Обзор подготовлен
CNewsAnalytics

Российские CIO за минимизацию рисков

Минимизация рисков становится одним из основных приоритетов для CIO по мере все большего проникновения ИТ в бизнес российских компаний. В текущих условиях критически важен диалог между службами ИБ и топ-менеджментом, в результате которого обе стороны будут в нужной мере информированы о существующих проблемах, их значимости и путях решения.

Глобальное проникновение ИТ в бизнес современный компаний делает их чрезвычайно чувствительными к сбоям в работе информационных систем. Даже небольшой перерыв в работе крупного предприятия обходится в миллионы долларов, приводит к потере клиентов и деловой репутации. Поэтому сегодня особую значимость приобретает обеспечение непрерывности бизнеса. По мнению организаторов форума «IT-лидер» (Ассоциация менеджеров России, группа компаний «РосБизнесКонсалтинг» и компания «КРОК»), минимизация рисков внедрения ИТ-решений в современных организациях» является сегодня одной из важнейших задач ИТ-департаментов головной проблемой предприятий.

В первом приближении все ИТ-риски можно разделить на две большие группы. К первой относятся риски технических сбоев в информационных системах, ко второй — риски утечки информации. Согласно исследованиям большинство технических сбоев вызвано перебоями с электроснабжением. Основные пути минимизации этих рисков — организация систем бесперебойного питания, построение центров обработки данных, хранилищ данных и резервирование данных. Однако в последнее время все больше внимания уделяется рискам, связанным с информационной безопасностью. Проведенные опросы CIO показывают, что задача обеспечения ИБ имеет сегодня для них наивысший приоритет.

80% защиты

Проблема в том, что в России оценка информационных рисков еще не получила должного распространения. В большинстве случаев руководство компании не в курсе существующих информационных рисков, а ИТ-службы и службы ИБ,  в свою очередь, не знают стоимости защищаемой информации, что не позволяет правильно расставлять акценты при построении систем защиты. В любом случае компания несет материальные потери — либо по причине необоснованных трат на ИБ при попытке организовать 100% защиту, либо в результате недостаточных инвестиций, приводящих к утечке информации.

Решение о защите тех или иных ресурсов должен принимать, как ни парадоксально, топ-менеджмент компании, а не служба ИБ или ИТ, — отмечает Михаил Емельянников, начальник отдела департамента безопасности ОАО «Связьинвест». Именно топ-менеджеры имеют достоверную информацию о ценности информации в компании, и именно они должны инициировать ее защиту, реализация которой уже в свою очередь ложится на плечи службы ИБ. Поэтому так важен диалог между службой ИБ и высшим руководством, в результате которого обе стороны будут в нужной мере информированы о проблеме и путях ее решения.

Сегодня Garner выделяет четыре уровня зрелости компании с точки зрения ИБ:

  • Фаза 0, «охота и собирательство» (парольная защита, списки управления доступов на уровне и средствами ОС и СУБД)
  • Фаза 1, «феодальная» (Антивирусы, firewalls, VPN, SSL, шифрование данных)
  • Фаза 2, «возрождение» (PKI, системы управления доступом, SSO (Single Sign-On, единая точка доступа), IDS (системы обнаружения атак), системы контентной фильтрации)
  • Фаза 3, «индустриальная»  (DPM (системы управления правами), аудит, системы управления информационной безопасностью & global PKI, контроль целостности)

По мнению игроков рынка, большинство отечественных компаний находятся сегодня на уровне фаз 0 и 1, то есть «собирательства и феодализма». Тем не менее, этот факт нельзя расценивать как показатель уровня защищенности. Согласно принципу Парето для получения 80% результатов затрачивается 20% всех ресурсов. Этот принцип относится и к информационной безопасности, гарантируя большинству компаний необходимую степень защиты.

Угроза №1

По вопросу о наиболее актуальных угрозах информационной безопасности, мнение игроков практически едино. Наиболее опасным видом угроз для компании считаются внутренние нарушения. По данным исследования Infowatch, 62% респондентов указали действия инсайдеров как ключевую ИТ-угрозу. Еще 44% указали, в числе прочих, халатность сотрудников.

Самые опасные ИТ-угрозы

Самые опасные ИТ-угрозы

Источник: Infowatch, 2004

В то же время, как показало исследование, несмотря на то, что все компании знают об опасности внутренних угроз, только некоторые их них предпринимают конкретные действия для решения данной проблемы.

Отдельные сегменты решений только начинают формироваться не только в России, но и в мире. Например, программные продукты, предназначенные для предотвращения утечки данных по сетевым каналам (Anti-Leakage Software). На российском рынке в данном сегменте заметны только три компании InfoWatch, IPLocks и Lumigent. Другой сегмент решений, предназначенных для контроля нецелевого использования информационных ресурсов, также не многочислен.

Решения по разграничению доступа существуют давно и зарекомендовали себя как эффективное средство контроля конфиденциальной информации. Тем не менее, подавляющее большинство российских компаний не уделяют им достаточного внимания, ограничиваясь тривиальными паролями.

Еще один аспект, который остается без достаточного внимания — организационные меры обеспечения информационной безопасности. Специалисты в области ИБ отмечают, что грамотно организованное обеспечение ИБ на организационном уровне может не только значительно снизить уровень угроз, но и сэкономить существенные средства, которые были бы потрачены на технические и программные средства.

Илья Разумов / CNews Analytics


Вернуться на главную страницу обзора

Версия для печати

Toolbar | КПК-версия | Подписка на новости  | RSS