Вопросы обеспечения информационной безопасности. Основы иб

В условиях современного информационного общества вопросы информационной безопасности составляют особо важную часть правового регулирования общественных отношений. Не вызывает сомнения тот факт, что на обеспечение информационной безопасности направлены как меры публичного воздействия, так и действия частных субъектов – участников информационных правоотношений . Кроме того, информационная безопасность является институтом, важность которого подчеркивается значительным количеством и разнообразием правоотношений в сфере обеспечения информационной безопасности личности, общества и государства. Однако именно подобное разнообразие становится причиной проблем в толковании и применении механизмов информационной безопасности.

Возрастание роли информации, информационных ресурсов и технологий становится стратегическим, что выводит вопросы информационной безопасности на первый план в системе обеспечения национальной безопасности, безопасности государства, общества и личности. Являясь частью национальной безопасности, информационная безопасность оказывает существенное влияние на состояние защищенности интересов Российской Федерации в экономической, международной, общественной, федеральной, оборонной и других сферах жизни общества .

Однако нельзя забывать, что институт информационной безопасности в силу своей природы направлен на поиск эффективных механизмов защиты прав и свобод личности в информационной сфере. Активная вовлеченность граждан в информационные правоотношения обусловливает повышенное внимание не только к сфере защиты их персональных данных в онлайн-сфере, но и в целом к безопасному использованию технологий при каждодневном взаимодействии .

Для оперативного разрешения возникающих проблем и пробелов правового регулирования появляются новые нормативно-правовые источники и, соответственно, новые механизмы обеспечения информационной безопасности. В частности, в качестве одной из основных мер применяется совершенствование безопасности функционирования информационных и телекоммуникационных систем критически важных объектов инфраструктуры и объектов повышенной опасности. Данная мера реализуется посредством повышения уровня защищенности государственных, корпоративных и индивидуальных информационных систем, создания единой системы информационно-телекоммуникационной поддержки нужд системы обеспечения национальной безопасности. Тенденция к приоритизации информационной безопасности систем прослеживается не только в России, но и в зарубежных странах. Представляется, что обеспечение безопасности объектов критической информационной инфраструктуры и информационных систем является недостаточным для реализации прав и законных интересов личности в информационной сфере. Обеспечение безопасности несовершеннолетних, предоставление доступа к информации, реализация прав на свободу слова и тайну связи не охватывается сферой действия мер методологической и технологической направленности и требует иных принципов, иного регулирования и иной терминологии, позволяющей достоверно отделить интересы личности, общества и государства в информационной сфере.

Дискуссия о содержании термина "информационная безопасность личности" сопутствует обсуждениям более общего и широкого понятия "информационная безопасность" и его отличий от термина "кибербезопасность". Кроме того, в настоящее время среди исследователей нет единства в определении круга объектов и отношений, регламентируемых институтом информационной безопасности.

Относительно соотношения терминов "кибербезопасность" и "информационная безопасность" стоит упомянуть подход, согласно которому предлагается использовать термин "кибербезопасность" в отношении всех процессов создания, функционирования и эволюции объектов, функционирующих с участием программируемых средств с целью выявления источников опасности, которые могут нанести им ущерб, и формирования нормативных актов, регламентирующих термины, требования, правила, рекомендации и методики, выполнение которых должно гарантировать защищенность киберобъектов от всех известных и изученных источников киберопасности.

Также в российской юридической науке существует вполне обоснованная теория, что термин "информационная безопасность" в настоящее время некорректен в силу отсутствия всеобъемлющего определения информации и ее свойств. Вместо него предлагается использовать термин "информационная защищенность", описываемый как защита конфиденциальности, целостности и доступности информации .

Однако существующие в настоящее время нормативные правовые источники позволяют не согласиться с такой концепцией, так как информационная безопасность регламентируется уже как самостоятельный институт, поэтому дальнейшее развитие терминологии представляется возможным внутри данного института или синхронно с ним в рамках отрасли информационного права. Более того, в рамках настоящей статьи защита информации также рассматривается как частный случай обеспечения информационной безопасности, так как последняя относится не только к ликвидации угроз информации, но и к сфере обеспечения более общих интересов личности, общества и государства.

Относительно классификации отношений, входящих в сферу регламентации информационной безопасности, в научной литературе встречается подход, согласно которому информационная безопасность подразделяется на информационную безопасность в социальной среде, нацеленную на поддержание адекватного объективной картине мира общественного сознания, и информационную безопасность в технической сфере, направленную в свою очередь на предотвращение воздействия на различные технические средства . Такая классификация представляется неполной, так как не учитывает сферу реализации гражданином своих прав в информационной среде, ограничивая социальную составляющую информационной безопасности только сферой правового регулирования деятельности СМИ.

Кроме того, существует классификация, согласно которой информационная безопасность может быть разделена на два самостоятельных направления: безопасность информации и безопасность от информации. Под безопасностью информации подразумевается защита информации, а под безопасностью от информации – защита от опасной информации . Данный подход также является недостаточно универсальным, поскольку не отражает полный спектр информационных правоотношений.

Первой работой по классификации информационных отношений в рамках правового обеспечения информационной безопасности стала работа В.Н. Лопатина – Концепция развития законодательства в сфере обеспечения информационной безопасности, принятая в Государственной Думе 2-го созыва , которая получила дальнейшее развитие как в работах этого автора, так и при принятии соответствующих законов (например, Федерального закона от 29 декабря 2010 г. N 436-ФЗ "О защите детей от информации, причиняющей вред их здоровью и развитию").

В данной связи представляется более предпочтительным выделение трех аспектов информационной безопасности: информационно-технического (развитие информационной инфраструктуры, средств передачи, обработки, хранения информации, методов защиты информации и пр.); организационно-правового (управление информационными ресурсами, повышение эффективности их использования, развитие информационных услуг, регуляция процессов в информационной сфере и пр.); психолого-педагогического (формирование духовно-нравственных ценностей, развитие личностных функций саморегуляции и пр.) . Подобная классификация позволяет в полной мере отразить подходы, заложенные в текущем законодательстве Российской Федерации в сфере обеспечения информационной безопасности личности, общества и государства.

Доктрина информационной безопасности Российской Федерации 2016 г. является, как указано в ст. 1, системой "официальных взглядов на обеспечение национальной безопасности Российской Федерации в информационной сфере" , согласно которым, как представляется, впоследствии строится система нормативного правового регулирования информационной безопасности в России.

Доктрина, как указано в ст. 5, основывается на положениях Стратегии национальной безопасности Российской Федерации , а также иных стратегических документов, к которым можно причислить также Стратегию научно-технологического развития Российской Федерации , многочисленные соглашения между Российской Федерацией и иными странами о сотрудничестве в области обеспечения международной информационной и коммуникационной безопасности , а также ряд указов Президента РФ . Совокупность данных актов и соответствующих федеральных законов позволяет сделать вывод о существовании подробной регламентации института информационной безопасности личности, определения его взаимосвязи с информационной безопасностью государства и общества.

Однако более детальный анализ указанных источников позволяет выделить ряд противоречий. Так, Доктрина информационной безопасности Российской Федерации ставит потребности личности на первое место при перечислении национальных интересов Российской Федерации в информационной сфере, что дает основания говорить о первоочередном характере защиты прав и интересов личности. Кроме того, информационная безопасность Российской Федерации основывается в первую очередь на состоянии защищенности личности, "…при котором обеспечиваются реализация конституционных прав и свобод человека и гражданина, достойные качество и уровень жизни граждан".

Однако в то же время, например, в ст. 6 Стратегии национальной безопасности Российской Федерации содержатся положения, определяющие иную приоритетность: "Национальная безопасность включает в себя оборону страны и все виды безопасности, предусмотренные Конституцией РФ и законодательством РФ, прежде всего государственную, общественную, информационную, экологическую, экономическую, транспортную, энергетическую безопасность, безопасность личности".

Подобные несоответствия встречаются также в положениях государственной программы Российской Федерации "Информационное общество (2011 – 2020 годы)" , определяющей Доктрину информационной безопасности Российской Федерации в качестве документа, приоритизирующего стратегическое сдерживание и предотвращение военных конфликтов, которые могут возникнуть в результате применения информационных технологий, вместо обеспечения защиты прав и интересов граждан в информационной сфере. С учетом этого информационная безопасность рассматривается в рамках данной программы как качественная характеристика построения технологических систем и сетей, что представляется излишне узким толкованием данного института. Обеспечение безопасности функционирования информационно-телекоммуникационной инфраструктуры и телекоммуникационных систем хоть и является необходимым инструментарием для обеспечения информационной безопасности личности, общества и государства, однако нетождественно ему.

Еще большие противоречия в определении содержания института информационной безопасности личности можно обнаружить при анализе более специальных нормативных документов. С одной стороны, Соглашение об обеспечении информационной безопасности в рамках общих таможенных процессов в государствах – членах Евразийского экономического сообщества не содержит никаких отсылок или упоминаний прав и интересов личности или граждан. Данный документ регламентирует исключительно аспекты определения режима передаваемой электронными сообщениями информации, такие, как защита от вирусов, от несанкционированного доступа к средствам вычислительной техники и телекоммуникационному оборудованию, обеспечение сетевой безопасности, анализ защищенности систем и т.д.

С другой стороны, Соглашения между Правительством Российской Федерации и Правительством Южно-Африканской Республики, Правительством Федеративной Республики Бразилии, Правительством Китайской Народной Республики, а также Соглашение о сотрудничестве государств – участников Содружества Независимых Государств в области обеспечения информационной безопасности прямо устанавливают в тексте, что международное сотрудничество между сторонами по вопросам обеспечения информационной безопасности строится на признании принципа баланса между обеспечением безопасности и соблюдением прав человека в области использования информационно-коммуникационных технологий, а также на признании роли информационной безопасности в обеспечении прав и основных свобод человека и гражданина.

Очевидно, что на уровне международно-правового сотрудничества вопросы разграничения информационной безопасности в целом, информационной безопасности государства, а также информационной безопасности личности решены недостаточно. Кроме того, проблемы детальной регламентации можно выявить при анализе текущего информационного законодательства.

Так, Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" , являющийся базовым в информационно-правовой сфере, не содержит какой-либо регламентации информационной безопасности личности. Положения, касающиеся отдельных аспектов регулирования информационной безопасности, относятся к обеспечению безопасности Российской Федерации при создании и эксплуатации информационных систем, защите информации данных систем, выполнению организационных и технических мер по обеспечению безопасности персональных данных. Очевидно, что указанные положения имеют также сугубо технико-методологическую направленность и определяют отдельные меры по предоставлению или ограничению доступа к отдельным видам информации. Кроме того, в законе не содержится определение информационной безопасности или же отсылки к иным актам, содержащим такое определение. Однако, помимо указанных выше сфер технической регламентации информационной безопасности, законом проводится отсылка к отдельному институту информационной безопасности детей, имеющему уже более широкое толкование, поскольку защита детей проводится в целях предотвращения вреда их здоровью и моральному развитию .

Будет справедливым вывод о том, что в современных нормативных правовых актах не содержится достаточной регламентации института информационной безопасности личности, а также критериев его разграничения с информационной безопасностью в общем широком значении, употребляемом в основополагающих стратегических документах. Более того, некоторые российские исследователи толкуют такой стратегический документ как Доктрину информационной безопасности в качестве инструмента для "незамедлительного и постоянного противодействия деструктивной деятельности иностранных элементов в информационной сфере" , что также не позволяет в полной мере определить место личности в системе мер обеспечения информационной безопасности. Представляется, что необходимо создать четкий терминологический аппарат для корректного регулирования различных отношений. Например, используя указанную выше классификацию, ввести в оборот термин "информационно-техническая безопасность" или, наоборот, нормативно закрепить внутри института информационной безопасности понятие кибербезопасности.

Кроме того, подобный узкий подход к пониманию информационной безопасности практически полностью исключает гарантии обеспечения одного из базовых конституционных прав личности – права на информацию, которое, несомненно, входит в круг интересов, защищаемых как информационная безопасность личности. При реализации права на информацию в современных условиях речь идет уже не о максимально широком доступе к информации, а о качественном характере доступа к информации, отвечающей определенным критериям (не просто право на информацию, а право на объективную, достоверную, безопасную информацию) с учетом национальных и культурных традиций России, а также защиты от существующих информационных угроз.

В настоящее время в нормативных правовых актах и российской доктрине не существует однозначной позиции относительного соотношения терминов "информационная безопасность личности" и "информационная безопасность". Отсутствие единого терминологического аппарата приводит к многочисленным проблемам, коллизиям и в конечном итоге к недостаточной правовой защите личности в информационной сфере.

Существующие подходы к толкованию информационной безопасности в узком смысле являются некорректными и не отвечают основополагающим принципам и правам информационного права. В частности, приравнивание института информационной безопасности к реализации мер по защите информации, укреплению национального суверенитета в информационной сфере или обеспечению функционирования информационно-телекоммуникационных систем представляется слишком ограничительным и создающим барьеры для дальнейшего развития всех составных частей информационной безопасности.

Необходимо создание развитого терминологического аппарата в сфере информационной безопасности, который помог бы разграничить безопасность личности от информационной безопасности в целом, прекратить смешение терминов "информационная безопасность", "кибербезопасность" и т.д., а также разрешить проблемы, созданные при переводе иностранных терминов в российских нормативных и доктринальных источниках.

Литература

1. Diehl Eric. Ten Laws for Security / Eric Diehl // Springer International Publishing Switzerland. 2016. ISBN 978-3-319-42641-9.

2. Лопатин В.Н. Информационная безопасность России: Человек. Общество. Государство / В.Н. Лопатин. СПб., 2000. 428 с.

3. Лопатин В.Н. Информационная безопасность России: Автореф. дис. … докт. юрид. наук / В.Н. Лопатин. СПб., 2000.

4. Hongliang C. (2016). Protecting oneself online / C. Hongliang, E. Beaudoin Christopher & H. Traci // Journalism and Mass Communication Quarterly, 93(2), 409 – 429. doi: http://dx.doi.org/10.1177/1077699016640224.

5. Алпеев А.С. Терминология безопасности: кибербезопасность, информационная безопасность / А.С. Алпеев // Вопросы кибербезопасности. 2014. N 5(8).

6. Захаров М.Ю. Информационная безопасность – основополагающий элемент безопасности социального управления / М.Ю. Захаров // Вестник Университета (Государственный университет управления). 2012. N 9-1. С. 112 – 115.

7. Куликова Е.А. Информационная безопасность как залог национальной безопасности / Е.А. Куликова // Сборники конференций НИЦ "Социосфера". 2015. N 58. С. 76 – 79.

8. Лызь Н.А. Информационно-психологическая безопасность в системах безопасности человека и информационной безопасности государства / Н.А. Лызь, Г.Е. Веселов, А.Е. Лызь // Известия ЮФУ. Технические науки. 2014. N 8(157). С. 58 – 66.

9. Лопатин В.Н. Концепция развития законодательства в сфере обеспечения информационной безопасности / В.Н. Лопатин. М.: Издание Государственной Думы РФ, 1998. 159 с.

Распоряжение Правительства Российской Федерации от 4 июля 2017 г. N 1424-р "О подписании Соглашения между Правительством Российской Федерации и Правительством Южно-Африканской Республики о сотрудничестве в области обеспечения международной информационной безопасности" // Официальный интернет-портал правовой информации (www.pravo.gov.ru), 06.07.2017 (N 0001201707060020); распоряжение Правительства Российской Федерации от 15 ноября 2013 г. N 2120-р "О подписании Соглашения о сотрудничестве государств – участников Содружества Независимых Государств в области обеспечения информационной безопасности" // Собрание законодательства Российской Федерации. 2013. N 47. Ст. 6135; распоряжение Правительства Российской Федерации от 13 мая 2010 г. N 721-р "О подписании Соглашения между Правительством Российской Федерации и Правительством Федеративной Республики Бразилия о сотрудничестве в области обеспечения международной информационной и коммуникационной безопасности" // Собрание законодательства Российской Федерации. 2010. N 21. Ст. 2628.

Указ Президента Российской Федерации от 22 мая 2015 г. N 260 "О некоторых вопросах информационной безопасности Российской Федерации" // Собрание законодательства Российской Федерации. 2015. N 21. Ст. 3092; Указ Президента Российской Федерации от 17 марта 2008 г. N 351 "О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена" // Собрание законодательства Российской Федерации. 2008. N 12. Ст. 1110.

Постановление Правительства Российской Федерации от 15 апреля 2014 г. N 313 "Об утверждении государственной программы Российской Федерации "Информационное общество (2011 – 2020 годы)" // Собрание законодательства Российской Федерации. 2014. N 18 (часть II). Ст. 2159.

Распоряжение Правительства Российской Федерации от 12 ноября 2010 г. N 1976-р "О подписании Соглашения об обеспечении информационной безопасности в рамках общих таможенных процессов в государствах – членах Евразийского экономического сообщества" // Собрание законодательства Российской Федерации. 2010. N 47. Ст. 6182.

Введение

Защита информации в Российской Федерации

Законодательная база, регулирующая отношения в сфере информационной безопасности

Информационное законодательство - основной источник информационного права

Правовые проблемы информационной безопасности

Заключение

Список литературы

Введение

В настоящее время в Российской Федерации сформировались необходимые условия для перехода к информационному обществу. Правовые проблемы регулирования информационных отношений при построении информационного общества в России в настоящее время нуждаются в тщательном исследовании, поскольку резко ускоряющиеся информационно-коммуникативные процессы глобализации эволюционируют в качественно новое состояние - режим реального времени. Возникающие в связи с этим новые общественные отношения нуждаются в адекватном правовом регулировании.

Цель работы состоит в том, чтобы рассмотреть источники права, регулирующие отношения в сфере информационной безопасности, разобраться в полноте отражения ими существующих реалий общественной жизни, возможно, увидеть пробелы в законодательстве и предложить пути их решения.

Исходя из целей, были поставлены следующие задачи:

изучить понятие информационной безопасности;

рассмотреть нормы права, регулирующие общественные отношения в сфере информационной безопасности;

отразить степень соответствия существующих норм реально имеющимся отношениям;

сформулировать свои предложения по совершенствованию законодательства.

1. Защита информации в Российской Федерации

В практическом смысле, понятном каждому, определение информации дал С.И. Ожегов:

Информация - это:

) сведения об окружающем мире и протекающих в нем процессах;

Ни одна сфера жизни современного общества не может функционировать без развитой информационной структуры. Проникая во все сферы деятельности государства, информация приобретает конкретные политическое, материальное и стоимостное выражения. На этом фоне все более актуальный характер приобретает в последние десятилетия и особенно в настоящее время задача обеспечения информационной безопасности Российской Федерации, как неотъемлемого элемента ее национальной безопасности, а защита информации превращается в одну из приоритетных государственных задач. Защита информации обеспечивается в любом государстве и в своем развитии проходит множество этапов в зависимости от потребностей государства, возможностей, методов и средств ее добывания (в частности разведки), правового режима государства и реальных его усилий по обеспечению защиты информации.

В настоящее время большие изменения происходят в методологии защиты информации. Осуществляется переход от дорогостоящего скрытия заведомо завышенного объема данных к гарантированной защите принципиально важных, «узловых точек».

2. Законодательная база, регулирующая отношения в сфере информационной безопасности

Государственная политика в Российской Федерации по обеспечению информационной безопасности реализуется через правотворчество, правоприменение и участие государства в развитии правосознания и правовой культуры граждан.

В Российской Федерации к нормативно-правовым актам в области информационной безопасности относятся:

Акты федерального законодательства:

Международные договоры РФ;

Конституция РФ;

Законы федерального уровня (включая федеральные конституционные законы, кодексы);

Указы Президента РФ;

Постановления правительства РФ;

Нормативные правовые акты федеральных министерств и ведомств;

Нормативные правовые акты субъектов РФ, органов местного самоуправления и т. д.

К нормативно-методическим документам можно отнести

Методические документы государственных органов России:

Доктрина информационной безопасности РФ;

Руководящие документы ФСТЭК (Гостехкомиссии России);

Приказы ФСБ;

Стандарты информационной безопасности, из которых выделяют:

Методические указания.

За последние годы российское законодательство существенно обновилось. Особенно это коснулось тех сфер правового регулирования, где приняты кодифицированные акты, в том числе Гражданский, Налоговый, Бюджетный, Семейный, Уголовный, Водный и Лесной, Земельный, Трудовой, Гражданский процессуальный и Уголовно-процессуальный кодексы, Кодекс об административных правонарушениях. С их принятием появились реальные условия для проведения полноценной систематизации законодательства и издания Свода законов России.

При формировании законодательства в информационной сфере в самостоятельную отрасль, формирующееся законодательство в сфере обеспечения информационной безопасности является подотраслью информационного законодательства, а при его кодификации в случае принятия Информационного кодекса Российской Федерации может стать его составной частью. Сегодня же, признавая информационное право в качестве отрасли российского права, следует учитывать, что ему не соответствует в законодательстве информационное законодательство в качестве отрасли российского законодательства и его формирование является делом трудным, рассчитанным, по-видимому, на долгие годы.

. Информационное законодательство - основной источник информационного права

Вопросы, связанные с информационным законодательством требуют отражения внимания государства к ряду направлений деятельности в области информатизации. Можно отметить из них наиболее очевидные.

Формирование информационных ресурсов и развитие информационной деятельности - деятельности, непосредственно связанной со сбором, хранением, обработкой, передачей информации в самых разных организационных формах (документированная, звуковая, световая, цифровая и т.п.); деятельности по созданию средств обработки информации в электронном виде - создание программ, программного обеспечения и иных средств работы с информацией и ее транспортировкой (коммуникацией) по каналам связи, сетям в соответствии с типами организации информационных систем и сетей на основе современных технических и технологических достижений; управление качеством информационных технологий (достоверность, полнота, неуязвимость передаваемой информации и создание средств ее защиты в системах информационной безопасности); организация рынка информационных технологий. Все эти направления могут быть объединены в блок формирования специальной отрасли информатики, объединяющей проблемы создания, производства и использования средств информатизации, информационных технологий в широком понимании.

Вторым крупным блоком в системе государственного управления является деятельность по организации применения средств информатизации и информационных ресурсов в самых разных сферах социального развития.

Здесь сосредоточены проблемы информатизации экономики, экологии, здравоохранения, любых отраслей производства, науки, образования, культурно-просветительской деятельности, формирования и использования соответствующих видов и форм информационных ресурсов. Сюда же входят проблемы региональной и отраслевой информатизации и формирование специальных отраслей государственного управления в данной сфере.

Это направление охватывает процессы информатизации деятельности органов государственной власти и местного самоуправления и их взаимодействия. Деятельность органов государственной власти - законодательных, исполнительных, правоохранительных - только и может быть продуктивной и эффективной при условии применения информационных технологий в работе аппарата каждого органа и в системе взаимодействия различных органов между собой.

Четвертый блок в сфере государственного управления в области информационных технологий составляет деятельность каждого из ведомств и государственных организаций, которые самостоятельно и с учетом своих потребностей обеспечивают процессы информационного обеспечения своей деятельности. При отсутствии должной координации на уровне федерации это направление деятельности подвержено местничеству и заканчивается неоправданной тратой средств, несовместимостью средств информатизации, в том числе и информационных технологий в едином пространстве страны.

Поддержка процессов информатизации во всех секторах хозяйства и культуры страны, во всех сферах социального развития и жизнеобеспечения; привлечение населения к новым методам работы с информацией на основе воспитания информационной культуры, переподготовки кадров и массового обучения молодого поколения работе в новых условиях. Здесь сосредоточены организационно-правовые проблемы обеспечения реализации права на информацию различных субъектов, разрешение конфликтов в области формирования и использования информационных технологий.

Все обозначенные направления государственного управления в области информационных технологий реализуются на основе создания и применения соответствующих законов и иных правовых актов, введения обязательных государственных стандартов, методик и правил.

4. Правовые проблемы информационной безопасности

Законом РФ «О безопасности» безопасность определяется как состояние защищенности жизненно важных интересов личности, общества и государства.

Можно выделить три основных направления правового обеспечения информационной безопасности.

Первое направление. Защита чести, достоинства и деловой репутации граждан и организаций; духовности и интеллектуального уровня развития личности; нравственных и эстетических идеалов; стабильности и устойчивости развития общества; информационного суверенитета и целостности государства от угроз воздействия вредной, опасной, недоброкачественной информации, недостоверной, ложной информации, дезинформации, от сокрытия информации об опасности для жизни личности, развития общества и государства, от нарушения порядка распространения информации.

Второе направление. Защита информации и информационных ресурсов прежде всего ограниченного доступа (все виды тайн, в том числе и личной тайны), а также информационных систем, информационных технологий, средств связи и телекоммуникаций от угроз несанкционированного и неправомерного воздействия посторонних лиц.

Третье направление. Защита информационных прав и свобод личности (право на производство, распространение, поиск, получение, передачу и использование информации; права на интеллектуальную собственность; права собственности на информационные ресурсы и на документированную информацию, на информационные системы и технологии) в информационной сфере в условиях информатизации.

Режим защиты информации устанавливается:

в отношении конфиденциальной документированной информации - собственником информационных ресурсов или уполномоченным лицом;

в отношении персональных данных.

В целом вопросы этого направления правового обеспечения информационной безопасности условно разделяются на защиту открытой информации и защиту информации ограниченного доступа.

Защита открытой информации осуществляется нормами института документированной информации. Защита информации ограниченного доступа регулируются нормами: института государственной тайны, института коммерческой тайны, института персональных данных, а также нормами защиты других видов тайн.

Объекты правоотношений в области информационной безопасности - это духовность, нравственность и интеллектуальность личности и общества, права и свободы личности в информационной сфере; демократический строй, знания и духовные ценности общества; конституционный строй, суверенитет и территориальная целостность государства.

Субъектами правоотношений в области информационной безопасности выступают личность, государство, органы законодательной, исполнительной и судебных властей, система обеспечения безопасности, граждане.

Ответственность за правонарушения в информационной сфере устанавливается гражданско-правовая, административно-правовая, уголовно-правовая ответственность.

Основной проблемой в сфере информационной безопасности является отсутствие на настоящий момент кодифицированного законодательного свода, объединившего бы в себе все разбросанные по российскому законодательству статьи, посвященные информационной безопасности и информационному праву в целом, как отрасли права.

Заключение

информационная безопасность законодательный правовой

Информационная безопасность общества, государства характеризуется степенью их защищенности и, следовательно, устойчивостью основных сфер жизнедеятельности экономики, науки, техносферы, сферы управления, военного дела, общественного сознания и др.

Правовая наука пока не может остановиться на какой-либо определенной модели в области регулирования и защиты интеллектуальной собственности и особенно исключительных прав создателей информационного и технологического продукта. Тем не менее, закон должен откликаться на коллизии в этой среде. Важное направление работы и области создания адекватной инфраструктуры в сфере информатики формируется вокруг создания и использования таких объектов, как информационные технологии и вычислительная техника.

Информационная безопасность определяется способностью нейтрализовать воздействие по отношению к опасным, дестабилизирующим, деструктивным, ущемляющим интересы страны информационным воздействиям на уровне, как внедрения, так и извлечения информации.

В заключении необходимо сказать, что информационная безопасность России является базовой составляющей национальной безопасности России. Она напрямую влияет на эффективную работу органов государственной власти, является неотъемлемым фактором в борьбе с организованной преступностью и мировым терроризмом.

Внедрение современных технологий и законодательная основа защиты информации должна стать мощным звеном в укреплении вертикали власти в России и ее становлении как экономически и политически сильного государства на мировой арене.

Список литературы

1.Конституция Российской Федерации принята всенародным голосованием 12.12.1993 г.

Гражданский кодекс Российской Федерации (часть четвертая) от 18.12.2006 № 230-ФЗ (ред. от 08.12.2011)

Федеральный закон от 28.12.2010 № 390-ФЗ «О безопасности»

4.Горбачев В.С. Концептуальные вопросы применения средств криптографической защиты информации в информационных системах. М. 2007.

6.Ожегов С.И. Словарь русского языка. М., 1978.

Составляющие информационной безопасности

В общем случае информационную безопасность (ИБ) можно определить как "защищенность информации, ресурсов и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений – производителям, владельцам и пользователям информации и поддерживающей инфраструктуре" .

Информационная безопасность не сводится исключительно к защите от несанкционированного доступа к информации: это принципиально более широкое понятие, включающее защиту информации, технологий и систем.

Требования по обеспечению безопасности в различных аспектах информационной деятельности могут существенно отличаться, однако они всегда направлены на достижение следующих трех основных составляющих информационной безопасности:

• целостности . Это в первую очередь актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения, а именно: данные и информация, на основе которой принимаются решения, должны быть достоверными, точными и защищенными от возможных непреднамеренных и злоумышленных искажений;
• конфиденциальности . Засекреченная информация должна быть доступна только тому, кому она предназначена. Такую информацию невозможно получить, прочитать, изменить, передать, если на это нет соответствующих прав доступа;
• доступности (готовности). Это возможность за приемлемое время получить требуемую информационную услугу, т.е. данные, информация и соответствующие службы, автоматизированные сервисы, средства взаимодействия и связи должны быть доступны и готовы к работе всегда, когда в них возникает необходимость.

Деятельность по обеспечению информационной безопасности направлена на то, чтобы не допустить, предотвратить или нейтрализовать следующие действия:

• несанкционированный доступ к информационным ресурсам (НСД, Unauthorized Access – UAA);
• искажение, частичную или полную утрату конфиденциальной информации;
• целенаправленные действия (атаки) по разрушению целостности программных комплексов, систем данных и информационных структур;
• отказы и сбои в работе программно-аппаратного и телекоммуникационного обеспечения.

Таким образом, правильный с методологической точки зрения подход к проблемам информационной безопасности начинается с выявления субъектов информационных отношений и интересов этих субъектов, связанных с использованием информационных технологий и систем (ИТ/ИС).

Оценка реальной ситуации сводится в большинстве случаев к ответу на ключевые вопросы, составляющие системную основу для обеспечения информационной безопасности, и в частности надо ли защищаться, от кого и чего следует защищаться, что и как требуется защищать, какие меры обеспечат эффективность защиты, а также оценить предполагаемую стоимость разработки, внедрения, эксплуатации, сопровождения и модернизации систем безопасности.

Первые три вопроса непосредственным образом относятся к проблеме оценки реальных угроз (рис. 7.1) 16]. Ответы на эти вопросы неоднозначны – многое зависит от структуры, области деятельности и целей компании. При интеграции индивидуальных и корпоративных информационных систем и ресурсов в единую информационную инфраструктуру определяющим фактором является обеспечение должного уровня информационной безопасности для каждого субъекта, принявшего решение войти в единую инфраструктуру.

Рис. 7.1.

В едином информационном пространстве государственной структуры или коммерческой фирмы должны быть созданы механизмы и инструмент аутентификации для проверки подлинности пользователя, сообщения и контента. Таким образом, должна быть создана система информационной безопасности, которая включала бы необходимый комплекс мероприятий и технических решений по защите:

• от нарушения функционирования информационного пространства путем исключения воздействия на информационные каналы и ресурсы;
• несанкционированного доступа к информации путем обнаружения и ликвидации попыток по использованию ресурсов информационного пространства, приводящих к нарушению его целостности;
• разрушения встраиваемых средств защиты с возможностью выявления неправомочности действий пользователей и обслуживающего персонала;
• внедрения программных " вирусов " и "закладок " в программные продукты и технические средства.

Особо следует отметить задачи обеспечения безопасности разрабатываемых и модифицируемых систем в интегрированной информационной среде, так как в процессе модификации КИС неизбежно возникновение нештатных ситуаций незащищенности системы (так называемые "дыры в системе").

Наряду с анализом существующих в компании конкретных средств защиты должна осуществляться разработка политики в области информационной безопасности, включающей совокупность организационно-распорядительных мер и документов, а также методологических и технических решений, являющихся основой для создания инфраструктуры информационной безопасности (рис. 7.2) .

Рис. 7.2.

Следующим этапом по разработке комплексной системы информационной безопасности служит приобретение, установка и настройка средств и механизмов защиты информации. К таким средствам можно отнести системы защиты информации от несанкционированного доступа, системы криптографической защиты, межсетевые экраны (брандмауэры, файерволы), средства анализа защищенности и др. Для правильного и эффективного применения установленных средств защиты необходим квалифицированный персонал.

С течением времени имеющиеся средства защиты устаревают, выходят новые версии систем обеспечения информационной безопасности, постоянно расширяется список найденных уязвимых мест и атак, меняются технология обработки информации, программные и аппаратные средства, а также персонал компании. Поэтому необходимо регулярно пересматривать разработанные организационнораспорядительные документы, проводить обследование ИС или ее подсистем, обучать персонал и обновлять средства защиты.

Любое предприятие, получающее ресурсы, в том числе и информационные, перерабатывает их, чтобы в конечном итоге реализовать на рынке собственный коммерческий продукт. При этом оно порождает специфическую внутреннюю среду, которая формируется усилиями персонала всех структурных подразделений, а также техническими средствами и технологическими процессами, экономическими и социальными отношениями как внутри предприятия, так и во взаимодействии с внешней средой.

Корпоративная информация отражает финансово- экономическое состояние предприятия и результаты его деятельности. Примеры подобной информации – это регистрационные и уставные документы, долгосрочные и текущие планы, приказы, распоряжения, отчеты, производственные данные, данные о движении финансов и других ресурсов, сведения о подготовке персонала и сферах применения продуктов деятельности, включая методы и каналы сбыта, технику продаж, заказы, логистику, информацию о поставщиках и партнерах.

Источники корпоративной информации – директорат и администрация предприятия, планово-финансовые подразделения, бухгалтерия, ИТ-отделы и вычислительные центры, отделы главного инженера и главного механика, производственные подразделения, юридические, эксплуатационные и ремонтные службы, отделы логистики, закупки и сбыта и т.д.

Корпоративная среда включает государственные, экономические, политические и социальные субъекты, действующие за пределами предприятия. Информация вне корпоративной среды часто неполна, противоречива, приблизительна, разнородна и неадекватно отражает состояние внешней среды. Примерами внешней информации, выходящей за пределы корпоративной среды, являются состояние рынка (его долговременное и текущее состояние, тенденции в деловой среде, колебания спроса и предложения, нестабильность ситуации, изменчивость, противоречивость требований), изменения в законодательстве, ожидания потребителей, "происки" конкурентов, последствия политических событий и т.д.

Бо́льшая часть этой информации является открытой, однако в зависимости от особенностей внутренней деятельности и взаимодействия с внешним миром часть информации может быть предназначена "для служебного пользования", т.е. быть "строго конфиденциальной" или "секретной". Такая информация является, как правило, "закрытой" и требует соответствующих мер защиты.

Для обеспечения безопасности при работе с охраняемой информацией следует, во-первых, выстроить политику работы с конфиденциальной и служебной информацией, разработать и внедрить соответствующие руководства и процедуры и, во-вторых, обеспечить необходимые программно-аппаратные ресурсы.

Программно-аппаратные средства для работы с охраняемой информацией либо встраиваются в соответствующие модули корпоративной информационной системы (КИС), либо используются локально в системах, оговоренных в политике ИБ. К ним относятся устройства, осуществляющие:

• мониторинг перемещения конфиденциальной информации по информационной системе (Data-in-Shell);
• управление контролем утечки данных через сетевой трафик по протоколам TCP/IP, SMTP, IMAP, HTTP(s), IM (ICQ, AOL, MSN), FTP, SQL, собственных протоколов посредством фильтрации контента на уровне:
• – шлюза, через который идет трафик из внутренней сети во внешнюю сеть (Data-in-Motion);
• – сервера, обрабатывающего определенный тип трафика (Data-at-Rest);
• – рабочей станции (Data-in-Use);
• – внутренних каналов почты Microsoft Exchange, Lotus Notes и др.
• – управления контролем утечки охраняемой информации с рабочих станций, периферийных и мобильных

• – установления проактивной защиты и персональных сетевых экранов;
• – теневого копирования информационных объектов в единую базу контентной фильтрации для всех каналов по единым правилам.

Грамотно организовать защиту охраняемых данных и информации нелегко и недешево. Для этого нужно провести классификацию данных, тщательную инвентаризацию информационных ресурсов, выбрать адекватное программноаппаратное решение, разработать и внедрить совокупность регламентирующих документов по обеспечению внутренней безопасности. Главную роль в этой непростой работе по минимизации рисков утечки данных играют компетентность и воля высшего руководства предприятия, актуальные политики и эффективные программные средства, а также режим коммерческой тайны при работе с охраняемой информацией.

Прежде, чем начинать разговор об организации эффективной и надежной защиты информации в операционных системах, определим круг угроз, от которых необходимо защититься. Угрозы безопасности операционной системы существенно зависят от условий эксплуатации системы, от того, какая информация хранится и обрабатывается в системе, и т.д. На­пример, если операционная система используется главным образом для организации электронного документооборота, наиболее опасны угрозы, связанные с несанкционированным доступом (НСД) к файлам. Если же операционная система используется как платформа для провайдера Inter­net-услуг, очень опасны атаки на сетевое программное обеспечение операционной системы.

Все попытки взлома защиты компьютерных систем можно разделить на три группы:

Атаки на уровне операционной системы;

Атаки на уровне сетевого программного обеспечения;

Атаки на уровне систем управления базами данных.

Атаки на уровне систем управления базами данных

Защита СУБД является одной из самых простых задач. Это связано с тем, что СУБД имеют строго определенную внутреннюю структуру, и операции над элементами СУБД заданы довольно четко. Есть четыре основных действия - поиск, вставка, удаление и замена элемента. Другие операции являются вспомогательными и применяются достаточно редко. Наличие строгой структуры и четко определенных операций упрощает решение задачи защиты СУБД. В большинстве случаев хакеры предпочитают взламывать защиту компьютерной системы на уровне операционной системы и получать доступ к файлам СУБД с помощью средств операционной системы. Однако в случае, если используется СУБД, не имеющая достаточно надежных защитных механизмов, или плохо протестированная версия СУБД, содержащая ошибки, или если при определении политики безопасности администратором СУБД были допущены ошибки, то становится вполне вероятным преодоление хакером защиты, реализуемой на уровне СУБД.

Кроме того, имеются два специфических сценария атаки на СУБД, для защиты от которых требуется применять специальные методы. В первом случае результаты арифметических операций над числовыми полями СУБД округляются в меньшую сторону, а разница суммируется в некоторой другой записи СУБД (как правило, эта запись содержит личный счет хакера в банке, а округляемые числовые поля относятся к счетам других клиентов банка). Во втором случае хакер получает доступ к полям записей СУБД, для которых доступной является только статистическая информация. Идея хакерской атаки на СУБД - так хитро сформулировать запрос, чтобы множество записей, для которого собирается статистика, состояло только из одной записи.

Атаки на уровне операционной системы

Защищать операционную систему, в отличие от СУБД, гораздо сложнее. Дело в том, что внутренняя структура современных операционных систем чрезвычайно сложна, и поэтому соблюдение адекватной политики безопасности является значительно более трудной задачей. Среди людей несведущих бытует мнение, что самые эффективные атаки на операционные системы могут быть организованы только с помощью сложнейших средств, основанных на самых последних достижениях науки и техники, а хакер должен быть программистом высочайшей квалификации. Это не совсем так.

Никто не спорит с тем, что пользователю следует быть в курсе всех новинок в области компьютерной техники. Да и высокая квалификация - совсем не лишнее. Однако искусство хакера состоит отнюдь не в том, чтобы взламывать любую компьютерную защиту. Нужно просто суметь найти слабое место в конкретной системе защиты. При этом простейшие методы взлома оказываются ничуть не хуже самых изощренных, поскольку, чем проще алгоритм атаки, тем больше вероятность ее завершения без ошибок и сбоев, особенно если возможности предварительного тестирования этого алгоритма в условиях, приближенных к "боевым", весьма ограничены.

Успех реализации того или иного алгоритма хакерской атаки на практике в значительной степени зависит от архитектуры и конфигурации конкретной операционной системы, являющейся объектом этой атаки.

Единой и общепринятой классификации угроз безопасности опера­ционных систем пока не существует. Однако можно классифицировать эти угрозы по различным аспектам их реализации.

Классификация угроз по цели:

Несанкционированное чтение информации;

Несанкционированное изменение информации;

Несанкционированное уничтожение информации;

Полное или частичное разрушение операционной системы (под разрушением операционной системы понимается целый комплекс разрушающих воздействий от кратковременного вывода из строя ("завешивания") отдельных программных модулей системы до физического стирания с диска системных файлов).

Классификация угроз по принципу воздействия на операционную систему:

Использование известных (легальных) каналов получения информации; например, угроза несанкционированного чтения файла, доступ пользователей к которому определен некорректно - разрешен доступ пользователю, которому согласно адекватной политике безопасности доступ должен быть запрещен;

Использование скрытых каналов получения информации; например, угроза использования злоумышленником недокументированных во­зможностей операционной системы;

Создание новых каналов получения информации с помощью программных закладок.

Классификация угроз по характеру воздействия на операционную систему:

Активное воздействие - несанкционированные действия злоумы­шленника в системе;

Пассивное воздействие - несанкционированное наблюдение злоумышленника за процессами, происходящими в системе.

Классификация угроз по типу используемой злоумышленником слабости защиты:

Неадекватная политика безопасности, в том числе и ошибки администратора системы;

Ошибки и недокументированные возможности программного обеспечения операционной системы, в том числе и так называемые люки - случайно или преднамеренно встроенные в систему "служебные входы", позволяющие обходить систему защиты; обычно люки создаются разработчиками программного обеспечения для тестирования и отладки, и иногда разработчики забывают их удалить или оставляют специально;

Ранее внедренная программная закладка.

Классификация угроз по способу воздействия на объект атаки:

Непосредственное воздействие;

Превышение пользователем своих полномочий;

Работа от имени другого пользователя;

Использование результатов работы другого пользователя (например, несанкционированный перехват информационных потоков, инициированных другим пользователем).

Классификация угроз по способу действий злоумышленника (нару шителя):

В интерактивном режиме (вручную);

В пакетном режиме (с помощью специально написанной программы, которая выполняет негативные воздействия на операционную систему без непосредственного участия пользователя-нарушителя).

Классификация угроз по объекту атаки:

Операционная система в целом;

Объекты операционной системы (файлы, устройства и т.д.);

Субъекты операционной системы (пользователи, системные процессы и т.д.);

Каналы передачи данных.

Классификация угроз по используемым средствам атаки:

Штатные средства операционной системы без использования дополнительного программного обеспечения;

Программное обеспечение третьих фирм (к этому классу программного обеспечения относятся как компьютерные вирусы и другие вредон­осные программы (exploits), которые можно легко найти в Internet, так и программное обеспечение, изначально разработанное для других целей: отладчики, сетевые мониторы и сканеры и т.д.);

Специально разработанное программное обеспечение.

Классификация угроз по состоянию атакуемого объекта операционной системы на момент атаки:

Хранение;

Передача;

Обработка.

Типичные атаки на операционную систему

Сканирование файловой системы.

Данная атака является одной из наиболее тривиальных, но в то же время одной из наиболее опасных. Суть атаки заключается в том, что злоумышленник просматривает файловую систему компьютера и пытается прочесть (или скопировать или удалить) все файлы подряд. Если он не получает доступ к какому-то файлу или каталогу, то продолжает сканирование. Если объем файловой системы достаточно велик, рано или поздно обнаруживается хотя бы одна ошибка администратора. В результате злоумышленник получает доступ к информации, доступ к которой должен быть ему запрещен. Данная атака может осуществляться специальной программой, которая выполняет вышеописанные действия в автоматическом режиме.

Несмотря на кажущуюся примитивность описанной атаки, защититься от нее не так просто. Если политика безопасности допускает анонимный или гостевой вход в систему, администраторам остается только надеяться, что права доступа ко всем файлам системы, число которых может составлять сотни тысяч, определены абсолютно корректно. Если же анонимный и гостевой вход в систему запрещен, поддержание адекватной политики регистрации потенциально опасных событий (аудита) позволяет организовать эффективную защиту от этой угрозы. Впрочем, следует отметить, что поддержание адекватной политики аудита требует от администраторов системы определенного искусства. Кроме того, если данная атака осуществляется злоумышленником от имени другого пользователя, аудит совершенно неэффективен.

Кража ключевой информации .

В простейшем случае эта атака заключается в том, что злоумышленник подсматривает пароль, набираемый пользователем. То, что все современные операционные системы не высвечивают на экране вводимый пользователем пароль, несколько затрудняет эту задачу, но не делает ее невыполнимой. Известно, что для того, чтобы восстановить набираемый пользователем пароль только по движениям рук на клавиатуре, достаточно всего несколько недель тренировок. Кроме того, достаточно часто встречается ситуация, когда пользователь ошибочно набирает пароль вместо своего имени, которое, в отличие от пароля, на экране высвечивается.

Некоторые программы входа в операционную систему удаленного сервера допускают ввод пароля из командной строки. К таким командам относится, например, команда nwlogin операционной системы UNIX, предназначенная для входа на сервер Novell NetWare. При использовании с ключом -р она позволяет вводить пароль в командной строке, например: nwlogin server user -ppassword

При вводе пароля в командной строке пароль, естественно, отображается на экране и может быть прочитан злоумышленником. Известны случаи, когда пользователи создавали командные файлы, состоящие из команд, подобных вышеприведенной, для автоматического входа на удаленные серверы. Если злоумышленник получает доступ к такому файлу, тем самым он получает доступ ко всем серверам, к которым имеет доступ данный пользователь, в пределах предоставленных ему полномочий.

Иногда пользователи, чтобы не забыть пароль, записывают его на бумагу, которую приклеивают к нижней части клавиатуры, к задней стенке системного блока или в какое-нибудь другое якобы укромное место. В этом случае пароль рано или поздно становится добычей злоумышленника. Особенно часто такие ситуации имеют место в случаях, когда политика безопасности требует от пользователей использовать длинные, трудные для запоминания пароли.

Наконец, потеря или кража внешнего носителя парольной информации (дискеты или электронного ключа, на которых хранится пароль пользователя, предназначенный для входа в операционную систему).

Подбор пароля.

Подбор пароля по частоте встречаемости символов и биграмм;

Подбор пароля с помощью словарей наиболее часто применяемых паролей;

Подбор пароля с привлечением знаний о конкретном пользователе - его имени, фамилии, номера телефона, даты рождения и т. д.;

Подбор пароля с использованием сведений о существовании эквивалентных паролей, при этом из каждого класса опробуется всего один пароль, что может значительно сократить время перебора;

Полный перебор всех возможных вариантов пароля.

Сборка мусора.

Во многих операционных системах информация, уничтоженная пользователем, не уничтожается физически, а помечается как уничтоженная. С помощью специальных программных средств эта информация (так называемый мусор) может быть в дальнейшем восстановлена. Суть данной атаки заключается в том, что злоумышленник восстанавливает эту информацию, просматривает ее и копирует интересующие его фрагменты. По окончании просмотра и копирования вся эта информация вновь "уничтожается". В некоторых операционных системах, таких как Windows 95, злоумышленнику даже не приходится использовать специальные программные средства - ему достаточно просто просмотреть "мусорную корзину" компьютера.

Сборка мусора может осуществляться не только на дисках компьютера, но и в оперативной памяти. В этом случае специальная программа, запущенная злоумышленником, выделяет себе всю или почти всю доступную оперативную память, просматривает ее содержимое и копирует фрагменты, содержащие заранее определенные ключевые слова. Если операционная система не предусматривает очистку памяти при выделении, злоумышленник может получить таким образом много интересной для него информации, например содержание области памяти, только что освобожденной текстовым редактором, в котором редактировался конфиденциальный документ.

Превышение полномочий.

При реализации данной угрозы злоумышленник, используя ошибки в программном обеспечении операционной системы и/или политике безопасности, получает полномочия, превышающие те, которые ему предоставлены в соответствии с политикой безопасности. Обычно это достигается путем запуска программы от имени дру­гого пользователя, имеющего необходимые полномочия, или в качестве системной программы (драйвера, сервиса, и т.д.). Либо происходит подмена динамически загружаемой библиотеки, используемой системными программами, или изменение переменных среды, описывающих путь к таким библиотекам.

Программные закладки.

Программные закладки, внедряемые в операционные системы, не имеют существенных отличий от других классов программных закладок.

О тказ в обслуживании.

Целью этой атаки является частичный или полный вывод из строя операционной системы:

Внедрение «жадных» программ. Жадными называются программы, преднамеренно захватывающие значительную часть ресурсов компьютера, в результате чего другие программы не могут выполняться или выполняются крайне медленно и неэффективно. Часто запуск жадной программы приводит к краху операционной системы;

Бомбардировка запросами (хакерская программа постоянно направляет операционной системе запросы, реакция на которые требует привлечения значительных ресурсов компьютера);

Использование ошибок в программном обеспечении или администрировании.

Если в программном обеспечении компьютерной системы нет ошибок, и ее администратор строго соблюдает политику безопасности, рекомендованную разработчиками операционной системы, то атаки всех перечисленных типов малоэффективны. Дополнительные меры, которые должны быть предприняты для повышения уровня безопасности, в значительной степени зависят от конкретной операционной системы, под управлением которой работает данная компьютерная система. Тем не менее, приходится признать, что вне зависимости от предпринятых мер полностью устранить угрозу взлома компьютерной системы на уровне операционной системы невозможно. Поэтому политика обеспечения безопасности должна проводиться так, чтобы, даже преодолев защиту, создаваемую средствами операционной системы, хакер не смог нанести серьезного ущерба.

Атаки на уровне сетевого программного обеспечения

СПО является наиболее уязвимым, потому что канал связи, по которому передаются сообщения, чаще всего не защищен, и всякий, кто может иметь доступ к этому каналу, соответственно, может перехватывать сообщения и отправлять свои собственные. Поэтому на уровне СПО возможны следующие хакерские атаки:

Прослушивание сегмента локальной сети (в пределах одного и того же сегмента локальной сети любой подключенный к нему компьютер в состоянии принимать сообщения, адресованные другим компьютерам сегмента, и следовательно, если компьютер хакера подсоединен к некоторому сегменту локальной сети, то ему становится доступен весь информационный обмен между компьютерами этого сегмента);

Перехват сообщений на маршрутизаторе (если хакер имеет привилегированный доступ к сетевому маршрутизатору, то он получает возможность перехватывать все сообщения, проходящие через этот маршрутизатор, и хотя тотальный перехват невозможен из-за слишком большого объема, чрезвычайно привлекательным для хакера является выборочный перехват сообщений, содержащих пароли пользователей и их электронную почту);

Создание ложного маршрутизатора (путем отправки в сеть сообщений специального вида хакер добивается, чтобы его компьютер стал маршрутизатором сети, после чего получает доступ ко всем проходящим через него сообщениям);

Навязывание сообщений (отправляя в сеть сообщения с ложным обратным сетевым адресом, хакер переключает на свой компьютер уже установленные сетевые соединения и в результате получает права пользователей, чьи соединения обманным путем были переключены на компьютер хакера);

Отказ в обслуживании (хакер отправляет в сеть сообщения специальною вида, после чего одна или несколько компьютерных систем, подключенных к сети, полностью или частично выходят из строя).

Поскольку хакерские атаки на уровне СПО спровоцированы открытостью сетевых соединений, разумно предположить, что для отражения этих атак необходимо максимально защитить каналы связи и тем самым затруднить обмен информацией по сети для тех, кто не является легальным пользователем. Ниже перечислены некоторые способы такой защиты:

Максимальное ограничение размеров компьютерной сети (чем больше сеть, тем труднее ее защитить);

Изоляция сети от внешнего мира (по возможности следует ограничивать физический доступ к компьютерной сети извне, чтобы уменьшить вероятность несанкционированного подключения хакера);

Шифрование сетевых сообщений (тем самым можно устранить угрозу перехвата сообщений, правда, за счет снижения производительности СПО и роста накладных расходов);

Электронная цифровая подпись сетевых сообщений (если все сообщения, передаваемые по компьютерной сети, снабжаются электронной цифровой подписью, и при этом неподписанные сообщения игнорируются, то можно забыть про угрозу навязывания сообщений и про большинство угроз, связанных с отказом в обслуживании);

Использование брандмауэров (брандмауэр является вспомогательным средством защиты, применяемым только в том случае, если компьютерную сеть нельзя изолировать от других сетей. Поскольку брандмауэр довольно часто не способен отличить потенциально опасное сетевое сообщение от совершенно безвредного, то в результате типичной является ситуация, когда брандмауэр не только не защищает сеть от хакерских атак, но даже препятствует ее нормальному функционированию).

«Глобальное исследование по вопросам информационной безопасности. Перспективы на 2014 год» (The Global State of Information Security® Survey 2014) - это всемирное исследование, проведенное фирмой PwC и журналами CIO и CSO. Опрос проводился в режиме «онлайн» с 1 февраля по 1 апреля 2013 года. Приглашения принять участие в исследовании были направлены по электронной почте читателям журналов CIO и CSO, а также клиентам PwC во всех регионах мира. В основе результатов, рассматриваемых в настоящем отчете, лежат ответы более чем 9 600 респондентов из 115 стран: руководителей компаний, финансовых директоров, директоров по информационной безопасности, директоров информационных служб, руководителей служб безопасности, вице-президентов и директоров по вопросам ИТ и информационной безопасности. Тридцать шесть процентов респондентов представляли Северную Америку, 26% - Европу, 21% - Азиатско-Тихоокеанский регион, 16% - Южную Америку и 2% - Ближний Восток и Африку. Допустимая погрешность составляет менее одного процента. Все цифры и графические данные, приведенные в настоящем отчете, основаны на результатах опроса (если иное не указано отдельно).

Суть проблемы

Стратегии безопасности, которые традиционно были основаны на соблюдении нормативно-правовых требований и ограничивались лишь «защитой периметра», не успевают за растущим уровнем рисков в данной области.

К чему это ведет? Сегодня компании зачастую используют устаревшие стратегии безопасности, которые неспособны эффективно противостоять искушенным мошенникам, имеющим доступ к технологиям будущего.

Злоумышленники применяют изощренные методы, чтобы проникнуть через устаревшую защиту периметра безопасности, и наносят точечные «удары», которые очень непросто отследить. Многие из них прибегают к надежным методам «фишинга», с помощью которых незаконным способом получают необходимую информацию от топ-менеджеров компаний. Ситуация также усугубляется тем, что потенциальные объекты хакерских атак - партнеры, поставщики, клиенты и прочие стороны - оперируют все большими объемами информации с помощью взаимосвязанных цифровых каналов.

В совокупности все эти факторы делают вопрос обеспечения информационной безопасности все более сложным и актуальным. Сегодня информационная безопасность превратилась в отдельную дисциплину, которая требует применения передовых технологий и процессов, навыков защиты от взлома системы безопасности, а также исключительной поддержки со стороны высшего руководства компаний. Основным требованием нового подхода является понимание того, что сегодня практически нельзя избежать хакерских атак и что обеспечение безопасности всех данных на одинаково высоком уровне не представляется возможным.

Глобальное исследование состояния информационной безопасности и перспектив её развития на 2014 год проводилось с целью анализа и оценки методов, применяемых международными организациями для борьбы с опытными и ловкими мошенниками. В этом году исследование показало, что руководители в большей степени начинают осознавать важность информационной защиты. Они обращают внимание на необходимость финансирования усиления мер безопасности и считают, что в их компаниях должны быть существенно улучшены инструменты, процессы и стратегии информационной защиты.

Впрочем, хотя компании и повышают стандарты безопасности, мошенники все равно опережают их. Опрос, проведенный в этом году, показывает, что количество инцидентов в сфере безопасности увеличилось на 25% за прошедшие 12 месяцев. При этом затраты, связанные с нарушениями систем безопасности, в среднем выросли на 18%.

Результаты опроса также демонстрируют, что многие организации не применяют технологии, которые позволили бы им выявлять уязвимые звенья общих систем и отслеживать угрозы безопасности, не помогают определить и защитить ключевые активы, а также оценить риски с точки зрения бизнес-целей компании. Для многих компаний вопрос безопасности не является основным компонентом стратегии бизнеса, определяемым генеральным директором и советом директоров, получающим достойное финансирование.

Проще говоря, немногие организации сегодня могут успешно справляться с растущими рисками. Еще меньшее число компаний готово к решению проблем, с которыми им придется столкнуться в будущем.

Гэри Лавленд, руководитель практики PwC, уверен: «Нельзя бороться с новыми угрозами с помощью старых методов. Нам нужна новая модель информационной безопасности, основанная на осознании потенциальных угроз, понимании того, что включают в себя имеющиеся у компании активы, а также на знании мотивов злоумышленников и целей, которые они ставят перед собой».

Такая новая модель информационной безопасности построена на принципе «знание - сила». Помните об этом.

Подробное обсуждение вопроса

Принципы ведения бизнеса меняют свой облик под влиянием процесса универсализации цифровых технологий.

Сегодня компании демонстрируют все большую взаимную связь, интеграцию и зависимость друг от друга. Они применяют технологии и популярные решения в области коммуникации, которые позволяют им обмениваться небывалыми объемами информации с клиентами, поставщиками услуг и товаров, партнерами и сотрудниками. Используя столь сложные технологические решения, организации выполняют свои коммерческие задачи с небывалым успехом и оперативностью.

Между тем сформировавшаяся в мире бизнеса экосистема также подвергает компании риску, отдавая их во власть мошенников, которые стремятся нанести ущерб или даже уничтожить их бизнес с помощью тех же самых технологий. Это привело к тому, что угрозы безопасности превратились в существенный коммерческий риск, о котором необходимо помнить международным компаниям.

На рынке продолжает доминировать привычный подход к управлению стратегией информационной безопасности, который основан на принципе реагирования на возникшую проблему и переносе ответственности за обеспечение безопасности на подразделения ИТ.

Сегодня такой подход перестает быть эффективным, поскольку не может обеспечить необходимый уровень защиты.

Опасность, которую в нынешних условиях представляют риски нарушения безопасности, требует от организаций рассматривать подобные угрозы в качестве проблем, способных нанести существенный ущерб деятельности компании, и решать их в рамках системы управления рисками организации. Обеспечение абсолютной защиты всех без исключения данных больше не представляется возможным.

Отталкиваясь от этого утверждения, мы спросили у представителей бизнеса, сотрудников служб безопасности и директоров по вопросам информационных технологий о том, как они решают первоочередные вопросы информационной безопасности, а также насколько точно соответствуют общим целям бизнеса меры обеспечения конфиденциальности и безопасности информации. Результаты глобального исследования состояния информационной безопасности и перспектив её развития на 2014 год показывают, что большинство директоров различных международных компаний уверены в эффективности методов информационной защиты, применяемых в их компаниях.

Уверенность в эффективности применяемых методов обеспечения безопасности

Как бы удивительно это ни звучало, но сегодня, в эпоху роста и видоизменения рисков, директора по-прежнему полностью уверены в эффективности систем и мер информационной защиты, действующих в их организациях. Семьдесят четыре процента респондентов из различных стран мира утверждают, что принимают эффективные меры по обеспечению безопасности (рис. 1). Наиболее оптимистично смотрит на проблему информационной безопасности высшее руководство компаний. Так, 84% генеральных директоров утверждают, что уверены в надежности своих программ безопасности, так же как и 78% директоров по информационной безопасности, которые несут прямую ответственность за обеспечение сохранности данных. Среди руководящих сотрудников наименьшую уверенность в надежности систем информационной безопасности испытывают финансовые директора. Данные по различным регионам показывают, что респонденты из Южной Америки (81%) и Азии (76%) наиболее уверены в эффективности своих систем безопасности.

Рисунок 1. Уверенность в эффективности программ безопасности (достаточно уверен или полностью уверен

Другим примером уверенности руководителей в системах безопасности может стать их мнение о том, насколько эффективно корпоративная программа безопасности выстроена с учетом общего бюджета расходов и стратегии бизнеса. В данном отношении респонденты проявляют не меньше оптимизма. Более 80% опрошенных уверены в том, что затраты на системы безопасности и соответствующая корпоративная политика соответствуют поставленным бизнес-задачам (за последний год уверенность в эффективности этих двух направлений лишь выросла). Столь высокий уровень уверенности говорит о том, что респонденты считают вопросы безопасности неотъемлемой частью своей бизнес-стратегии и признают их возможное влияние на конечную прибыль компании.

Респонденты также весьма оптимистично оценивают собственные стратегии безопасности и способность своих компаний к упреждающему применению таких стратегических инициатив. Мы попросили респондентов рассказать о том, как они оценивают собственный подход к вопросам обеспечения безопасности. Ответы показывают, что сейчас участники опроса дают себе более высокую оценку, чем это было год или два назад.

Участников, которые сообщили о наличии в их компании эффективной стратегии и о готовности компаний к упреждающим действиям в связи с угрозами, мы называем «фаворитами» в «забеге безопасности», поскольку они демонстрируют два основных лидерских качества. В этом году 50% респондентов заявили, что их компании обладают качествами «фаворита» в сфере безопасности. Это на 17% больше, чем в прошлом году (рис. 2). Около четверти опрошенных (26%) говорят о наличии в их организациях надежных стратегий, которые при этом не обязательно способствуют успешному претворению плана в жизнь. Таких респондентов мы назвали «стратегами». Компании, которые эффективно реализуют задуманное, но при этом не имеют столь эффективной стратегии, мы назвали «тактиками». На тактиков приходится 13% всех участников нашего исследования. Еще одну группу респондентов мы назвали «спасателями». Спасатели, на долю которых приходится 11% опрошенных, не имеют принятой стратегии и обычно лишь реагируют на возникшие угрозы.

Рисунок 2. Как респонденты характеризуют свой подход к обеспечению информационной безопасности

ействительно ли «фавориты» являются лидерами в вопросах обеспечения безопасности?

Самооценка собственной эффективности по понятным причинам бывает предвзятой. Потому мы решили подробно проанализировать полученные сведения, для чего сформулировали ряд требований, которым должны соответствовать настоящие лидеры, при этом мы основывались на полученных от респондентов фактических данных, а не на результатах их собственной самооценки. Для того чтобы подтвердить свой статус лидера, респондентам было необходимо:

• иметь общую стратегию в области информационной безопасности;
• иметь в штате директора по информационной безопасности (или равнозначного сотрудника), который отчитывается перед высшим руководством компании (то есть генеральным директором, финансовым директором, операционным директором, директором по рискам или юрисконсультом);
• выполнить оценку и анализ эффективности имеющейся в компании системы информационной безопасности за прошедший год;
• иметь четкое представление о том, какого рода инциденты в области информационной безопасности имели место в прошедшем году.

Анализ респондентов с учетом вышеописанных требований показал, что те, кого мы назвали фаворитами, не всегда реально лидируют в сфере информационной безопасности. Применение этих критериев позволило установить, что лишь 17% всех респондентов являются реальными лидерами в области обеспечения информационной безопасности (рис. 3). Нам также удалось выяснить, что по сравнению с «фаворитами» реальные лидеры способны обнаружить большее число нарушений безопасности, они лучше разбираются в различных типах нарушений и их причинах, а также несут меньшие финансовые потери в результате таких нарушений.

Рисунок 3. «Фавориты» и реальные лидеры

Больше всего реальных лидеров было обнаружено в Азиатско-Тихоокеанском регионе (28%) и в Северной Америке (26%), немногим меньше - в Европе (24%) и Южной Америке (21%), Ближний Восток и Африка (1%) замыкают этот список. Наиболее «продвинутыми» с точки зрения состояния информационной безопасности отраслями стали технологический сектор (16%), сектор финансовых услуг (11%), а также розничная торговля и производство потребительских товаров (9%).

Есть еще одна причина для оптимизма: бюджеты на обеспечение информационной безопасности растут.

Многие респонденты высоко оценивают собственную компетенцию в отношении методов обеспечения информационной безопасности, при этом лица, ответственные за корпоративные бюджеты, также весьма оптимистично смотрят на состояние систем безопасности. Возможно, они понимают, что сегодня, в условиях повышенного риска, проблемы безопасности требуют дополнительных инвестиций. Как бы то ни было, существенный рост финансирования систем информационной безопасности является хорошим знаком для служб безопасности. Несмотря на существенные различия таких бюджетов в зависимости от отрасли и размера компании, в целом, по оценке респондентов, объем средств, выделенных на обеспечение информационной безопасности в этом году, в среднем составил 4,3 млн долл. США, что на 51% больше, чем это было в 2012 году. Тем не менее, несмотря на такой рост, бюджет функций информационной безопасности составляет лишь 3,8% от общих затрат на информационные технологии в этом году, что говорит об относительно невысоком уровне инвестирования.

Что же ждет нас в будущем? Прогнозы также полны оптимизма. Почти половина всех респондентов (49%, что на 4% больше, чем в прошлом году) утверждают, что уровень затрат на обеспечение безопасности в течение следующих 12 месяцев увеличится. По данным опроса, 66% респондентов из Южной Америки и 60% представителей Азиатско-Тихоокеанского региона ожидают, что инвестиции в информационную безопасность будут расти. В Северной Америке лишь 38% участников опроса прогнозируют рост финансирования систем безопасности, что делает данный регион самым «скупым» на затраты в этом направлении.

Современные проблемы - устаревшие решения

Сегодня уже невозможно игнорировать шквал сообщений о том, что за последний год злоумышленники стали более изобретательными в вопросах взлома систем безопасности и все чаще добиваются достижения своих целей. Учитывая тот факт, что журналисты порой злоупотребляют сенсационностью заголовков новостей, чтобы привлечь читателей на сайты своих изданий, вполне разумно будет усомниться в точности сообщений о хакерских атаках.

Результаты данного исследования частично подтверждают обоснованность шумихи вокруг увеличивающего числа инцидентов в сфере информационной безопасности.

В любом случае с фактами не поспоришь, а они говорят о том, что число инцидентов в области информационной безопасности растет. (Под инцидентом в области информационной безопасности мы понимаем любое происшествие негативного характера, которое в той или иной мере угрожает компьютерной безопасности.) Участники опроса сообщили о том, что число обнаруженных инцидентов увеличилось на 25% по сравнению с прошлым годом (рис. 4). Похоже, эти данные оправдывают броские заголовки в прессе об увеличении числа угроз информационной безопасности. С другой стороны, рост числа обнаруженных инцидентов также может говорить о том, что организации более эффективно отслеживают возможные нарушения.

Рисунок 4. Среднее количество инцидентов в сфере информационной безопасности, произошедших за последние 12 месяцев

Марк Лобел, партнер PwC, утверждает: «Число инцидентов увеличивается не только из-за роста рисков, но также и вследствие того, что некоторые компании инвестируют в новые технологии, которые помогают более эффективно обнаруживать такие инциденты. С этой точки зрения увеличение числа выявленных инцидентов в области информационной безопасности можно рассматривать как положительный сдвиг».

При этом число респондентов, которым неизвестно точное число инцидентов, год от года продолжает расти, достигнув на сегодняшний день отметки в 18%. Похоже, это несколько противоречит утверждению о том, что компании все более эффективно выявляют случаи нарушения своей информационной защиты. Это, скорее, указывает на то, что старые методы обеспечения безопасности могут быть неэффективными или же просто не действуют. Рост числа инцидентов параллельно с увеличением объемов данных, передаваемых в электронном формате, приводит нас к очевидному выводу: уровень потерь информации становится все выше. В этом году 24% респондентов сообщили об утрате данных в результате инцидентов в области информационной безопасности, что на 16% больше, чем в 2012 году.

Углубленный анализ типов скомпрометированной информации позволяет прийти к весьма интересным выводам. Список таких данных возглавляет документация по персоналу (35%) и клиентские файлы (31%) (рис. 5). Каждый год участники опроса сообщают нам, что данные о сотрудниках и клиентах являются для них наиболее ценной информацией.

Рисунок 5. Последствия инцидентов в области информационной безопасности

Поэтому было бы логичным предположить, что защита именно этих видов данных должна стать приоритетом для служб информационной безопасности. Тем не менее тот факт, что данные о клиентах и сотрудниках компаний наиболее часто становятся объектом кражи, говорит нам о том, что текущие меры защиты информации являются неэффективными или же неверно ориентированы на возникающие риски.

Общий объем убытков

Вполне логичным представляется то, что по мере увеличения количества инцидентов в сфере безопасности будут расти и финансовые затраты. Так и происходит на практике. Мы установили, что средний уровень финансовых убытков, связанных с инцидентами в области информационной безопасности, за прошлый год вырос на 18%.

Шейн Симс, директор PwC, говорит: «В целом уровень затрат и степень сложности мер реагирования на инциденты увеличиваются. В число общих затрат входит стоимость проведения расследований, расходы на анализ бизнес-рисков и обнаружение инцидентов, стоимость отправки уведомлений клиентам, потребителям и в регулирующие органы, а также расходы на судопроизводство. Помимо этого, у компаний возникают затраты на устранение последствий инцидента, поскольку под угрозу попадает все больше информации в рамках различных юрисдикций, а системы контроля безопасности просто не поспевают за непрерывными изменениями в мире информационной безопасности».

Дальнейший анализ полученных данных показал, что наиболее существенный рост финансовых затрат отмечен в компаниях респондентов, которые сообщили об ущербе на крупные суммы в результате инцидентов в сфере безопасности. Конкретный пример: число респондентов, сообщивших об убытках в размере 10 млн долл. США и более, увеличилось на 51%% за период с 2011 года. Мы ожидали, что отрасли, которые традиционно принимали предупредительные меры и инвестировали в информационную безопасность, понесут меньшие убытки. Впрочем, как ни странно, на деле всё оказалось иначе. В число отраслей, которые понесли убытки в объеме 10 млн долл. США и более, вошли фармацевтический сектор (20%), сектор финансовых услуг (9%) и технологический сектор (9%).

В среднем один инцидент обходится компании в 531 долл. США (рис. 6). Респонденты, которых мы включили в число лидеров по информационной безопасности, сообщают о самой низкой стоимости одного инцидента (421 долл. США в среднем), что неудивительно. Весьма неожиданным для нас стало то, что компании, относящие себя к числу «фаворитов», тратят 635 долл. США на один инцидент в области информационной безопасности - почти столько же, сколько тратят «спасатели», которые, по собственной оценке, наименее подготовлены к реализации эффективной программы защиты от информационных угроз. Все это ставит под сомнение реальную эффективность компаний, входящих в категорию «фаворитов».

Рисунок 6. Средние затраты на один инцидент в области информационной безопасности

Инсайдеры, сторонние лица и хакеры

Как мы уже отмечали, заголовки новостей не всегда справедливо отражают актуальные риски. Хотя различные резонансные инциденты (например, случаи искусного взлома защитных барьеров, относимые к числу целенаправленных устойчивых угроз) искушают других злоумышленников, подталкивая их к попытке повторить успешный опыт преодоления защитных систем, на практике такие преступления совершаются редко.

На самом деле реальность куда более прозаична. Большинство респондентов считают, что причиной инцидентов, связанных с нарушением безопасности, являются обычные «инсайдеры», такие как сотрудники (31%) и бывшие сотрудники компаний (27%) (рис. 7). Многие организации полагают, что угроза, которую представляют инсайдеры, может быть даже еще опаснее, чем об этом говорится в резонансных новостях. При этом частотность инсайдерских инцидентов невелика.

Рисунок 7. Вероятные источники угрозы инцидентов

Учитывая широкую распространенность рисков, связанных с персоналом, у нас вызывает удивление неготовность многих компаний противостоять довольно обычным внутренним угрозам. Отдельный обзор под названием «Исследование уровня киберпреступности в США» за 2013 год, в спонсировании которого принимала участие фирма PwC, показал, что треть респондентов из США не имеют плана реагирования на инсайдерские инциденты . Впрочем, даже среди тех, у кого есть план на случай возникновения инсайдерской угрозы, лишь 18% считают его высокоэффективным.

Майкл А. Мэйсон, директор по безопасности компании Verizon Communications, утверждает: «На мой взгляд, сегодня вероятность инсайдерской угрозы существенно выросла по сравнению с прошлыми периодами». Он добавляет, что компания Verizon считает инсайдерами всех лиц, имеющих доступ к корпоративным данным: «Помните, что инсайдерский инцидент вовсе не означает попытку некоего "жулика" взломать вашу систему защиты. Такие инциденты, например, возникают, когда обычный сотрудник проявляет особое рвение и работает с нарушением условий безопасности. Наши проблемы в большей степени проистекают из человеческого, а не технического фактора».

Джон Хант, руководящий сотрудник PwC, отмечает: «Одна из причин того, что компании не имеют действенных планов защиты от внутренних угроз, заключается в том, что они сами предоставляют многим типам инсайдеров, например партнерам или поставщикам, право доступа в пределах периметра сети, поскольку такие инсайдеры пользуются определенным доверием. Бизнесу пора понять, что доверие к консультантам не должно быть безграничным».

Говоря о внешних факторах риска, важно отметить, что некоторые стороны, представляющие наибольшую угрозу, в частности хакеры, на практике оправдывают свой потенциал риска. Вот доказательство: 32% участников опроса связывают возникновение инцидентов в области информационной безопасности с хакерскими атаками (это на 27% больше, чем в прошлом году).

Не стоит забывать и об инцидентах, получивших широкий общественный резонанс. Речь идет, в частности, о попытках правительств иностранных государств получить нужную им информацию с помощью целенаправленных устойчивых атак. По мнению участников опроса, на долю инцидентов с участием иностранных государств приходится лишь 4% всех установленных случаев нарушения периметра информационной безопасности.

Для крупных компаний, таких как Verizon, этот аспект не представляет существенной угрозы. Майкл Мэйсон уверен, что «опасаться целенаправленных устойчивых угроз - в каком-то смысле все равно, что бояться подхватить простуду, работая со штаммами вируса сибирской язвы».

Несмотря на то что риск возникновения целенаправленных устойчивых угроз невелик, для многих крупных организаций крайне важно следить за стремительными изменениями в области кибермошенничества. Это хорошо понимает руководство компании Cablevision Systems Corporation, оператора мультисервисных каналов связи, предоставляющего услуги доступа к кабельному телевидению и сети Интернет, а также выпускающего ежедневное печатное издание.

Дженнифер Лав, старший вице-президент по вопросам безопасности компании, рассказывает: «Как и многие другие операторы мультисервисных каналов связи, мы внимательно отслеживаем публикуемые отчеты, сообщающие о росте числа обнаруженных угроз, связанных с деятельностью киберпреступников и иностранных государств, особенно если такие угрозы нацелены на электроэнергетические и коммуникационные компании. Мы получаем информацию из разных источников, в том числе отраслевых и государственных. На ее основании мы определяем имеющиеся риски и принимаем решения о дальнейших мерах».

Слабая защита от сильного противника

Для того чтобы успешно бороться с актуальными рисками, компаниям необходимо разработать действенную стратегию и внимательно следить за наиболее уязвимыми участками информационной экосистемы и за стремительно развивающимися угрозами. В основе принимаемых мер и инвестиционных решений должно лежать четкое представление об информационных активах, о рисках, угрожающих информационной экосистеме, и ее уязвимых местах. Все решения в данной области необходимо оценивать в контексте осуществляемой компанией деятельности.

Многим для этого нужно научиться мыслить по-новому и перестроить систему планирования. Именно поэтому вовсе не удивительно, что многие участники опроса говорят об отсутствии в их компаниях надежных технологий и процессов, которые могли бы обеспечить должный уровень понимания актуальных рисков. К примеру, 52% опрошенных не применяют инструменты поведенческого мониторинга и контроля. При этом 46% респондентов не прибегают к использованию информации о системах безопасности или технологий по управлению событиями. Несмотря на то что инструменты для управления активами играют крайне важную роль при обеспечении безопасности информационных активов, 39% опрошенных не применяют такие средства. Даже стандартные технологии, необходимые для защиты особо секретной информации, используются не столь широко, как хотелось бы. Особенно стоит отметить, что 42% участников исследования не применяют инструменты для предотвращения потери данных.

По мере увеличения объемов данных и активизации обмена информацией с партнерами, поставщиками, подрядчиками и клиентами, компаниям следует все более внимательно отслеживать риски, связанные с предоставлением корпоративных данных третьим лицам. Бизнесу также необходимо убедиться в том, что такие третьи стороны полностью соответствуют требованиям к безопасности информации или даже превосходят их.

Нас весьма беспокоит, что в США многие респонденты не имеют политик и инструментов, необходимых для оценки третьих лиц с точки зрения рисков безопасности (информация получена по результатам отдельного исследования, в финансировании которого принимала участие фирма PwC) . Например, лишь 20% опрошенных утверждают, что проводят оценку информационной безопасности третьих лиц, с которыми они могут обмениваться данными или которым они предоставляют доступ к своей сети, чаще одного раза в год. При этом 22% опрошенных говорят, что не проводят вовсе никакой оценки третьих лиц, а 35% проверяют третьи стороны на предмет безопасности лишь раз в год или реже.

Только 22% опрошенных утверждают, что создают планы реагирования на различные инциденты, связанные с партнерами по цепочке поставок, при этом 52% респондентов вообще не составляют такие планы.

Как уже говорилось, резкий рост числа рисков и изменение их характера требуют от компаний четкого понимания того, что в нынешних условиях нецелесообразно - или даже невозможно - обеспечить одинаковый уровень защиты для всех видов информации, как это было до недавнего времени. Новая модель информационной безопасности требует от бизнеса четко определять действительно значимую информацию и уделять ей повышенное внимание.

Вполне очевидно, что характер такой информации будет зависеть от особенностей конкретных компаний и отраслей. В число таких «драгоценных» активов может входить интеллектуальная собственность, включающая проектную документацию по продуктам, маркетинговые планы, информацию, которой обменивается руководство, а также стратегии бизнеса. Впрочем, данную категорию можно расширить до пределов любой информации, которая в случае ее кражи или потери может нанести бизнесу существенный вред.

Сегодня на долю таких нематериальных активов, как интеллектуальная собственность, приходится 80% всей стоимости, создаваемой фирмами, входящими в индекс S&P 500 (по данным Ocean Tomo, банка интеллектуальной собственности™) . Чем выше стоимость интеллектуальной собственности, тем больше она привлекает киберпреступников.

Результаты данного исследования показывают, что, несмотря на увеличение стоимости интеллектуальной собственности и усугубление потенциальных последствий ее утраты, многие респонденты недостаточно эффективно определяют и защищают свою информацию, имеющую особую ценность. К примеру, лишь 17% опрошенных распределяют информацию по категориям конфиденциальности в зависимости от ее коммерческой ценности, и только 20% применяют отдельные процедуры, направленные на обеспечение защиты интеллектуальной собственности (рис. 8). Двадцать шесть процентов участников опроса проводят инвентаризацию активов и применяют процедуры управления активами. Результаты опроса показывают, что в некоторых отраслях активность применения политики, направленной на защиту интеллектуальной собственности, фактически снижается.

Рисунок 8. Наличие политики по охране интеллектуальной собственности и коммерческой тайны

Еще одним ключевым риском в области защиты данных является применение мобильных устройств (смартфонов и планшетов), а также использование личных портативных устройств на работе. Хотя тенденция к использованию мобильных устройств для обмена информацией и передачи данных активно развивается, политика компаний в данной области существенно отстает от растущих темпов распространения смартфонов и планшетов. Участники опроса утверждают, что за последний год компании не сильно продвинулись вперед в вопросе внедрения программ безопасности в отношении использования мобильных устройств. Отмечается, что в некоторых случаях масштабы деятельности в данном направлении вообще сокращаются (рис. 9). Например, лишь 42% опрошенных отметили, что в их компаниях имеется стратегия по обеспечению информационной безопасности мобильных устройств. Только 39% утверждают, что в их организациях применяется программное обеспечение для управления мобильными устройствами - важный инструмент, предназначенный для автоматического коллективного администрирования смартфонов.

Рисунок 9. Меры по контролю рисков нарушения безопасности, связанных с использованием мобильных устройств

Облачные технологии, которые присутствуют на рынке уже более десяти лет, стали широко распространенной - если не повсеместной - практикой для обмена корпоративными данными.

Почти половина респондентов (47%) используют те или иные аспекты облачных технологий, что на 24% больше, чем в прошлом году. Среди тех, кто применяет в работе облачные технологии, 59% сообщили о повышении эффективности систем безопасности.

Сучетом вышесказанного весьма удивительно видеть, что многие компании не уделяют должного внимания возможным негативным последствиям применения облачных технологий. К примеру, среди всех участников опроса, использующих такие технологии, лишь 18% сообщили о наличии в их организациях официальной политики, регулирующей применение облачных вычислений.

Джошуа МакКиббен, директор PwC, говорит: «Отсутствие в организациях политики по регулированию использования облачных технологий является существенной угрозой безопасности бизнеса. Увеличение объемов передаваемых данных, а также рост масштабов применения мобильных устройств приводит к более интенсивному использованию облачных технологий, которое может привести к потенциальным злоупотреблениям со стороны персонала. В то же время компаниям важно следить за тем, чтобы сторонние поставщики услуг в сфере облачных вычислений соблюдали установленные требования к безопасности».

Как уже отмечалось, целенаправленным устойчивым угрозам уделяется неоправданно большое внимание в прессе, в результате чего число компаний, которые с повышенной серьезностью относятся к таким угрозам, может увеличиваться. К примеру, 54% опрошенных утверждают, что в их организациях внедрены технологии, обеспечивающие управление процессом обнаружения таких рисков и помогающие защититься от них. В число отраслей, компании которых применяют решения по противодействию целенаправленным устойчивым угрозам, входит аэрокосмическая и оборонная отрасль (61%), государственный сектор (58%) и фармацевтическая отрасль (58%).

В «Исследовании уровня киберпреступности в США» за 2013 год говорится о том, что инструменты по противодействию целенаправленным устойчивым угрозам обычно включают в себя анализ с целью выявления вредоносного ПО, отслеживание исходящего трафика, поиск неавторизованного оборудования, получающего доступ к сетям, а также анализ и географический поиск информации по IP-адресам .

Готовимся к встрече с угрозами будущего

Злоумышленники сегодня становятся все опытнее и изощреннее, что позволяет им находить новые уязвимые звенья в системах безопасности компаний. Для того чтобы эффективно справляться с этим риском, организациям необходимо применять передовые знания об информационных активах, системных угрозах и уязвимых местах, планируя инвестиции и необходимые меры для решения проблем в области информационной безопасности. Такие меры следует оценивать с учетом особенностей деятельности, осуществляемой организацией.

Данное исследование показывает, что компании, лидирующие, по нашему мнению, в области информационной безопасности, расширяют свои возможности в этом направлении, внедряя политику и регламенты, благодаря которым вопрос обеспечения безопасности становится одной из главнейших задач бизнеса. Для таких компаний вопросы безопасности выходят за рамки ИТ-проблем. Как же им это удается?

Лидеры в области безопасности стремятся тесно увязать свои стратегии по обеспечению информационной безопасности с потребностями бизнеса, устанавливая стандарты для внешних партнеров, а также в целом переосмысливая фундаментальные принципы безопасности данных (рис. 10). К примеру, 88% лидеров имеют в штате директора, который отвечает за информирование сотрудников предприятия о важности обеспечения информационной безопасности в компании. Другая дальновидная политика предполагает создание межфункциональной группы, которая будет координировать решение проблем в области безопасности и сообщать о них сотрудникам компании. Этот принцип организации систем безопасности применяется в 66% опрошенных организаций.

Рисунок 10. Политика и меры в области информационной безопасности, применяемые участниками опроса (все опрошенные / лидеры)

Джо Ноусэра, руководящий сотрудник PwC, отмечает: «Такая политика показывает, что компании проявляют высокий, невиданный ранее уровень ответственности в отношении информационной безопасности. Эта ответственность подразумевает участие всех директоров и ведущих руководителей в обеспечении успешного выполнения компанией всех задумок и планов, направленных на повышение уровня безопасности. Данная тенденция также подчеркивает необходимость информирования сотрудников и третьих сторон, занимающихся обработкой важной информации, о значимости информационной безопасности».

Дженнифер Лав, старший вице-президент по вопросам безопасности компании Cablevision, говорит: «В нашей компании топ-менеджеры и члены совета директоров с готовностью принимают участие в реализации инициатив в области безопасности. Они хорошо понимают, насколько важную роль играет информационная безопасность, и хотят иметь четкое представление об угрозах, с которыми мы сталкиваемся, и о мерах, принимаемых для защиты уязвимых участков периметра безопасности».

Внедрение политики и необходимых регламентов, а также вовлечение топ-менеджмента в работу над усовершенствованием систем безопасности - это всего лишь начало реальной деятельности. Эффективность принимаемых мер можно оценить, проанализировав применение компаниями технологий, которые обеспечивают внедрение такой политики и регламентов.

Чаще всего именно лидеры применяют инструменты, которые помогают в реальном времени анализировать подозрительную деятельность в рамках сетевого оборудования и приложений. К примеру, 66% лидеров в области информационной безопасности утверждают, что в их компаниях применяются системы защиты информации и управления инцидентами (SIEM). Ровно такое же количество опрошенных (66%) говорит, что им удалось внедрить инструменты корреляции событий, которые объединяют и сопоставляют информацию, полученную разными системами, например системами мониторинга уязвимостей и системами контроля взлома периметра безопасности. Решения, предназначенные для сканирования систем безопасности в поисках уязвимых мест, применяются 71% лидеров. Такие инструменты позволяют проводить оценку сетей и приложений с целью выявления возможных слабых сторон.

Несмотря на то что в данном отчете мы в основном рассматриваем лидеров, которые применяют вышеописанные технологии, также важно отметить, что сегодня, в условиях повышенных рисков безопасности, всем без исключения компаниям следует внимательно рассмотреть возможность применения данных защитных мер.

Другим примером эффективных мер безопасности является информирование сотрудников и организация обучения персонала. Информированность работников является очень важным фактором любой программы безопасности. Шестьдесят процентов опрошенных говорят, что в их компаниях имеются обучающие программы, предназначенные для повышения уровня информированности сотрудников. Поскольку сотрудники зачастую становятся «психологической мишенью» злоумышленников, всем без исключения респондентам следует задуматься о внедрении эффективной программы обучения персонала.

Для того чтобы оценить приоритеты респондентов в отношении подготовки к угрозам будущего, мы проанализировали, какие процессы и технологии защиты компании планируют внедрить в первую очередь в ближайшие 12 месяцев. Особое внимание мы уделяли следующим пяти категориям защитных мер: защита важных активов, обеспечение безопасности инфраструктуры, выявление угроз безопасности, аналитические меры и обеспечение безопасности мобильных устройств.

Сьюзен Модлин, директор по безопасности компании Equifax, международного бюро кредитных историй, рассказывает: «Очень часто деятельность злоумышленников направлена против сотрудников, которые располагают определенными сведениями. Именно поэтому мы проводим обучение сотрудников в виде ролевых игр. Наши программы обучения нацелены на такие группы высокого риска, как сотрудники колл-центра, пользователи с высокими полномочиями и топ-менеджеры. Мы учим персонал компании грамотно противостоять так называемым фишинговым атакам».

Для создания эффективной системы безопасности сегодня компаниям необходимо определить так называемые драгоценные активы, то есть наиболее важные активы компании, и в первую очередь обеспечить их защиту. Двадцать пять процентов респондентов утверждают, что в течение грядущих 12 месяцев они внесут в число приоритетных задач реализацию программы по определению особо важных активов, а 17% - что они оценят приоритетность инструментов по управлению активами (рис. 11). Данные решения являются ключом к пониманию, оценке и эффективному управлению важной корпоративной информацией.

Рисунок 11. Защитные меры, которые пока не применяются, но входят в список приоритетов на ближайший год

Для того чтобы повысить надежность инфраструктуры, практически четверть опрошенных (24%) планируют внедрить стандарты безопасности для внешних партнеров, поставщиков и клиентов. Эта задача становится все более актуальной по мере того, как компании открывают доступ к своим сетям, приложениям и данным для третьих лиц. Более того, применение таких технологий, как виртуализация и облачные вычисления, существенно повысило вероятность угроз, которые могут исходить от инсайдеров, обладающих высокими полномочиями доступа. Таким образом, мониторинг и управление пользователями с высоким уровнем доступа теперь входят в число основных проблем. Исследование показало, что 17% опрошенных планируют внедрить инструменты для управления пользователями с высоким уровнем доступа в течение следующих 12 месяцев.

Остальные приоритеты направлены на технологии, которые помогают лучше понять характер угроз, а также повысить уровень безопасности мобильных устройств. Мы впервые спросили респондентов о том, планируют ли они начать пользоваться абонентскими услугами по обнаружению потенциальных угроз для того, чтобы заручиться поддержкой третьих сторон и получать своевременные предупреждения о рисках и так называемых уязвимостях нулевого дня (уязвимость, используемая злоумышленником в тот же день, когда она была обнаружена, то есть пока способ ее устранения не найден). Многие из участников опроса ответили утвердительно на этот вопрос: 49% респондентов сказали, что в данный момент они применяют такие услуги. При этом 25% тех, кто не использует данные решения, планируют в ближайшие 12 месяц включить их в число своих приоритетных задач.

Компания Equifax в числе своих основных приоритетов называет обеспечение защиты устройств, которыми пользуются сотрудники, с тем чтобы организация, предоставляющая финансовые услуги, могла более эффективно отслеживать основные факторы угроз. Сьюзен Модлин говорит: «Мы анализируем аппаратное оборудование, применяемое сотрудниками, и фактически создаем так называемую песочницу, которая позволяет оградить компьютеры от вирусов и вредоносных программ. Это не только помогает нам бороться с рисками, но также способствует определению типов потенциальных угроз и поиску злоумышленников, планирующих атаки непосредственно против нашей компании».

Принимая во внимание все увеличивающийся интерес к способам обработки больших массивов информации, мы также спросили респондентов о планах их компаний относительно применения аналитических схем в целях повышения общей безопасности. Стратегический подход к данному вопросу становится все более популярным: 20% респондентов сказали, что планируют в будущем пересмотреть приоритетность инструментов информационной безопасности и управления событиями. Столько же опрошенных считают внедрение технологий корреляции событий в системах защиты своей первоочередной задачей.

Пракаш Венката, управляющий директор PwC, уверен: «Такие технологии помогают компаниям обнаружить закономерности и аномалии в деятельности, направленной на изучение компьютерных угроз, с которыми сталкивается бизнес. Обладая этими знаниями, руководители смогут предвидеть изменения в характере киберугроз, нависших над их организациями, и оперативно реагировать на них».

Еще одной актуальной проблемой является безопасность мобильных устройств. Практически четверть всех участников исследования сообщили о своих планах повысить приоритетность шифрования смартфонов, внедрить решения по управлению мобильными устройствами, а также реализовать стратегию использования персональных устройств в корпоративных сетях.

Прошедший год показал, что обмен информацией об угрозах безопасности, даже между конкурирующими компаниями, стал мощным инструментом противодействия рискам. Мы считаем, что сотрудничество помогает бизнесу быстрее адаптироваться к изменениям рыночной конъюнктуры. Пятое ежегодное исследование PwC Digital IQ5 помогло выявить, что фирмы, в которых топ-менеджмент готов к сотрудничеству, успешно интегрируют стратегию и информационные технологии. Такой подход весьма часто способствует повышению эффективности бизнеса.

Мы захотели узнать, как респонденты, многим из которых приходится работать в крайне конкурентных условиях, смотрят на возможность сотрудничества с другими игроками рынка в целях повышения уровня безопасности и обмена знаниями о потенциальных угрозах. Многие организации осознают, что у такого сотрудничества есть свои плюсы. Результаты опроса показали, что половина опрошенных сотрудничают с другими участниками рынка, а среди лидеров в области безопасности этот показатель достигает 82%.

Пример от Equifax: по словам Сьюзен Модлин, компания Equifax «принимает участие в деятельности Центра анализа информации о финансовых услугах и обмена такой информацией». Она убеждена: «Для нашей компании это крайне важно, поскольку многие государственные учреждения также принимают участие в работе этого Центра, что позволяет нам заранее получать информацию о возникающих угрозах». Equifax также участвует в работе нескольких других отраслевых групп и взаимодействует с аналогичными предприятиями.

Двадцать восемь процентов опрошенных в числе основных причин, по которым они отказываются от сотрудничества, называют обеспокоенность в связи с увеличением числа уязвимостей периметра безопасности, боязнь того, что конкуренты воспользуются полученной информацией в своих интересах, а также прямое недоверие своим конкурентам (рис. 12). Наконец, 22% респондентов не знают о том, сотрудничает ли их организация с другими участниками рынка.

Рисунок 12. Причины отсутствия сотрудничества по вопросам безопасности

Что препятствует развитию систем безопасности?

Хотя большинство лиц, заинтересованных в укреплении систем безопасности, и согласны с тем, что необходимо принимать меры по усилению информационной защиты, они до сих пор не могут прийти к общему пониманию того, какие меры необходимы для преодоления существующих барьеров.

Мы попросили участников исследования назвать самые существенные препятствия, которые мешают им повысить уровень информационной безопасности в их компаниях. В итоге мы получили множество противоречивых мнений, причем в некоторых случаях респонденты пытались найти виноватых вместо того, чтобы проанализировать реальные причины.

В целом участники опроса отметили, что в число наиболее существенных препятствий входит недостаток капитального финансирования, отсутствие четкого понимания того, какое влияние на состояние информационной безопасности окажут будущие потребности бизнеса, недостаток целеустремленных лидерских идей, а также отсутствие эффективной стратегии безопасности (рис. 13).

Рисунок 13. Основные препятствия на пути к созданию эффективной системы безопасности

Тенденция роста бюджетов на обеспечение безопасности в этом году может привести к решению проблем с финансированием. При этом вызывает беспокойство, что такие ключевые вопросы, как понимание принципов безопасности, приведение их в соответствие с будущими потребностями бизнеса, а также обеспечение эффективности стратегий безопасности, по-прежнему входят в число ключевых проблем. Респонденты также весьма часто называют высшее руководство, особенно генеральных директоров, в качестве основного препятствия на пути к повышению уровня безопасности.

Но кого же тогда винят во всем генеральные директора? Любопытно отметить, что генеральные директора в основном называли главным препятствием самих себя. Финансовые директора называли генеральных директоров в качестве основного барьера для развития информационной безопасности. За гендиректорами в этом списке следовали директора по информационным технологиям, информационной безопасности и общей безопасности. По мнению директоров по информационной безопасности, несущих прямую ответственность за системы информационной защиты, список основных препятствий возглавляет недостаточное финансирование (как капитальное, так и операционное), второе место занимает недостаток компетенций и технического опыта у специалистов компании. Директора по информационным технологиям считают, что развитию систем защиты информации мешает отсутствие эффективной стратегии и общей концепции развития, а также недостаток лидерского участия генеральных директоров и руководителей, отвечающих за обеспечение безопасности.

Дэвид Берг, руководящий сотрудник PwC., уверен: «Отсутствие четкого понимания всей картины препятствий, стоящих на пути к построению эффективной системы безопасности, отчасти показывает, что бизнес не вполне готов к ведению адекватного диалога по вопросам информационной защиты. Такой диалог помогает сотрудникам, руководителям и третьим лицам понять свои функции в рамках систем информационной безопасности, а также осознать ключевые приоритеты и наиболее опасные риски. Для того чтобы достигнуть устойчивого понимания принципов безопасности, компаниям также потребуется заручиться полной поддержкой высшего руководства, в том числе генерального директора и совета директоров. Обсуждение проблем безопасности должно иметь непрерывный характер».

Мировая гонка в области кибербезопасности

В течение нескольких лет Азиатско-Тихоокеанский регион был лидером по инвестициям в развитие технологий и процессов обеспечения безопасности, а также по расходованию средств на эти цели. В результате данный регион оторвался от остальных в вопросах разработки и внедрения эффективных программ защиты информации (рис. 14).

Рисунок 14. Меры по обеспечению безопасности в разбивке по регионам

а данный момент этот регион продолжает лидировать в сфере информационной безопасности. Фактически 28% компаний, которых мы считаем лидерами, представляют Азиатско-Тихоокеанский регион, а это лишь 21% от общего числа участников исследования.

Южная Америка стремится догнать Азиатско-Тихоокеанский регион, лидирующий в области информационной защиты. Впервые за все время Южная Америка оказалась близка к лидерству по объемам инвестиций в системы информационной безопасности, политике в этой сфере и характеру принимаемых защитных мер. Этот континент занимает ведущее положение по многим аспектам, включая уровень затрат на цели безопасности и количество штатных директоров по информационной безопасности, ответственных за контроль защитных систем. По многим другим аспектам Южная Америка не отстает от своего азиатско-тихоокеанского соперника.

И тем не менее Азиатско-Тихоокеанский регион продолжает занимать уверенные позиции в вопросах бюджета на безопасность и передовых методов работы. Европа и Северная Америка, в свою очередь, во многом отстают от своих соперников, в том числе в таких областях, как введение должности директора по информационной безопасности, внедрение политики по резервному копированию и восстановлению данных (обеспечению непрерывности бизнеса), а также сотрудничество с другими игроками рынка. Северная Америка демонстрирует успехи в ряде областей, добившись от третьих сторон соответствия установленным требованиям политики конфиденциальности, обеспечив высокий уровень информированности сотрудников и организовав обучение персонала по вопросам безопасности. Вместе с тем этот регион продолжает отставать по многим другим показателям.

Азиатско-Тихоокеанский регион: по-прежнему в лидерах

Азиатско-Тихоокеанский регион продолжает занимать лидирующее положение по таким показателям, как бюджет на безопасность и методы работы. Инвестиции в укрепление систем безопасности также остаются на высоком уровне: ередний объем бюджетов на безопасность увеличился на 85% за прошедший год. Азиатско-Тихоокеанский регион также продемонстрировал самый высокий показатель доли бюджета на информационную безопасность от общих затрат на информационные технологии - 4,3%. Респонденты рисуют вполне радужную картину будущих затрат на обеспечение информационной безопасности: 60% опрошенных утверждают, что бюджет на защиту данных в их компаниях будет увеличен в течение следующих 12 месяцев. Вместе с тем, средний уровень финансовых убытков, связанных с инцидентами в сфере информационной безопасности, вырос на 28% за прошедший год.

Азиатско-Тихоокеанский регион имеет равные с Южной Америкой позиции по ключевым направлениям политики, таким как: наличие в штате должности директора по информационной безопасности в целях контроля программы защиты данных. Регион также отличается стремлением к применению новых прогрессивных мер безопасности, среди которых назначение директора, отвечающего за информирование персонала о важности информационной безопасности (69%), и сотрудничество с другими игроками рынка в целях повышения уровня безопасности (59%). В регионе, если сравнивать его с Южной Америкой, по всей вероятности, будут внедрены технологии, направленные на обнаружение фактов взлома систем защиты (67%), и будут созданы системы для сбора, передачи и хранения всех персональных данных (60%).

Вместе с тем динамика ежегодных изменений показывает, что в Азиатско-Тихоокеанском регионе отмечается замедление в области внедрения некоторых направлений политики и технологий обеспечения безопасности. Например, число респондентов, которые ответили, что у них существует политика в области резервного копирования, восстановления данных и обеспечения бесперебойной деятельности организации, за последний год сократилось. При этом другие основные направления политики, такие как обучение сотрудников и процедуры защиты интеллектуальной собственности, фактически не развиваются.

На долю Китая в этом исследовании приходится 33% респондентов из Азиатско-Тихоокеанского региона, за Китаем следуют Индия (31%) и Япония (17%). По большинству показателей Китай значительно опережает другие страны в развитии практики и политики в области обеспечения безопасности. Например, 60% респондентов в Китае используют инструменты поведенческого мониторинга и контроля, 73% осуществляют централизованное хранение пользовательских данных, а 72% используют сканеры для выявления уязвимых мест - по всем указанным показателям Китай опережает другие страны. Шестьдесят два процента (62%) респондентов в Китае применяют технологии, обеспечивающие защиту и обнаружение целенаправленных устойчивых угроз, а 66% внедрили технологии защиты информации и управления событиями - все эти показатели выше, чем в других странах. Более того, ни одна из стран не внедрила политику по безопасности мобильных устройств, по использованию личных портативных устройств на работе и по использованию социальных сетей на более высоком уровне, чем Китай. Например, 71% респондентов в Китае имеют политику по использованию персональных устройств в корпоративных сетях, тогда как в США таких респондентов оказалось 64%, а в Индии - 54%. По сравнению c Китаем Индия демонстрирует убедительные достижения в сфере реализации программ и политики безопасности, но отстает от Китая почти по всем показателям.

Южная Америка: новый лидер с юга

Южная Америка демонстрирует значительные достижения по уровню расходов на обеспечение безопасности, внедрению политики и технологий в этой сфере. По многим показателям данный регион сопоставим с Азиатско-Тихоокеанским регионом, а иногда и опережает его.

Например, бюджеты на информационную безопасность за последний год резко увеличились - на 69%, а 66% респондентов в Южной Америке отмечают, что расходы на безопасность возрастут в течение последующих 12 месяцев. Бюджеты на обеспечение безопасности составляют 4,1% от общих расходов на информационные технологии, при этом более высокий показатель отмечен только в Азиатско-Тихоокеанском регионе. Респонденты в Южной Америке активнее приглашают на работу директоров по информационной безопасности (75%) и следуют политике в области резервного копирования, восстановления данных и обеспечения бесперебойной деятельности организации (58%). Этот континент является лидером в области сотрудничества (66%) и поддерживает тесные связи с Азиатско-Тихоокеанским регионом в сфере реализации прогрессивных направлений политики безопасности, таких как наличие в штате организации директора, отвечающего за информирование сотрудников о важности информационной безопасности (68%). Средний уровень финансовых убытков, связанных с инцидентами в сфере информационной безопасности, вырос незначительно (на 4%) по сравнению с прошлым годом.

Доля респондентов из Бразилии оказалась самой большой в Южной Америке (48% от общего числа), затем следует Мексика (30%) и Аргентина (21%). Бразилия является лидером по ряду показателей, например в категории поведенческого мониторинга и контроля (57%), а также использования сканеров для выявления уязвимых мест в системах и сетях (63%), но в целом она отстает от Китая и США.

Южная Америка продемонстрировала некоторые слабые стороны. Например, доля респондентов, которые отметили, что в их организации существует политика обучения персонала в сфере информационной безопасности, оказалась сравнительно небольшой (54%), как и доля тех, кто ведет учет регионов, где осуществляется сбор, передача и хранение персональных данных (53%).

Европа: отставание в области финансирования и мер защиты

UB отличие от других регионов, в Европе за последний год инвестиции в информационную безопасность немного сократились (3%), и этот континент продолжает отставать в реализации важнейших мер по обеспечению информационной безопасности.

Наряду с небольшим сокращением инвестиций на обеспечение безопасности, только 46% респондентов в Европе считают, что уровень расходов на обеспечение безопасности в последующие 12 месяцев возрастет. И если число выявленных инцидентов в сфере безопасности снизилось за последний год на 22%, то средний размер финансовых убытков, вызванных такими инцидентами, повысился на 28%.

Внедрение существенных направлений политики, в том числе в области резервного копирования, восстановления данных и обеспечения бесперебойной деятельности организации (45%), а также в сфере обучения и информирования сотрудников по вопросам информационной безопасности (21%), оказалось в Европе на сравнительно низком уровне. Кроме этого, небольшое число респондентов ответили, что они сотрудничают с другими компаниями (45%) и следуют политике в области мобильной безопасности (38%).

Северная Америка: в отстающих и в лидерах одновременно

Инвестиции в обеспечение безопасности стремительно растут в Северной Америке, как и число выявленных нарушений систем безопасности. И хотя далеко не все ключевые направления политики в области безопасности внедрены, Северная Америка является лидером в ряде важных областей.

Средний размер бюджета на обеспечение безопасности возрос за последний год на 80%, однако перспективный бюджет по расходованию средств в следующем году является наименьшим среди всех регионов: только 17% респондентов в Северной Америке ожидают увеличения расходов в области информационной безопасности в ближайший год. Количество выявленных нарушений системы безопасности возросло на 117% за 2012 год, а средняя сумма финансовых потерь, возникших в результате инцидентов в сфере безопасности, увеличилась на 48%.

Северная Америка является лидером среди других регионов по целому ряду направлений, таких как: наличие общей стратегии в сфере безопасности (81%), введение требования о соблюдении третьими сторонами политики конфиденциальности и неразглашения информации (62%) и обучение персонала по вопросам безопасности (64%). Кроме этого, в регионе высока вероятность учета, сбора, передачи и хранения персональных данных (64%), а также применения технологий обнаружения вторжений (67%).

Среди недостатков отметим следующее: Северная Америка отстает по таким направлениям, как сотрудничество с другими участниками рынка (42%) и наличие в штате компаний директора по информационной безопасности (65%). В Северной Америке меньшее число респондентов проанализировало эффективность мер по обеспечению безопасности в своих компаниях в прошедшем году.

США, на которые приходится 84% североамериканских респондентов, оказались среди лидеров в области стратегий развития облачных технологий (52%), безопасности мобильных устройств (60%), социальных сетей (58%) и использования личных портативных устройств на работе (64%), уступая лишь Китаю в большинстве категорий.

Что это значит для вашего бизнеса

В «Глобальном исследовании по вопросам информационной безопасности. Перспективы на 2014 год» отражается состояние систем информационной безопасности в период неопределенности, когда все замерли в ожидании перемен, но при этом пытаются сохранить существующее положение дел. Респонденты отмечают прогресс в применении современных средств безопасности, с одной стороны, а с другой - уделяют недостаточное внимание таким ключевым стратегиям, как защита прав интеллектуальной собственности. При этом они вновь готовы инвестировать средства в обеспечение безопасности, но не имеют четкого представления о том, как именно следует совершенствовать существующую практику.

Если принять во внимание значительные изменения и проблемы, вызванные появлением всё новых угроз для экосистемы бизнеса, совсем не удивительно, что на вопрос о том, в каком направлении нужно двигаться дальше, нет однозначного ответа.

Одно очевидно: прежние средства защиты уже неэффективны в борьбе с новыми, стремительно возникающими сегодня угрозами. А риски завтрашнего дня представляются в лучшем случае неопределенными, а в худшем - губительными, но в любом случае они потребуют разработки абсолютно новой модели обеспечения информационной безопасности.

Мы предлагаем современный подход к пониманию того, какой может быть модель безопасности, основанная на понимании природы и источников угроз, а также на знании того, какие ресурсы имеются у компании. При наличии такой модели нарушения в области безопасности воспринимаются как чрезвычайно опасный для бизнеса риск, который не всегда можно предотвратить, но которым можно управлять, удерживая его на приемлемом для организации уровне.

Мы назвали такую модель «От осознания - к действию». По сути, такой подход основан на четырех ключевых принципах:

• Обеспечение безопасности - жизненно важная для бизнеса задача. Создание эффективной системы безопасности требует, чтобы вы понимали уровень риска и возможные последствия, связанные с работой в условиях существования интегрированной международной экосистемы бизнеса. Комплексная стратегия безопасности должна стать важнейшим элементом вашей бизнес-модели; безопасность перестала быть всего лишь одной из задач в области ИТ.
• Угрозы для безопасности являются бизнес-рисками. Риски, связанные с безопасностью, следует рассматривать как угрозы для самой организации. Чрезвычайно важно прогнозировать такие угрозы, понимать уязвимые места своей организации, уметь выявлять связанные с ними риски и управлять такими рисками. Необходимо, чтобы поставщики, партнеры и другие третьи лица были ознакомлены с вашей политикой и практикой в области безопасности и были согласны следовать им.
• Защита наиболее важной информации. Для создания эффективной системы безопасности вы должны иметь четкое представление о характере меняющихся угроз и уметь адаптироваться к ним путем определения, какая информация является для вас наиболее ценной. Вы должны знать, где находится эта «драгоценная» информация, кто имеет к ней доступ в любое время, и умело распределять в приоритетном порядке ресурсы вашей организации в целях защиты наиболее ценной информации.
• Преимущества модели «От осознания - к действию».

Применение этой новой модели информационной безопасности предполагает, что в основе любой деятельности и инвестиционных решений должно быть четкое понимание того, что представляют собой имеющиеся в организации информационные ресурсы, какие существуют угрозы для экосистемы бизнеса, какие участки системы наиболее уязвимы, а также каковы результаты мониторинга деятельности организации. Вам необходимо сформировать в своей организации культуру, направленную на обеспечение безопасности, таким образом, чтобы она охватывала всех сотрудников, начиная с высших должностных лиц, принимающих на себя обязательство по обеспечению безопасности, и заканчивая каждым сотрудником и всеми третьими лицами. При этом необходимо сотрудничать с государственными учреждениями и частными компаниями для более эффективного обмена информацией о возникающих угрозах для безопасности.

Мы поможем вам понять последствия применения этого нового подхода к вопросу информационной безопасности и окажем содействие по внедрению принципов, лежащих в основе такого подхода, с учетом индивидуальных потребностей вашего бизнеса и отрасли, а также с учетом угроз, характерных для вашей бизнес-среды. Мы продемонстрируем вам, как можно успешно противостоять сегодняшним угрозам безопасности и эффективно планировать защиту против тех угроз, которые возникнут завтра.

«Исследование уровня киберпреступности в США» за 2013 год. Спонсоры: журнал CSO, Координационный центр CERT Университета Карнеги-Меллон, Федеральное бюро расследований, PwC и Служба безопасности США, март - апрель 2013 года.

«Исследование уровня киберпреступности в США» за 2013 год. Спонсоры: Журнал CSO, Координационный центр CERT Университета Карнеги-Меллон, Федеральное бюро расследований, PwC и Служба безопасности США, март - апрель 2013 года.

Ocean Tomo, Ежегодное исследование рыночной стоимости нематериальных активов (Ocean Tomo), апрель 2011 года

Исследование уровня киберпреступности в США» за 2013 год. Спонсоры: журнал CSO, Координационный центр CERT Университета Карнеги-Меллон, Федеральное бюро расследований, PwC и Служба безопасности США, март - апрель 2013 года.