4.1. Конституция РФ и Доктрина информационной безопасности РФ о правовом обеспечении информационной сферы Проблема правового регулирования отношений в сфере обеспечения информационной безопасности является для России одной из важнейших. От ее решения во многом зависит

4.5. Международное сотрудничество России в области обеспечения информационной безопасности Международное сотрудничество РФ в области обеспечения информационной безопасности – неотъемлемая составляющая политического, военного, экономического, культурного и других

ПРАВИЛА ОСВИДЕТЕЛЬСТВОВАНИЯ ЛИЦА, КОТОРОЕ УПРАВЛЯЕТ ТРАНСПОРТНЫМ СРЕДСТВОМ, НА СОСТОЯНИЕ АЛКОГОЛЬНОГО ОПЬЯНЕНИЯ И ОФОРМЛЕНИЯ ЕГО РЕЗУЛЬТАТОВ, НАПРАВЛЕНИЯ УКАЗАННОГО ЛИЦА НА МЕДИЦИНСКОЕ ОСВИДЕТЕЛЬСТВОВАНИЕ НА СОСТОЯНИЕ ОПЬЯНЕНИЯ, МЕДИЦИНСКОГО ОСВИДЕТЕЛЬСТВОВАНИЯ

7.6. Методы и средства информационной поддержки систем обеспечения качества

Вопрос 1. Место информационной безопасности в системе национальной безопасности России: понятие, структура и содержание Информатизация социально-политической, экономической и военной деятельности страны и, как следствие, бурное развитие информационных систем

Вопрос 2. Основные руководящие документы, регламентирующие вопросы информационной безопасности Рассматривая Концепцию национальной безопасности России, утвержденную Указом Президента РФ от 17.12.97 № 1300 (в ред. от 10.01.2000), которая отражает названную «Окинавскую хартию

Вопрос 3. Современные угрозы информационной безопасности в России Согласно Закону о безопасности под угрозой безопасности понимается совокупность условий и факторов, создающих опасность жизненно важным интересам личности, общества и государства. Концепция

Лекция 4 Методика построения корпоративной системы обеспечения информационной безопасности Учебные вопросы:1. Разновидности аналитических работ по оценке защищенности.2. Модель и методика корпоративной системы защиты информации.3. Формирование организационной

Лекция 6 Основы обеспечения информационной безопасности в банковской сфере Учебные вопросы:1. Особенности информационной безопасности банков2. Анализ состояния банковских автоматизированных систем сточки зрения безопасности3. Принципы защиты банковских

Вопрос 1. Особенности информационной безопасности банков Со времени своего появления банки неизменно вызывали преступный интерес. И этот интерес был связан не только с хранением в кредитных организациях денежных средств, но и с тем, что в банках сосредотачивалась важная

Вопрос 1. Обобщенная модель процессов информационной безопасности Общими моделями систем и процессов защиты информации названы такие, которые позволяют определять (оценивать) общие характеристики указанных систем и процессов в отличие от моделей локальных и частных,

Вопрос 1. Назначение математических моделей обеспечения безопасности информации в АСУ Функционирование АСУ, обеспечивающее реализацию технологии автоматизированного управления сложными процессами в распределенной системе, должно основываться на плановом начале с

Вопрос 2. Сравнительный анализ и основные определения математических моделей обеспечения безопасности информации Существующие технологии формального описания процессов обеспечения безопасности информации основываются на понятиях теории конечных автоматов, теории

Лекция 11 Основные направления обеспечения информационной безопасности компьютерных сетей учебных заведений Учебные вопросы:1. Состояние вопросов обеспечения информационной безопасности.2. Угрозы и уязвимости КСУЗ.3. Этапы построения БКСУЗ.4. Направление

Составляющие информационной безопасности

В общем случае информационную безопасность (ИБ) можно определить как "защищенность информации, ресурсов и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений – производителям, владельцам и пользователям информации и поддерживающей инфраструктуре" .

Информационная безопасность не сводится исключительно к защите от несанкционированного доступа к информации: это принципиально более широкое понятие, включающее защиту информации, технологий и систем.

Требования по обеспечению безопасности в различных аспектах информационной деятельности могут существенно отличаться, однако они всегда направлены на достижение следующих трех основных составляющих информационной безопасности:

• целостности . Это в первую очередь актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения, а именно: данные и информация, на основе которой принимаются решения, должны быть достоверными, точными и защищенными от возможных непреднамеренных и злоумышленных искажений;
• конфиденциальности . Засекреченная информация должна быть доступна только тому, кому она предназначена. Такую информацию невозможно получить, прочитать, изменить, передать, если на это нет соответствующих прав доступа;
• доступности (готовности). Это возможность за приемлемое время получить требуемую информационную услугу, т.е. данные, информация и соответствующие службы, автоматизированные сервисы, средства взаимодействия и связи должны быть доступны и готовы к работе всегда, когда в них возникает необходимость.

Деятельность по обеспечению информационной безопасности направлена на то, чтобы не допустить, предотвратить или нейтрализовать следующие действия:

• несанкционированный доступ к информационным ресурсам (НСД, Unauthorized Access – UAA);
• искажение, частичную или полную утрату конфиденциальной информации;
• целенаправленные действия (атаки) по разрушению целостности программных комплексов, систем данных и информационных структур;
• отказы и сбои в работе программно-аппаратного и телекоммуникационного обеспечения.

Таким образом, правильный с методологической точки зрения подход к проблемам информационной безопасности начинается с выявления субъектов информационных отношений и интересов этих субъектов, связанных с использованием информационных технологий и систем (ИТ/ИС).

Оценка реальной ситуации сводится в большинстве случаев к ответу на ключевые вопросы, составляющие системную основу для обеспечения информационной безопасности, и в частности надо ли защищаться, от кого и чего следует защищаться, что и как требуется защищать, какие меры обеспечат эффективность защиты, а также оценить предполагаемую стоимость разработки, внедрения, эксплуатации, сопровождения и модернизации систем безопасности.

Первые три вопроса непосредственным образом относятся к проблеме оценки реальных угроз (рис. 7.1) 16]. Ответы на эти вопросы неоднозначны – многое зависит от структуры, области деятельности и целей компании. При интеграции индивидуальных и корпоративных информационных систем и ресурсов в единую информационную инфраструктуру определяющим фактором является обеспечение должного уровня информационной безопасности для каждого субъекта, принявшего решение войти в единую инфраструктуру.

Рис. 7.1.

В едином информационном пространстве государственной структуры или коммерческой фирмы должны быть созданы механизмы и инструмент аутентификации для проверки подлинности пользователя, сообщения и контента. Таким образом, должна быть создана система информационной безопасности, которая включала бы необходимый комплекс мероприятий и технических решений по защите:

• от нарушения функционирования информационного пространства путем исключения воздействия на информационные каналы и ресурсы;
• несанкционированного доступа к информации путем обнаружения и ликвидации попыток по использованию ресурсов информационного пространства, приводящих к нарушению его целостности;
• разрушения встраиваемых средств защиты с возможностью выявления неправомочности действий пользователей и обслуживающего персонала;
• внедрения программных " вирусов " и "закладок " в программные продукты и технические средства.

Особо следует отметить задачи обеспечения безопасности разрабатываемых и модифицируемых систем в интегрированной информационной среде, так как в процессе модификации КИС неизбежно возникновение нештатных ситуаций незащищенности системы (так называемые "дыры в системе").

Наряду с анализом существующих в компании конкретных средств защиты должна осуществляться разработка политики в области информационной безопасности, включающей совокупность организационно-распорядительных мер и документов, а также методологических и технических решений, являющихся основой для создания инфраструктуры информационной безопасности (рис. 7.2) .

Рис. 7.2.

Следующим этапом по разработке комплексной системы информационной безопасности служит приобретение, установка и настройка средств и механизмов защиты информации. К таким средствам можно отнести системы защиты информации от несанкционированного доступа, системы криптографической защиты, межсетевые экраны (брандмауэры, файерволы), средства анализа защищенности и др. Для правильного и эффективного применения установленных средств защиты необходим квалифицированный персонал.

С течением времени имеющиеся средства защиты устаревают, выходят новые версии систем обеспечения информационной безопасности, постоянно расширяется список найденных уязвимых мест и атак, меняются технология обработки информации, программные и аппаратные средства, а также персонал компании. Поэтому необходимо регулярно пересматривать разработанные организационнораспорядительные документы, проводить обследование ИС или ее подсистем, обучать персонал и обновлять средства защиты.

Любое предприятие, получающее ресурсы, в том числе и информационные, перерабатывает их, чтобы в конечном итоге реализовать на рынке собственный коммерческий продукт. При этом оно порождает специфическую внутреннюю среду, которая формируется усилиями персонала всех структурных подразделений, а также техническими средствами и технологическими процессами, экономическими и социальными отношениями как внутри предприятия, так и во взаимодействии с внешней средой.

Корпоративная информация отражает финансово- экономическое состояние предприятия и результаты его деятельности. Примеры подобной информации – это регистрационные и уставные документы, долгосрочные и текущие планы, приказы, распоряжения, отчеты, производственные данные, данные о движении финансов и других ресурсов, сведения о подготовке персонала и сферах применения продуктов деятельности, включая методы и каналы сбыта, технику продаж, заказы, логистику, информацию о поставщиках и партнерах.

Источники корпоративной информации – директорат и администрация предприятия, планово-финансовые подразделения, бухгалтерия, ИТ-отделы и вычислительные центры, отделы главного инженера и главного механика, производственные подразделения, юридические, эксплуатационные и ремонтные службы, отделы логистики, закупки и сбыта и т.д.

Корпоративная среда включает государственные, экономические, политические и социальные субъекты, действующие за пределами предприятия. Информация вне корпоративной среды часто неполна, противоречива, приблизительна, разнородна и неадекватно отражает состояние внешней среды. Примерами внешней информации, выходящей за пределы корпоративной среды, являются состояние рынка (его долговременное и текущее состояние, тенденции в деловой среде, колебания спроса и предложения, нестабильность ситуации, изменчивость, противоречивость требований), изменения в законодательстве, ожидания потребителей, "происки" конкурентов, последствия политических событий и т.д.

Бо́льшая часть этой информации является открытой, однако в зависимости от особенностей внутренней деятельности и взаимодействия с внешним миром часть информации может быть предназначена "для служебного пользования", т.е. быть "строго конфиденциальной" или "секретной". Такая информация является, как правило, "закрытой" и требует соответствующих мер защиты.

Для обеспечения безопасности при работе с охраняемой информацией следует, во-первых, выстроить политику работы с конфиденциальной и служебной информацией, разработать и внедрить соответствующие руководства и процедуры и, во-вторых, обеспечить необходимые программно-аппаратные ресурсы.

Программно-аппаратные средства для работы с охраняемой информацией либо встраиваются в соответствующие модули корпоративной информационной системы (КИС), либо используются локально в системах, оговоренных в политике ИБ. К ним относятся устройства, осуществляющие:

• мониторинг перемещения конфиденциальной информации по информационной системе (Data-in-Shell);
• управление контролем утечки данных через сетевой трафик по протоколам TCP/IP, SMTP, IMAP, HTTP(s), IM (ICQ, AOL, MSN), FTP, SQL, собственных протоколов посредством фильтрации контента на уровне:
• – шлюза, через который идет трафик из внутренней сети во внешнюю сеть (Data-in-Motion);
• – сервера, обрабатывающего определенный тип трафика (Data-at-Rest);
• – рабочей станции (Data-in-Use);
• – внутренних каналов почты Microsoft Exchange, Lotus Notes и др.
• – управления контролем утечки охраняемой информации с рабочих станций, периферийных и мобильных

• – установления проактивной защиты и персональных сетевых экранов;
• – теневого копирования информационных объектов в единую базу контентной фильтрации для всех каналов по единым правилам.

Грамотно организовать защиту охраняемых данных и информации нелегко и недешево. Для этого нужно провести классификацию данных, тщательную инвентаризацию информационных ресурсов, выбрать адекватное программноаппаратное решение, разработать и внедрить совокупность регламентирующих документов по обеспечению внутренней безопасности. Главную роль в этой непростой работе по минимизации рисков утечки данных играют компетентность и воля высшего руководства предприятия, актуальные политики и эффективные программные средства, а также режим коммерческой тайны при работе с охраняемой информацией.

«Глобальное исследование по вопросам информационной безопасности. Перспективы на 2014 год» (The Global State of Information Security® Survey 2014) - это всемирное исследование, проведенное фирмой PwC и журналами CIO и CSO. Опрос проводился в режиме «онлайн» с 1 февраля по 1 апреля 2013 года. Приглашения принять участие в исследовании были направлены по электронной почте читателям журналов CIO и CSO, а также клиентам PwC во всех регионах мира. В основе результатов, рассматриваемых в настоящем отчете, лежат ответы более чем 9 600 респондентов из 115 стран: руководителей компаний, финансовых директоров, директоров по информационной безопасности, директоров информационных служб, руководителей служб безопасности, вице-президентов и директоров по вопросам ИТ и информационной безопасности. Тридцать шесть процентов респондентов представляли Северную Америку, 26% - Европу, 21% - Азиатско-Тихоокеанский регион, 16% - Южную Америку и 2% - Ближний Восток и Африку. Допустимая погрешность составляет менее одного процента. Все цифры и графические данные, приведенные в настоящем отчете, основаны на результатах опроса (если иное не указано отдельно).

Суть проблемы

Стратегии безопасности, которые традиционно были основаны на соблюдении нормативно-правовых требований и ограничивались лишь «защитой периметра», не успевают за растущим уровнем рисков в данной области.

К чему это ведет? Сегодня компании зачастую используют устаревшие стратегии безопасности, которые неспособны эффективно противостоять искушенным мошенникам, имеющим доступ к технологиям будущего.

Злоумышленники применяют изощренные методы, чтобы проникнуть через устаревшую защиту периметра безопасности, и наносят точечные «удары», которые очень непросто отследить. Многие из них прибегают к надежным методам «фишинга», с помощью которых незаконным способом получают необходимую информацию от топ-менеджеров компаний. Ситуация также усугубляется тем, что потенциальные объекты хакерских атак - партнеры, поставщики, клиенты и прочие стороны - оперируют все большими объемами информации с помощью взаимосвязанных цифровых каналов.

В совокупности все эти факторы делают вопрос обеспечения информационной безопасности все более сложным и актуальным. Сегодня информационная безопасность превратилась в отдельную дисциплину, которая требует применения передовых технологий и процессов, навыков защиты от взлома системы безопасности, а также исключительной поддержки со стороны высшего руководства компаний. Основным требованием нового подхода является понимание того, что сегодня практически нельзя избежать хакерских атак и что обеспечение безопасности всех данных на одинаково высоком уровне не представляется возможным.

Глобальное исследование состояния информационной безопасности и перспектив её развития на 2014 год проводилось с целью анализа и оценки методов, применяемых международными организациями для борьбы с опытными и ловкими мошенниками. В этом году исследование показало, что руководители в большей степени начинают осознавать важность информационной защиты. Они обращают внимание на необходимость финансирования усиления мер безопасности и считают, что в их компаниях должны быть существенно улучшены инструменты, процессы и стратегии информационной защиты.

Впрочем, хотя компании и повышают стандарты безопасности, мошенники все равно опережают их. Опрос, проведенный в этом году, показывает, что количество инцидентов в сфере безопасности увеличилось на 25% за прошедшие 12 месяцев. При этом затраты, связанные с нарушениями систем безопасности, в среднем выросли на 18%.

Результаты опроса также демонстрируют, что многие организации не применяют технологии, которые позволили бы им выявлять уязвимые звенья общих систем и отслеживать угрозы безопасности, не помогают определить и защитить ключевые активы, а также оценить риски с точки зрения бизнес-целей компании. Для многих компаний вопрос безопасности не является основным компонентом стратегии бизнеса, определяемым генеральным директором и советом директоров, получающим достойное финансирование.

Проще говоря, немногие организации сегодня могут успешно справляться с растущими рисками. Еще меньшее число компаний готово к решению проблем, с которыми им придется столкнуться в будущем.

Гэри Лавленд, руководитель практики PwC, уверен: «Нельзя бороться с новыми угрозами с помощью старых методов. Нам нужна новая модель информационной безопасности, основанная на осознании потенциальных угроз, понимании того, что включают в себя имеющиеся у компании активы, а также на знании мотивов злоумышленников и целей, которые они ставят перед собой».

Такая новая модель информационной безопасности построена на принципе «знание - сила». Помните об этом.

Подробное обсуждение вопроса

Принципы ведения бизнеса меняют свой облик под влиянием процесса универсализации цифровых технологий.

Сегодня компании демонстрируют все большую взаимную связь, интеграцию и зависимость друг от друга. Они применяют технологии и популярные решения в области коммуникации, которые позволяют им обмениваться небывалыми объемами информации с клиентами, поставщиками услуг и товаров, партнерами и сотрудниками. Используя столь сложные технологические решения, организации выполняют свои коммерческие задачи с небывалым успехом и оперативностью.

Между тем сформировавшаяся в мире бизнеса экосистема также подвергает компании риску, отдавая их во власть мошенников, которые стремятся нанести ущерб или даже уничтожить их бизнес с помощью тех же самых технологий. Это привело к тому, что угрозы безопасности превратились в существенный коммерческий риск, о котором необходимо помнить международным компаниям.

На рынке продолжает доминировать привычный подход к управлению стратегией информационной безопасности, который основан на принципе реагирования на возникшую проблему и переносе ответственности за обеспечение безопасности на подразделения ИТ.

Сегодня такой подход перестает быть эффективным, поскольку не может обеспечить необходимый уровень защиты.

Опасность, которую в нынешних условиях представляют риски нарушения безопасности, требует от организаций рассматривать подобные угрозы в качестве проблем, способных нанести существенный ущерб деятельности компании, и решать их в рамках системы управления рисками организации. Обеспечение абсолютной защиты всех без исключения данных больше не представляется возможным.

Отталкиваясь от этого утверждения, мы спросили у представителей бизнеса, сотрудников служб безопасности и директоров по вопросам информационных технологий о том, как они решают первоочередные вопросы информационной безопасности, а также насколько точно соответствуют общим целям бизнеса меры обеспечения конфиденциальности и безопасности информации. Результаты глобального исследования состояния информационной безопасности и перспектив её развития на 2014 год показывают, что большинство директоров различных международных компаний уверены в эффективности методов информационной защиты, применяемых в их компаниях.

Уверенность в эффективности применяемых методов обеспечения безопасности

Как бы удивительно это ни звучало, но сегодня, в эпоху роста и видоизменения рисков, директора по-прежнему полностью уверены в эффективности систем и мер информационной защиты, действующих в их организациях. Семьдесят четыре процента респондентов из различных стран мира утверждают, что принимают эффективные меры по обеспечению безопасности (рис. 1). Наиболее оптимистично смотрит на проблему информационной безопасности высшее руководство компаний. Так, 84% генеральных директоров утверждают, что уверены в надежности своих программ безопасности, так же как и 78% директоров по информационной безопасности, которые несут прямую ответственность за обеспечение сохранности данных. Среди руководящих сотрудников наименьшую уверенность в надежности систем информационной безопасности испытывают финансовые директора. Данные по различным регионам показывают, что респонденты из Южной Америки (81%) и Азии (76%) наиболее уверены в эффективности своих систем безопасности.

Рисунок 1. Уверенность в эффективности программ безопасности (достаточно уверен или полностью уверен

Другим примером уверенности руководителей в системах безопасности может стать их мнение о том, насколько эффективно корпоративная программа безопасности выстроена с учетом общего бюджета расходов и стратегии бизнеса. В данном отношении респонденты проявляют не меньше оптимизма. Более 80% опрошенных уверены в том, что затраты на системы безопасности и соответствующая корпоративная политика соответствуют поставленным бизнес-задачам (за последний год уверенность в эффективности этих двух направлений лишь выросла). Столь высокий уровень уверенности говорит о том, что респонденты считают вопросы безопасности неотъемлемой частью своей бизнес-стратегии и признают их возможное влияние на конечную прибыль компании.

Респонденты также весьма оптимистично оценивают собственные стратегии безопасности и способность своих компаний к упреждающему применению таких стратегических инициатив. Мы попросили респондентов рассказать о том, как они оценивают собственный подход к вопросам обеспечения безопасности. Ответы показывают, что сейчас участники опроса дают себе более высокую оценку, чем это было год или два назад.

Участников, которые сообщили о наличии в их компании эффективной стратегии и о готовности компаний к упреждающим действиям в связи с угрозами, мы называем «фаворитами» в «забеге безопасности», поскольку они демонстрируют два основных лидерских качества. В этом году 50% респондентов заявили, что их компании обладают качествами «фаворита» в сфере безопасности. Это на 17% больше, чем в прошлом году (рис. 2). Около четверти опрошенных (26%) говорят о наличии в их организациях надежных стратегий, которые при этом не обязательно способствуют успешному претворению плана в жизнь. Таких респондентов мы назвали «стратегами». Компании, которые эффективно реализуют задуманное, но при этом не имеют столь эффективной стратегии, мы назвали «тактиками». На тактиков приходится 13% всех участников нашего исследования. Еще одну группу респондентов мы назвали «спасателями». Спасатели, на долю которых приходится 11% опрошенных, не имеют принятой стратегии и обычно лишь реагируют на возникшие угрозы.

Рисунок 2. Как респонденты характеризуют свой подход к обеспечению информационной безопасности

ействительно ли «фавориты» являются лидерами в вопросах обеспечения безопасности?

Самооценка собственной эффективности по понятным причинам бывает предвзятой. Потому мы решили подробно проанализировать полученные сведения, для чего сформулировали ряд требований, которым должны соответствовать настоящие лидеры, при этом мы основывались на полученных от респондентов фактических данных, а не на результатах их собственной самооценки. Для того чтобы подтвердить свой статус лидера, респондентам было необходимо:

• иметь общую стратегию в области информационной безопасности;
• иметь в штате директора по информационной безопасности (или равнозначного сотрудника), который отчитывается перед высшим руководством компании (то есть генеральным директором, финансовым директором, операционным директором, директором по рискам или юрисконсультом);
• выполнить оценку и анализ эффективности имеющейся в компании системы информационной безопасности за прошедший год;
• иметь четкое представление о том, какого рода инциденты в области информационной безопасности имели место в прошедшем году.

Анализ респондентов с учетом вышеописанных требований показал, что те, кого мы назвали фаворитами, не всегда реально лидируют в сфере информационной безопасности. Применение этих критериев позволило установить, что лишь 17% всех респондентов являются реальными лидерами в области обеспечения информационной безопасности (рис. 3). Нам также удалось выяснить, что по сравнению с «фаворитами» реальные лидеры способны обнаружить большее число нарушений безопасности, они лучше разбираются в различных типах нарушений и их причинах, а также несут меньшие финансовые потери в результате таких нарушений.

Рисунок 3. «Фавориты» и реальные лидеры

Больше всего реальных лидеров было обнаружено в Азиатско-Тихоокеанском регионе (28%) и в Северной Америке (26%), немногим меньше - в Европе (24%) и Южной Америке (21%), Ближний Восток и Африка (1%) замыкают этот список. Наиболее «продвинутыми» с точки зрения состояния информационной безопасности отраслями стали технологический сектор (16%), сектор финансовых услуг (11%), а также розничная торговля и производство потребительских товаров (9%).

Есть еще одна причина для оптимизма: бюджеты на обеспечение информационной безопасности растут.

Многие респонденты высоко оценивают собственную компетенцию в отношении методов обеспечения информационной безопасности, при этом лица, ответственные за корпоративные бюджеты, также весьма оптимистично смотрят на состояние систем безопасности. Возможно, они понимают, что сегодня, в условиях повышенного риска, проблемы безопасности требуют дополнительных инвестиций. Как бы то ни было, существенный рост финансирования систем информационной безопасности является хорошим знаком для служб безопасности. Несмотря на существенные различия таких бюджетов в зависимости от отрасли и размера компании, в целом, по оценке респондентов, объем средств, выделенных на обеспечение информационной безопасности в этом году, в среднем составил 4,3 млн долл. США, что на 51% больше, чем это было в 2012 году. Тем не менее, несмотря на такой рост, бюджет функций информационной безопасности составляет лишь 3,8% от общих затрат на информационные технологии в этом году, что говорит об относительно невысоком уровне инвестирования.

Что же ждет нас в будущем? Прогнозы также полны оптимизма. Почти половина всех респондентов (49%, что на 4% больше, чем в прошлом году) утверждают, что уровень затрат на обеспечение безопасности в течение следующих 12 месяцев увеличится. По данным опроса, 66% респондентов из Южной Америки и 60% представителей Азиатско-Тихоокеанского региона ожидают, что инвестиции в информационную безопасность будут расти. В Северной Америке лишь 38% участников опроса прогнозируют рост финансирования систем безопасности, что делает данный регион самым «скупым» на затраты в этом направлении.

Современные проблемы - устаревшие решения

Сегодня уже невозможно игнорировать шквал сообщений о том, что за последний год злоумышленники стали более изобретательными в вопросах взлома систем безопасности и все чаще добиваются достижения своих целей. Учитывая тот факт, что журналисты порой злоупотребляют сенсационностью заголовков новостей, чтобы привлечь читателей на сайты своих изданий, вполне разумно будет усомниться в точности сообщений о хакерских атаках.

Результаты данного исследования частично подтверждают обоснованность шумихи вокруг увеличивающего числа инцидентов в сфере информационной безопасности.

В любом случае с фактами не поспоришь, а они говорят о том, что число инцидентов в области информационной безопасности растет. (Под инцидентом в области информационной безопасности мы понимаем любое происшествие негативного характера, которое в той или иной мере угрожает компьютерной безопасности.) Участники опроса сообщили о том, что число обнаруженных инцидентов увеличилось на 25% по сравнению с прошлым годом (рис. 4). Похоже, эти данные оправдывают броские заголовки в прессе об увеличении числа угроз информационной безопасности. С другой стороны, рост числа обнаруженных инцидентов также может говорить о том, что организации более эффективно отслеживают возможные нарушения.

Рисунок 4. Среднее количество инцидентов в сфере информационной безопасности, произошедших за последние 12 месяцев

Марк Лобел, партнер PwC, утверждает: «Число инцидентов увеличивается не только из-за роста рисков, но также и вследствие того, что некоторые компании инвестируют в новые технологии, которые помогают более эффективно обнаруживать такие инциденты. С этой точки зрения увеличение числа выявленных инцидентов в области информационной безопасности можно рассматривать как положительный сдвиг».

При этом число респондентов, которым неизвестно точное число инцидентов, год от года продолжает расти, достигнув на сегодняшний день отметки в 18%. Похоже, это несколько противоречит утверждению о том, что компании все более эффективно выявляют случаи нарушения своей информационной защиты. Это, скорее, указывает на то, что старые методы обеспечения безопасности могут быть неэффективными или же просто не действуют. Рост числа инцидентов параллельно с увеличением объемов данных, передаваемых в электронном формате, приводит нас к очевидному выводу: уровень потерь информации становится все выше. В этом году 24% респондентов сообщили об утрате данных в результате инцидентов в области информационной безопасности, что на 16% больше, чем в 2012 году.

Углубленный анализ типов скомпрометированной информации позволяет прийти к весьма интересным выводам. Список таких данных возглавляет документация по персоналу (35%) и клиентские файлы (31%) (рис. 5). Каждый год участники опроса сообщают нам, что данные о сотрудниках и клиентах являются для них наиболее ценной информацией.

Рисунок 5. Последствия инцидентов в области информационной безопасности

Поэтому было бы логичным предположить, что защита именно этих видов данных должна стать приоритетом для служб информационной безопасности. Тем не менее тот факт, что данные о клиентах и сотрудниках компаний наиболее часто становятся объектом кражи, говорит нам о том, что текущие меры защиты информации являются неэффективными или же неверно ориентированы на возникающие риски.

Общий объем убытков

Вполне логичным представляется то, что по мере увеличения количества инцидентов в сфере безопасности будут расти и финансовые затраты. Так и происходит на практике. Мы установили, что средний уровень финансовых убытков, связанных с инцидентами в области информационной безопасности, за прошлый год вырос на 18%.

Шейн Симс, директор PwC, говорит: «В целом уровень затрат и степень сложности мер реагирования на инциденты увеличиваются. В число общих затрат входит стоимость проведения расследований, расходы на анализ бизнес-рисков и обнаружение инцидентов, стоимость отправки уведомлений клиентам, потребителям и в регулирующие органы, а также расходы на судопроизводство. Помимо этого, у компаний возникают затраты на устранение последствий инцидента, поскольку под угрозу попадает все больше информации в рамках различных юрисдикций, а системы контроля безопасности просто не поспевают за непрерывными изменениями в мире информационной безопасности».

Дальнейший анализ полученных данных показал, что наиболее существенный рост финансовых затрат отмечен в компаниях респондентов, которые сообщили об ущербе на крупные суммы в результате инцидентов в сфере безопасности. Конкретный пример: число респондентов, сообщивших об убытках в размере 10 млн долл. США и более, увеличилось на 51%% за период с 2011 года. Мы ожидали, что отрасли, которые традиционно принимали предупредительные меры и инвестировали в информационную безопасность, понесут меньшие убытки. Впрочем, как ни странно, на деле всё оказалось иначе. В число отраслей, которые понесли убытки в объеме 10 млн долл. США и более, вошли фармацевтический сектор (20%), сектор финансовых услуг (9%) и технологический сектор (9%).

В среднем один инцидент обходится компании в 531 долл. США (рис. 6). Респонденты, которых мы включили в число лидеров по информационной безопасности, сообщают о самой низкой стоимости одного инцидента (421 долл. США в среднем), что неудивительно. Весьма неожиданным для нас стало то, что компании, относящие себя к числу «фаворитов», тратят 635 долл. США на один инцидент в области информационной безопасности - почти столько же, сколько тратят «спасатели», которые, по собственной оценке, наименее подготовлены к реализации эффективной программы защиты от информационных угроз. Все это ставит под сомнение реальную эффективность компаний, входящих в категорию «фаворитов».

Рисунок 6. Средние затраты на один инцидент в области информационной безопасности

Инсайдеры, сторонние лица и хакеры

Как мы уже отмечали, заголовки новостей не всегда справедливо отражают актуальные риски. Хотя различные резонансные инциденты (например, случаи искусного взлома защитных барьеров, относимые к числу целенаправленных устойчивых угроз) искушают других злоумышленников, подталкивая их к попытке повторить успешный опыт преодоления защитных систем, на практике такие преступления совершаются редко.

На самом деле реальность куда более прозаична. Большинство респондентов считают, что причиной инцидентов, связанных с нарушением безопасности, являются обычные «инсайдеры», такие как сотрудники (31%) и бывшие сотрудники компаний (27%) (рис. 7). Многие организации полагают, что угроза, которую представляют инсайдеры, может быть даже еще опаснее, чем об этом говорится в резонансных новостях. При этом частотность инсайдерских инцидентов невелика.

Рисунок 7. Вероятные источники угрозы инцидентов

Учитывая широкую распространенность рисков, связанных с персоналом, у нас вызывает удивление неготовность многих компаний противостоять довольно обычным внутренним угрозам. Отдельный обзор под названием «Исследование уровня киберпреступности в США» за 2013 год, в спонсировании которого принимала участие фирма PwC, показал, что треть респондентов из США не имеют плана реагирования на инсайдерские инциденты . Впрочем, даже среди тех, у кого есть план на случай возникновения инсайдерской угрозы, лишь 18% считают его высокоэффективным.

Майкл А. Мэйсон, директор по безопасности компании Verizon Communications, утверждает: «На мой взгляд, сегодня вероятность инсайдерской угрозы существенно выросла по сравнению с прошлыми периодами». Он добавляет, что компания Verizon считает инсайдерами всех лиц, имеющих доступ к корпоративным данным: «Помните, что инсайдерский инцидент вовсе не означает попытку некоего "жулика" взломать вашу систему защиты. Такие инциденты, например, возникают, когда обычный сотрудник проявляет особое рвение и работает с нарушением условий безопасности. Наши проблемы в большей степени проистекают из человеческого, а не технического фактора».

Джон Хант, руководящий сотрудник PwC, отмечает: «Одна из причин того, что компании не имеют действенных планов защиты от внутренних угроз, заключается в том, что они сами предоставляют многим типам инсайдеров, например партнерам или поставщикам, право доступа в пределах периметра сети, поскольку такие инсайдеры пользуются определенным доверием. Бизнесу пора понять, что доверие к консультантам не должно быть безграничным».

Говоря о внешних факторах риска, важно отметить, что некоторые стороны, представляющие наибольшую угрозу, в частности хакеры, на практике оправдывают свой потенциал риска. Вот доказательство: 32% участников опроса связывают возникновение инцидентов в области информационной безопасности с хакерскими атаками (это на 27% больше, чем в прошлом году).

Не стоит забывать и об инцидентах, получивших широкий общественный резонанс. Речь идет, в частности, о попытках правительств иностранных государств получить нужную им информацию с помощью целенаправленных устойчивых атак. По мнению участников опроса, на долю инцидентов с участием иностранных государств приходится лишь 4% всех установленных случаев нарушения периметра информационной безопасности.

Для крупных компаний, таких как Verizon, этот аспект не представляет существенной угрозы. Майкл Мэйсон уверен, что «опасаться целенаправленных устойчивых угроз - в каком-то смысле все равно, что бояться подхватить простуду, работая со штаммами вируса сибирской язвы».

Несмотря на то что риск возникновения целенаправленных устойчивых угроз невелик, для многих крупных организаций крайне важно следить за стремительными изменениями в области кибермошенничества. Это хорошо понимает руководство компании Cablevision Systems Corporation, оператора мультисервисных каналов связи, предоставляющего услуги доступа к кабельному телевидению и сети Интернет, а также выпускающего ежедневное печатное издание.

Дженнифер Лав, старший вице-президент по вопросам безопасности компании, рассказывает: «Как и многие другие операторы мультисервисных каналов связи, мы внимательно отслеживаем публикуемые отчеты, сообщающие о росте числа обнаруженных угроз, связанных с деятельностью киберпреступников и иностранных государств, особенно если такие угрозы нацелены на электроэнергетические и коммуникационные компании. Мы получаем информацию из разных источников, в том числе отраслевых и государственных. На ее основании мы определяем имеющиеся риски и принимаем решения о дальнейших мерах».

Слабая защита от сильного противника

Для того чтобы успешно бороться с актуальными рисками, компаниям необходимо разработать действенную стратегию и внимательно следить за наиболее уязвимыми участками информационной экосистемы и за стремительно развивающимися угрозами. В основе принимаемых мер и инвестиционных решений должно лежать четкое представление об информационных активах, о рисках, угрожающих информационной экосистеме, и ее уязвимых местах. Все решения в данной области необходимо оценивать в контексте осуществляемой компанией деятельности.

Многим для этого нужно научиться мыслить по-новому и перестроить систему планирования. Именно поэтому вовсе не удивительно, что многие участники опроса говорят об отсутствии в их компаниях надежных технологий и процессов, которые могли бы обеспечить должный уровень понимания актуальных рисков. К примеру, 52% опрошенных не применяют инструменты поведенческого мониторинга и контроля. При этом 46% респондентов не прибегают к использованию информации о системах безопасности или технологий по управлению событиями. Несмотря на то что инструменты для управления активами играют крайне важную роль при обеспечении безопасности информационных активов, 39% опрошенных не применяют такие средства. Даже стандартные технологии, необходимые для защиты особо секретной информации, используются не столь широко, как хотелось бы. Особенно стоит отметить, что 42% участников исследования не применяют инструменты для предотвращения потери данных.

По мере увеличения объемов данных и активизации обмена информацией с партнерами, поставщиками, подрядчиками и клиентами, компаниям следует все более внимательно отслеживать риски, связанные с предоставлением корпоративных данных третьим лицам. Бизнесу также необходимо убедиться в том, что такие третьи стороны полностью соответствуют требованиям к безопасности информации или даже превосходят их.

Нас весьма беспокоит, что в США многие респонденты не имеют политик и инструментов, необходимых для оценки третьих лиц с точки зрения рисков безопасности (информация получена по результатам отдельного исследования, в финансировании которого принимала участие фирма PwC) . Например, лишь 20% опрошенных утверждают, что проводят оценку информационной безопасности третьих лиц, с которыми они могут обмениваться данными или которым они предоставляют доступ к своей сети, чаще одного раза в год. При этом 22% опрошенных говорят, что не проводят вовсе никакой оценки третьих лиц, а 35% проверяют третьи стороны на предмет безопасности лишь раз в год или реже.

Только 22% опрошенных утверждают, что создают планы реагирования на различные инциденты, связанные с партнерами по цепочке поставок, при этом 52% респондентов вообще не составляют такие планы.

Как уже говорилось, резкий рост числа рисков и изменение их характера требуют от компаний четкого понимания того, что в нынешних условиях нецелесообразно - или даже невозможно - обеспечить одинаковый уровень защиты для всех видов информации, как это было до недавнего времени. Новая модель информационной безопасности требует от бизнеса четко определять действительно значимую информацию и уделять ей повышенное внимание.

Вполне очевидно, что характер такой информации будет зависеть от особенностей конкретных компаний и отраслей. В число таких «драгоценных» активов может входить интеллектуальная собственность, включающая проектную документацию по продуктам, маркетинговые планы, информацию, которой обменивается руководство, а также стратегии бизнеса. Впрочем, данную категорию можно расширить до пределов любой информации, которая в случае ее кражи или потери может нанести бизнесу существенный вред.

Сегодня на долю таких нематериальных активов, как интеллектуальная собственность, приходится 80% всей стоимости, создаваемой фирмами, входящими в индекс S&P 500 (по данным Ocean Tomo, банка интеллектуальной собственности™) . Чем выше стоимость интеллектуальной собственности, тем больше она привлекает киберпреступников.

Результаты данного исследования показывают, что, несмотря на увеличение стоимости интеллектуальной собственности и усугубление потенциальных последствий ее утраты, многие респонденты недостаточно эффективно определяют и защищают свою информацию, имеющую особую ценность. К примеру, лишь 17% опрошенных распределяют информацию по категориям конфиденциальности в зависимости от ее коммерческой ценности, и только 20% применяют отдельные процедуры, направленные на обеспечение защиты интеллектуальной собственности (рис. 8). Двадцать шесть процентов участников опроса проводят инвентаризацию активов и применяют процедуры управления активами. Результаты опроса показывают, что в некоторых отраслях активность применения политики, направленной на защиту интеллектуальной собственности, фактически снижается.

Рисунок 8. Наличие политики по охране интеллектуальной собственности и коммерческой тайны

Еще одним ключевым риском в области защиты данных является применение мобильных устройств (смартфонов и планшетов), а также использование личных портативных устройств на работе. Хотя тенденция к использованию мобильных устройств для обмена информацией и передачи данных активно развивается, политика компаний в данной области существенно отстает от растущих темпов распространения смартфонов и планшетов. Участники опроса утверждают, что за последний год компании не сильно продвинулись вперед в вопросе внедрения программ безопасности в отношении использования мобильных устройств. Отмечается, что в некоторых случаях масштабы деятельности в данном направлении вообще сокращаются (рис. 9). Например, лишь 42% опрошенных отметили, что в их компаниях имеется стратегия по обеспечению информационной безопасности мобильных устройств. Только 39% утверждают, что в их организациях применяется программное обеспечение для управления мобильными устройствами - важный инструмент, предназначенный для автоматического коллективного администрирования смартфонов.

Рисунок 9. Меры по контролю рисков нарушения безопасности, связанных с использованием мобильных устройств

Облачные технологии, которые присутствуют на рынке уже более десяти лет, стали широко распространенной - если не повсеместной - практикой для обмена корпоративными данными.

Почти половина респондентов (47%) используют те или иные аспекты облачных технологий, что на 24% больше, чем в прошлом году. Среди тех, кто применяет в работе облачные технологии, 59% сообщили о повышении эффективности систем безопасности.

Сучетом вышесказанного весьма удивительно видеть, что многие компании не уделяют должного внимания возможным негативным последствиям применения облачных технологий. К примеру, среди всех участников опроса, использующих такие технологии, лишь 18% сообщили о наличии в их организациях официальной политики, регулирующей применение облачных вычислений.

Джошуа МакКиббен, директор PwC, говорит: «Отсутствие в организациях политики по регулированию использования облачных технологий является существенной угрозой безопасности бизнеса. Увеличение объемов передаваемых данных, а также рост масштабов применения мобильных устройств приводит к более интенсивному использованию облачных технологий, которое может привести к потенциальным злоупотреблениям со стороны персонала. В то же время компаниям важно следить за тем, чтобы сторонние поставщики услуг в сфере облачных вычислений соблюдали установленные требования к безопасности».

Как уже отмечалось, целенаправленным устойчивым угрозам уделяется неоправданно большое внимание в прессе, в результате чего число компаний, которые с повышенной серьезностью относятся к таким угрозам, может увеличиваться. К примеру, 54% опрошенных утверждают, что в их организациях внедрены технологии, обеспечивающие управление процессом обнаружения таких рисков и помогающие защититься от них. В число отраслей, компании которых применяют решения по противодействию целенаправленным устойчивым угрозам, входит аэрокосмическая и оборонная отрасль (61%), государственный сектор (58%) и фармацевтическая отрасль (58%).

В «Исследовании уровня киберпреступности в США» за 2013 год говорится о том, что инструменты по противодействию целенаправленным устойчивым угрозам обычно включают в себя анализ с целью выявления вредоносного ПО, отслеживание исходящего трафика, поиск неавторизованного оборудования, получающего доступ к сетям, а также анализ и географический поиск информации по IP-адресам .

Готовимся к встрече с угрозами будущего

Злоумышленники сегодня становятся все опытнее и изощреннее, что позволяет им находить новые уязвимые звенья в системах безопасности компаний. Для того чтобы эффективно справляться с этим риском, организациям необходимо применять передовые знания об информационных активах, системных угрозах и уязвимых местах, планируя инвестиции и необходимые меры для решения проблем в области информационной безопасности. Такие меры следует оценивать с учетом особенностей деятельности, осуществляемой организацией.

Данное исследование показывает, что компании, лидирующие, по нашему мнению, в области информационной безопасности, расширяют свои возможности в этом направлении, внедряя политику и регламенты, благодаря которым вопрос обеспечения безопасности становится одной из главнейших задач бизнеса. Для таких компаний вопросы безопасности выходят за рамки ИТ-проблем. Как же им это удается?

Лидеры в области безопасности стремятся тесно увязать свои стратегии по обеспечению информационной безопасности с потребностями бизнеса, устанавливая стандарты для внешних партнеров, а также в целом переосмысливая фундаментальные принципы безопасности данных (рис. 10). К примеру, 88% лидеров имеют в штате директора, который отвечает за информирование сотрудников предприятия о важности обеспечения информационной безопасности в компании. Другая дальновидная политика предполагает создание межфункциональной группы, которая будет координировать решение проблем в области безопасности и сообщать о них сотрудникам компании. Этот принцип организации систем безопасности применяется в 66% опрошенных организаций.

Рисунок 10. Политика и меры в области информационной безопасности, применяемые участниками опроса (все опрошенные / лидеры)

Джо Ноусэра, руководящий сотрудник PwC, отмечает: «Такая политика показывает, что компании проявляют высокий, невиданный ранее уровень ответственности в отношении информационной безопасности. Эта ответственность подразумевает участие всех директоров и ведущих руководителей в обеспечении успешного выполнения компанией всех задумок и планов, направленных на повышение уровня безопасности. Данная тенденция также подчеркивает необходимость информирования сотрудников и третьих сторон, занимающихся обработкой важной информации, о значимости информационной безопасности».

Дженнифер Лав, старший вице-президент по вопросам безопасности компании Cablevision, говорит: «В нашей компании топ-менеджеры и члены совета директоров с готовностью принимают участие в реализации инициатив в области безопасности. Они хорошо понимают, насколько важную роль играет информационная безопасность, и хотят иметь четкое представление об угрозах, с которыми мы сталкиваемся, и о мерах, принимаемых для защиты уязвимых участков периметра безопасности».

Внедрение политики и необходимых регламентов, а также вовлечение топ-менеджмента в работу над усовершенствованием систем безопасности - это всего лишь начало реальной деятельности. Эффективность принимаемых мер можно оценить, проанализировав применение компаниями технологий, которые обеспечивают внедрение такой политики и регламентов.

Чаще всего именно лидеры применяют инструменты, которые помогают в реальном времени анализировать подозрительную деятельность в рамках сетевого оборудования и приложений. К примеру, 66% лидеров в области информационной безопасности утверждают, что в их компаниях применяются системы защиты информации и управления инцидентами (SIEM). Ровно такое же количество опрошенных (66%) говорит, что им удалось внедрить инструменты корреляции событий, которые объединяют и сопоставляют информацию, полученную разными системами, например системами мониторинга уязвимостей и системами контроля взлома периметра безопасности. Решения, предназначенные для сканирования систем безопасности в поисках уязвимых мест, применяются 71% лидеров. Такие инструменты позволяют проводить оценку сетей и приложений с целью выявления возможных слабых сторон.

Несмотря на то что в данном отчете мы в основном рассматриваем лидеров, которые применяют вышеописанные технологии, также важно отметить, что сегодня, в условиях повышенных рисков безопасности, всем без исключения компаниям следует внимательно рассмотреть возможность применения данных защитных мер.

Другим примером эффективных мер безопасности является информирование сотрудников и организация обучения персонала. Информированность работников является очень важным фактором любой программы безопасности. Шестьдесят процентов опрошенных говорят, что в их компаниях имеются обучающие программы, предназначенные для повышения уровня информированности сотрудников. Поскольку сотрудники зачастую становятся «психологической мишенью» злоумышленников, всем без исключения респондентам следует задуматься о внедрении эффективной программы обучения персонала.

Для того чтобы оценить приоритеты респондентов в отношении подготовки к угрозам будущего, мы проанализировали, какие процессы и технологии защиты компании планируют внедрить в первую очередь в ближайшие 12 месяцев. Особое внимание мы уделяли следующим пяти категориям защитных мер: защита важных активов, обеспечение безопасности инфраструктуры, выявление угроз безопасности, аналитические меры и обеспечение безопасности мобильных устройств.

Сьюзен Модлин, директор по безопасности компании Equifax, международного бюро кредитных историй, рассказывает: «Очень часто деятельность злоумышленников направлена против сотрудников, которые располагают определенными сведениями. Именно поэтому мы проводим обучение сотрудников в виде ролевых игр. Наши программы обучения нацелены на такие группы высокого риска, как сотрудники колл-центра, пользователи с высокими полномочиями и топ-менеджеры. Мы учим персонал компании грамотно противостоять так называемым фишинговым атакам».

Для создания эффективной системы безопасности сегодня компаниям необходимо определить так называемые драгоценные активы, то есть наиболее важные активы компании, и в первую очередь обеспечить их защиту. Двадцать пять процентов респондентов утверждают, что в течение грядущих 12 месяцев они внесут в число приоритетных задач реализацию программы по определению особо важных активов, а 17% - что они оценят приоритетность инструментов по управлению активами (рис. 11). Данные решения являются ключом к пониманию, оценке и эффективному управлению важной корпоративной информацией.

Рисунок 11. Защитные меры, которые пока не применяются, но входят в список приоритетов на ближайший год

Для того чтобы повысить надежность инфраструктуры, практически четверть опрошенных (24%) планируют внедрить стандарты безопасности для внешних партнеров, поставщиков и клиентов. Эта задача становится все более актуальной по мере того, как компании открывают доступ к своим сетям, приложениям и данным для третьих лиц. Более того, применение таких технологий, как виртуализация и облачные вычисления, существенно повысило вероятность угроз, которые могут исходить от инсайдеров, обладающих высокими полномочиями доступа. Таким образом, мониторинг и управление пользователями с высоким уровнем доступа теперь входят в число основных проблем. Исследование показало, что 17% опрошенных планируют внедрить инструменты для управления пользователями с высоким уровнем доступа в течение следующих 12 месяцев.

Остальные приоритеты направлены на технологии, которые помогают лучше понять характер угроз, а также повысить уровень безопасности мобильных устройств. Мы впервые спросили респондентов о том, планируют ли они начать пользоваться абонентскими услугами по обнаружению потенциальных угроз для того, чтобы заручиться поддержкой третьих сторон и получать своевременные предупреждения о рисках и так называемых уязвимостях нулевого дня (уязвимость, используемая злоумышленником в тот же день, когда она была обнаружена, то есть пока способ ее устранения не найден). Многие из участников опроса ответили утвердительно на этот вопрос: 49% респондентов сказали, что в данный момент они применяют такие услуги. При этом 25% тех, кто не использует данные решения, планируют в ближайшие 12 месяц включить их в число своих приоритетных задач.

Компания Equifax в числе своих основных приоритетов называет обеспечение защиты устройств, которыми пользуются сотрудники, с тем чтобы организация, предоставляющая финансовые услуги, могла более эффективно отслеживать основные факторы угроз. Сьюзен Модлин говорит: «Мы анализируем аппаратное оборудование, применяемое сотрудниками, и фактически создаем так называемую песочницу, которая позволяет оградить компьютеры от вирусов и вредоносных программ. Это не только помогает нам бороться с рисками, но также способствует определению типов потенциальных угроз и поиску злоумышленников, планирующих атаки непосредственно против нашей компании».

Принимая во внимание все увеличивающийся интерес к способам обработки больших массивов информации, мы также спросили респондентов о планах их компаний относительно применения аналитических схем в целях повышения общей безопасности. Стратегический подход к данному вопросу становится все более популярным: 20% респондентов сказали, что планируют в будущем пересмотреть приоритетность инструментов информационной безопасности и управления событиями. Столько же опрошенных считают внедрение технологий корреляции событий в системах защиты своей первоочередной задачей.

Пракаш Венката, управляющий директор PwC, уверен: «Такие технологии помогают компаниям обнаружить закономерности и аномалии в деятельности, направленной на изучение компьютерных угроз, с которыми сталкивается бизнес. Обладая этими знаниями, руководители смогут предвидеть изменения в характере киберугроз, нависших над их организациями, и оперативно реагировать на них».

Еще одной актуальной проблемой является безопасность мобильных устройств. Практически четверть всех участников исследования сообщили о своих планах повысить приоритетность шифрования смартфонов, внедрить решения по управлению мобильными устройствами, а также реализовать стратегию использования персональных устройств в корпоративных сетях.

Прошедший год показал, что обмен информацией об угрозах безопасности, даже между конкурирующими компаниями, стал мощным инструментом противодействия рискам. Мы считаем, что сотрудничество помогает бизнесу быстрее адаптироваться к изменениям рыночной конъюнктуры. Пятое ежегодное исследование PwC Digital IQ5 помогло выявить, что фирмы, в которых топ-менеджмент готов к сотрудничеству, успешно интегрируют стратегию и информационные технологии. Такой подход весьма часто способствует повышению эффективности бизнеса.

Мы захотели узнать, как респонденты, многим из которых приходится работать в крайне конкурентных условиях, смотрят на возможность сотрудничества с другими игроками рынка в целях повышения уровня безопасности и обмена знаниями о потенциальных угрозах. Многие организации осознают, что у такого сотрудничества есть свои плюсы. Результаты опроса показали, что половина опрошенных сотрудничают с другими участниками рынка, а среди лидеров в области безопасности этот показатель достигает 82%.

Пример от Equifax: по словам Сьюзен Модлин, компания Equifax «принимает участие в деятельности Центра анализа информации о финансовых услугах и обмена такой информацией». Она убеждена: «Для нашей компании это крайне важно, поскольку многие государственные учреждения также принимают участие в работе этого Центра, что позволяет нам заранее получать информацию о возникающих угрозах». Equifax также участвует в работе нескольких других отраслевых групп и взаимодействует с аналогичными предприятиями.

Двадцать восемь процентов опрошенных в числе основных причин, по которым они отказываются от сотрудничества, называют обеспокоенность в связи с увеличением числа уязвимостей периметра безопасности, боязнь того, что конкуренты воспользуются полученной информацией в своих интересах, а также прямое недоверие своим конкурентам (рис. 12). Наконец, 22% респондентов не знают о том, сотрудничает ли их организация с другими участниками рынка.

Рисунок 12. Причины отсутствия сотрудничества по вопросам безопасности

Что препятствует развитию систем безопасности?

Хотя большинство лиц, заинтересованных в укреплении систем безопасности, и согласны с тем, что необходимо принимать меры по усилению информационной защиты, они до сих пор не могут прийти к общему пониманию того, какие меры необходимы для преодоления существующих барьеров.

Мы попросили участников исследования назвать самые существенные препятствия, которые мешают им повысить уровень информационной безопасности в их компаниях. В итоге мы получили множество противоречивых мнений, причем в некоторых случаях респонденты пытались найти виноватых вместо того, чтобы проанализировать реальные причины.

В целом участники опроса отметили, что в число наиболее существенных препятствий входит недостаток капитального финансирования, отсутствие четкого понимания того, какое влияние на состояние информационной безопасности окажут будущие потребности бизнеса, недостаток целеустремленных лидерских идей, а также отсутствие эффективной стратегии безопасности (рис. 13).

Рисунок 13. Основные препятствия на пути к созданию эффективной системы безопасности

Тенденция роста бюджетов на обеспечение безопасности в этом году может привести к решению проблем с финансированием. При этом вызывает беспокойство, что такие ключевые вопросы, как понимание принципов безопасности, приведение их в соответствие с будущими потребностями бизнеса, а также обеспечение эффективности стратегий безопасности, по-прежнему входят в число ключевых проблем. Респонденты также весьма часто называют высшее руководство, особенно генеральных директоров, в качестве основного препятствия на пути к повышению уровня безопасности.

Но кого же тогда винят во всем генеральные директора? Любопытно отметить, что генеральные директора в основном называли главным препятствием самих себя. Финансовые директора называли генеральных директоров в качестве основного барьера для развития информационной безопасности. За гендиректорами в этом списке следовали директора по информационным технологиям, информационной безопасности и общей безопасности. По мнению директоров по информационной безопасности, несущих прямую ответственность за системы информационной защиты, список основных препятствий возглавляет недостаточное финансирование (как капитальное, так и операционное), второе место занимает недостаток компетенций и технического опыта у специалистов компании. Директора по информационным технологиям считают, что развитию систем защиты информации мешает отсутствие эффективной стратегии и общей концепции развития, а также недостаток лидерского участия генеральных директоров и руководителей, отвечающих за обеспечение безопасности.

Дэвид Берг, руководящий сотрудник PwC., уверен: «Отсутствие четкого понимания всей картины препятствий, стоящих на пути к построению эффективной системы безопасности, отчасти показывает, что бизнес не вполне готов к ведению адекватного диалога по вопросам информационной защиты. Такой диалог помогает сотрудникам, руководителям и третьим лицам понять свои функции в рамках систем информационной безопасности, а также осознать ключевые приоритеты и наиболее опасные риски. Для того чтобы достигнуть устойчивого понимания принципов безопасности, компаниям также потребуется заручиться полной поддержкой высшего руководства, в том числе генерального директора и совета директоров. Обсуждение проблем безопасности должно иметь непрерывный характер».

Мировая гонка в области кибербезопасности

В течение нескольких лет Азиатско-Тихоокеанский регион был лидером по инвестициям в развитие технологий и процессов обеспечения безопасности, а также по расходованию средств на эти цели. В результате данный регион оторвался от остальных в вопросах разработки и внедрения эффективных программ защиты информации (рис. 14).

Рисунок 14. Меры по обеспечению безопасности в разбивке по регионам

а данный момент этот регион продолжает лидировать в сфере информационной безопасности. Фактически 28% компаний, которых мы считаем лидерами, представляют Азиатско-Тихоокеанский регион, а это лишь 21% от общего числа участников исследования.

Южная Америка стремится догнать Азиатско-Тихоокеанский регион, лидирующий в области информационной защиты. Впервые за все время Южная Америка оказалась близка к лидерству по объемам инвестиций в системы информационной безопасности, политике в этой сфере и характеру принимаемых защитных мер. Этот континент занимает ведущее положение по многим аспектам, включая уровень затрат на цели безопасности и количество штатных директоров по информационной безопасности, ответственных за контроль защитных систем. По многим другим аспектам Южная Америка не отстает от своего азиатско-тихоокеанского соперника.

И тем не менее Азиатско-Тихоокеанский регион продолжает занимать уверенные позиции в вопросах бюджета на безопасность и передовых методов работы. Европа и Северная Америка, в свою очередь, во многом отстают от своих соперников, в том числе в таких областях, как введение должности директора по информационной безопасности, внедрение политики по резервному копированию и восстановлению данных (обеспечению непрерывности бизнеса), а также сотрудничество с другими игроками рынка. Северная Америка демонстрирует успехи в ряде областей, добившись от третьих сторон соответствия установленным требованиям политики конфиденциальности, обеспечив высокий уровень информированности сотрудников и организовав обучение персонала по вопросам безопасности. Вместе с тем этот регион продолжает отставать по многим другим показателям.

Азиатско-Тихоокеанский регион: по-прежнему в лидерах

Азиатско-Тихоокеанский регион продолжает занимать лидирующее положение по таким показателям, как бюджет на безопасность и методы работы. Инвестиции в укрепление систем безопасности также остаются на высоком уровне: ередний объем бюджетов на безопасность увеличился на 85% за прошедший год. Азиатско-Тихоокеанский регион также продемонстрировал самый высокий показатель доли бюджета на информационную безопасность от общих затрат на информационные технологии - 4,3%. Респонденты рисуют вполне радужную картину будущих затрат на обеспечение информационной безопасности: 60% опрошенных утверждают, что бюджет на защиту данных в их компаниях будет увеличен в течение следующих 12 месяцев. Вместе с тем, средний уровень финансовых убытков, связанных с инцидентами в сфере информационной безопасности, вырос на 28% за прошедший год.

Азиатско-Тихоокеанский регион имеет равные с Южной Америкой позиции по ключевым направлениям политики, таким как: наличие в штате должности директора по информационной безопасности в целях контроля программы защиты данных. Регион также отличается стремлением к применению новых прогрессивных мер безопасности, среди которых назначение директора, отвечающего за информирование персонала о важности информационной безопасности (69%), и сотрудничество с другими игроками рынка в целях повышения уровня безопасности (59%). В регионе, если сравнивать его с Южной Америкой, по всей вероятности, будут внедрены технологии, направленные на обнаружение фактов взлома систем защиты (67%), и будут созданы системы для сбора, передачи и хранения всех персональных данных (60%).

Вместе с тем динамика ежегодных изменений показывает, что в Азиатско-Тихоокеанском регионе отмечается замедление в области внедрения некоторых направлений политики и технологий обеспечения безопасности. Например, число респондентов, которые ответили, что у них существует политика в области резервного копирования, восстановления данных и обеспечения бесперебойной деятельности организации, за последний год сократилось. При этом другие основные направления политики, такие как обучение сотрудников и процедуры защиты интеллектуальной собственности, фактически не развиваются.

На долю Китая в этом исследовании приходится 33% респондентов из Азиатско-Тихоокеанского региона, за Китаем следуют Индия (31%) и Япония (17%). По большинству показателей Китай значительно опережает другие страны в развитии практики и политики в области обеспечения безопасности. Например, 60% респондентов в Китае используют инструменты поведенческого мониторинга и контроля, 73% осуществляют централизованное хранение пользовательских данных, а 72% используют сканеры для выявления уязвимых мест - по всем указанным показателям Китай опережает другие страны. Шестьдесят два процента (62%) респондентов в Китае применяют технологии, обеспечивающие защиту и обнаружение целенаправленных устойчивых угроз, а 66% внедрили технологии защиты информации и управления событиями - все эти показатели выше, чем в других странах. Более того, ни одна из стран не внедрила политику по безопасности мобильных устройств, по использованию личных портативных устройств на работе и по использованию социальных сетей на более высоком уровне, чем Китай. Например, 71% респондентов в Китае имеют политику по использованию персональных устройств в корпоративных сетях, тогда как в США таких респондентов оказалось 64%, а в Индии - 54%. По сравнению c Китаем Индия демонстрирует убедительные достижения в сфере реализации программ и политики безопасности, но отстает от Китая почти по всем показателям.

Южная Америка: новый лидер с юга

Южная Америка демонстрирует значительные достижения по уровню расходов на обеспечение безопасности, внедрению политики и технологий в этой сфере. По многим показателям данный регион сопоставим с Азиатско-Тихоокеанским регионом, а иногда и опережает его.

Например, бюджеты на информационную безопасность за последний год резко увеличились - на 69%, а 66% респондентов в Южной Америке отмечают, что расходы на безопасность возрастут в течение последующих 12 месяцев. Бюджеты на обеспечение безопасности составляют 4,1% от общих расходов на информационные технологии, при этом более высокий показатель отмечен только в Азиатско-Тихоокеанском регионе. Респонденты в Южной Америке активнее приглашают на работу директоров по информационной безопасности (75%) и следуют политике в области резервного копирования, восстановления данных и обеспечения бесперебойной деятельности организации (58%). Этот континент является лидером в области сотрудничества (66%) и поддерживает тесные связи с Азиатско-Тихоокеанским регионом в сфере реализации прогрессивных направлений политики безопасности, таких как наличие в штате организации директора, отвечающего за информирование сотрудников о важности информационной безопасности (68%). Средний уровень финансовых убытков, связанных с инцидентами в сфере информационной безопасности, вырос незначительно (на 4%) по сравнению с прошлым годом.

Доля респондентов из Бразилии оказалась самой большой в Южной Америке (48% от общего числа), затем следует Мексика (30%) и Аргентина (21%). Бразилия является лидером по ряду показателей, например в категории поведенческого мониторинга и контроля (57%), а также использования сканеров для выявления уязвимых мест в системах и сетях (63%), но в целом она отстает от Китая и США.

Южная Америка продемонстрировала некоторые слабые стороны. Например, доля респондентов, которые отметили, что в их организации существует политика обучения персонала в сфере информационной безопасности, оказалась сравнительно небольшой (54%), как и доля тех, кто ведет учет регионов, где осуществляется сбор, передача и хранение персональных данных (53%).

Европа: отставание в области финансирования и мер защиты

UB отличие от других регионов, в Европе за последний год инвестиции в информационную безопасность немного сократились (3%), и этот континент продолжает отставать в реализации важнейших мер по обеспечению информационной безопасности.

Наряду с небольшим сокращением инвестиций на обеспечение безопасности, только 46% респондентов в Европе считают, что уровень расходов на обеспечение безопасности в последующие 12 месяцев возрастет. И если число выявленных инцидентов в сфере безопасности снизилось за последний год на 22%, то средний размер финансовых убытков, вызванных такими инцидентами, повысился на 28%.

Внедрение существенных направлений политики, в том числе в области резервного копирования, восстановления данных и обеспечения бесперебойной деятельности организации (45%), а также в сфере обучения и информирования сотрудников по вопросам информационной безопасности (21%), оказалось в Европе на сравнительно низком уровне. Кроме этого, небольшое число респондентов ответили, что они сотрудничают с другими компаниями (45%) и следуют политике в области мобильной безопасности (38%).

Северная Америка: в отстающих и в лидерах одновременно

Инвестиции в обеспечение безопасности стремительно растут в Северной Америке, как и число выявленных нарушений систем безопасности. И хотя далеко не все ключевые направления политики в области безопасности внедрены, Северная Америка является лидером в ряде важных областей.

Средний размер бюджета на обеспечение безопасности возрос за последний год на 80%, однако перспективный бюджет по расходованию средств в следующем году является наименьшим среди всех регионов: только 17% респондентов в Северной Америке ожидают увеличения расходов в области информационной безопасности в ближайший год. Количество выявленных нарушений системы безопасности возросло на 117% за 2012 год, а средняя сумма финансовых потерь, возникших в результате инцидентов в сфере безопасности, увеличилась на 48%.

Северная Америка является лидером среди других регионов по целому ряду направлений, таких как: наличие общей стратегии в сфере безопасности (81%), введение требования о соблюдении третьими сторонами политики конфиденциальности и неразглашения информации (62%) и обучение персонала по вопросам безопасности (64%). Кроме этого, в регионе высока вероятность учета, сбора, передачи и хранения персональных данных (64%), а также применения технологий обнаружения вторжений (67%).

Среди недостатков отметим следующее: Северная Америка отстает по таким направлениям, как сотрудничество с другими участниками рынка (42%) и наличие в штате компаний директора по информационной безопасности (65%). В Северной Америке меньшее число респондентов проанализировало эффективность мер по обеспечению безопасности в своих компаниях в прошедшем году.

США, на которые приходится 84% североамериканских респондентов, оказались среди лидеров в области стратегий развития облачных технологий (52%), безопасности мобильных устройств (60%), социальных сетей (58%) и использования личных портативных устройств на работе (64%), уступая лишь Китаю в большинстве категорий.

Что это значит для вашего бизнеса

В «Глобальном исследовании по вопросам информационной безопасности. Перспективы на 2014 год» отражается состояние систем информационной безопасности в период неопределенности, когда все замерли в ожидании перемен, но при этом пытаются сохранить существующее положение дел. Респонденты отмечают прогресс в применении современных средств безопасности, с одной стороны, а с другой - уделяют недостаточное внимание таким ключевым стратегиям, как защита прав интеллектуальной собственности. При этом они вновь готовы инвестировать средства в обеспечение безопасности, но не имеют четкого представления о том, как именно следует совершенствовать существующую практику.

Если принять во внимание значительные изменения и проблемы, вызванные появлением всё новых угроз для экосистемы бизнеса, совсем не удивительно, что на вопрос о том, в каком направлении нужно двигаться дальше, нет однозначного ответа.

Одно очевидно: прежние средства защиты уже неэффективны в борьбе с новыми, стремительно возникающими сегодня угрозами. А риски завтрашнего дня представляются в лучшем случае неопределенными, а в худшем - губительными, но в любом случае они потребуют разработки абсолютно новой модели обеспечения информационной безопасности.

Мы предлагаем современный подход к пониманию того, какой может быть модель безопасности, основанная на понимании природы и источников угроз, а также на знании того, какие ресурсы имеются у компании. При наличии такой модели нарушения в области безопасности воспринимаются как чрезвычайно опасный для бизнеса риск, который не всегда можно предотвратить, но которым можно управлять, удерживая его на приемлемом для организации уровне.

Мы назвали такую модель «От осознания - к действию». По сути, такой подход основан на четырех ключевых принципах:

• Обеспечение безопасности - жизненно важная для бизнеса задача. Создание эффективной системы безопасности требует, чтобы вы понимали уровень риска и возможные последствия, связанные с работой в условиях существования интегрированной международной экосистемы бизнеса. Комплексная стратегия безопасности должна стать важнейшим элементом вашей бизнес-модели; безопасность перестала быть всего лишь одной из задач в области ИТ.
• Угрозы для безопасности являются бизнес-рисками. Риски, связанные с безопасностью, следует рассматривать как угрозы для самой организации. Чрезвычайно важно прогнозировать такие угрозы, понимать уязвимые места своей организации, уметь выявлять связанные с ними риски и управлять такими рисками. Необходимо, чтобы поставщики, партнеры и другие третьи лица были ознакомлены с вашей политикой и практикой в области безопасности и были согласны следовать им.
• Защита наиболее важной информации. Для создания эффективной системы безопасности вы должны иметь четкое представление о характере меняющихся угроз и уметь адаптироваться к ним путем определения, какая информация является для вас наиболее ценной. Вы должны знать, где находится эта «драгоценная» информация, кто имеет к ней доступ в любое время, и умело распределять в приоритетном порядке ресурсы вашей организации в целях защиты наиболее ценной информации.
• Преимущества модели «От осознания - к действию».

Применение этой новой модели информационной безопасности предполагает, что в основе любой деятельности и инвестиционных решений должно быть четкое понимание того, что представляют собой имеющиеся в организации информационные ресурсы, какие существуют угрозы для экосистемы бизнеса, какие участки системы наиболее уязвимы, а также каковы результаты мониторинга деятельности организации. Вам необходимо сформировать в своей организации культуру, направленную на обеспечение безопасности, таким образом, чтобы она охватывала всех сотрудников, начиная с высших должностных лиц, принимающих на себя обязательство по обеспечению безопасности, и заканчивая каждым сотрудником и всеми третьими лицами. При этом необходимо сотрудничать с государственными учреждениями и частными компаниями для более эффективного обмена информацией о возникающих угрозах для безопасности.

Мы поможем вам понять последствия применения этого нового подхода к вопросу информационной безопасности и окажем содействие по внедрению принципов, лежащих в основе такого подхода, с учетом индивидуальных потребностей вашего бизнеса и отрасли, а также с учетом угроз, характерных для вашей бизнес-среды. Мы продемонстрируем вам, как можно успешно противостоять сегодняшним угрозам безопасности и эффективно планировать защиту против тех угроз, которые возникнут завтра.

«Исследование уровня киберпреступности в США» за 2013 год. Спонсоры: журнал CSO, Координационный центр CERT Университета Карнеги-Меллон, Федеральное бюро расследований, PwC и Служба безопасности США, март - апрель 2013 года.

«Исследование уровня киберпреступности в США» за 2013 год. Спонсоры: Журнал CSO, Координационный центр CERT Университета Карнеги-Меллон, Федеральное бюро расследований, PwC и Служба безопасности США, март - апрель 2013 года.

Ocean Tomo, Ежегодное исследование рыночной стоимости нематериальных активов (Ocean Tomo), апрель 2011 года

Исследование уровня киберпреступности в США» за 2013 год. Спонсоры: журнал CSO, Координационный центр CERT Университета Карнеги-Меллон, Федеральное бюро расследований, PwC и Служба безопасности США, март - апрель 2013 года.