Спецпроекты

Безопасность Бизнес

E&Y исследовал проблемы ИТ-безопасности в СНГ

Руководители очень многих компаний в СНГ практически не занимаются вопросами стратегии и политики информационной безопасности. Решения в области ИТ-безопасности в СНГ реализуются в основном для минимизации рисков, ликвидации уязвимых мест, защиты репутации, создания доверительных отношений с партнерами и соблюдения законодательства. Компания Ernst & Young* провела подробный анализ и сопоставление проблем, мнений и действий по вопросам информационной безопасности компаний стран СНГ в сравнении с ведущими мировыми компаниями. Предлагаем вашему вниманию некоторые из наиболее интересных аспектов исследования «Международный опрос 2003 года по информационной безопасности. Обзор результатов по странам СНГ».

Некоторые из специфичных проблем, с которыми сталкиваются компании, работающие в СНГ - недостаточная системная интеграция, использование устаревшей инфраструктуры и отсутствие комплексного подхода к внедрению средств обеспечения информационной безопасности - существенно затрудняют достижение приемлемого уровня информационной безопасности. В то же время эффективное управление вопросами информационной безопасности приобретает все большее значение для компаний стран СНГ по мере их роста и продвижения на новые рынки.

За ИТ-безопасность должно отвечать высшее руководство

Риски и угрозы для бизнеса, связанные с ИТ-безопасностью, за последние годы неизмеримо увеличились. Последние события текущего года подтвердили необходимость стратегического управления вопросами ИТ-безопасности и повышения требований к отказоустойчивости систем.

Как свидетельствуют результаты опроса Ernst & Young,* большинство компаний из стран СНГ считает, что основную ответственность за обеспечение ИТ-безопасности должен нести либо директор по информационным системам (или руководитель отдела ИТ), либо директор по безопасности. На самом деле, ответственность за координацию вопросов безопасности должна быть возложена на совет директоров. Лишь небольшое число компаний в СНГ, в основном работающих в сфере ИТ, операций с ценными бумагами и мобильной связи, сообщили, что в их компаниях за эти вопросы отвечает представитель высшего руководства. Как выяснилось, компании редко докладывают совету директоров о происшествиях в области ИТ-безопасности и связанных с ними вопросах. Регулярно, то есть ежеквартально, ежемесячно или чаше, такие доклады делали менее 40% участников опроса, в основном это были международные компании.

Отказоустойчивость по-прежнему на первом месте

Исследование показало, что перед руководителями компаний в СНГ стоят те же проблемы, связанные с отказами в работе важнейших систем, что и перед их коллегами за рубежом. 54% участников опроса в СНГ (52% участников опроса в мире) признали, что за прошедший год им приходилось сталкиваться с неожиданным выходом из строя (отказом) важной системы более чем на 2 часа. Основные причины сбоя носили технический характер, то есть были связаны с отказами аппаратного и программного обеспечения, систем связи и инфраструктуры.

Основные причины отказов важнейших систем

Основные причины отказов важнейших систем

Источник: Ernst & Young, 17 сентября 2003 г.*

Но, по мнению участников опроса, самую серьезную угрозу для ИТ-безопасности представляют компьютерные вирусы и черви. В то же время все больше компаний начинает понимать значимость внутренних угроз, связанных с нарушением в работе ИТ-систем, вызванные сотрудниками. В их число вошли атаки DDoS и хищения конфиденциальной информации. Однако потеря клиентских данных и доступ сторонних консультантов к ИТ-системам не считаются в СНГ серьезной проблемой. Хакеры-дилетанты рассматриваются в качестве угрозы в основном международными компаниями.

Основные угрозы информационной безопасности (не связанные с техникой)

Основные угрозы информационной безопасности (не связанные с техникой)

Источник: Ernst & Young, 17 сентября 2003 г.*

ИТ-безопасность в СНГ: неуверенность как фактор

В целом по СНГ не хватает уверенности в уровне обеспечения ИТ-безопасности. По сравнению с 66% участников опроса во всем мире, только 48% участников опроса в странах СНГ заявили, что их компании могут достаточно уверено выявить уязвимые места в своих ИТ-системах. Такой же процент респондентов в СНГ (70% во всем мире) оценили свой уровень защиты важнейшей деловой информации, как соответствующий мировому уровню или достаточный.

Выразили уверенность в способности своей компании обнаруживать хакерские атаки 59% участников опроса в СНГ (66% в мире). И только примерно половина респондентов (54% в СНГ, 67% участников опроса в мире) уверены в способности своей компании продолжать деятельность в случае хакерской атаки или иной экстренной ситуации. Причем, в результате аналогичного исследования 2002 года было выявлено, что при наличии в большинстве компаний СНГ планов обеспечения деятельности в экстренной ситуации, они, очевидно, не являются полными, не протестированы и, соответственно, неэффективны для предотвращения сбоев в деятельности компании.

Основные области вложения средств в ИТ-безопасность

Решения в области ИТ-безопасности в СНГ реализуются в основном для минимизации рисков, ликвидации уязвимых мест, защиты репутации, создания доверительных отношений с партнерами и соблюдения законодательства. 13% участников опроса в СНГ признали, что они не соблюдают действующие нормативные документы в области безопасности, а еще 27% заявили, что они не обязаны выполнять подобные требования. Самые крупные бюджеты на развитие ИТ-систем в СНГ получают компании, работающие в сфере ИТ, за ними следуют компании банковского сектора, финансовые и телекоммуникационные компании. Но 66% участников опроса высказали сомнения в том, что введенные правила в сфере ИТ-безопасности действительно соответствуют целям их бизнеса.

Менее 40% участников опроса в СНГ подтвердили, что проводят регулярное обучение среди своих сотрудников по вопросам ИТ-безопасности. Еще меньше (20%) постоянно проводят семинары и инструктажи. При этом в СНГ лишь небольшое число компаний, по сравнению с др. странами, передает эти функции бизнеса на субподряд или внешнее управление.

Основные области вложения средств в информационную безопасность

Основные области вложения средств в информационную безопасность

Источник: Ernst & Young, 17 сентября 2003 г.*

*В 2003 году компании, ведущие свою деятельность в странах СНГ, были приглашены для участия в международном опросе по информационной безопасности, проводимом компанией Ernst & Young. Более 1400 генеральных директоров, директоров по информационным системам и других руководителей компаний из 66 стран (включая страны СНГ) высказали свое мнение по вопросам информационной безопасности и методов ее обеспечения. 56 компаний из стран СНГ приняли участие в опросе. Структура респондентов по странам-участникам следующая: Российские компании (44%), Международные (32%, кроме стран СНГ), Украинские (13%), Казахстанские (9%), Белорусские (2%). Участники опроса по отраслям: банки, финансы, страхование (25%); нефть и газ (11%); телекоммуникации (11%); потребительские товары (11%); ИТ или интернет-компании (9%); компании других отраслей (34%). С полной версией исследования «Международный опрос 2003 года по информационной безопасности. Обзор результатов по странам СНГ» можно ознакомиться на сайте Ernst & Young

Сергей Шалманов / CNews.ru

Ознакомиться с полным списком учебных курсов Школы CNews можно здесь.

Ближайшие учебные курсы:

 

Учебные курсы по теме:

Персонал — как основной фактор риска экономической безопасности предприятия. Персонал — как основной фактор риска экономической безопасности предприятия.

Расследование компьютерных инцидентов Расследование компьютерных инцидентов

Углубленное изучение системы обнаружения атак Realsecure Углубленное изучение системы обнаружения атак Realsecure
 

Короткая ссылка