Контакты
Подписка
Контакты
Подписка
МЕНЮ
Контакты
Подписка

Обеспечение информационной безопасности предприятий торговли, торговых сетей и их инфраструктуры

Обеспечение информационной безопасности предприятий торговли, торговых сетей и их инфраструктуры

В рубрику "Защита информации" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Обеспечение информационной безопасности предприятий торговли, торговых сетей и их инфраструктуры

Сергей Русинов,
начальник экспертного отдела
ЗАО "Центр Безопасности Бизнеса",
www.bizsec.ru

Современные тенденции развития торговли в России приводят к укрупнению компаний за счет увеличения численности предприятий в их составе, консолидации активов различных операторов, проведения сделок слияний и поглощений, создания сетевых распределительных центров. В результате растут требования к информационным технологиям и их значимость в организации торговли. Обработка информационных потоков в любой компании требует высоких темпов и абсолютной точности.




Рис.1. Основные информационные потоки, циркулирующие в системе управления сетевой компании

Управление современным магазином, предприятием оптовой торговли и торговой сетью предполагает использование автоматизированных систем комплексного торгового, складского и бухгалтерского учета. Сегодня руководители принимают управленческие решения, основываясь на данных, полученных из информационных систем. Таким образом, какова бы ни была структура фирмы, ведение учета договоров, движения товарно-материальных ценностей, денежных средств и бухгалтерского учета должны осуществляться в едином информационном пространстве.

В целях автоматизации управления торговым процессом на предприятии создается информационная система, которая может включать:


    - внутреннюю систему учета и отчетности (содержит данные об объеме, структуре и скорости товарного производства и обращения, издержках и потерях предприятия, валовых доходах, чистой прибыли, рентабельности и т.д.);
    - систему маркетинговой информации (позволяет отслеживать текущее состояние, тенденции и перспективы развития рынка). Данную информационную систему можно определить и как разведывательную, т.к. она обеспечивает сбор, обработку и анализ данных о деятельности конкурентов.

Данные в информационную систему поступают от персонала компании и из офисных систем дистрибьюторов. В дальнейшем они используются для оперативного управления предприятием, контроля и анализа деятельности компании в целом, региональных представительств и дистрибьюторов. Потребителями данных информационной сети являются менеджеры и руководители компании, и фирм- дистрибьюторов. На рис.1 и 2 приведены основные информационные потоки, циркулирующие в системе управления торговым предприятием (торговой сетью), показаны их основные источники и потребители.

Руководителю предприятия, финансовому директору, главному бухгалтеру, старшим менеджерам для принятия стратегических управленческих решений крайне необходимо представлять полную картину состояния предприятия и тенденций его развития (рис.1.).

На рабочих местах в бухгалтерии, в торговом зале, на складе работники имеют дело лишь с отдельными фрагментами общего информационного потока. Их задачи и функции, как правило, сводятся к оформлению и учету прихода и расхода товаров, выписке счетов, работе на кассовом аппарате и т.д. (рис.2.).

Учитывая риски торговых предприятий и уязвимость информационных систем, представляется безответственным такой подход, при котором компания реагирует на события постфактум, т.е. после того, как они происходят. Отсюда следует, что в компании должна быть создана система информационной безопасности. Она является одним из основных элементов системы управления.

Остановка работы информационной системы может вызвать необратимые последствия для бизнеса. Так, по данным страховой компании Gerling, при полной остановке информационной системы торговые компании могут просуществовать лишь 2,5 дня, а для производственных предприятий без непрерывного производственного цикла этот показатель составляет 5 дней.

Исходными данными создания эффективной системы информационной безопасности должны быть четкие представления о ее целях и структуре, о видах угроз и их источниках, о возможных мерах противодействия.

Источники угроз могут быть внешними и внутренними.




Рис.2. Система обмена данными для сотрудников различных подразделений торгового предприятия или торговой сети

Внешние угрозы чаще всего исходят от конкурентов, криминальных группировок, коррупционеров в составе правовых и административных органов власти. Действия внешних угроз могут быть направлены на пассивные носители информации, снятие информации в процессе обмена, уничтожение информации или повреждении ее носителей. Угрозы могут быть направлены на персонал компании, и выражаться в форме подкупа, угроз, шантажа, выведывания с целью получения информации, составляющей коммерческую тайну, или предполагать переманивание ведущих специалистов и т.п.

Внутренние угрозы представляют наибольшую опасность. Они могут исходить от некомпетентных руководителей, недобросовестного и малоквалифицированного персонала, расхитителей и мошенников, устаревших средств производственной деятельности. Отдельные сотрудники с высоким уровнем самооценки, из-за неудовлетворенности своих амбиций (уровень зарплаты, отношения с руководством, коллегами и пр.) могут инициативно выдать коммерческую информацию конкурентам, попытаться уничтожить важную информацию или пассивные носители, например, внести компьютерный вирус.

Ущерб информационным ресурсам может быть нанесен:


    • осуществлением несанкционированного доступа и съема конфиденциальной информации;
    • подкупом сотрудников с целью получения доступа к конфиденциальной информации или информационной системе;
    • путем перехвата информации, циркулирующей в средствах и системах связи и вычислительной техники с помощью технических средств разведки и съема информации;
    • путем подслушивания конфиденциальных переговоров, ведущихся в служебных помещениях, служебном и личном автотранспорте, на квартирах и дачах;
    • через переговорные процессы, используя неосторожное обращение с информацией;

Основными источниками информации являются: люди, документы, публикации, технические носители, технические средства, продукция и отходы.

Основными способами несанкционированного получения информации являются:


    - разглашение конфиденциальной информации;
    - несанкционированный доступ к информационным ресурсам;
    - утечка конфиденциальной информации по вине сотрудников компании.

Актуальность проблемы принятия мер по обеспечению информационной безопасности может быть проиллюстрирована следующими примерами:


    1. Служба безопасности федерального оператора ежемесячно вскрывает от двух до шести инцидентов, связанных с нарушениями информационной безопасности.
    2. В гипермаркете молодую девушку «просветили» в изъянах программы сопряжения кассовых терминалов по локальной сети. В результате махинаций за три месяца дама «заработала» 900000 рублей.
    3. Молодой человек - кассир внес изменения в кассовую программу и за месяц нанес ущерб предприятию на сумму около 200000 рублей. Системный администратор вскрыл факт несанкционированного доступа лишь только в ходе расследования спустя два месяца после увольнения кассира.

Таким образом, руководители компаний должны осознать важность информационной безопасности, научиться предвидеть будущие тенденции и управлять ими. Эффективная работа систем безопасности должна стать первоочередной задачей для всего предприятия в целом.

Основные направления защиты информации:


    - правовая защита включает: Законодательство РФ, собственные нормативно-правовые документы, в том числе: положение о сохранении конфиденциальной информации, перечень сведений, составляющих коммерческую тайну, инструкция о порядке допуска сотрудников к конфиденциальной информации, положение о делопроизводстве и документообороте, обязательство сотрудника о неразглашении конфиденциальной информации, памятка сотруднику о сохранении коммерческой тайны и др.;
    - организационная защита включает режимно-административные и организационные мероприятия. К ним относятся: организация службы безопасности, организация внутриобъектового и пропускного режимов, организация работы с сотрудниками по неразглашению сведений, составляющих коммерческую и служебную тайну, организация работы с документами, организация работы по анализу внешних и внутренних угроз и пр.
    - инженерно-техническая защита – предусматривает применение различных технических, электронных и программных средств, предназначенных для защиты информации.

    Реализация программы защиты информации должна осуществляться на основе комплексного использования систем и средств безопасности исходя из предпосылки, что невозможно обеспечить требуемый уровень защищенности только с помощью одного отдельного средства или мероприятия, или их простой совокупности. Необходимо их системное согласование. В этом случае реализация любой угрозы может воздействовать на защищаемый объект только в случае преодоления всех уровней защиты.

    Очень часто в ходе проведения аудита систем безопасности предприятий и на семинарах-тренингах эксперты Центра Безопасности Бизнеса сталкиваются с ситуацией, когда в трудовом договоре сотруднику вменяется в обязанность не разглашать сведения, составляющие коммерческую тайну, а их перечень на предприятии не определен. Это превращает все предупреждения в сплошную фикцию и предопределяет полную бесконтрольность действий персонала.

    Служебный телефон, компьютер с доступом к электронной почте и сети Интернет являются рабочими инструментами и должны использоваться для выполнения служебных обязанностей, а не для личных целей. Проблемы часто связаны с отсутствием доведенного до сотрудников регламента использования средств коммуникации и доступа в Интернет.

Опубликовано: Сайт ITSec.Ru-2007

Приобрести этот номер или подписаться

Статьи про теме

Контакты
 
Подписка

Мы в соцсетях

Copyright © 2018-2022, ООО "ГРОТЕК"