Перейти к содержимому. | Перейти к навигации

Персональные инструменты
Вход Регистрация
Вы здесь: Главная БЛОГИ Блог Ушакова Осмысление затрат
Protectiva Compliance Manager
Навигация
 

Осмысление затрат

Автор: Денис Ушаков опубликовано: 04-03-2011 последнее изменение: 04-03-2011

Подводя итоги 2010 г. можно заметить сохраняющиеся, как минимум, и как максимум – растущие - бюджеты затрат на ИБ в российских компаниях и госструктурах. Однако вопрос рациональности и эффективности расходования этих средств остается пока открытым. С одной стороны, такое усиление финансирования задач, определяемых действиями регуляторов, позволяет надеяться, что информационная безопасность наконец-то воспринимается как комплексный процесс, в котором велика роль не только технической, но и организационной составляющей.

А как из года в год твердят эксперты рынка ИБ, использование технических средств информационной безопасности в отрыве от организационных во многих случаях обессмысливает затраты и оставляет в итоге инфраструктуру незащищенной.

С другой стороны, вряд ли здесь можно сделать вывод о принципиально большем внимании, уделяемом теперь политикам безопасности в компаниях. Последняя требует гораздо больше усилий, в том числе и со стороны топ-менеджмента, как на этапе разработки, так и на этапе внедрения, нежели чем просто использование технических средств для определенных задач. Еще один неприятный в связи с ней нюанс – политика направлена на людей, а не на машины, и ее реализацию невозможно автоматизировать.

В итоге имеют место примеры нелепых, вроде бы, но при этом результативных проникновений – скажем, на уровне тестовых. Например, вспоминается случай, когда для проникновения в корпоративную сеть крупной компании, расходы которой на информационную безопасность составляют $2 млн в год, потребовалось лишь половина рабочего дня. Сначала выяснилось, что администраторы компании оставили себе на внешних межсетевых экранах открытый доступ. Далее были использованы известные уязвимости в клиентском ПО, таком как Adobe Reader и Flash (в последнее время уже научились устанавливать обновления для уязвимостей в ОС, но лишь немногие всерьез обращают внимание на обновления для пользовательских программ). Затем выяснилось, что на части коммутаторов используются пароли по умолчанию. После этого оставалось лишь просканировать сетевой трафик, выловить пароль администратора – и получить полный контроль над сетью.

Подобные ситуации, понятно, не единичны, тем более что по оценкам экспертов, 80% в области информационной безопасности в России – это все же проекты инфраструктурного характера, не затрагивающие организационные процессы предприятия, такие как миграция антивирусного ПО, замена одного сетевого экрана на другой, установка различных дополнительных средств защиты. Такие проекты осуществляются в стремлении обеспечить соответствие требованиям законодательства или ради воспроизведения существующих в отрасли “лучших практик”. Важно, что оба этих мотивирующих фактора мало связаны с внутренними потребностями организации и во многом носят формальный характер.

Вот и получается, что внешне соблюдая требования стандартов и законов, компании уходят от собственной реальности – в первую очередь, “смотрят, что устроит регулятора, а что его не устроит”, и это негативно сказывается на фактическом уровне защищенности корпоративных сетей.

Соответственно, выделяемые на ИБ средства явно требуют от российских компаний более сбалансированного подхода, основанного на анализе бизнес-рисков. Уделяя внимание не только технической части но и организационной.

Comments (0)

Как стать участником |  Что может участник  |  Как работать с порталом  |  Реклама |  Авторские права  |  Контакты  |  Конкурсы  |  RSS  |  Форум
©2003 - 2020 GlobalTrust
Рейтинг@Mail.ru Rambler's Top100 Yandex