Влияние законодательных актов. В исследовании CSI/FBI 2004 года был включен новый вопрос о влиянии законодательных актов, и в частности закона Сарбейнса-Оксли, на организацию режима информационной безопасности предприятия. Как показано на рис. П 1.22, респонденты из числа представителей финансовых, коммунальных и телекоммуникационных отраслей экономики США считают, что закон Сарбейнса-Оксли оказал значительное влияние на организацию режима информационной безопасности в компании. В то же время респонденты из других отраслей экономики США не столь единодушны. По-видимому, для принятия окончательного решения о значении этого и других аналогичных законодательных актов для организации режима информационной безопасности на предприятии необходимо подождать результатов будущих исследований.

...

Резюме

Результаты исследования CSI/FBI позволили выявить следующие основные тенденции и перспективы развития современных технологий защиты информации:

• в целом несанкционированное использование информационных систем снизилось, как и суммы ежегодных финансовых убытков от инцидентов, связанных с нарушением безопасности информации;

• в отличие от прошлых лет вирусные атаки и атаки типа «отказ в обслуживании» превзошли самый высокий прежний показатель – стоимость хищения частной информации. Ущерб от вирусных атак вырос до 55 млн. долларов;

• процент организаций, сообщавших о вторжениях в компьютерные системы правоохранительным органам, в течение последнего года снизился. Основной причиной этого является опасение негативных последствий публичной огласки инцидентов безопасности, выражающихся в возможной потере имиджа и доходности компании;

• большинство организаций проводят экономическую оценку затрат и возврата инвестиций на защиту информации. При этом 55 % организаций используют показатель возврата инвестиций (ROI или ROSI), 28 % используют показатель внутренней нормы доходности (IRR) и 25 % используют показатель чистой текущей стоимости (NPV);

• свыше 80 % организаций регулярно проводят аудит безопасности информационных активов и компании в целом;

• большинство организаций не передают работы по обеспечению информационной безопасности сторонним организациям. Среди тех организаций, которые считают это возможным, процент работ по обеспечению информационной безопасности на основе аутсорсинга является весьма низким;

• законодательные акты, и в частности закон Сарбейнса-Оксли, оказывают определенное влияние на организацию режима информационной безопасности компании;

• подавляющее большинство организаций считают обучение сотрудников компании вопросам защиты информации достаточно важным элементом общей программы обеспечения безопасности. При этом респонденты исследования считают, что текущие затраты на обучение являются скорее необходимыми, чем достаточными.

Приложение 2 МЕЖДУНАРОДНЫЙ ОПРОС 2003 ГОДА ПО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. ОБЗОР РЕЗУЛЬТАТОВ ПО СТРАНАМ СНГ

В начале 2004 года компания «Эрнст энд Янг» опубликовала результаты своего исследования состояния информационной безопасности в СНГ ( www.eu.com/russia ). В этом исследовании специалисты «Эрнст энд Янг» провели анализ и сопоставили проблемы, мнения и действия компаний стран СНГ по вопросам информационной безопасности в сравнении с ведущими мировыми компаниями. Далее рассмотрены основные результаты исследования и комментарии к ним «Эрнст энд Янг».