Your SlideShare is downloading. ×
0
Результаты 9-ого ежегодного
международного исследования по
информационной безопасности за 2006 год
Вопросы информационной
безопасности приобретают все
большую актуальность в качестве
факторов, влияющих на повышение
эффект...
Повестка

• Общая информация
• Основные выводы
• Пять основных приоритетов ИБ
• Планы на будущее – задачи и приоритеты
  н...
Демография исследования

•   Апрель – июль 2006
•   Около 1200 профессионалов ИБ
•   48 стран
•   23 индустрий
•   82% опр...
Композиция исследования

Два вопросника:

    1. Вопросник для руководства (интервью):
      –   Основные движущие факторы...
Основные выводы: Что было достигнуто?

• Увеличение инвестиций в ИБ:
    – Персонал
    – Процессы
    – Технологии
• Увел...
Основные выводы: Непрерывное
совершенствование необходимо

• Важность информации для бизнеса
  продолжает расти.
• Появлен...
Пять основных приоритетов ИБ
1. Интеграция информационной
   безопасности в структуру организации
2. Обеспечение соблюдени...
1. Интеграция
   информационной
   безопасности в
   структуру
   организации




 9
Позитивные тенденции
• Около двух третей (61%) решают вопросы ИБ через
  регулярные совещания, создание координационных
  ...
Области, требующие постоянного
совершенствования
• Более чем половине
  участников
  исследования
  предстоит принять
  ме...
Области, требующие постоянного
совершенствования
• Свыше 40%
  участников
  исследования указали
  на то, что они не
  отч...
Области, требующие постоянного
совершенствования
• Компаниям необходимо изучить возможности
  аутсорсинга и прибегать к не...
2. Обеспечение
   соблюдения
   нормативных
   требований




14
Позитивные тенденции
• Соблюдение законодательных и иных
  нормативных требований является основным
  фактором, влияющим н...
Области, требующие постоянного
совершенствования
• Соответствие
  регуляторным
  требованиям будет
  оставаться
  инструме...
Области, требующие постоянного
совершенствования
• Во многих организациях процессы,
  связанные с соблюдением требований в...
3. Управление
   рисками в
   отношениях с
   третьими
   сторонами




18
Позитивные тенденции

• Более чем в трети
  компаний
  управление
  рисками,
  связанными с
  поставщиками,
  осуществляет...
Позитивные тенденции
• Треть компаний считает, что их
  поставщики-партнеры в состоянии
  реализовывать собственные принци...
Области, требующие постоянного
совершенствования
• Многие компании еще официально не
  внедрили процессы управления рискам...
Области, требующие постоянного
совершенствования
• Только 14%
  опрошенных
  прибегают для
  проверки мер,
  используемых ...
Области, требующие постоянного
совершенствования
• Менее четверти (23%) респондентов
  заявило, что их поставщики соответс...
4. Фокус на
   обеспечение
   конфиденциальности
   и защиты
   персональных
   данных




 24
Позитивные тенденции
• Давление в сторону контроля и защиты
  персональной информации будет усиливаться, и
  активное вмеш...
Позитивные тенденции
• Около 60%
  респондентов имеют
  формальные
  процедуры в
  отношении
  обеспечения
  конфиденциаль...
Области, требующие постоянного
совершенствования
• Лишь треть организаций хотя бы раз в год
  проводит внутренние встречи ...
5. Структурирование
   и построение
   системы
   информационной
   безопасности




 28
Позитивные тенденции
• Больше респондентов заявило, что активно
  помогают своим организациям в достижение
  их бизнес цел...
Позитивные тенденции
• Большинство компаний
  активно поддерживает
  структурное развитие
  системы
  информационной
  без...
Области, требующие постоянного
совершенствования
• Более половины компаний считает, что три
  наиболее популярных вида нов...
Области, требующие постоянного
 совершенствования
• Треть компаний не
  имеют согласованных
  планов обеспечения
  непреры...
Планы на будущее – задачи и приоритеты
на 2007 год
• Вопросы соблюдения нормативных
  требований.
• Вопросы обеспечения ко...
Следующие шаги

     Интеграция информационной безопасности в структуру организации
     > Более раннее и существенное вов...
Следующие шаги

     Ориентация на обеспечение конфиденциальности и защиты
     персональных данных
     > Инвестирование ...
Вопросы?
 Спасибо за внимание!
 Алексей Шиндин, CISM, CISA
 Директор
 Услуги в области информационных технологий
 и компью...
Upcoming SlideShare
Loading in...5
×

Ey

667

Published on

Published in: Lifestyle, Business
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
667
On Slideshare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
7
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Transcript of "Ey"

  1. 1. Результаты 9-ого ежегодного международного исследования по информационной безопасности за 2006 год
  2. 2. Вопросы информационной безопасности приобретают все большую актуальность в качестве факторов, влияющих на повышение эффективности деятельности компаний. Тем не менее, динамика, с которой возрастают риски, требует постоянного совершенствования мер по обеспечению информационной безопасности. 2
  3. 3. Повестка • Общая информация • Основные выводы • Пять основных приоритетов ИБ • Планы на будущее – задачи и приоритеты на 2007 год • Следующие шаги 3
  4. 4. Демография исследования • Апрель – июль 2006 • Около 1200 профессионалов ИБ • 48 стран • 23 индустрий • 82% опрашиваемых - CIO, CISO или др. ИТ руководство 4
  5. 5. Композиция исследования Два вопросника: 1. Вопросник для руководства (интервью): – Основные движущие факторы ИБ. – Действия предпринимаемые организациями в связи с ними. 2. Вопросник для сравнительного анализа базирующийся на 11 доменах ISO17799 (secure website). 5
  6. 6. Основные выводы: Что было достигнуто? • Увеличение инвестиций в ИБ: – Персонал – Процессы – Технологии • Увеличение вовлечения руководства. • Позитивное влияние внешних регулирующих факторов. • Уровень зрелости ИБ. 6
  7. 7. Основные выводы: Непрерывное совершенствование необходимо • Важность информации для бизнеса продолжает расти. • Появление более обстоятельных регулирующих требований. • Бизнес продолжает стремиться к усилению его информационной безопасности. 7
  8. 8. Пять основных приоритетов ИБ 1. Интеграция информационной безопасности в структуру организации 2. Обеспечение соблюдения нормативных требований 3. Управление рисками в отношениях с третьими сторонами 4. Фокус на обеспечение конфиденциальности и защиты персональных данных 5. Структурирование и построение системы информационной безопасности 8
  9. 9. 1. Интеграция информационной безопасности в структуру организации 9
  10. 10. Позитивные тенденции • Около двух третей (61%) решают вопросы ИБ через регулярные совещания, создание координационных групп и официальных механизмов. • 43% участников в 2006 году (по сравнению с 40% в 2005 году) заявили о том, что система ИБ интегрирована в программы и процессы по управлению рисками в их организациях. • Вопросы, связанные с аутсорсингом услуг в сфере ИБ, приобретают все большее значение в корпоративной среде, что частично связано с нехваткой опытных и квалифицированных специалистов в данной области. 1. Интеграция информационной безопасности в структуру организации 10
  11. 11. Области, требующие постоянного совершенствования • Более чем половине участников исследования предстоит принять меры по интегрированию системы управления информационными рисками в общую систему управления рисками. Процент респондентов сообщивших о проактивном Процент респондентов сообщивших о проактивном участии ИБ в стратегических инициативах компании участии ИБ в стратегических инициативах компании 1. Интеграция информационной безопасности в структуру организации 11
  12. 12. Области, требующие постоянного совершенствования • Свыше 40% участников исследования указали на то, что они не отчитываются на Как минимум раз в год регулярной основе Реже перед советом Никогда директоров и руководителями подразделений своих компаний по вопросам, связанным с информационной Периодичность отчетности руководства ИБ по различным Периодичность отчетности руководства ИБ по различным безопасностью. направлениям. направлениям. 1. Интеграция информационной безопасности в структуру организации 12
  13. 13. Области, требующие постоянного совершенствования • Компаниям необходимо изучить возможности аутсорсинга и прибегать к нему для выполнения требований в области ИБ, предъявляемых как их клиентами, так и отраслевыми стандартами. 1. Интеграция информационной безопасности в структуру организации 13
  14. 14. 2. Обеспечение соблюдения нормативных требований 14
  15. 15. Позитивные тенденции • Соблюдение законодательных и иных нормативных требований является основным фактором, влияющим на ИБ. • Большинство респондентов подтверждает, что работа над соблюдением законодательных и иных нормативных требований является частью комплексных действий и концепции организации, что указывает на продолжающееся развитие механизма ИБ. • По мнению четырех из пяти респондентов (80%), работа над соблюдением данных требований оказывает положительное влияние на механизм информационной безопасности в целом. 2. Обеспечение соблюдения нормативных требований 15
  16. 16. Области, требующие постоянного совершенствования • Соответствие регуляторным требованиям будет оставаться инструментом совершенствования системы ИБ . Хотя… • Лишь половина компаний заявляет о своем активном стремлении Основные три фактора, влияющие наибольшим Основные три фактора, влияющие наибольшим образом на практику ИБ в организациях образом на практику ИБ в организациях соответствовать требованиям. 2. Обеспечение соблюдения нормативных требований 16
  17. 17. Области, требующие постоянного совершенствования • Во многих организациях процессы, связанные с соблюдением требований в области ИБ, не применяются в полной мере и на постоянной основе, при этом менее половины руководителей служб ИБ проводят регулярные встречи с руководителями бизнес-подразделений для выявления и удовлетворения их потребностей. 2. Обеспечение соблюдения нормативных требований 17
  18. 18. 3. Управление рисками в отношениях с третьими сторонами 18
  19. 19. Позитивные тенденции • Более чем в трети компаний управление рисками, связанными с поставщиками, осуществляется на официальном уровне. Как организации контролируют риски, связанные с Как организации контролируют риски, связанные с поставщиками поставщиками 3. Управление рисками в отношениях с третьими сторонами 19
  20. 20. Позитивные тенденции • Треть компаний считает, что их поставщики-партнеры в состоянии реализовывать собственные принципы, процедуры и меры по обеспечению ИБ. • Поставщики также признают важность ИБ в соглашениях с третьими сторонами и планируют уделять больше времени выполнению требований, предъявляемых к сертификации их системы ИБ. 3. Управление рисками в отношениях с третьими сторонами 20
  21. 21. Области, требующие постоянного совершенствования • Многие компании еще официально не внедрили процессы управления рисками, связанными с поставщиками, и не утвердили эти процедуры. • Лишь 6% используют официальные процедуры, утвержденные третьей стороной; треть опрошенных занимается этими вопросами лишь неофициально, а каждый пятый респондент (23%) не занимается ими вовсе. 3. Управление рисками в отношениях с третьими сторонами 21
  22. 22. Области, требующие постоянного совершенствования • Только 14% опрошенных прибегают для проверки мер, используемых их партнерами, к услугам независимых третьих сторон. Наиболее распространенные требования в процессе Наиболее распространенные требования в процессе управления рисками в отношениях с бизнес партнерами и управления рисками в отношениях с бизнес партнерами и поставщикам поставщикам 3. Управление рисками в отношениях с третьими сторонами 22
  23. 23. Области, требующие постоянного совершенствования • Менее четверти (23%) респондентов заявило, что их поставщики соответствуют признанному стандарту. 3. Управление рисками в отношениях с третьими сторонами 23
  24. 24. 4. Фокус на обеспечение конфиденциальности и защиты персональных данных 24
  25. 25. Позитивные тенденции • Давление в сторону контроля и защиты персональной информации будет усиливаться, и активное вмешательство государства и законодательных органов будет расти пропорционально обеспокоенности общественности неэффективностью средств контроля и преступными злоупотреблениями. • Почти три четверти участников опроса считают обеспечение конфиденциальности и защиту персональных данных клиентов областью, в которой они действуют наиболее инициативно. 4. Фокус на обеспечение конфиденциальности и защиты персональных данных 25
  26. 26. Позитивные тенденции • Около 60% респондентов имеют формальные процедуры в отношении обеспечения конфиденциальности защиты персональных данных. Как организации адресуют вопросы обеспечения Как организации адресуют вопросы обеспечения конфиденциальности и защиты персональных данных конфиденциальности и защиты персональных данных 4. Фокус на обеспечение конфиденциальности и защиты персональных данных 26
  27. 27. Области, требующие постоянного совершенствования • Лишь треть организаций хотя бы раз в год проводит внутренние встречи по вопросами обеспечения конфиденциальности. • Чуть более четверти организаций находятся в процессе разработки проектов в области обеспечения конфиденциальности. • Менее 40% представителей исполнительного руководства проходит обучение по вопросам конфиденциальности. 4. Фокус на обеспечение конфиденциальности и защиты персональных данных 27
  28. 28. 5. Структурирование и построение системы информационной безопасности 28
  29. 29. Позитивные тенденции • Больше респондентов заявило, что активно помогают своим организациям в достижение их бизнес целей. • Около половины планируют официально принять стандарт ИБ или пройти сертификацию на предмет соответствия ему. • 75% при разработке планов обеспечения непрерывности деятельности проводили оценку ИТ рисков. • 80% выявили критически важные бизнес- процессы и определили их приоритетность. 5. Структурирование и построение системы ИБ 29
  30. 30. Позитивные тенденции • Большинство компаний активно поддерживает структурное развитие системы информационной безопасности. • Наиболее распространенными методами оценки являются внутренний (71%) и внешний (62%) Основные методы используемые организациями для Основные методы используемые организациями для аудит. оценки их состояния ИБ оценки их состояния ИБ • На третьем месте находится самооценка. 5. Структурирование и построение системы ИБ 30
  31. 31. Области, требующие постоянного совершенствования • Более половины компаний считает, что три наиболее популярных вида новых технологий – мобильные компьютерные среды, сменные носители и вэб- приложения – представляют собой наиболее существенный риск для информационной безопасности. • При этом новые технологии являются одной из областей, где наблюдается наименьшая степень проактивности в подходе к решению вопросов ИБ. 5. Структурирование и построение системы ИБ 31
  32. 32. Области, требующие постоянного совершенствования • Треть компаний не имеют согласованных планов обеспечения непрерывности деятельности. • 43% не тестировали свои планы обеспечения непрерывности деятельности. • Лишь 46% разработали стратегию внутренней и внешней связи и включили ее в план Процент респондентов предпринимающих следующие шаги в Процент респондентов предпринимающих следующие шаги в восстановления процессе планирования обеспечения непрерывности процессе планирования обеспечения непрерывности деятельности в деятельности. деятельности. экстренной ситуации. 5. Структурирование и построение системы ИБ 32
  33. 33. Планы на будущее – задачи и приоритеты на 2007 год • Вопросы соблюдения нормативных требований. • Вопросы обеспечения конфиденциальности и защиты персональных данных. • Сертификация системы ИБ в соответствии с общепризнанными стандартами. • Анализ системы ИБ на предмет соответствия общепризнанным стандартам и сопоставление ее с системами безопасности других организаций. • Управление рисками ИБ. 33
  34. 34. Следующие шаги Интеграция информационной безопасности в структуру организации > Более раннее и существенное вовлечение ИБ в деятельность организации. > Регулярная отчетность о проблемах, связанных с ИБ. > Рассмотреть возможность аутсорсинга части задач ИБ. Новый подход к обеспечению соблюдения нормативных требований > Продолжение взаимодействия с другими функциональными бизнес подразделениями. > Рационализация и оптимизация ИБ. Управление рисками в отношениях с третьими сторонами > Принять формальные процедуры по управлению рисками в отношениях с третьими сторонами. > Использование признанных стандартов, проведение независимых проверок. 34
  35. 35. Следующие шаги Ориентация на обеспечение конфиденциальности и защиты персональных данных > Инвестирование в инициативы, направленные на обеспечение конфиденциальности и защиты персональных данных. > Формализация контроля доступа. Структурирование и построение системы информационной безопасности > Сделать возможным безопасное использование бизнесом новых технологий. > Адоптировать общепризнанный стандарт как базис для применения ИБ. > Рассматривать планирование непрерывности деятельности как составную часть ИБ. 35
  36. 36. Вопросы? Спасибо за внимание! Алексей Шиндин, CISM, CISA Директор Услуги в области информационных технологий и компьютерной безопасности Ernst & Young CIS Вице-президент RISSPA +7 (495) 755-9720 Alexei.Shindin@ru.ey.com 36
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×