Rambler's Top100 Service

  Radius Group
СКАЧАЙТЕ БЕСПЛАТНО

ПУТЕВОДИТЕЛЬ

по всем нашим сайтам. Уникальная программа


РАЗДЕЛЫ ПОРТАЛА
  Главная страница
Бесплатная документация
Форумы
ГОРЯЧАЯ НОВОСТЬ
 

23 Mar (00:01)
Поиск в Google
Простые рекомендации от SecurityFocus

Архив...
ЛАБОРАТОРИЯ
  Место где решаются Ваши проблемы

Сейчас в Лаборатории
Компаний: 1640
Экспертов: 693

Вход
для пользователей
для экспертов

Как работает Лаборатория?
НОВОСТИ КОМПАНИЙ
 

9 Feb (00:04)
Кто боится Liebert UPStation?


15 Dec (00:04)
Система Online-control.net - три года успешной работы!

26 May (18:12)
Семинар "Создание эффективных веб-сайтов"

29 Apr (00:08)
Интернет-сайт компании: удобное средство для заработка денег или дополнительные накладные расходы?

15 Apr (00:26)
Три источника, три составные части Intel Centrino

Архив...
СТАТЬИ И ОБЗОРЫ
 

Microsoft торопится с Longhorn и удаляет WinFS
Новая ОС намечена на 2006 год

Windows XP SP2 Released to Manufacturing

Потрошим файлы PDF

Компьютерные законы Мерфи

Срок хранения информации на компакт-дисках=2 года

Архив...
Назад НаверхВниз
Советуют профессионалы! Совет: Сервис DOCUMENTER позволит "одним разом" по нажатию одной кнопки вывести на печать или в файл ряд стандартных документов, ранее заложенных в систему, с включенными в них данными клиента.

.
NEWS.ITUNION.RU НазадНаверхВниз

Всемирное исследование КПМГ


Информационная безопасность 2002:

Всемирное исследование КПМГ

Краткое описание проекта

Компания КПМГ впервые подготовила отчет о состоянии информационной безопасности в мире. Мы полагаем, что результаты этого обзора внесут существенный вклад в понимание проблем информационной безопасности, с которыми с настоящее время сталкивается каждая компания независимо от ее размера или географического местоположения. Такой же точки зрения придерживаются и компании, выступавшие спонсорами данного проекта, . CheckPoint, Symantec, RSA и Secure Computing Magazine.

При проведении настоящего исследования решались три основные задачи:

* Определить основные проблемы информационной безопасности

* Оценить, насколько эффективно компании принимают меры к минимизации известных им рисков в области ИТ

* Оценить готовность компаний к реакции на вновь возникающие риски.

Мы провели многочисленные телефонные опросы старших менеджеров, отвечающих за обеспечение информационной безопасности в целом ряде (репрезентативная выборка) международных компаний с оборотом свыше 50 млн. долл. США. Сферы деятельности вошедших в выборку компаний охватывали все основные отрасли индустрии и государственного сектора в Европе, на Ближнем Востоке и Африке, в странах Азиатско-Тихоокеанского региона, а также в странах Северной и Южной Америки.

Главный результат обзора может быть сформулирован следующей фразой: необходимо искать самое слабое звено.

То есть независимо от географического положения компании, вида ее бизнеса и объемов бизнеса, если все элементы системы информационной безопасности не представлены на должном уровне, то атаке в первую очередь будет подвергнуто самое слабое звено и под угрозой окажется весь бизнес компании.

Из-за этого самого слабого звена, из-за того, что информационная безопасность компаний не столь высока, как они думают, из-за несоответствия существующих уровней защиты, используемых в различных отраслях и странах, а также из-за того, что слишком мало компаний производит оценку эффективности функционирования систем информационной безопасности, ежегодно на устранение последствий нарушения информационной безопасности тратятся миллионы долларов США, а вместе с ними безвозвратно утрачивается доверие клиентов и партнеров по бизнесу, а также упускаются порой уникальные возможности, которые, вполне возможно, никогда не представятся вновь.

Некоторые результаты

Примечание: мы определяли информационную безопасность как перечень политик и процедур, которые обеспечивают доступность информации для авторизованных пользователей и защиту информации от несанкционированного доступа, преднамеренного или случайного искажения.

Нарушения в области информационной безопасности

Респондентов просили ответить на следующий вопрос: какие типы нарушений в области Информационной Безопасности являются, по их мнению, наиболее существенными. Мы получили следующие ответы:

Компьютерные вирусы 22%

Действия хакеров 21%

Контроль удаленного доступа 17%

Безопасность при работе с Интернет 10%

Утечка конфиденциальной информации или данных 5%

Обучение пользователей 5%

Обеспечение безопасности в проектах электронной коммерции B2B 5%

Мошеннические действия в Internet 4%

Кража или повреждение данных/информации 4%

Прочие 7%

Инциденты, связанные с нарушением информационной безопасности

В течение прошлого года во многих компаниях имели место следующие нарушения информационной безопасности:

Инциденты (Кол-во компаний, сообщив-ших о нарушениях, % пострадавших, Среднее кол-во потерянных рабочих дней в год, Средняя величина убытка/год - тыс. долл. США, Макс. заявленная величина убытка/год - млн. долл.)

Инциденты, связанные с компьютерными вирусами: 390, 61%, 68, 162, 10

Кража аппаратного обеспечения: 246, 38%, 21, 98, 3

Вторжение в электронную почту (напр., рассылка "спама"): 183, 29%, 12, 16, 0,2

Кража программного обеспечения: 102, 16%, 19, 104, 3

Атаки, направленные на создание сбоев в обслуживании (DOS): 91, 14%, 24, 53, 0,5

Взлом веб-сайтов (действия хакеров): 79, 12%, 84, 32, 0,2

Отказ критических информационных систем: 79, 12%, 80, 155, 4

Потеря документов компании (на бумажных носителях): 78, 12%, 11, 37, 0,2

Потеря конфиденциальной информации: 35, 5%, 18, 197, 1,5

Искажение входящей и исходящей информации: 23, 4%, 14, 14, 0,1

Комментарий КПМГ

Предупредить легче, чем устранить. Средняя величина прямых убытков каждой компании от нарушений информационной безопасности составляет 108,000 долл. США, не считая косвенных убытков, связанных с простоем оборудования и снижением производительности труда работников, а также расходов на восстановление системы информационной безопасности. Если к этому добавить еще и долгосрочный ущерб для репутации, который может нанести какое-либо из перечисленных выше событий, то общее отрицательный эффект будет еще больше. Общее правило таково, что устранение последствий нарушения системы информационной безопасности является значительно более дорогостоящим мероприятием, чем создание изначально эффективной системы ИБ.

Защита

Мы попросили респондентов оценить, в какой степени их компании защищены нарушений функционирования системы информационной безопасности. Представители практически всех компаний (96%) полагали, что принимают меры, достаточные для собственной защиты (58% твердо уверены, 38% - скорее уверены, чем нет). Однако когда мы сопоставили эти ответы с реально существующими механизмами защиты информации, мы обнаружили, что целый ряд компаний защищен далеко не так надежно, как им хотелось бы думать.

Так, из тех респондентов, кто заявил о твердой уверенности в эффективности мер защиты:

* 10% не проводят тестирования средств информационной безопасности, поэтому не могут быть уверены в их достаточной эффективности на практике

* 52% не имеют систем обнаружения вторжений

* 87% испытали в течение года один или несколько видов атак, в том числе:

- 61% - атаки компьютерных вирусов

- 28% - вторжения в электронную почту в виде рассылки "cпама"

- 15% - атаки направленные на создание сбоев в обслуживании (DOS)

- 13% - кражи программного обеспечения

- 12% - взлом веб-сайтов (действия хакеров)

Комментарий КПМГ

Многие компании явно переоценивают средства, которые они используют для защиты информации. Наиболее эффективным решением является комплексная многоуровневая защита с использованием целой серии процедур контроля. Одновременное использование нескольких средств защиты обеспечивает значительно более высокую степень защиты, чем лишь одно, пусть даже самое эффективное средство.

КПМГ рекомендует применять комплексный подход, покрывающий все аспекты информационной безопасности в компании.

Самое слабое звено

Респондентов попросили указать действуют ли их компании на национальном, региональном или мировом уровнях, и в каких секторах рынка. Были проанализированы ответы на ряд вопросов с тем, чтобы сформировать представление об уровнях защиты, применяемых компаниями в различных секторах рынка во всем мире.

Компании, осуществляющих свою деятельность в Азиатско-Тихоокеанском регионе, в Европе, Ближнем Востоке и в Африке, испытывает более интенсивные атаки компьютерных вирусов (64% и 62%, соответственно), чем компании в Северной и Южной Америке (55%). По сравнению Европой, Ближним Востоком и Африкой, а также Северной и Южной Америкой, где 92% и 88% компаний, соответственно, приняли политику в отношении борьбы с компьютерными вирусами, лишь 82% компаний Азиатско-Тихоокеанского региона имеют подобную политику. Еще меньшее количество компаний Азиатско-Тихоокеанского региона (64%) проводят тестирование средств защиты на предмет эффективности их функционирования (82% компаний в Европе, Ближнем Востоке и в Африке и 80% - в Северной и Южной Америке).

(Азиатско-Тихоокеанский регион,Европа, Ближний Восток и Африка, Северная и Южная Америка)

Атаки компьютерных вирусов: 64%, 62%, 55%

Политика в отношении борьбы с компьютерными вирусами: 82%, 92%, 88%

Тестирование мер безопасности: 64%, 82%, 80%

Компании финансового сектора возглавляют список компаний, осознающих особую важность обеспечения информационной безопасности. Значительное число компаний именно финансового сектора внедрили ISO 17799 . международный стандарт управления информационной безопасностью (25% компаний финансового сектора и 16% компаний других секторов рынка), систем обнаружения вторжений (44% компаний финансового сектора и 38% компаний других секторов), и принимают более активные меры к проверке эффективности функционирования системы информационной безопасности (42% компаний финансового сектора и 33% компаний других секторов). В результате внедрения перечисленных мероприятий в компаниях финансового сектора зарегистрировано меньшее количество нарушений деятельности системы информационной безопасности практически по всем направлениям, чем в других секторах, например, атаки компьютерных вирусов: 53% у компаний финансового сектора; у компаний других секторов - 63%; попытки взлома веб-сайтов: 9% у компаний финансового сектора; у компаний других секторов - 13%.

Комментарий КПМГ

Нельзя утверждать, что риски и угрозы специфичны для каких-то конкретных регионов или отраслей индустрии. Многие хакеры настраивают автоматические средства для сканирования всех возможных IP-адресов . независимо от местоположения или рода деятельности компании . для поиска уязвимых мест в системах информационной безопасности. Как только они их обнаружат, они будут собирать информацию об этой компании, чтобы определить насколько ценными могут быть полученные ими данные. Если окажется, что компания довольно крупная и имеет солидную деловую репутацию, они могут попытаться причинить ущерб или просто использовать ее как плацдарм для новой атаки на другую компанию, скрыв при этом свое местонахождение. Однако, ни географическое положение, ни сектор, в котором компания осуществляет свою деятельность, не является определяющим фактором с точки зрения риска атаки хакеров.

Эффективное функционирования системы информационной безопасности

Только 43% лиц, ответственных за информационную безопасность, смогли сообщить нам сумму, затраченную в этом году на обеспечение ее эффективного функционирования, а 30% опрошенных не знали какая часть бюджета, выделенная для ИТ, была израсходована на обеспечение информационной безопасности. Кроме того, только у 60% респондентов ведется отчетность по нарушениям требований политики информационной безопасности. На вопрос проводится ли в их компаниях оценка эффективности функционирования системы информационной безопасности и составляются ли соответствующие отчеты, только 35% ответили утвердительно, а 17% сообщили, что планируют заняться этим в будущем.

Комментарий КПМГ

Оценка эффективности систем информационной безопасности приобретает все большее значение. Если невозможно оценить что-то, невозможно этим чем-то эффективно управлять. Результаты нашего исследования показывают, что у компаний практически нет возможностей проводить оценку эффективности используемых ими систем информационной безопасности и составлять отчеты по результатам ее функционирования. Возникает вопрос: А почему же тогда руководство этих компаний уверено в том, что оно направляет достаточные средства на защиту систем и данных, и что затраты соответствуют ожидаемому эффекту?

Оценка состояния информационной безопасности представляется исключительно важной, поскольку она дает компании возможность оценить, насколько эффективна ее система управления информационными рисками. Не имея возможности оценить эффективность средств контроля, компания не может быть уверена в том, что она обеспечивает реальную защиту своих информационных активов.

Информация, предоставленная в настоящем издании, имеет общий характер и не может служить основанием для каких-либо действий со стороны физического или юридического лица без профессиональной консультации относительно специфики конкретных обстоятельств. Насколько нам известно, приведенная информация верна на дату публикации. Тем не менее, не может существовать каких-либо гарантий относительно справедливости этой информации на дату ее получения, либо относительно того, что она будет оставаться таковой и в дальнейшем. КПМГ не несет никакой ответственности за убыток, причиненный любому физическому или юридическому лицу, предпринявшему какие-либо действия или воздержавшемуся от таковых на основе информации, изложенной в данном издании.

Полная лента новостей NEWS.ITUNION.RU

Вы можете подписаться на ежедневную
бесплатную рассылку IT-новостей:
Email
 

....
  Site DESIGN by MIRRON (C) 2000-2001 Rambler's TOP100