Сергей Петренко - Политики безопасности компании при работе в Интернет
- Название:Политики безопасности компании при работе в Интернет
- Автор:
- Жанр:
- Издательство:неизвестно
- Год:неизвестен
- ISBN:нет данных
- Рейтинг:
- Избранное:Добавить в избранное
-
Отзывы:
-
Ваша оценка:
Сергей Петренко - Политики безопасности компании при работе в Интернет краткое содержание
Книга является первым полным русскоязычным практическим руководством по вопросам разработки политик информационной безопасности в отечественных компаниях и организациях и отличается от других источников, преимущественно изданных за рубежом, тем, что в ней последовательно изложены все основные идеи, методы и способы практического решения вопросов разработки, внедрения и поддержки политик безопасности в различных российских государственных и коммерческих структурах.
Книга может быть полезна руководителям служб автоматизации (CIO) и служб информационной безопасности (CISO), ответственным за утверждение политик безопасности и организацию режима информационной безопасности; внутренним и внешним аудиторам (CISA); менеджерам высшего эшелона управления компанией (ТОР-менеджерам), которым приходится разрабатывать и внедрять политики безопасности в компании; администраторам безопасности, системным и сетевым администраторам, администраторам БД, которые отвечают за соблюдение правил безопасности в отечественных корпоративных информационных системах. Книга также может использоваться в качестве учебного пособия студентами и аспирантами соответствующих технических специальностей.
Политики безопасности компании при работе в Интернет - читать онлайн бесплатно ознакомительный отрывок
Интервал:
Закладка:
Рис. П2.1. Участники опроса (по странам)
В настоящем обзоре рассматриваются ответы, полученные только от компаний, ведущих свою деятельность в СНГ. В опросе приняли участие 56 компаний, работающих в России, Украине, Казахстане и Беларуси.
Большинство компаний считает, что основную ответственность за обеспечение информационной безопасности должен нести либо директор по информационным системам (руководитель отдела ИТ), либо директор по безопасности. На самом деле, ответственность за координацию вопросов безопасности должна быть возложена на совет директоров.
Рис. П2.2. Участники опроса (по отраслям)
Рис. П2.3. Участники опроса (по количеству сотрудников)
По мере усиления зависимости компаний от информационных технологий в их повседневной деятельности даже кратковременное нарушение информационной безопасности, приведшее к сбою систем, уничтожению данных или программ, может иметь катастрофические последствия для бизнеса. Вот почему для руководства компании становится все более важным вопрос о принятии на себя всей полноты ответственности за вопросы информационной безопасности. Кроме того, компании редко докладывают совету директоров о происшествиях в области безопасности и связанных с этим вопросах. Менее 40 % участников опроса (в основном это международные компании) делают такие доклады регулярно (ежеквартально, ежемесячно или чаще).
Опрос показал, что как в СНГ, так и за рубежом ответственным за вопросы информационной безопасности, как правило, назначается руководитель ИТ-подразделений или руководитель отдела общей безопасности. Относительно небольшое число компаний в СНГ, большей частью работающих в сфере ИТ, операций с ценными бумагами и мобильной связи, сообщили, что в их компаниях за эти вопросы отвечает представитель высшего руководства (генеральный директор, финансовый директор или руководитель отдела).
Комментарий «Эрнст энд Янг»:
• планирование и реализация стратегии информационной безопасности должны быть поручены представителю высшего руководства, имеющему полное представление о бизнесе организации и технических аспектах угроз и уязвимых мест в информационных системах. Тем не менее за координацию вопросов безопасности должен отвечать в конечном итоге совет директоров;
• во всем мире наблюдается рост компьютерной преступности. Чем успешнее работают компании в странах СНГ, тем больше возникает рисков в этой области. То, что в прошлом хакеры не атаковали эти компании, не означает, что и в будущем этого не произойдет. Чтобы убедить инвесторов в том, что для защиты важнейших активов компании (то есть ее стоимости) принимаются необходимые меры, совет директоров должен продемонстрировать свое внимание к вопросам информационной безопасности и руководить их решением.Большинство участников опроса заявили о том, что их стратегия информационной безопасности приведена в соответствие с задачами бизнеса. Однако определенные однажды правила редко пересматриваются, и это вызывает сомнения в том, что они действительно всегда соответствуют бизнес-целям.
Любая стратегия информационной безопасности, чтобы стать эффективной, должна быть нацелена на минимизацию бизнес-рисков и создание конкурентных преимуществ. Исходя из наблюдений, сделанных нами в ходе опроса, большинство компаний в СНГ считают вопросы информационной безопасности важным аспектом своей деятельности. Почти две трети (62 %) участников опроса указали, что их специалисты по информационной безопасности регулярно (ежеквартально, ежемесячно или чаще) встречаются с руководителями подразделений, чтобы обсудить, каким образом меры информационной безопасности могут лучше защитить бизнес и способствовать его расширению.
Тем не менее руководители очень многих компаний в СНГ практически не занимаются вопросами стратегии и политики информационной безопасности. В результате 66 % участников опроса высказали сомнения в том, действительно ли внедренные правила соответствуют целям бизнеса.Комментарий «Эрнст энд Янг»:
• стратегия информационной безопасности будет способствовать экономии средств только в том случае, если ее внедряют руководители различных подразделений и если она направлена на минимизацию важнейших бизнес-рисков компании. Регулярные встречи между руководством службы информационной безопасности и руководителями компании обеспечивают более полное понимание постоянно меняющихся требований к бизнесу и связанных с ними рисков;
• информационные технологии и информационная безопасность могут служить стимулом для развития бизнеса и создать конкурентное преимущество. Руководители компании должны совместно со специалистами в этих областях постоянно изучать возможности, открывающиеся в связи с новыми достижениями технологий;
• руководство компании должно регулярно пересматривать стратегию и правила информационной безопасности на предмет соответствия задачам бизнеса. Это позволит обеспечить выделение достаточного объема ресурсов компании на решение вопросов информационной безопасности, имеющих огромное значение для бизнеса.Решения в области информационной безопасности в СНГ реализуются в основном для минимизации рисков, ликвидации уязвимых мест, защиты репутации, создания доверительных отношений с партнерами и соблюдения законодательства.
Рис. П2.4. Основные факторы, влияющие на принятие решений в области безопасности
Основополагающей целью большинства мероприятий по информационной безопасности является защита и расширение бизнеса компании.
Участники опроса в СНГ и за рубежом сообщают, что наиболее весомым фактором при принятии решений о внедрении новых технологий информационной безопасности является снижение рисков. Кроме того, компании в СНГ придают большое значение проверкам и оценке безопасности информационных систем с целью выявления и устранения уязвимых мест.
Нередко внедрение решений вызвано необходимостью поддержать репутацию компании и внушить партнерам уверенность в способности компании защитить свои информационные активы. О своей готовности включать в годовую отчетность данные о программах по обеспечению информационной безопасности заявили 71 % участников опроса в СНГ.
Комментарий «Эрнст энд Янг»:
• прежде чем приступить к разработке стратегии информационной безопасности, компании необходимо решить, какие информационные активы имеют наиболее важное значение для ее деятельности. Основное внимание в программе должно уделяться защите этих активов от нарушения конфиденциальности, хищения или уничтожения;
Читать дальшеИнтервал:
Закладка:
