3.2.3 Различные взгляды на защиту информации
Распределение организаций по их подходам к вопросам информационной безопасности иллюстрируют следующие диаграммы, относящиеся к развитым зарубежным странам (заимствованы из обзора компании KPMG), - см. рис. 3.4 и 3.5.
Рис 3.4. Контролируются ли в вашей организации инциденты в области информационной безопасности?
Рис. 3.5. Применяете ли вы формальные критерии для оценки системы информационной безопасности?
В табл. 3.3 показано, по каким критериям (если они используются) организации оценивают систему информационной безопасности.
Таблица 1.3. Критерии оценки корпоративной системы защиты информации
|
Критерии |
Процент использования |
|
Корпоративные стандарты (собственная разработка) |
43 |
|
Замечания аудиторов |
40 |
|
Стандарты лучшей мировой практики (например, BS 7799/ISO 17799) |
29 |
|
Число инцидентов в области безопасности |
22 |
|
Финансовые потери в результате инцидентов |
22 |
|
Расходы на ИБ |
16 |
|
Эффективность в достижении поставленных целей |
14 |
Таким образом, более половины организаций относятся к первому или второму уровню зрелости и не заинтересованы в проведении анализа рисков в любой постановке.
Организации третьего уровня зрелости (около 40% общего числа), пользующиеся (или планирующие пользоваться) какими-либо подходами к оценке системы информационной безопасности, следуют стандартным рекомендациям и руководствам класса «Good Practice», относящимся к базовому уровню информационной безопасности. Эти организации внедряют или планируют внедрить систему управления рисками базового уровня (возможно, ее элементы) на всех стадиях жизненного цикла информационной технологии.
Организации, принадлежащие к четвертому и пятому уровням зрелости, составляют в настоящее время не более 7% от общего числа, используют разнообразные «углубленные» методики анализа рисков, обладающие дополнительными возможностями, по сравнению с методиками базового уровня. Такого рода дополнительные возможности, позволяющие выполнять количественный анализ и оптимизацию подсистемы информационной безопасности в различной постановке, в официальных руководствах не регламентируются.
В России доля организаций, относящихся к третьему, четвертому и пятому уровням зрелости, еще меньше. Соответственно, наиболее востребованы в настоящее время простейшие методики анализа рисков, являющиеся частью методик управления рисками базового уровня.
Потребителями количественных методик анализа рисков в Украине выступают в основном компании финансового профиля, для которых информационные ресурсы представляют большую ценность. Их немного, но они готовы вкладывать существенные средства в разработку собственных (приемлемых для них) количественных методик анализа информационных рисков.
3.3 Национальные особенности защиты информации
При выполнении работ в области защиты информации и, в частности, при анализе информационных рисков необходимо учитывать некоторые специфические национальные особенности организации режима информационной безопасности на объектах информатизации в Украине. Как минимум можно выделить две такие особенности:
-
концептуальные отличия действующих украинских руководящих документов от аналогичных зарубежных стандартов;
-
отсутствие в подавляющем большинстве случаев настоящих неформальных собственников информационных ресурсов, то есть лиц, заинтересованных в реальном обеспечении режима информационной безопасности, принятии на себя ответственности за выбор определенных величин остаточных рисков (которые всегда присутствуют в КИС).
Рассмотрим указанные особенности подробнее.