Торговля и безопасность

Торговля и безопасность

А.А. Теренин
специалист по обеспечению качества программного обеспечения

К ОСНОВНЫМ задачам торгового предприятия можно отнести закупку товара и продукции и их реализацию; сохранение собственных материальных и нематериальных ресурсов; стабильность осуществления бизнес-процессов. Решение этих задач немыслимо без внедрения ИТ в различные области деятельности компании. Внедрению должны предшествовать тщательное изучение всех аспектов бизнес-процессов, анализ целесообразности применения тех или иных решений. Эффективность проведенной автоматизации в немалой степени будет зависеть от того, насколько при этом будут учтены вопросы защиты информации. Конечно, систему защиты (СЗ) нельзя рассматривать в отдельности от информационной системы (ИС), необходимо изначально планировать реализацию всех требуемых функций безопасности, а не добавлять их в спешном порядке после запуска системы.

Построение СЗ информации предприятия может осуществляться в следующем порядке:

1)неформальное описание компонентов ИС и политики безопасности (ПБ);

2)формальная модель безопасности, реализующая данную ПБ;

3)интерпретация модели к реальной технической реализации;

4)анализ средств защиты,удовлетворяющих требованиям к СЗ;

5)оптимальный выбор набора средств защиты для реализации СЗ;

6)реализация СЗ, управление безопасностью и администрирование.

Далее мы будем говорить только о первом этапе создания СЗ: неформальное описание компонентов ИС.

Типичная структура ИС торгового предприятия

Среди основных компонентов структуры распределенной ИС торгового предприятия можно выделить:

• центральный офис (ЦО);
• точки реализации;
• склады.

Дополнительно хотелось бы отметить возможность отслеживания товара в пути, а также финансовых потоков.

Поставщики являются внешними участниками системы, также внешними являются клиенты, взаимодействие с которыми строится не через стандартные точки реализации, например в случае особо крупных объемов сделок (см. схему).

Верхняя часть схемы показывает контроль над расчетами и товаропотоком.

В приведенной системе наиболее уязвимым звеном оказывается ЦО.

Для повышения уровня защищенности подобной системы необходимо "горячее резервирование", пул серверов с различными IP-адресами и DNS-именами.

Другой вариант - создание системы с распределенным управлением, с распределенным хранением данных и т.п. При такой организации основные функции системы будут работоспособны, пока доступен один из распределенных управляющих узлов.

Основные функции и сервисы ИС предприятия

1.Центральный офис:

• сбор, обработка и хранение всей корпоративной информации;
• доступ для всех филиалов организации;
• управление и администрирование;
• резервирование и дублирование (по схеме 24x7x365 - круглосуточно, без выходных и праздников).

2.Точки реализации:

• сбыт продукции;
• хранение информации о наличествующем на предприятии товаре, о товаре, находящемся на ближайших складах, о товарах в пути;
• оценка достаточности запасов товаров, уровней спроса.

3. Склады:

• хранение информации о наличествующем на складе товаре,о товаре, находящемся на ближайших складах, о товарах в пути;
• оценка достаточности запасов товаров, уровней спроса и предложения;
• работа с поставщиками.

Реализация ИС

ИС образует распределенную вычислительную сеть в масштабе всей страны или ее европейской части. Необходима круглосуточная бесперебойная работа всей сети. Система является распределенной, поэтому среди ее внутренних функций рассматривается передача информации по общедоступным вычислительным сетям.

Передача информации является функцией переноса данных от пассивных объектов ее хранения к активным субъектам ее обработки, включая ввод и вывод.

Ввод информации и получение данных из системы осуществляется прямо или косвенно персоналом компании. Необходима четкая и однозначная политика доступа к системе, которая реализуется техническо-организационными мерами.

Политику обработки, хранения и передачи информации внутри системы можно реализовать техническим путем: программным или аппаратным. Организационно-техническим путем реализуется политика администрирования системы.

комментарий эксперта

А.В. Лукацкий
эксперт

АВТОР СТАТЬИ касается очень интересной темы, которая обычно находится вне фокуса внимания со стороны интеграторов и разработчиков в области информационной безопасности. Но у торгового предприятия те же проблемы, что и у любой компании - будь то нефтяной гигант или государственная монополия.Автор правильно указывает, что безопасность должна начинаться с тщательного изучения всех аспектов бизнес-процессов. Однако затем происходит стандартная для российских и западных специалистов ошибка - за декларацией о необходимости связи безопасности и бизнеса не следует никаких конкретных рекомендаций. Процесс построения системы защиты в статье начинается не с увязывания бизнес-стратегии и политики безопасности, а с решения сугубо технической задачи - попытки приспособить требования к системе защиты к существующей информационной системе. Да и сами бизнес-функции и основные задачи торгового предприятия названы не совсем верно. Резервирование, устойчивость и живучесть - это свойства информационной системы, а не бизнес-процессов. Так же как и основными задачами торгового предприятия являются увеличие прибыли, оптимизация поставок, снижение издержек. И процесс обеспечения информационной безопасности должен отвечать именно этим бизнес-требованиям.

С.Д. Рябко
генеральный директор ЗАО "С-Терра СиЭсПи", к.ф.-м.н.

ИСТОРИЧЕСКИ внедрение систем информационной безопасности (ИБ) в негосударственных предприятиях начиналось с кредитно-финансового сектора, за ними следовали предприятия добывающей и перерабатывающей промышленности, транспорта. В статье А.А. Теренина вопросы построения системы ИБ рассматриваются применительно к относительно новому типу пользователя - торговому предприятию. В этом отношении очень важной представляется попытка автора помочь организации-неофиту подойти к решению проблемы.

Предлагаемый в статье методически последовательный подход к проблеме защиты торгового предприятия хотелось бы дополнить некоторым пояснением конечной цели и путей ее достижения. Поэтому, наряду с ценными рекомендациями автора, хотелось бы адресовать читателя к таким документам, как стандарт управления информационной безопасностью ISO 17799. В нем читатель найдет структуру нормативов и процесса управления ИБ, профиль функциональных требований к техническим компонентам и много полезных рекомендаций в развитие положений этой статьи.