Анализ информационной безопасности в организации курсовая

Международные стандарты для построения системы
информационной безопасности

Вопрос
обеспечения безопасности информации — один из основных для любой организации.
Для ее реализации требуется совокупность мероприятий, направленных на
обеспечение конфиденциальности, доступности и целостности обрабатываемой
информации. Таким образом, информационную безопасность (ИБ) следует понимать
как комплекс организационных, программных, технических и физических мер, гарантирующих
достижение целостности, конфиденциальности и доступности. Что же означают эти
термины?

Конфиденциальность
— это защищенность информации от несанкционированного доступа и ознакомления,
учитывая тонкие политики безопасности.

Целостность
— свойство, при выполнении которого информация сохраняет заранее определенные
системой вид и качество.

Доступность
— характеризует возможность доступа к хранимой и обрабатываемой в системе
информации в любой момент.

Если
спросить у топ-менеджера любой компании, каким образом следует решать вопрос
ИБ, он ответит, что для этого есть руководитель службы безопасности. Часто это
означает, что задачи ИБ не находят разрешения из-за простого непонимания. В
частности, топ-менеджера мало интересует технический аспект обеспечения ИБ. Он
хочет получить от руководителя службы безопасности простые и понятные ответы на
вопросы «сколько стоит» (обслуживание, внедрение, аудит и пр.) и «какая в этом
выгода для компании». В свою очередь, руководитель службы безопасности
заинтересован в других ответах: объективная оценка ИБ компании, проработка
требований к системе защиты, актуальность мероприятий (аудит, сертификация,
проверки адекватности политики), расчет необходимых затрат и т.п. Несмотря на
кажущуюся очевидность, все это часто приходится доказывать руководству «на
пальцах».

Основные
проблемы в области ИБ у большинства организаций таковы:

непонимание
руководством смысла и проблем обеспечения ИБ, назначения и важности системы
управления ИБ;

отсутствие
служб и штатного персонала ИБ;

отсутствие
документированных должностных обязанностей персонала ИБ;

«мертвая»
политика ИБ, отсутствие многих процессов ИБ;

игнорирование
вопросов проведения аудитов изнутри/со стороны;

принцип
«сарафанного радио» — копирование неадаптированных под себя моделей защиты
информации;

отсутствие
процедуры анализа рисков, как следствие — принятие неправильного решения;

Наиболее
эффективное решение как общих, так и индивидуальных задач информационной
безопасности в организации — система управления информационной безопасностью.

Под
системой управления информационной безопасностью (СУИБ) понимается часть общей
системы управления компании, базирующаяся на анализе рисков и предназначенная
для проектирования, реализации, контроля, сопровождения и совершенствования мер
в области ИБ. СУИБ позволяет достигнуть необходимого уровня защищенности
системы и значительно снизить риски угроз ИБ. СУИБ связывает различные
компоненты средств ИБ с целью надежного и прозрачного управления обеспечением
ИБ компании так, чтобы результат был виден и руководству, и простым
специалистам.

На
проектирование и внедрение СУИБ оказывают влияние бизнес-цели/потребности
организации, вытекающие из них требования безопасности, используемые процессы,
а также размер и структура организации. Кроме того, реализация СУИБ должна
масштабироваться в соответствии с реальными потребностями. Например, для
банковского сектора ключевой задачей в области ИБ является обеспечение
целостности финансовой информации; для операторов связи — доступности
информационных ресурсов; для государственных компаний важна конфиденциальность
информации. Правильный подход к СУИБ определяется целостностью взгляда на
предприятие, работающее в динамически изменяющихся условиях рынка, где развитая
и последовательно реализуемая политика организации защиты — необходимое условие
для сохранения результатов деятельности компании как с точки зрения сохранения
важной информации для работы, так и с позиций хранения коммерческой тайны. А
как оценить потенциальные и реальные угрозы ИБ для компании? Где находится
решение проблемы, обнаруженной по результатам аудита? Как оценить необходимые
затраты на ИБ с обеспечением приоритетных для бизнеса свойств? Прибавьте к
этому мониторинг, эксплуатацию, модернизацию в контексте бизнес-рисков
компании. На эти вопросы отвечают документы, представляющие готовые методологии
в области обеспечения ИБ и называемые стандартами.

Разработанный
организациями ISO (I№ter№atio№al Orga№izatio№ for Sta№dartizatio№) и IEC (I№ter№atio№al
Electrotech№ical Commissio№) международный стандарт по управлению безопасностью
описывает требования по созданию, внедрению, эксплуатации, мониторингу,
анализу, поддержке и совершенствованию документально оформленной СУИБ в
контексте общих бизнес-рисков организации. Это первый международный стандарт в
линейке стандартов ISO 2700X. Именно по нему проводится официальная сертификация
системы управления ИБ.

Вторым
в данной линейке будет стандарт ISO 27002 — сейчас это ISO 17799:2005, в нем
описывают правила создания, функционирования и совершенствования СУИБ компании.
Данный стандарт предоставляет в распоряжение готовую модель для создания,
внедрения, эксплуатации, мониторинга, пересмотра, сопровождения и
совершенствования СУИБ. В нем описаны лучшие мировые практики в области ИБ, в
частности методы и средства контроля, регуляторы безопасности, основные
структурные элементы ИБ и др.

ISO/IEC
17799:2005 включает 11 разделов, охватывающих все основные аспекты обеспечения
ИБ:

Вопросы
ИБ, относящиеся к персоналу;

Физическая
безопасность и защита от воздействий окружающей среды;

Управление
операционными процессами и коммуникациями;

Закупка,
разработка и сопровождение IT-систем;

Стандарт
ISO/IEC 27001:2005 определяет общую организацию, классификацию данных, системы
доступа, направления планирования, ответственность сотрудников, использование
оценки рисков и т.д. в контексте ИБ. Этот стандарт предоставляет компании
инструмент, позволяющий управлять конфиденциальностью, целостностью и
сохранностью собственной информации компании. Применим в разных организациях —
от индивидуальных предпринимателей до предприятий с численностью сотрудников в
десятки тысяч человек.

Методология
ISO/IEC 27001:2005 помогает определить политику безопасности, которая
становится основой для регулярного контроля и оценки системы защиты, а также
провести инвентаризацию и классификацию ресурсов и определить аспекты
функционирования ИБ, связанные не с оборудованием, а с персоналом.

Под
сертификацией СУИБ организации по требованиям стандарта ISO/IEC 27001:2005
понимается комплекс организационно-технических мероприятий, проводимых
независимыми экспертами, в результате чего подтверждается наличие и надлежащее
функционирование всех рекомендуемых стандартом механизмов контроля, применимых
в данной организации, и выработка рекомендаций по устранению несоответствий.

Сертификация
СУИБ на соответствие стандарту ISO/IEC 27001:2005 позволяет:

выработать
долговременную стратегию развития системы обеспечения ИБ организации,
отвечающую актуальным требованиям;

проводить
комплексные, эффективные и экономически обоснованные меры по обеспечению
информационной безопасности;

повысить
степень привлекательности организации на внутреннем и внешнем рынках;

получить
официальный и признаваемый во всем мире сертификат, который будет служить
важным показателем надежности организации в глазах клиентов, партнеров,
акционеров, аудиторов, государственных и контролирующих органов;

застраховать
свои информационные риски на наиболее выгодных условиях.

В
России стандарты серии ISO/IEC 2700X (ISO 27001:2005, ISO 17799:2005) уже
используются в качестве нормативных документов: с 1 января 2007 г. вступил в
силу на территории России ГОСТ Р ИСО/МЭК 17799-2005, являющийся локализованной
для использования в России версией стандарта ISO/IEC 17799-2000 (предыдущей
версии ISO 17799:2005). Также планируется к вводу национальный стандарт ГОСТ Р
ИСО/МЭК 27001 на основе ISO/IEC 27001:2005. Кроме того, данные стандартов
положены в основу отечественного предстандарта СТО БР ИББС-1.0-2006,
предназначенного Банком России для построения СУИБ в банковской отрасли.

Стандарт
ISO 27001 определяет ИБ как сохранение конфиденциальности, целостности и
доступности информации; кроме того, могут быть включены и другие свойства,
такие, как подлинность, невозможность отказа от авторства, достоверность.

Для
разработки СУИБ организация должна выполнить следующие шаги (9 первых шагов):

1)
определить область применения СУИБ;

2)
разработать политику ИБ;

3)
определить (разработать) подход к оценке рисков;

5)
проанализировать и оценить риски;

6)
принять решения для уменьшения рисков:

применить
к риску соответствующий метод управления;

принять
риск по разработанным критериям принятия рисков;

передать
риск другой стороне (например, страховой компании, поставщику).

На
основании принятых решений выбрать методы управления, которые можно применить
для уменьшения рисков. При выборе методов управления должны учитываться
критерии принятия рисков, законодательные требования, договорные требования;

7)
получить согласие руководства по остаточным рискам;

8)
получить согласие руководства на внедрение СУИБ;

9)
подготовить положение о применимости — один из обязательных документов СУИБ.

Документация
СУИБ должна включать:

политику
ИБ и цели в области ИБ;

процедуры
и контроль (методы управления) поддержки СУИБ;

описание
методологии оценки рисков;

отчет
по оценке рисков;

процедуры,
необходимые организации для обеспечения эффективного планирования, выполнения и
управления процессами ИБ, описывающие, как измеряется результативность методов
управления;

Подготовка
к сертификации начинается с формирования запроса. Обращение по поводу
сертификации следует производить к локальным официальным партнерам BSI Ma№ageme№t
Systems (www.bsi-russia.com) — разработчикам стандартов. Процесс регистрации
делится на две стадии: подготовительную и регистрационную.

На
подготовительной стадии можно выделить следующие этапы:

первоначальный
запрос — подается на предмет подготовки СУИБ компании к сертификации;

инициирование
— в рамках этого этапа производятся планирование, определение границ проведения
сертификации, выбор методологии, подготовка интервью. По результатам
формируется необходимая нормативная документация для дальнейших этапов;

предварительный
аудит — комплексный аудит СУИБ, работающей в реальных условиях. Аудиторы
проверяют, работают ли механизмы контроля, оценивают, насколько полно и
правильно они реализованы, а также насколько они адекватны существующим рискам.
В ходе аудита производится анализ и оценка рисков ИБ, анализ расхождений;

совершенствование
СУИБ (проектирование) — производится на основании данных аудита, в ходе
которого формируется программа совершенствования СУИБ;

совершенствование
СУИБ (внедрение) — внедрение механизмов контроля на основании подготовленной
программы совершенствования;

подготовка
к завершающему аудиту с целью проверки правильности внедрения изменений СУИБ.

Регистрационная
стадия включает следующие этапы:

сертификационный
(завершающий) аудит, определяющий готовность компании к сертификации/уточняющий
область сертификации (где как объект сертификации могут выступать как вся СУИБ,
так и ее отдельные подсистемы);

подготовка
и выпуск сертификата (подтверждение соответствия СУИБ требованиям действующего
законодательства страны эксплуатации СУИБ);

3 Система обеспечения информационной безопасности организации

Система информационной безопасности для компании – юридического лица включает три группы основных понятий: целостность, доступность и конфиденциальность. Под каждым скрываются концепции с множеством характеристик.

Под целостностью понимается устойчивость баз данных, иных информационных массивов к случайному или намеренному разрушению, внесению несанкционированных изменений. Понятие целостности может рассматриваться как:

— статическое, выражающееся в неизменности, аутентичности информационных объектов тем объектам, которые создавались по конкретному техническому заданию и содержат объемы информации, необходимые пользователям для основной деятельности, в нужной комплектации и последовательности;

Для контроля динамической целостности используют специальные технические средства, которые анализируют поток информации, например, финансовые, и выявляют случаи кражи, дублирования, перенаправления, изменения порядка сообщений. Целостность в качестве основной характеристики требуется тогда, когда на основе поступающей или имеющейся информации принимаются решения о совершении действий. Нарушение порядка расположения команд или последовательности действий может нанести большой ущерб в случае описания технологических процессов, программных кодов и в других аналогичных ситуациях.

Доступность – это свойство, которое позволяет осуществлять доступ авторизированных субъектов к данным, представляющим для них интерес, или обмениваться этими данными. Отказ системы предоставлять информацию становится проблемой для любой организации или групп пользователей. В качестве примера можно привести недоступность сайтов госуслуг в случае системного сбоя, что лишает множество пользователей возможности получить необходимые услуги или сведения.

Конфиденциальность означает свойство информации быть доступной тем пользователям: субъектам и процессам, которым допуск разрешен изначально. Большинство компаний и организаций воспринимают конфиденциальность как ключевой элемент ИБ, однако на практике реализовать ее в полной мере трудно. Не все данные о существующих каналах утечки сведений доступны авторам концепций ИБ, и многие технические средства защиты, в том числе криптографические, нельзя приобрести свободно, в ряде случаев оборот ограничен.

Объекты защиты в концепциях ИБ

Различие в субъектах порождает различия в объектах защиты. Основные группы объектов защиты:

— информационные ресурсы всех видов (под ресурсом понимается материальный объект: жесткий диск, иной носитель, документ с данными и реквизитами, которые помогают его идентифицировать и отнести к определенной группе субъектов);

— права граждан, организаций и государства на доступ к информации, возможность получить ее в рамках закона; доступ может быть ограничен только нормативно-правовыми актами, недопустима организация любых барьеров, нарушающих права человека;

— система создания, использования и распространения данных (системы и технологии, архивы, библиотеки, нормативные документы);

— система формирования общественного сознания (СМИ, интернет-ресурсы, социальные институты, образовательные учреждения).

Каждый объект предполагает особую систему мер защиты от угроз ИБ и общественному порядку. Обеспечение информационной безопасности в каждом случае должно базироваться на системном подходе, учитывающем специфику объекта.

Категории и носители информации

Российская правовая система, правоприменительная практика и сложившиеся общественные отношения классифицируют информацию по критериям доступности. Это позволяет уточнить существенные параметры, необходимые для обеспечения информационной безопасности:

— информация, доступ к которой ограничен на основании требований законов (государственная тайна, коммерческая тайна, персональные данные);

— сведения в открытом доступе;

— общедоступная информация, которая предоставляется на определенных условиях: платная информация или данные, для пользования которыми требуется оформить допуск, например, библиотечный билет;

— опасная, вредная, ложная и иные типы информации, оборот и распространение которой ограничены или требованиями законов, или корпоративными стандартами.

Средства защиты информации

Для целей разработки концепций ИБ-защиты средства защиты информации принято делить на нормативные (неформальные) и технические (формальные).

Неформальные средства защиты – это документы, правила, мероприятия, формальные – это специальные технические средства и программное обеспечение.

Формальные средства защиты информации:

— Физические средства защиты. Это механические, электрические, электронные механизмы, которые функционируют независимо от информационных систем и создают препятствия для доступа к ним.

— Аппаратные средства защиты. Это электрические, электронные, оптические, лазерные и другие устройства, которые встраиваются в информационные и телекоммуникационные системы.

— Программные средства – это простые и системные, комплексные программы, предназначенные для решения частных и комплексных задач, связанных с обеспечением ИБ.

— Специфические средства защиты. Это различные криптографические алгоритмы, позволяющие шифровать информацию на диске и перенаправляемую по внешним каналам связи.

Неформальные средства защиты:

— Нормативные средства. Эта категория средств обеспечения информационной безопасности представлена законодательными актами и нормативно-распорядительными документами, которые действуют на уровне организации.

— Организационные и административные меры. Это и архитектурно-планировочные решения, позволяющие защитить переговорные комнаты и кабинеты руководства от прослушивания, и установление различных уровней доступа к информации.

— Морально-этические меры. Они определяют личное отношение человека к конфиденциальной информации или информации, ограниченной в обороте.

2 Проблемы информационной безопасности торговых предприятий

Современное толкование понятий информационной безопасности и защищенности конфиденциальной информации во все большей степени находит свое отражение в комплексном, системном подходе к созданию системы защиты данных, необходимой для создания условий принятия обоснованного управленческого решения во всех сферах деятельности государства.

По данным экспертов, количество выявленных ИТ- преступлений в РФ удваивается ежегодно. В настоящее время особый статус приобретает проблема информационной безопасности в экономической сфере, что обусловлено, прежде всего, недостаточностью уровня развития конкурентоспособных информационных технологий и их использования для производства продукции и оказания услуг.

Отягощающим фактором является высокий уровень зависимости отечественной промышленности от зарубежных информационных технологий, касающихся аппаратно-программных средств и средств связи. Потому стратегическими целями о области информационной безопасности в экономической сфере являются минимизация уровня негативного воздействия дестабилизирующих факторов, связанных с недостаточностью развития отечественной отрасли информационных технологий и средств вычислительной техники, разработка конкурентоспособных средств обеспечения информационной безопасности, а также повышение качества услуг в сфере обеспечения информационной безопасности.

Аналитический центр InfoWatch опубликовал данные по утечке данных в России за последний год. Согласно исследованию, СМИ обнародовали 213 случаев утечек информации из российских госорганов и компаний, что составляет 14% от общемирового количества утечек. Самые частые случаи — это утечка платежной информации и персональных данных — 80%. В 68% случаев виновными оказываются сотрудники организаций, и только в 8% — руководство.

По сравнению с прошлыми годами количество утечек выросло на 89%. На сегодня Россия занимает второе после США место в списке стран, наиболее сильно страдающих от утечек информации.

2 Сервисы информационной системы предприятия

Системы управления IT компании или организации являются сложными по своей природе, потому что требуют согласования позиций многих сторон и учета их интересов (спонсоры создания инф. системы, разработчики, конечные пользователи).

Работа IT отдела как субъекта IT менеджмента, охватывает управление всеми компьютерными и коммуникационными ресурсами предприятия. Его основная задача заключается в создании и поддержании рабочего состояния прикладных систем и инфраструктуры, на которой эти системы выполняются. Информационное обслуживание заключается в предоставление информационных услуг (сервисов).

IT-сервис — это IT услуга, которую IT-подразделение (отдел, служба) или внешний провайдер предоставляет бизнес-подразделениям предприятия для поддержки их бизнес-процессов.

Примеры IT-сервисов: эл. почта, сетевая инфраструктура, системы хранения данных, бизнес-аппликации и т.д. Набор IT-сервисов для предприятия является индивидуальным: зависит от потребностей, отрасли, уровня и т.п.

В общем случае IT-сервис определяется по следующим параметрам:

— Функциональность (какую задачу выполняет, где применим)

— Время обслуживания (время, в течение которого IT-отдел поддерживает сервис, то есть несет ответственность за его непрерывное функционирование)

— Доступность (процент времени, когда сервис доступен)

— Надежность (определяется средним временем работы между двумя отказами)

— Производительность (возможность выдерживать некоторый уровень нагрузки)

— Конфиденциальность (вероятность несанкционированного доступа)

— Масштаб (размеры)

— Затраты (стоимость совокупности всех ресурсов, стоимость владения)

В современных условиях информационного развития общей методологической основой процессного подхода к IT-сервисам является подход ITIL / ITSM. Он основан на сборе и систематизации передовой практики управления службой IT в течение последних 20-ти лет.

Иными словами, речь идет об использовании типовых моделей бизнес-процессов службы IT. ITIL — Information Technology Infrastructure Library (Библиотека инфраструктуры информационных технологий) представляет собой некий набор всеобъемлющих, непротиворечивых и согласованных документов, которые созданы на основе знаний и опыта мировых организаций, и используются с целью управления обслуживанием информационных систем.

Библиотека ITIL была создана в результате принятия факта о том, что достижение предприятиями разных сфер деятельности своих корпоративных целей в значительной мере зависит от IT. Эта возрастающая со временем зависимость привела к росту потребности в IT-услугах, качество которых соответствовало бы целям конкретного бизнеса, требованиям и ожиданиям заказчика.

Со временем акцент переместился с разработки IT-приложений на менеджмент IT-услуг. Информационные системы только тогда способствуют достижению корпоративных целей, когда система доступна всем пользователям, и при возникновении ошибок и необходимости модификации поддержка может быть оказана службой сопровождения.

На современном этапе развития информационных технологий ITIL — это, по сути, стандарт, который является популярным в бизнес-процессах любой развитой страны. Всего в стандарте указаны 40 функций, включая менеджмент изменений информационной системы, управление рабочими конфигурациями, запросами на обслуживание, планирование развития эксплуатационной и диспетчерской служб.

Непосредственно практическую ценность для управленческого аппарата любой организации ITIL представляет в том, что в нем соединяется весь накопленный опыт организации обслуживания информационных систем. Данный стандарт создает четкое представление относительно критериев разработки эффективной службы использования и концентрирует внимание на принципиально важных составляющих, которые нельзя упускать в процессе построения организационной структуры сервиса.

1 Структура, функции информационной системы предприятия

Информационная система является средством информационного обеспечения процесса управления.

Единая информационная система управления предприятием ориентируется на достижение цели: удовлетворения потребностей в информации руководителей всех уровней и звеньев системы управления предприятием в установленные сроки для подготовки, принятия и реализации решений.

Информационная система управления предприятия должна обеспечить (функции):

1. Полноту информации для каждого звена системы управления. Полнота определяется как отношение информации, полученной к запрошенной или необходимой для управления;

2. Полезность и ценность информации. Информационные потоки в системе управления должны направляться по конкретным адресам – конкретным руководителям, специалистам и служащим управленческого аппарата;

3. Точность и достоверность информации – принятие решений на недостаточно точных или недостоверных данных увеличивает риск допущения ошибок, принять неверное решение;

4. Своевременность поступления информации – если информация не поступает вовремя, то орган управления будет бездействовать как раз в тот момент, когда объект управления особенно нуждается в управляющем действии;

5. Агрегируемость информации – рациональное распределение информации по уровням иерархии управления. На высшие уровни управления должна поступать более обобщенная информация, на нижние – более детализированная;

6. Актуальность информации – при принятии решений важно учитывать возраст информации и ее актуальность для конкретных управленческих задач;

Кроме того, автоматизированная информационная система должна удовлетворять ряд таких технических требований, как:

— надежная защита от несанкционированного доступа к данным;

— регистрация действий персонала;

— удобный пользовательский интерфейс рабочих мест;

— возможность развития системы;

— возможность проведения конвертации данных из использовавшихся ранее в новую систему;

— высокая надежность работы.

Информационная система управления включает субъекты коммуникации, каналы и носители информации, а так же технические средства информационной работы.

2 Риски информационной безопасности

Современные предприятия сталкиваются с самыми серьезными рисками для информационной безопасности.

Эти риски имеют как внутренние, так и внешние источники. Информационной безопасности предприятий угрожают:

— проникающие извне хакеры и вредоносные программы

— собственные злонамеренные сотрудники — инсайдеры

— собственные сотрудники — незлонамеренные нарушители

— стихийные бедствия (пожары, наводнения, аварии в энергосистемах и т.д.).

Главные цели атак на информационные системы предприятий:

— получение контроля над ценными ресурсами, например, кража финансовой информации или эксплуатация вычислительных ресурсов корпоративной сети

Риски для информационной безопасности могут быть реализованы в самом разном виде: вредоносных программ, аппаратных и программных закладок, спам-рассылок, устройств для перехвата сигналов связи, регламентов, допускающих несанкционированный доступ инсайдеров и др.

Различчные методы для нанесения вреда информационной безопасности становятся всё более таргетированными (нацеленными на конкретную отрасль и даже предприятие). Так, в 2010 году была обнаружена специализированная вредоносная программа, атакующая автоматизированные системы оперативного диспетчерского управления производством, – компьютерный червь Stuxnet. Существуют целые классы вредоносных программ, специфичных для отдельных областей экономики, например, троянцы-банкеры.

Успешная компьютерная атака на предприятие может вести к самым неприятным последствиям — финансовому ущербу, снижению репутации и преследованию регуляторных органов.

Наиболее распространенные виды угроз:

1. Неблагоприятная для предприятия экономическая политика государства. Регулирование экономики государством с помощью манипуляций (определение валютного курса, учетная ставка, таможенные тарифы и налоги) является причиной многих противоречий на предприятиях в сфере производства, финансов и коммерции.

Серьезную угрозу для обеспечения безопасности информации предприятия несут политические действия, направленные на ограничение или прекращение экономических связей. Санкции в экономике вызывают у обеих сторон недоверие к дальнейшей деятельности и подрывают коммерческие взаимоотношения. Все это ведет к дестабилизации экономических отношений, и не только на уровне государства.

2. Действия иных хозяйствующих субъектов. В данном случае риск обеспечению безопасности информации несет нездоровая конкуренция. Нездоровая или недобросовестная конкуренция имеет несколько понятий и по нормам международного права разделяется на три вида:

— Когда деятельность одной коммерческой структуры пытаются представить потребителю под видом другой;

— Дискредитирование репутации коммерческого предприятия путем распространения ложной информации;

— Неправомерное и некорректное использование торговых обозначений, вводящих потребителя в заблуждение.

В западных странах существуют законодательные акты по ведению недобросовестной конкуренции, фирменным наименованиям, товарным обозначениям и препятствованию обеспечению безопасности информации, нарушение которых ведет к определенной юридической ответственности. Также к ответственности приводят следующие неправомерные действия:

— Подкуп или переманивание потребителей со стороны конкурента;

— Порядок обеспечения информационной безопасности организации нарушается путем разглашения коммерческих тайн, а также выяснения информации с помощью шпионажа, подкупа;

— Преднамеренное снижение цен для подавления конкуренции;

— Копирование товаров, рекламы, услуг и других форм коммерческой деятельности и информации конкурента.

Следующей формой недобросовестной конкуренции, направленной на препятствование обеспечению безопасности информации, считается физическое подавление в виде посягательства на жизнь и здоровье служащего компании.  В эту категорию входит:

— Организация разбойных нападений на производственные, складские помещения и офисы с целью ограбления;

— Уничтожение, порча имущества и материальных ценностей путем взрыва, поджога или разрушения;

— Захват сотрудников в заложники или физическое устранение.

Поэтапное интегрирование России в международную экономику способствует зависимости коммерческих предприятий страны от различных процессов, происходящих в мировой экономике (падение и рост цен на энергоносители, структурная перестройка и другие факторы). По степени внедрения национальной экономики в мировую экономическую структуру усиливается ее подверженность внешним факторам. Поэтому, современное производство в стремлении к увеличению прибыли, улучшению деятельности путем модернизации, повышению уровня обеспечения безопасности информации, стабильности обязательно должно обращать внимание на динамику потребительского спроса, политику государства и центральных банков, развитие научно-технического прогресса, на отношение конкурентов, мировую политику и хозяйственную деятельность.

Таким образом, компьютеризация экономики и распространение электронных финансовых транзакций приводят к росту угроз информационной безопасности предприятий. Для обеспечения приемлемого уровня информационной безопасности, вопросам защиты необходимо уделять достаточное внимание. Корпоративные компьютерные системы – это сложные информационные структуры, и поэтому для выполнения проектов по обеспечению их безопасности во многих случаях привлекаются сторонние специализированные компании.

3 Современное состояние информационной безопасности

Коммерческие организации всегда считали затраты на обеспечение безопасности неизбежной и пустой тратой средств, а не своим первоочередным делом. Например, у входа в помещение даже небольшой компании вас встретит охранник или система ограничения и контроля доступа. А вот с защитой информации дела обстоят еще не так хорошо. Не все понимают, как можно потерять информацию и во что это выльется.

Количество компьютерных преступлений в кредитно-финансовой сфере постоянно возрастает. Например, онлайновые магазины фиксируют до 25% мошеннических платежных операций. Тем не менее, в Западных странах наблюдается активное развитие электронной коммерции — этого сверх рентабельного современного бизнеса.

Параллельно развитию этой сферы увеличиваются и доходы «виртуальных» мошенников. Последние уже не действуют в одиночку, а работают тщательно подготовленными, хорошо технически и программно вооруженными преступными группами при непосредственном участии самих банковских служащих.

Специалисты в области безопасности отмечают, что доля таких преступлений составляет около 70%.

О том, что сфера электронной коммерции вызывает повышенный интерес в криминальной среде, говорят данные одного из опросов, проведенного в 50 странах мира среди 1600 специалистов в области защиты информации. По итогам опроса выяснилось следующее:

— серверы, связанные с продажей продуктов или услуг через сеть Internet, подвергались нападениям приблизительно на 10% чаще, чем серверы, не используемые для проведения финансовых сделок;

— 22% фирм, занимающихся продажами через Web-серверы, имели потери информации, и только 13% компаний, не продающих продукты через Internet, столкнулись с этой же проблемой;

Эти показатели продолжают расти, но на самом деле цифры не точные. Реально они могут превышать приведенные данные на порядок. Ведь многие потери не обнаруживаются или о них не сообщают. Поэтому, например, в нашей стране, начиная с 1997 года, ежегодно раскрывается всего лишь 10% компьютерных преступлений.

3 Меры по усовершенствованию информационной безопасности предприятий торговли

Хоть и количество угроз постоянно растет, появляются все новые и новые вирусы, разработчики средств защиты информации тоже не стоят на месте. На каждую угрозу разрабатывается новое защитное ПО или совершенствуется уже имеющееся.

Среди средств информационной защиты можно выделить: Физические средства защиты информации. К ним относятся ограничение или полный запрет доступа посторонних лиц на территорию, пропускные пункты, оснащенные специальными системами. Большое распространение получили HID-карты для контроля доступа.

Например, при внедрении этой системы, пройти в серверную или другое важное подразделение компании могут лишь те, кому такой доступ предоставлен по протоколу. Базовые средства защиты электронной информации. Это незаменимый компонент обеспечения информационной безопасности компании. К ним относятся многочисленные антивирусные программы, а также системы фильтрации электронной почты, защищающие пользователя от нежелательной или подозрительной корреспонденции. Корпоративные почтовые ящики обязательно должны быть оборудованы такими системами.

Кроме того, необходима организация дифференцированного доступа к информации и систематическая смена паролей.

Так же, резервное копирование данных. Это решение, подразумевающее хранение важной информации не только на конкретном компьютере, но и на других устройствах: внешнем носителе или сервере. В последнее время особенно актуальной стала услуга удаленного хранения различной информации в «облаке» дата-центров. Именно такое копирование способно защитить компанию в случае чрезвычайной ситуации, например, при изъятии сервера органами власти. Создать резервную копию и восстановить данные можно в любое удобное для пользователя время, в любой географической точке.

План аварийного восстановления данных. Крайняя мера защиты информации после потери данных. Такой план необходим каждой компании для того, чтобы в максимально сжатые сроки устранить риск простоя и обеспечить непрерывность бизнес-процессов. Если компания по каким-то причинам не может получить доступ к своим информационным ресурсам, наличие такого плана поможет сократить время на восстановление информационной системы и подготовки ее к работе. В нем обязательно должна быть предусмотрена возможность введения аварийного режима работы на период сбоя, а также все действия, которые должны быть предприняты после восстановления данных.

Итак, защита информации должна осуществляться комплексно, сразу по нескольким направлениям. Чем больше методов будет задействовано, тем меньше вероятность возникновения угроз и утечки, тем устойчивее положение компании на рынке.

1 Реализация информационной безопасности

Современные тенденции развития торговли в России приводят к укрупнению компаний за счет увеличения численности предприятий в их составе, консолидации активов различных операторов, проведения сделок слияний и поглощений, создания сетевых распределительных центров.

В результате растут требования к информационным технологиям и их значимость в организации торговли. Обработка информационных потоков в любой компании требует высоких темпов и абсолютной точности.

Управление современным магазином, предприятием оптовой торговли и торговой сетью предполагает использование автоматизированных систем комплексного торгового, складского и бухгалтерского учета. Сегодня руководители принимают управленческие решения, основываясь на данных, полученных из информационных систем. Таким образом, какова бы ни была структура фирмы, ведение учета договоров, движения товарно-материальных ценностей, денежных средств и бухгалтерского учета должны осуществляться в едином информационном пространстве.

В целях автоматизации управления торговым процессом на предприятии создается информационная система, которая может включать:

Рисунок 1 — Основные информационные потоки, циркулирующие в системе управления сетевой компании- внутреннюю систему учета и отчетности (содержит данные об объеме, структуре и скорости товарного производства и обращения, издержках и потерях предприятия, валовых доходах, чистой прибыли, рентабельности и т.д.);

— систему маркетинговой информации (позволяет отслеживать текущее состояние, тенденции и перспективы развития рынка). Данную информационную систему можно определить и как разведывательную, т.к. она обеспечивает сбор, обработку и анализ данных о деятельности конкурентов.

Данные в информационную систему поступают от персонала компании и из офисных систем дистрибьюторов. В дальнейшем они используются для оперативного управления предприятием, контроля и анализа деятельности компании в целом, региональных представительств и дистрибьюторов. Потребителями данных информационной сети являются менеджеры и руководители компании, и фирм- дистрибьюторов. На рисунках 1 и 2 приведены основные информационные потоки, циркулирующие в системе управления торговым предприятием (торговой сетью), показаны их основные источники и потребители.

Руководителю предприятия, финансовому директору, главному бухгалтеру, старшим менеджерам для принятия стратегических управленческих решений крайне необходимо представлять полную картину состояния предприятия и тенденций его развития (рисунок 1).

На рабочих местах в бухгалтерии, в торговом зале, на складе работники имеют дело лишь с отдельными фрагментами общего информационного потока. Их задачи и функции, как правило, сводятся к оформлению и учету прихода и расхода товаров, выписке счетов, работе на кассовом аппарате и т.д. (рисунок 2).

Учитывая риски торговых предприятий и уязвимость информационных систем, представляется безответственным такой подход, при котором компания реагирует на события после того, как они происходят. Отсюда следует, что в компании должна быть создана система информационной безопасности. Она является одним из основных элементов системы управления.

Остановка работы информационной системы может вызвать необратимые последствия для бизнеса.

Исходными данными создания эффективной системы информационной безопасности должны быть четкие представления о ее целях и структуре, о видах угроз и их источниках, о возможных мерах противодействия.

Рисунок 2 — Система обмена данными для сотрудников различных подразделений торгового предприятия или торговой сетиВнешние риски для ИБ чаще всего исходят от конкурентов, криминальных группировок, коррупционеров в составе правовых и административных органов власти.

Внутренние риски для ИБ представляют наибольшую опасность. Они могут исходить от некомпетентных руководителей, недобросовестного и малоквалифицированного персонала,. Отдельные сотрудники с высоким уровнем самооценки, из-за неудовлетворенности своих амбиций (уровень зарплаты, отношения с руководством, коллегами и пр.) могут инициативно выдать коммерческую информацию конкурентам, попытаться уничтожить важную информацию или пассивные носители, например, внести компьютерный вирус.

Проблема принятия мер по обеспечению информационной безопасности на предприятиях в сфере торговли актуальна. Мало предприятий, которых будут устраивать убытки. Руководители компаний должны осознать важность информационной безопасности, научиться предвидеть будущие тенденции и управлять ими. Эффективная работа систем безопасности должна стать первоочередной задачей для всего предприятия в целом.

Реализация программы защиты информации должна осуществляться на основе комплексного использования систем и средств безопасности исходя из предпосылки, что невозможно обеспечить требуемый уровень защищенности только с помощью одного отдельного средства или мероприятия, или их простой совокупности. Необходимо их системное согласование. В этом случае реализация любой угрозы может воздействовать на защищаемый объект только в случае преодоления всех уровней защиты.