Сергей Петренко - Политики безопасности компании при работе в Интернет

На рис. П1.20 приведены причины, по которым организации не сообщали о вторжениях в информационные системы правоохранительным органам. Здесь отражены процентные доли респондентов, определяющих каждую сформулированную причину как очень важную (оценка важности – пять баллов и выше по семибалльной шкале) для принятия именно такого решения. Свыше 50 % респондентов (из тех, кто указал, что их организации не должны сообщать о вторжении правоохранительным органам) посчитали достаточно важной причиной падение курса акций и/или потерю репутации организации в результате огласки вторжения. Почти 35 % опрошенных в качестве важной причины назвали выгоду, которой могли бы воспользоваться конкуренты. Лишь 20 % посчитали, что использование гражданско-правовых средств судебной защиты было важной причиной для того, чтобы не сообщать о вторжении. Менее одной пятой от принявших участие в исследовании заявили, что они не знали о том, что о вторжении в корпоративную информационную систему следует сообщать правоохранительным органам. Другими словами, предприятиям хотя и известно о роли правоохранительных органов в борьбе с компьютерной преступностью, они предпочитают не сообщать о большинстве инцидентов и нарушений в области безопасности.

В ходе исследования 2004 года был предложен вопрос о том, входят ли предприятия в какую-либо организацию обмена информацией о нарушениях и инцидентах безопасности. Результаты исследования свидетельствуют о том, что ряд компаний входят сразу в несколько групп обмена информацией (см. рис. П1.21); 42 % респондентов указали, что их организации не входят в какую-либо организацию обмена информацией; 39 % входят в InfraGard; 19 % – в ISAC и 25 % входят в другие аналогичные организации. При этом большинство компаний готовы участвовать в полномасштабном обмене информацией о нарушениях в области защиты информации, что соответствует последним выводам в теоретических работах ученых.

Влияние законодательных актов. В исследовании CSI/FBI 2004 года был включен новый вопрос о влиянии законодательных актов, и в частности закона Сарбейнса-Оксли, на организацию режима информационной безопасности предприятия. Как показано на рис. П 1.22, респонденты из числа представителей финансовых, коммунальных и телекоммуникационных отраслей экономики США считают, что закон Сарбейнса-Оксли оказал значительное влияние на организацию режима информационной безопасности в компании. В то же время респонденты из других отраслей экономики США не столь единодушны. По-видимому, для принятия окончательного решения о значении этого и других аналогичных законодательных актов для организации режима информационной безопасности на предприятии необходимо подождать результатов будущих исследований.

Резюме

Результаты исследования CSI/FBI позволили выявить следующие основные тенденции и перспективы развития современных технологий защиты информации:

• в целом несанкционированное использование информационных систем снизилось, как и суммы ежегодных финансовых убытков от инцидентов, связанных с нарушением безопасности информации;

• в отличие от прошлых лет вирусные атаки и атаки типа «отказ в обслуживании» превзошли самый высокий прежний показатель – стоимость хищения частной информации. Ущерб от вирусных атак вырос до 55 млн. долларов;

• процент организаций, сообщавших о вторжениях в компьютерные системы правоохранительным органам, в течение последнего года снизился. Основной причиной этого является опасение негативных последствий публичной огласки инцидентов безопасности, выражающихся в возможной потере имиджа и доходности компании;

• большинство организаций проводят экономическую оценку затрат и возврата инвестиций на защиту информации. При этом 55 % организаций используют показатель возврата инвестиций (ROI или ROSI), 28 % используют показатель внутренней нормы доходности (IRR) и 25 % используют показатель чистой текущей стоимости (NPV);