Информационная безопасность в розничной торговле

Информационная безопасность в розничной торговле

М.В. Кузин
эксперт
Б.И.Скородумов
эксперт, к.т.н.

Дисбаланс развития

Оборот розничной торговли в России в 2005 г. составил 6 трлн 934,3 млрд руб, что на 12% больше, чем в 2004 г. Об этом свидетельствует очередной доклад Федеральной службы государственной статистики [1]. Еще в одном новейшем исследовании CNews.ru представлено более 100 торговых сетей из многих регионов России, указан объем розничной торговли продуктами питания и дан подробный анализ перспектив развития продуктовых торговых сетей [5].

В настоящее время стремительная динамика рынка автоматизации торговых предприятий в России отстает от развития розничного сектора в целом. Несмотря на впечатляющую динамику роста последнего, бюджеты на информационные технологии российских торговых предприятий пока не превышают 1-3% оборота [2]. Это приводит к тому, что магазины не успевают должным образом развивать и расширять свои автоматизированные системы (АС), причем не только с точки зрения функциональности, но и информационной безопасности (ИБ). Грядущее вступление России в ВТО, а также экспансия иностранных торговых сетей, которые разворачивают промышленные технологии торговли с минимальными издержками, -все это вынудит представителей российского бизнеса обратить внимание на проблему снижения потерь торговых предприятий.

Статистика потерь

В России пока не проводятся специальные исследования, позволяющие получить не только качественные, но и количественные характеристики убытков торговых предприятий. В Европе такую работу проводит Centre for Retail Research. По его данным, в 2005 г. убытки достигли 28 938 млн евро против 30 783 млн евро в 2004 г., затраты на обеспечение безопасности составили 7633 млн евро вместо 7207 в 2004 г. [3]. В процентном отношении потери распределились следующим образом:

• 44,8 % - воровство покупателей;
• 36,5 % - воровство персонала;
• 6,4 % - потери по вине поставщиков;
• 14,2 % - внутренние ошибки.

Зарубежные работы принципиально отличаются от аналогичных отечественных, в первую очередь:

• изложением методик исследования;
• детализацией финансового ущерба;
• широким использованием понятия "риск".

Цели определены?

Рост АС торговых предприятий России - как в части используемых программных и аппаратных компонент, так и в объемах обрабатываемой информации - все более усложняет администрирование и решение сопутствующих проблем ИБ. Это приводит к нарушению непрерывности работы автоматизированных систем магазина и снижению прибыли.

В настоящий момент можно говорить о том, что проблемы ИБ в автоматизированных торговых системах в России не до конца осознаны их владельцами. Как правило, торговые предприятия не имеют выработанной политики ИБ. Отсутствуют механизмы управления рисками, нет статистики по потерям вследствие нарушений ИБ. Грядущее развитие рынка заставит торговлю обратиться к решению проблем ИБ на основе международных стандартов, с привлечением мирового опыта, который изложен в специальной литературе [4].

В ГОСТ Р ИСО/МЭК 17799 "Информационная технология. Методы безопасности. Руководство по управлению безопасностью информации" (вступает в силу с января 2007 г.) впервые в российской практике применения нормативных документов ИБ появились разделы, весьма актуальные для данной темы. Например,"10.8.5. Коммерческие информационные системы" или "10.9. Сервисы электронной торговли", где поставлена локальная задача или конкретная цель: "Обеспечение защиты сервисов электронной торговли и их безопасное использование".

В данных условиях полезно уточнить общую цель И Б для коммерции. Понятие "информационная безопасность" можно определить как "состояние информации при допустимом риске ее уничтожения, изменения или раскрытия, связанном с причинением вреда владельцу или пользователю информации", что полностью соответствует модели безопасности, изложенной в Законе "О техническом регулировании".

Достоинства такого определения в следующем:

• гармонизация положений новых стандартов (ГОСТ Р ИСО/МЭК 15408-1-2002,27001, 17799Е) и прежнего научно-технического задела;
• получение новых метрик ИБ;
• улучшение целеполагания защиты информации.

Исходя из поставленной цели и представляя существующие проблемы, следует оценивать риски и на основе политик И Б осуществлять выбор контрмер для обеспечения ИБ в предприятиях торговли, управлять рисками и проводить аудит системы безопасности.

Источники

1.Оборот розничной торговли в 2005 году увеличился на 12% // www.finam.ru

2.Шагурина Н. ИТ оптом и в розницу / Н. Шагурина // Сетевой журнал. - 2004. № 12. - С. 26-34.

3.Bamfield J. Key results of the European Retail Theft Barometer 2005 / J. Bamfield // Centre for Retail Research. http://www.retail research.org

4.Петренко С.А. Управление информационными рисками.Экономически оправданная безопасность / С.А. Петренко,С.В. Симонов. - М.: ДМК, 2004.

5.Розничные торговые сети по продаже продуктов питания в России: Аналитическое исследование. - Агентство C-news, 2005.