IT-безопасность: стоит ли рисковать корпорацией?
IT-безопасность: стоит ли рисковать корпорацией? читать книгу онлайн
Информационные технологии все глубже проникают в нашу жизнь, Не говоря о фирмах, непосредственно занятых разработками или внедрением ИТ, без них уже не могут обойтись банки, крупные торговые фирмы, госпитали, музеи… И этот список легко продолжить. И все чаще объектом грабителей, террористов или просто вандалов становятся информационные системы и сети и хранимая в них информация. Как убедиться, что ваша информация надежно защищена? Что злоумышленник или просто резвящийся тинэйджер, украв или уничтожив данные в вашей сети, не разрушит и вашу личную судьбу, и судьбу всей компании? Этим вопросам и посвящена книга, которую вы держите в руках. Увы, технические проблемы безопасности не всегда очевидны для тех, кто принимает решения о выделении средств и проведении необходимых мероприятий. Но в книге вы и не найдете технических деталей, необходимых системным администраторам и специалистам по безопасности. Автор разбирает конкретные достаточно типичные ситуации, с которыми она сталкивалась как аудитор безопасности, и приводит простые советы, как убедиться в том, что в вашей компании такое невозможно.
Книга даст массу полезных советов для руководителей верхнего уровня и специалистов, отвечающих за информационную безопасность компаний.
Внимание! Книга может содержать контент только для совершеннолетних. Для несовершеннолетних чтение данного контента СТРОГО ЗАПРЕЩЕНО! Если в книге присутствует наличие пропаганды ЛГБТ и другого, запрещенного контента - просьба написать на почту [email protected] для удаления материала
В соответствии с Разделом III.F «Правил» совет директоров после первоначального утверждения должен затем ежегодно пересматривать программу обеспечения безопасности.
Хотя некоторые из финансовых учреждений попросили федеральные органы убрать из «Правил» пункты, касающиеся ответственности совета директоров, им было в этом отказано. В официальном комментарии к «Правилам» разъясняется, почему федеральные органы потребовали ответственности совета директоров за обеспечение информационной безопасности:
«Некоторые комментаторы заявляют, что каждое финансовое учреждение должно иметь право решать самостоятельно, в каких случаях эта программа должна утверждаться советом директоров… Другие же предлагают изменить «Правила» так, чтобы от совета директоров требовалось принятие только первоначальной программы информационной безопасности с делегированием последующих пересмотра и принятия программы комитету или одному лицу. Федеральные органы полагают, что общая программа информационной безопасности финансового учреждения очень важна для безопасности и финансовой устойчивости организаций. Исходя из этого, «Правила» в окончательном их виде продолжают возлагать ответственность за принятие и осуществление надзора за выполнением этой программы на советы директоров организаций)) (курсив автора).
Здесь уместно спросить, каким образом должностные лица и директора должны выполнять свои обязанности по защите информационных фондов. Основой этих обязанностей является принцип благоразумия (prudent man rule), который требует от должностных лиц и директоров, подобно обычному благоразумному человеку, обязанному блюсти интересы компании, действовать по обстоятельствам и таким способом, который бы наилучшим образом соответствовал интересам компании и акционеров.
Должностные лица и директоры не могут, в соответствии с принципом благоразумия, полностью делегировать обязанности по обеспечению информационной безопасности директору по информационным технологиям или отделу информационных систем. Ученые-юристы, анализировавшие обязанности должностных лиц и директоров в условиях последней большой угрозы информационным технологиям (Y2K), заявляли, что «должностные лица и директоры должны будут сделать больше, чем просто положиться на план, составленный их директорами по информационным технологиям» (Scott & Reid, The Year 2000 Computer Crisis, Sec. 6.05, на стр. 6-59). Вместо этого, как указывается в официальном комментарии к «Правилам» GLBA, руководители были обязаны утвердить программу и осуществить общий надзор за ее выполнением. Делегирование может создать ситуацию, в которой руководство будет считать, что отдел информационных систем самостоятельно примет решение по обеспечению информационной безопасности от имени компании, а отдел информационных систем будет ждать указаний от руководства. Это может вызвать «аналитический паралич» ("paralysis by analysis"), при котором политики информационной безопасности никогда не будут утверждены.
В прошлых обзорах по вопросам безопасности было показано, что руководство может предпринимать действия по уменьшению риска от бреши в системе безопасности. В соответствии с обзором «2000 Security Industry Survey» журнала Information Security компании, имеющие политики информационной безопасности, с большей вероятностью могут обнаруживать атаки и реагировать на них: примерно 66 процентов компаний, имеющих политики, смогли обнаружить атаки и отреагировать на них, но без таких политик это смог сделать только 21 процент компаний. Обзор того же журнала «2001 Security Industry Survey» показал, что главным препятствием для улучшения информационной безопасности являются «бюджетные затруднения» (в первую очередь связанные с «недостаточным обучением/подготовленностью конечного пользователя»). [66] Обе эти проблемы традиционно относят к обязанностям руководства. Для акционеров, правительственных органов или частных сторон судебного процесса проблема, заключающаяся в наличии в компании утвержденных надлежащих мер безопасности, будет решена уравновешенным мнением суда. [67]
Деловые инициативы и корпоративные цели
Из обзора Дэна Лэнджина в предыдущем разделе становится ясным, что против компании, неспособной обеспечить безопасность, могут быть предприняты меры правового воздействия. Но даже когда над головой нависает угроза судебного преследования, безопасность часто откладывается на более позднее время — после того, как сеть будет установлена, после того, как будет создана база данных, после того, как будет разработано программное обеспечение, после того, как серьезная атака нанесет ущерб. И после того, как защита не сработает, основные препятствия для создания защиты обычно связывают с ролью руководства, не обеспечившего, например, должного финансирования, обучения и разработки политик.
Руководители часто перекладывают ответственность за безопасность систем на системных администраторов, не обеспечив соответствующего финансирования установки средств, обеспечивающих безопасность и техническую поддержку сети. Так как безопасность не предусматривается изначально, то некоторые руководители думают, что расходы на нее можно просто не включать в бюджет, и безопасность становится постоянно отодвигаемой задачей. Например, руководители могут отложить установку программ-детекторов вторжения на следующий квартал. Перед тем как вы об этом узнаете, закончится год, и директор по информационным технологиям, принявший такое решение, уйдет из компании. А новый директор по информационным технологиям отложит приобретение программ-детекторов еще на шесть месяцев.
Безопасность будет наиболее эффективной тогда, когда она будет связана: 1) с деловыми инициативами и 2) с корпоративной целью. Во-первых, компания Costa Corp не сделала внедрение программ по обнаружению вторжения необходимой составной частью своей инициативы по электронной коммерции. Когда затраты на осуществление этой инициативы превысили возможности бюджета, то руководство решило забрать средства из другого проекта. Руководство решило отложить покупку программ-детекторов вторжения, которая была предусмотрена бюджетом, была утверждена и прошла оценочное тестирование группой обеспечения безопасности. Вместо этого средства были направлены в бюджет электронной коммерции. Приобретение программного обеспечения по обнаружению вторжения, необходимого для защиты компании, было отложено.
Когда средства обеспечения безопасности поддерживают деловую инициативу, то высшие руководители их обычно финансируют. Если бы им было показано, что программное обеспечение по обнаружению вторжения можно наращивать, что оно имеет возможность быстрого обнаружения как известных, так и неизвестных угроз и поддерживает деловую инициативу электронной коммерции то его покупка могла бы быть профинансирована. Более того, можно было бы начать переговоры о корпоративной лицензии (site license) [68] для защиты всей инфраструктуры компании.
Во-вторых, вы сможете добиться финансирования безопасности, связав ее с корпоративной целью по обеспечению безопасности. Примером такой цели может быть обеспечение целостности информации. Компания, целью которой является обеспечение целостности своей информации, демонстрирует твердое стремление руководства к безопасности.
Сотруднику службы безопасности, системному администратору или менеджеру, не сумевшим найти способ связать свою инициативу по обеспечению безопасности с корпоративной целью, будет затем трудно оправдать бюджетные требования и выстоять в борьбе с другими инициативами в области информационных технологий. К сожалению, во многих компаниях не удается обозначить безопасность как корпоративную цель. В условиях возрастания количества и изощренности атак в недалеком будущем такие компании могут оказаться легкой добычей при открытии сезона охоты на них.
