Читаем Политики безопасности компании при работе в Интернет полностью

Приведенная здесь таблица наглядно демонстрирует, что количество инцидентов безопасности постепенно снижается. При этом угрозы безопасности равномерно распределились на внешние и внутренние. Эта таблица также показывает, что доля респондентов, фиксирующих за год от 6 до 10 инцидентов безопасности, судя по всему, стабилизировалась на уровне 20 %, в то время как доля респондентов, фиксирующих количество инцидентов безопасности за год от одного до пяти, увеличилась до 47 %. В 2004 году впервые зафиксирован самый низкий процент (12 %) респондентов, оценивающих, что их организация столкнулась за год более чем с десятью инцидентами безопасности.

...

Рис. П1.12. показывает, что общее количество атак на компьютерные системы или выявленное злоупотребление этими системами медленно, но вполне устойчиво уменьшается.

...

Как видно на рис. П1.13, на большинстве предприятий в 2004 году столкнулись с происшествиями на Web-сайтах. При этом 5 % респондентов сообщили о том, что их организации столкнулись более чем с десятью происшествиями на Web-сайтах. Подавляющее большинство (89 %) респондентов указали, что в течение года их организации столкнулись с происшествиями на Web-сайтах числом от одного до пяти.

Анализ убытков предприятий и организаций США (см. рис. П1.14) из-за инцидентов безопасности в 2004 году позволяет сделать следующие выводы. Во-первых, реальная история подсчета убытков свидетельствует о том, что общие потери (в расчете на одного респондента) сократились. Общие потери предприятий в 2004 году составили 141 496 560 долларов по сравнению с 201 797 340 долларами в 2003 году. Во-вторых, как и в предыдущих исследованиях, респонденты часто были не готовы оценить потери в денежном эквиваленте. В исследовании 2004 года только 269 респондентов из 494 смогли предоставить количественные данные об убытках в долларах. В-третьих, впервые на первое место по приносимым убыткам вышли вирусные атаки, опередив хищения частной информации, которые влекли наибольшие убытки на протяжении последних пяти лет.

...

Технологии безопасности. В ходе исследования 2004 года респондентам был задан вопрос о том, какие технологии и технические средства безопасности используются в компании. Ответы показали (см. рис. П1.15), что 99 % респондентов используют на предприятии антивирусное программное обеспечение; 98 % – межсетевые экраны; 68 % – системы обнаружения вторжений (это на 5 % меньше по сравнению с исследованием 2003 года); 45 % – системы предупреждения вторжений, которые определяют и блокируют злоумышленную деятельность в сети в реальном масштабе времени; 71 % – контрольные листы доступа; 56 % – парольную защиту; 35 % – смарт-карты и электронные брелки с паролями; 11 % – биометрические средства защиты от НСД; 64 % – криптографические средства защиты информации; 42 % – технологию шифрования файлов; 30 % – инфраструктуру открытых ключей (PKI).

...

Аудит безопасности и вопросы обучения. Результаты исследования 2004 года показали (см. рис. П1.16), что 82 % предприятий регулярно проводят аудит безопасности информационных активов и компании в целом. Хотя для многих предприятий и организаций США процедура аудита безопасности пока не является общепринятой процедурой. Здесь будущие исследования помогут точно определить зависимость защищенности информационных систем предприятий от аудитов безопасности.

...

В исследовании 2004 года был поднят новый вопрос о необходимости обучения в области защиты информации. Во-первых, респондентов просили определить степень их согласия с формулировкой: «Моя организация инвестирует соответствующую сумму в знания по безопасности». Рис. П1.17 показывает, что в среднем респонденты не считают, что их организации инвестируют достаточные средства в обучение по вопросам безопасности.

...