<BR>При всем этом результаты опроса показали, что всего лишь около половины компаний в России и СНГ имеют штатных сотрудников по обеспечению информационной безопасности и/или официальные правила и процедуры по использованию компьютерной техники.<BR><B>Обеспечение эффективности мер безопасности</B><BR>Меры обеспечения безопасности не всегда проходят тестирование после их внедрения на предмет последующего эффективного функционирования. Опрос показал, что 32% респондентов не проводят никакого тестирования своих систем безопасности (ни собственными силами, ни с привлечением независимых консультантов). Как правило, компании привлекают независимого подрядчика для проведения диагностики системной защиты (запланированной атаки) только после того, как произошло нарушение безопасности.<BR>Аналогичным образом 39% респондентов, имеющих программы поддержания деятельности компании в экстремальных ситуациях, не тестируют эти программы. Как правило, не прошедшая тестирование программа имеет ряд серьезных недостатков. Результаты опроса показывают: 78% респондентов, которые испытали отказ важнейших систем за прошедший год, либо не имели программ поддержания деятельности в экстремальных ситуациях, либо не тестировали их.<BR><B>Обнаружение атак</B><BR><B>и оценка их последствий</B><BR>В результате опроса выяснилось, что 38% респондентов установили системы обнаружения проникновения (IDS). Программное обеспечение для обнаружения несанкционированного проникновения извне позволяет выявить его на ранней стадии. Мы отметили, что 37% опрошенных компаний выразили весьма высокую степень уверенности в своей способности обнаружить такой вид атак на информационные системы. При обнаружении вторжения весьма важно, чтобы подвергшаяся нападению компания смогла в полной мере оценить, какие последствия данный инцидент имел для ее бизнеса. Это позволит компании оценить серьезность инцидента и принять меры, необходимые для минимизации ущерба и недопущения подобных атак в будущем.<BR>Интересно отметить, что, хотя зачастую целью хакерской атаки является хищение коммерческой информации и финансовое мошенничество, эти позиции составляют всего 3% и 6% соответственно от общего числа хакерских атак, о которых сообщили участники опроса. Действительно, весьма сложно отнести хищение коммерческой информации и финансовое мошенничество на счет вторжения, учитывая, насколько квалифицированно современные хакеры скрывают следы.<BR><BR><B>Процедуры для снижения рисков</B><BR>Необходимо выявить уязвимые места и разработать методы, при посредстве которых можно оптимальным образом организовать защиту своих активов. Следует убедиться в том, что выбранные решения по обеспечению безопасности соответствуют характеру выявленных уязвимых мест и реализованы надлежащим образом.<BR>После принятия мер безопасности необходимо организовать их регулярное тестирование. Это позволит обнаружить любые уязвимые места в информационных системах до того, как их обнаружит хакер.<BR>Проводите регулярный анализ обнаруженных уязвимых мест в компьютерных системах, а также вирусов, которые могут повредить информационные системы. Необходимо следить за постоянным обновлением программного обеспечения и оперативной ликвидацией обнаруженных уязвимых мест.<BR>Необходимо отдавать себе отчет в том, что вопросы обеспечения безопасности должны решаться на уровне руководства. ИТ-риски представляют собой коммерческие риски, поэтому для того, чтобы бизнес можно было вести спокойно, без неожиданных вторжений извне, необходимо иметь эффективную стратегию обеспечения безопасности.<BR>Следует повышать уровень информированности по вопросам безопасности: даже самые лучшие технические средства не могут обеспечить полноценную защиту, если отсутствуют правила и процедуры по обеспечению безопасности и если пользователи не знают своих обязанностей или не выполняют их.<BR>При нарушении безопасности необходимо сразу же провести комплексную оценку возможных последствий для бизнеса. Следует в кратчайшие сроки принять меры по минимизации ущерба для финансового положения или репутации компании и профилактические меры по недопущению подобных инцидентов в будущем.<BR>Определите, какие именно последствия для Вашего бизнеса могут повлечь за собой сбои в работе информационных систем. Необходимо составить программу поддержания деятельности компании в экстремальных ситуациях, направленную на минимизацию этих последствий. Следует проводить регулярное тестирование и доработку этой программы в целях устранения любых обнаруженных недочетов.<BR><BR>Обзор подготовлен компанией Ernst & Young на основе исследования, проведенного в июне-июле 2001 года. В опросе приняли участие свыше 100 компаний, осуществляющих деятельность в России и СНГ.