LINEBURG


<< Пред. стр.

страница 6
(всего 25)

ОГЛАВЛЕНИЕ

След. стр. >>

Мартин начал аудит с зондирования информации финансовых систем и тестирования сети
на наличие дыр. Менее чем за полчаса Мартин обнаружил потрясающие факты. Для ком­
пании, в которой так много говорилось о приверженности к безопасности, действительное
состояние дел оказалось ужасающим.
Мартин обнаружил, что системы компании были установлены стандартным способом, без
настройки безопасности. Наиболее ответственные системы были обезличены и плохо за­
щищены, что превращало всю сеть в зону повышенного риска. Более того, в защите сети
было так много дыр, что под конец рабочего дня к ней можно было подобраться «на рас­
стояние выстрела». И такие системы хранили самую секретную финансовую информа­
цию компании!
Далее Мартин узнал, что системы были широко открыты и не имели контрольных или от­
слеживающих механизмов. Это облегчало доступ и сводило к нулю шансы быть пойман­
ным. Любой с самыми небольшими знаниями в области безопасности мог приятно про­
вести целый день в этой сети.
Чарльз также попросил Мартина найти источник посылки электронного письма с прогно­
зами доходов. Поэтому после тестирования систем Мартин попытался отследить путь
электронного письма. Он предполагал, что его попытки будут бесплодными. Так и оказа­
лось. Мартин зашел в тупик, пытаясь установить «дом» хакера.
Хотя финансовый директор не мог поверить в то, что путь электронного письма нельзя от­
следить, для меня в этом не было ничего удивительного. Довольно легко можно обмануть
Sendmail и создать иллюзию, что электронное письмо послано от кого-то другого. С таким
заданием легко могла бы справиться моя 13-летняя сестра Лаура.
В любом случае имитация адреса отправки почты почти всегда заводит преследователя
хакера в тупик. Когда вы сталкиваетесь с этим, то лишь оцениваете умение хакера изобре­
тать доменные имена и идете дальше. То же сделал и Мартин.
Мартин завершил аудит и объединил полученные результаты в конфиденциальном отчете
для руководства. Теперь нужно было подготовиться к самому трудному ˜ как представить
отчет руководству. К счастью, прошли те времена, когда гонцу за плохие вести отрубали
голову. Но еще остались топоры в переносном смысле. При докладе о высоком риске безо­
пасности вас может ждать неприязнь начальства или понижение с такой же вероятностью,
как и похлопывание по плечу. Мартину повезло - Чарльз похлопал его по плечу.
Поддержка со стороны руководства 49


Оценив тщательность работы, проделанной Мартином, Чарльз вместе с тем был абсолют­
но поражен ее результатами. Чарльз был крайне уверен в том, что все системы сети были
защищены. Так же считали и все другие руководители. И все же аудит показывал, как лег­
ко информация могла быть изменена, украдена или уничтожена без оставления хотя бы
одного следа для поимки взломщика. Чарльз поблагодарил Мартина за предоставленные
факты (Майк даже стал как бы героем!) и немедленно отдал распоряжение подчиненным
ему менеджерам исправить положение.

Год спустя: Неавторизованный доступ продолжается
В течение следующего года произошло несколько успешных взломов интранет ISD (успеш­
ных для хакера, разумеется). Единственной положительной стороной в них было то, что
Чарльз получил сообщения о взломах от руководителя внутреннего аудита ISD, а не от CNN.
Не допустить, чтобы факты взломов попали в заголовки газет, является главной целью фи­
нансовых директоров. Осуществление этой цели значительно труднее, чем кажется. Мно­
гие хакеры сегодня считают высшим шиком передать отчет о своем взломе непосредст­
венно агентствам новостей. Хакерам известно, что сопутствующий вред от плохой рекла­
мы может быть больше, чем ущерб, причиненный самой атакой. Поэтому в некоторых
случаях вызвать затруднения, связанные с опубликованием факта атаки, является истин­
ной целью атаки. Чарльзу удалось относительно без шума решить эту проблему.
Несмотря на такую удачу, Чарльз оставался в плохом положении. Он был разъярен и не
переставал удивляться, что в его сети оставались дыры. Разве он не приказал своим со­
трудникам устранить проблему еще в прошлом году? Может быть, кто-то не выполнил его
указаний? Теперь Чарльз стал искать головы. И я не думаю, что они ему нужны были для
расширения штата сотрудников. Он хотел положить их на плаху.
В это время Чарльз встретился с директором по информационным технологиям и руково­
дителем внутреннего аудита компании для обсуждения имеющихся рисков для безопасно­
сти. Они решили, что пришло время нанять независимого аудитора безопасности. И здесь
на сцене появляюсь я.
Рисуя общую картину, я опиралась на опыт ранее проведенных аудитов. Это - большое пре­
имущество! Обычно аудитор тратит много времени на интервьюирование сотрудников,
про смотр схем сети и зондирование информации для определения незащищенных систем.
Я знала, какие системы были уязвимыми, из прошлогодних проверок, поэтому они каза­
лись мне местом, с которого я должна была начать тестирование. Первой и главной причи­
ной такого подхода была возможность показать статистику, опираясь на твердые факты.
Руководители любят статистику. Все, что я могла поместить в график или круговую диа­
грамму, было мне на руку, и я знала, что подача информации руководителям в таком виде
прибавляла мне вес.
Большинство руководителей, с кем я работала, были очень сообразительными. Но перед
ними проходил очень большой поток информации, и им была нужна точная и понятная
информация, суть которой умещалась на одной странице. Итоговый отчет для руководства
должен передавать мысль с первого взгляда. Добавлю, что многие отчеты об аудите безо­
пасности, которые я видела, вызывали во мне бурю негодования. Плохо написанный
и оформленный отчет, представленный на быстрый просмотр руководителю высшего
уровня, не только не имеет смысла, но и перечеркивает всю пользу от проделанного ауди­
та. Так как необходимость устранения риска и получение на это денег очень часто идут
бок о бок, то важно, чтобы высшее руководство поняло степень риска и его возможные по­
следствия. Отчеты, представляемые вышестоящему руководству, должны быть короткими
(в идеале - в одну страницу и никогда больше двух), легко читаемыми и легко понятными,
Участие руководителей
50


Результаты моего аудита позволяли легко передать их смысл руководству. Я уже представ­
ляла, как будет выглядеть график, еще до начала проведения аудита. Я решила показать
процентное отношение незащищенных мест, найденных в прошлом году, к найденным
сейчас. Это было бы замечательно! Я запомнила эту мысль и начала аудит.
Знакомясь с отчетом по аудиту, составленным Мартином в прошлом году, я обнаружила,
что его трудно читать. В нем сообщалось обо всех рисках, но техническим языком и без
каких-либо логических связей. Если бы руководство получило этот отчет, то оно бы не
знало с чего начать. Я потратила больше времени, чем планировала, чтобы докопаться до
полезной информации в отчете.
Разобравшись с отчетом Мартина, я поняла, с какими системами финансовой сети связан
наибольший риск. Я прозондировала вначале информацию этих систем. Затем сняла ко­
пию таблицы паролей и запустила программу Crack. Мне нравится начинать аудит с взло­
ма паролей, потому что я хочу увидеть, как много можно их взломать с первого захода.
В таблице содержалось 520 паролей пользователей - это довольно много. Поэтому мне,
возможно, удастся взломать некоторые из них. И мне удалось. Просмотр файла crack.out
показал, что 10 паролей были угаданы с первого раза. Я столько и ожидала. Оставив про­
смотр дальнейших результатов программы Crack на более позднее время, я сосредоточи­
лась на аудите систем повышенного риска.
Системный администратор предоставил мне доступ ко всем системам. При проведении
аудита я предпочитаю зарегистрировать свой вход в систему и уже затем проводить тес­
тирование, а не взламывать сеть. В моих первых аудитах мне нравилось вначале вторгать­
ся из сети (тестировать на проникновение), потому что это захватывало меня и помогало
совершенствовать навыки взлома. Но, набравшись опыта проведения аудита, я поняла,
что смогу охватить больше территории, быстрее и эффективнее, попросив владельца сис­
темы дать мне учетную запись для входа в систему. После этого я регистрировала свой
вход в систему и просматривала ее уязвимые места. Для этого я иногда не проводила тест
на проникновение вообще. Вначале я зондировала информацию систем из Сети (чтобы
увидеть, сколько информации я смогу получить). Затем я тестировала ненадежные паро­
ли. После этого регистрировалась в системе и проводила тестирование незащищенных
мест и ошибок в настройке. И последним тестом аудита был тест на проникновение извне
(и только при необходимости).
Я не считаю, что тест на проникновение всегда необходим. Например, в системе оказалась
старая версия Sendmail. Общеизвестно, что такая система может быть взломана. Зачем же
тратить время для того, чтобы доказать, что вода мокрая?
В некоторых случаях я провожу тест на проникновение в системах, уязвимость которых
известна заранее, для того, чтобы продемонстрировать руководству саму идею. Иногда та­
кой демонстрации не требуется. Все зависит от масштаба аудита, приоритетов клиента
и ожиданий руководства.
В данном аудите тест на проникновение, определенно, не был необходим. Руководство
знало, что сеть может быть взломана. (И я была здесь потому, что хакерам это было тоже
известно!) Аудит должен был ответить на вопрос, почему сеть все еще уязвима. Зная это,
я отказалась от проведения теста на проникновение и пошла дальше.
Я приступила к проверке наиболее ответственной финансовой системы. Она была широко
открыта и не имела патчей безопасности. Я взломала корневой каталог, использовав очень
старую программную ошибку в защите. Легко обнаруживалось, что эти системы имели
стандартные настройки и не было установлено никаких дополнительных средств защиты.
Я протестировала вторую систему, затем третью и четвертую. Та же история. Насколько
Поддержка со стороны руководства 51


мне было видно, абсолютно ничего не изменилось с тех пор, как был проведен последний
аудит безопасности. Было ясно, что сотрудники нижнего уровня («находящиеся в око­
пах») не устранили проблем.
3
Вопрос, вполне подходящий для телевикторины $64 000 Question : почему не устрани­
ли? Определенно, проблемы безопасности в ISD должны были быть решены. Либо ли­
4
нейные менеджеры не слышали распоряжения Чарльза сверху, либо они не хотели его ус­
лышать.
Скорее всего, когда Чарльз сказал своим людям: «Сейчас же устраните проблемы безопас­
ности», он посчитал вопрос закрытым. Он никогда не проверял, выполняется ли его рас­
поряжение. Какими бы причины не были, проблемы не были решены, и Чарльз не по­
лучил желаемых им результатов.
Говоря о результатах, я вспомнила, что у меня все еще работает Crack. Желая узнать, как
много еще паролей Crack может взломать, я проверила файл crack.out снова. Невероятно!
Было взломано еще 100 паролей. Еще более удивительным было то, что Crack не закончил
свою работу! Он все еще «долбил», пытаясь угадать пароли. Очевидно, что пользователей
никогда не учили тому, как выбирать надежные пароли. Также было очевидно, что систем­
ный администратор никогда не заботился о проверке надежности паролей.
Я схожу с ума, когда узнаю, что системные администраторы не обучают своих пользователей.
Слишком часто при установке систем и формировании учетных записей пользователям
не объясняют важность правильного выбора и правила обращения с паролем. Также доволь­
но распространенным среди системных администраторов является отсутствие привычки тес­
тировать пароли. Иногда у них действительно на это нет времени. Но во многих случаях они
просто не знают, как это делать, и боятся или затрудняются спросить об этом.
Кстати, на проблему ненадежности паролей было указано в отчете по аудиту прошлого го­
да. И в отличие от некоторых других проблем, указанных в отчете, проблема паролей мог­
ла быть решена с минимальными усилиями. Мне кажется, что никто так и не смог сделать
эти усилия.
Тому, кто проводил аудит в прошлом году, должно быть стыдно за то, что в отчете не ука­
зывается, сколько ненадежных паролей было обнаружено. Мне трудно поверить, что поло­
жение с ними было хуже, чем в этом году. К тому времени, как Crack завершил свою рабо­
ту, им было взломано целых 190 паролей в системе с 520 пользователями. Почти каждый
второй пользователь имел ненадежный пароль. При таком соотношении лучше было бы
отказаться от паролей вообще. Почему бы просто не транслировать пароли по National
Public Radio, чтобы напоминать их любому служащему, который позабыл свое второе имя
или день рождения?!
Как дальше выяснилось, ненадежные пароли были лишь вершиной айсберга, угрожающе­
го безопасности сети ISD. Главные проблемы, по-видимому, были сосредоточены в одной
области: в области рисков безопасности, вызываемых самими людьми. Чтобы полностью
выявить эти проблемы, я приступила к беседе с сотрудниками.
Для определения нарушений связей между сотрудниками я начала с верхнего уровня ру­
ководства и пошла сверху вниз. На своем пути я сделала ряд блестящих открытий.
• Руководство высшего уровня никогда не требовало и не получало отчетов о том,
делаются ли какие-либо изменения в сети, повышающие ее безопасность.
• Руководители просто считали, что проблемы безопасности будут решены только
потому, что они об этом сказали.
3. Одна из самых распространенных телевикторин, проводимая компанией CBS с 1950-х годов. - Примеч. пер.
4. Line management - менеджеры нижнего уровня. - Примеч. науч. ред.
52 Участие руководителей


• Отдел системных администраторов был неукомплектован, и его сотрудникам
не хватало времени на решение этих проблем в системах.
• Все рабочее время системных администраторов было занято подключением новых
пользователей и поддержкой работы в сети систем компании. Если бы они захотели
заняться решением этих проблем, у них бы просто не хватило времени.
• Системные администраторы также не умели решать проблемы безопасности. Они
обратились за помощью к руководству, но подобный вид обучения не был преду­
смотрен в бюджете. Поэтому их запрос был отложен для рассмотрения в будущем.
• Линейные менеджеры также запросили расширить штат сотрудников по обеспече­
нию безопасности сети. На это в бюджете опять не оказалось денег. И снова
окончательный ответ на этот запрос был отложен на будущее.
Через год также не нашлось денег на новых сотрудников. Тем временем линейные менед­
жеры ждали, когда будет одобрен новый штат и новые сотрудники займутся решением
проблем безопасности. В итоге - все ничего не делали и только ждали.
Удивительно, как много можно узнать из бесед с сотрудниками. Досадным в этой истории
являлось то, что линейные менеджеры знали, что их системы все еще оставались незащи­
щенными. Тем не менее высшее руководство было в неведении. Это случилось потому,
что оно не потребовало отчета о решении проблем. Линейные менеджеры знали, что ниче­
го не делается, но не проявляли инициативы в докладе наверх. В результате этого высшее
руководство по-прежнему оставалось в неведении. Оно твердо было уверено в том, что
все сделано и все шло своим чередом.
Данная ситуация не является чем-то необычным. Как и многие компании, ISD проводила
сокращение числа сотрудников. Поэтому запрос на увеличение штата сотрудников просто
отклонялся. Может быть, линейные менеджеры недостаточно убедительно доказывали,
почему такое увеличение штата сотрудников было абсолютно необходимо. Или их запрос
потерялся среди других многочисленных запросов. Вы, возможно, знаете, что когда идет
борьба за каждое рабочее место в условиях их ограниченности, то каждый запрос на но­
вого сотрудника становится вопросом жизни или смерти.
Может быть и так, что запросы линейных менеджеров были достаточно убедительными,
но их убедительность уменьшалась по мере продвижения через четыре уровня руководя­
щей иерархии от запрашивающего руководителя до начальника, распоряжающегося фи­
нансированием. Несомненно, запрос финансирования был бы одобрен, если бы генераль­
ный директор получил его собственноручно и в нем бы говорилось: «Эти средства тре­
буются для устранения уязвимых мест в защите, так как вся сеть подвержена риску. Пока
эта вакансия не будет занята, информация может быть легко украдена, изменена и уничто­
жена».

Резюме: Займите активную позицию
Как случилось, что финансовая сеть компании, вошедшей в список Fortune 500, оказалась
такой уязвимой для атаки? Виной тому плохое руководство, недостаточное обучение, от­
сутствие связи между сотрудниками и сложная система прохождения отчетов (слишком
много уровней руководящей иерархии).
Хотя руководящие сотрудники миссис Смит ясно себе представляли важность безопасно­
сти, они не предприняли никаких действий для получения подтверждения, что безопас­
ность действительно обеспечена. Указаний «решить проблему» не достаточно. Руководи­
тели должны занимать активную позицию в вопросах безопасности. По крайней мере, ру­
ководители должны требовать четкого подтверждения в письменном виде того, что про-
53
Поддержка со стороны руководства

блемы безопасности решены. В таком случае руководству из отчетов будет ясно видно, на­
пример, что проблемы безопасности не могут решаться по причине того, что на дополни­
тельный штат сотрудников не выделено средств.
Во многих случаях безопасность зависит от финансирования. Степень важности ин­
формации, которую вы пытаетесь защитить, обычно определяет, сколько вам нужно
потратить на ее защиту. Часто, квартал за кварталом, системы остаются подверженными
риску только потому, что никто не думает о финансировании безопасности до начала взло­
мов.
При таком развитии событий миссис Смит чрезвычайно повезло. Ведь информация ком­
пании могла быть уничтожена, а системы обрушились бы на несколько дней. Ей также по­
везло, что факт взлома не просочился наружу. Это вовсе не тот случай, когда генерально­
му директору хотелось бы попасть в выпуск новостей CNN. Ядовитые осадки плохой рек­
ламы нанесли бы гораздо больше убытков, чем причинил в действительности сам взлом.
Руководители часто просят меня рассказать им о безопасности в Интернете и в интранет. При
этом я часто обсуждаю с ними случай в ISD. Я не устаю повторять: «Да, это действительно
произошло. И может произойти снова». Чтобы «забить гвоздь до конца», я говорю: «ISD -это
компания с миллиардными годовыми доходами. Если такое могло случиться с ними, то поче­
му вы считаете, что у вашей сети есть иммунитет? Вы знаете состояние безопасности вашей
сети? Когда вы в последний раз получали итоговый отчет по вопросам безопасности?» В этот
момент многие из моих слушателей покрываются холодным потом.
Попытайтесь понять это, и вы избежите проблем потоотделения, когда вас поставят перед
свершившимся фактом. Вам поможет в этом активная позиция в вопросах безопасности.

Мы пойдем другой дорогой...
Сила, скрывающаяся в блестящей идее, может помочь ей, как крохотному бутону, распус­
титься пышным цветом и превратиться в предприятие с миллиардным годовым доходом
(как, например, ISD) и с почти непрерывным ростом. Но, как и подснежники, такие перво­
цветы так же быстро могут увянуть и погибнуть. Ситуация может выйти из-под контроля,
особенно когда в компании формируется фальшивое отношение к безопасности. ISD пока
везет - но пока. Не ставьте на кон будущее вашей компании. В следующем разделе обсу­
ждается, что нужно было сделать ISD.

Правильно относиться к безопасности на любом уровне сотрудников
При решении проблем безопасности нужно учитывать уровень развития компаний. То, что
хорошо для одной компании, может быть ненужным для другой. Каждой компании необ­
ходимо понять, что ей нужно от безопасности, а затем перейти к практическому осущест­
влению этих идей на всех своих уровнях. Из этого процесса не могут быть исключены ру­
ководители.
Когда вышестоящие руководители не придают значения безопасности или вообще не хо­
тят за нее отвечать (как будто бы эту работу будут делать другие), то они отправляют со­
трудникам нижнего уровня указания, о выполнении которых затем не заботятся. В ответ
на это сотрудники нижнего уровня часто теряют интерес к безопасности вообще. Так ука­
зания посылать опасно!

Не перекладывать работу на другие плечи
Слишком часто руководители сидят довольно высоко, и их контакт с массами ослабевает
или теряется вообще. В такой ситуации страдает и безопасность. Рассмотренный нами
54 Мы пойдем другой дорогой...


случай показал, сколько проблем может возникать, когда выполнение обязанностей
по укреплению безопасности направляется диктатом сверху.
Просто возвысить голос о важности безопасности недостаточно. Фактически каждому из­
вестно, что компьютерная безопасность - это важная проблема. К несчастью, все думают,
что эта проблема важна для кого-то другого.
Помните, что мы все отвечаем за защиту и безопасность нашей информации. Это касается как
руководителя самого высокого уровня, так и технического работника, стоящего на самой ниж­
ней ступеньке.

Уменьшать количество уровней руководства до минимума
Когда слишком много уровней вовлечено в поддержание безопасности, сообщения о ее
состоянии могут быть неверно истолкованы, неправильно поняты или могут просто
потеряться. Если вы являетесь генеральным директором и не можете понять, кто же из
ваших руководителей отвечает за безопасность в компании, то пристально вглядитесь
в цепочку прохождения распоряжений. Слишком большое количество звеньев может
ослабить любую крепкую цепь (рисунок 3.1).




Рисунок 3.1
Если вы находитесь на нижнем конце цепочки, то точно узнайте, кто захотел от вас выпол­
нения данной задачи. Помните, что «руководство» - это лишь понятие, а не имя конкрет­
ного лица. К понятию нельзя обратиться, если вы захотите сообщить о решении проблемы
или о затруднениях во время работы.
55
Поддержка со стороны руководства


Предоставлять отчеты вышестоящему руководству
Недавно я беседовала с генеральным директором большой промышленной компании о во­
просах безопасности. Она захотела разобраться, как ей узнать о наличии риска для ее сети.
Я задала ей следующие вопросы:
1. Получали ли вы когда-нибудь итоговые отчеты по вопросам безопасности?
2. Есть ли у вас руководитель службы безопасности?
3. Есть ли у вас эксперты по вопросам безопасности?
Генеральный директор ответила «Нет» на каждый из вопросов. Она также не была уверена
в том, проводился ли в ее фирме когда-нибудь аудит безопасности. Она не знала, нанимать
ли ей консультанта по вопросам безопасности. Я посоветовала ей попросить своих линей­
ных менеджеров провести аудит безопасности и представить ей одностраничный итого­
вый отчет в течение 30 дней. Я также сказала: «Если ваши сотрудники не смогут провести
аудит безопасности или представить вам итоговый отчет по вопросам безопасности, то,
определенно, вы нуждаетесь в помощи со стороны».
Системные администраторы и все те, кого чаще всего обвиняют в проблемах безопасности,
должны стараться регулярно представлять итоговые отчеты о состоянии безопасности сво­
ему руководству (рисунок 3.2). В идеале в таких отчетах нужно предлагать руководству
выделять средства, увеличивать штат, обеспечивать обучение или предоставлять все то, что
вам необходимо для решения проблем. В худшем случае нужно представлять просто пись­
менные докладные записки, чтобы прикрыть себя в будущем.
Даже если результаты аудита безопасности будут хорошими и без обнаруженных серьез­
ных рисков для безопасности, руководству все равно нужно представлять итоговый отчет.
Как я уже говорила (и много раз!), проблемы безопасности не всегда видны невооружен­
ным глазом. Об этом можно забыть после решения проблемы. Это еще одна причина, по
которой высшие руководители должны требовать краткий (в одну страницу) итоговый
отчет по вопросам безопасности на регулярной основе.

Сделать безопасность общей целью
Трудности по обеспечению безопасности, возможно, у вас возникают из-за того, что все
слишком заняты своей работой. Если такие трудности в вашей компании возникают, то по­
старайтесь, чтобы в задачи руководителя любого уровня были включены и вопросы безо­
пасности.

Учить или учиться самому сколько нужно
Чтобы система безопасности заработала, каждому сотруднику необходимо знать основ­
ные правила ее работы. Хотя они знают правила, все же никому не повредит, если вы бу­
дете предлагать им эти правила соблюдать. Используйте электронную почту и напоминай­
те регулярно о важности защиты информации, работы с паролями, безопасности системы
и т. д. Если вы или ваши сотрудники не проходили обучения основным методам защиты,
то обучайтесь сами и следите, чтобы проводилось обучение сотрудников.
В идеале в вашей компании уже должны быть специалисты, знающие о безопасности дос­
таточно, чтобы самостоятельно планировать и проводить основные учебные занятия.
Если они не могут этого делать, то найдите время для организации обучения на стороне.
Перед тем как сказать: «У нас просто нет времени на это», подумайте конструктивно.
Обучение не обязательно должно быть громоздким и отнимать много времени. Некоторые
фирмы предлагают учебные видеофильмы, которые можно просматривать во время
56 Мы пойдем другой дорогой...

перерывов в работе, а также курсы индивидуального обучения по электронной почте.
Обучение не обязательно должно предполагать 30 парт, установленных рядами. Подбери­
те метод, который бы заработал в вашей компании.


ИТОГОВЫЙ ОТЧЕТ ПО ВОПРОСАМ БЕЗОПАСНОСТИ
Дата: мая 22, 2002
Кому Изабель Уинфри, вице-президенту и директору по информационным технологиям
Джеффу Сен-Пьеру, вице-президенту и финансовому директору
От кого: Майка Нельсона, директора внутреннего аудита
По вопросу: Аудит финансовой безопасности


ОБЩАЯ ОЦЕНКА
НАСТОЯЩЕЕ СОСТОЯНИЕ СРЕДСТВ БЕЗОПАСНОСТИ ФИНАНСОВОЙ СЕТИ НЕ ОБЕСПЕЧИВАЕТ
ДОСТАТОЧНОЙ ЗАЩИТЫ ИНФОРМАЦИИ КОМПАНИИ ISD.
ИНФОРМАЦИЯ В СЕТИ ISD ПОДВЕРГАЕТСЯ СЕРЬЕЗНОМУ РИСКУ НЕАВТОРИЗОВАННОГО
РАСКРЫТИЯ, ИЗМЕНЕНИЯ И УНИЧТОЖЕНИЯ.

РИСКИ ДЛЯ БЕЗОПАСНОСТИ, О КОТОРЫХ БЫЛО ДОЛОЖЕНО ГОД НАЗАД,
НЕ УСТРАНЕНЫ. РЕЗУЛЬТАТЫ АУДИТА ПОКАЗЫВАЮТ, ЧТО РИСКИ ДЛЯ БЕЗОПАСНОСТИ
ФИНАНСОВОЙ СЕТИ В ДЕЙСТВИТЕЛЬНОСТИ ВОЗРОСЛИ.
Обнаружен ряд причин такого положения дел:


Недостаточное обучение.

Недостаточность средств для расширения штата специалистов
по вопросам безопасности.
• Плохая связь между высшим руководством и линейными менеджерами.
• Отсутствие стандартов на настройки безопасности рабочих станций.
• Неправильное использование механизмов предупреждения, обнаружения
и докладов о неавторизованном доступе к информации.
РУКОВОДСТВО ДОЛЖНО ПРИНЯТЬ НЕОТЛОЖНЫЕ МЕРЫ ДЛЯ УМЕНЬШЕНИЯ
ИМЕЮЩЕГОСЯ РИСКА.

<< Пред. стр.

страница 6
(всего 25)

ОГЛАВЛЕНИЕ

След. стр. >>

Copyright © Design by: Sunlight webdesign