Современные тенденции развития
торговли в Украине приводят к укрупнению компаний за счет
увеличения численности предприятий в их составе, консолидации активов различных
операторов, проведения сделок слияний и поглощений, создания сетевых
распределительных центров. В результате растут требования к информационным
технологиям и их значимость в организации торговли. Обработка информационных
потоков в любой компании требует высоких темпов и абсолютной точности.
В целях автоматизации управления
торговым процессом на предприятии создается информационная система, которая
может включать:
- внутреннюю систему учета и
отчетности (содержит данные об объеме, структуре и скорости товарного
производства и обращения, издержках и потерях предприятия, валовых доходах,
чистой прибыли, рентабельности);
- систему маркетинговой информации
(позволяет отслеживать текущее состояние, тенденции и перспективы развития
рынка). Данную информационную систему можно определить и как разведывательную,
так как она
обеспечивает сбор, обработку и анализ данных о деятельности конкурентов.
Руководителю предприятия,
финансовому директору, главному бухгалтеру, старшим менеджерам для принятия
стратегических управленческих решений крайне необходимо представлять полную
картину состояния предприятия и тенденций его развития.
На рабочих местах в бухгалтерии, в
торговом зале, на складе работники имеют дело лишь с отдельными фрагментами
общего информационного потока. Их задачи и функции, как правило, сводятся к
оформлению и учету прихода и расхода товаров, выписке счетов, работе на
кассовом аппарате и так далее.
Учитывая риски торговых
предприятий и уязвимость информационных систем, представляется безответственным
такой подход, при котором компания реагирует на события постфактум, тоесть после того, как они происходят. Отсюда следует, что в
компании должна быть создана система информационной безопасности. Она является
одним из основных элементов системы управления.
Исходными данными создания
эффективной системы информационной безопасности должны быть четкие
представления о ее целях и структуре, о видах угроз и их источниках, о
возможных мерах противодействия.
Источники угроз могут быть внешними и внутренними.
Внешние угрозы чаще всего исходят
от конкурентов, криминальных группировок, коррупционеров в составе правовых и
административных органов власти. Действия внешних угроз могут быть направлены
на пассивные носители информации, снятие информации в процессе обмена,
уничтожение информации или повреждении ее носителей. Угрозы могут быть
направлены на персонал компании, и выражаться в форме подкупа, угроз, шантажа,
выведывания с целью получения информации, составляющей коммерческую тайну, или
предполагать переманивание ведущих специалистов.
Внутренние угрозы представляют
наибольшую опасность. Они могут исходить от некомпетентных руководителей, недобросовестного
и малоквалифицированного персонала, расхитителей и мошенников, устаревших
средств производственной деятельности. Отдельные сотрудники с высоким уровнем
самооценки, из-за неудовлетворенности своих амбиций (уровень зарплаты,
отношения с руководством, коллегами) могут инициативно выдать коммерческую
информацию конкурентам, попытаться уничтожить важную информацию или пассивные
носители, например, внести компьютерный вирус.
Ущерб информационным ресурсам
может быть нанесен:
• осуществлением несанкционированного
доступа и съема конфиденциальной информации;
• подкупом сотрудников с целью
получения доступа к конфиденциальной информации или информационной системе;
• путем перехвата информации,
циркулирующей в средствах и системах связи и вычислительной техники с помощью
технических средств разведки и съема информации;
• путем подслушивания
конфиденциальных переговоров, ведущихся в служебных помещениях, служебном и
личном автотранспорте, на квартирах и дачах;
• через переговорные процессы,
используя неосторожное обращение с информацией;
Основными источниками информации
являются: люди, документы, публикации, технические носители, технические
средства, продукция и отходы.
Основными способами
несанкционированного получения информации являются:
- разглашение конфиденциальной информации;
- несанкционированный доступ к
информационным ресурсам;
- утечка конфиденциальной
информации по вине сотрудников компании.
Таким образом, руководители
компаний должны осознать важность информационной безопасности, научиться
предвидеть будущие тенденции и управлять ими. Эффективная работа систем
безопасности должна стать первоочередной задачей для всего предприятия в целом.
Основные направления защиты
информации:
- правовая защита включает:
Законодательство Украины, собственные нормативно-правовые документы, в
том числе: положение о сохранении конфиденциальной информации, перечень
сведений, составляющих коммерческую тайну, инструкция о порядке допуска
сотрудников к конфиденциальной информации, положение о делопроизводстве и
документообороте, обязательство сотрудника о неразглашении конфиденциальной
информации, памятка сотруднику о сохранении коммерческой тайны и другие;
- организационная защита включает
режимно-административные и организационные мероприятия. К ним относятся: организация службы безопасности,
организация внутриобъектового и пропускного режимов, организация работы с
сотрудниками по неразглашению сведений, составляющих коммерческую и служебную
тайну, организация работы с документами, организация работы по анализу внешних
и внутренних угроз;
- инженерно-техническая защита –
предусматривает применение различных технических, электронных и программных
средств, предназначенных для защиты информации.
Реализация программы защиты
информации должна осуществляться на основе комплексного использования систем и
средств безопасности исходя из предпосылки, что невозможно обеспечить требуемый
уровень защищенности только с помощью одного отдельного средства или
мероприятия, или их простой совокупности. Необходимо их системное согласование.
В этом случае реализация любой угрозы может воздействовать на защищаемый объект
только в случае преодоления всех уровней защиты.
Очень часто в ходе проведения
аудита систем безопасности предприятий и на семинарах-тренингах эксперты Центра
Безопасности Бизнеса сталкиваются с ситуацией, когда в трудовом договоре
сотруднику вменяется в обязанность не разглашать сведения, составляющие
коммерческую тайну, а их перечень на предприятии не определен. Это превращает
все предупреждения в сплошную фикцию и предопределяет полную бесконтрольность
действий персонала.
Служебный телефон, компьютер с
доступом к электронной почте и сети Интернет являются рабочими инструментами и
должны использоваться для выполнения служебных обязанностей, а не для личных целей.
Проблемы часто связаны с отсутствием доведенного до сотрудников регламента
использования средств коммуникации и доступа в Интернет.