Информационная безопасность в современных системах управления организацией (на примере гостиничного комплекса «АвтоДом»)

     C точки зрения поставщика услуг,  процесс управления информационной  безопасностью способствует интеграции  аспектов безопасности в ИТ-структуру.  В свою очередь, принципы построения  СУИБ содержатся в сборнике  практических рекомендаций BS ISO 17799:2005, который дает исчерпывающее руководство для разработки, внедрения и оценки мер информационной безопасности.

     Процесс управления ИБ имеет важные связи  с другими процессами. Некоторые  виды деятельности по обеспечению безопасности осуществляются другими процессами библиотеки ITIL, под контролем процесса управления ИБ.

     С позиций стандарта BS ISO/IEC 20000 процесс  управления информационной безопасностью  имеет два целеполагающих значения:

     > выполнение требований безопасности, закрепленных в SLA, и других требований внешних и внутренних соглашений, законодательных актов и установленных правил;

     > обеспечение базового уровня  ИБ, независимого от внешних требований.

     Входными  данными для процесса служат SLA, содержащие требования безопасности, по возможности, дополненные документами, определяющими политику организации в этой области, а также другие внешние требования. Процесс также получает важную информацию, относящуюся к проблемам безопасности, из других процессов, например об инцидентах, связанных с ИБ.

     Выходные  данные включают информацию о достигнутой  реализации SLA вместе с отчетами о  нештатных ситуациях с точки  зрения безопасности, а также информацию о регулярных мероприятиях по улучшению  СУИБ. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

3. Информационная  система управления в гостиничном комплексе «АвтоДом»

     На  исследуемом нами предприятии, гостиничном  комплексе «АвтоДом» при огромно  наличии современных условий  для проживания постояльцев, при  наличии службы безопасности, совершенно не развита информационная система  управления.

     Для этого, нами был рассмотрен самый  современный вариант организации  информационной систему управления в современных условиях.

1. Общие положения

     Главная задача разработки концепции безопасности реализация условий, при которых  клиенты гостиницы и ее сотрудники могли бы чувствовать себя уверенно, спокойно и комфортно.

     Понятие безопасности включает в себя не только защиту от криминальных посягательств, но еще в большей степени создание предупредительных мер обеспечения  защиты от пожара, взрыва и других чрезвычайных происшествий.

     Эффективное решение этой проблемы требует системного подхода, основанного на анализе  функционирования объекта, выявления  наиболее уязвимых зон и особо  опасных угроз, составления всех возможных сценариев криминальных действий и выработке адекватных мер противодействия.

     Комплексный подход предусматривает оптимальное  сочетание организационных, технических  и физических мер предупреждения и своевременного реагирования на любую  опасную ситуацию. Ключевое значение приобретает правильный выбор технических средств и систем безопасности, их правильное проектирование, монтаж и обслуживание.

     Основными причинами, выводящими применение технических  средств на главенствующие позиции  среди мер обеспечения безопасности, являются:

• неподверженность (в отличие от людей) усталости, невнимательности, болезням, сиюминутным чувствам, погодным условиям;
• неподкупность, невозможность обмана, шантажа и запугивания;
• мгновенность реакции, точность выполнения заложенных функций.

     В современных условиях постоянного  роста преступности и осложнения криминогенной обстановки вопрос обеспечения  безопасности любого объекта выходит  на одно из первых мест. Преступный мир  проявляет интерес не только к  банкам, хранилищам ценностей, складам, но не оставляет без внимания и гостиницы как мелкие, так, в особенности, высококлассные гостиничные комплексы, Только создание эффективной, надежной и всесторонней системы безопасности позволит гостинице иметь имидж мирного доброжелательного дома, гарантирующего всем гостям спокойствие и уверенность в своей безопасности.

     Гостиницы, как объекты внедрения комплексных  систем безопасности, имеют некоторые  принципиальные отличия от промышленных или военных (режимных) объектов. Основными  из них являются:

• гостиница заинтересована в создании имиджа открытого дома с обеспечением режима наибольшего благоприятствования для максимального числа гостей, поэтому любые устройства безопасности не должны иметь устрашающего вида, но в то же время внушать гостю чувство личной безопасности и комфортности;
• гостиницы, как правило, находятся в городской черте, в среде активного движения транспорта и пешеходов;
• система прохода в гостиницу и в номера должна быть предельно простой и не создавать для гостя больших затруднений.

     Все это достигается путем осуществления  комплекса взаимосвязанных мер  по обеспечению безопасности, отвечающего современным международным стандартам, включая оснащение гостиничных зданий новейшими техническими средствами, проведение тактико организационных мероприятий.

     Традиционный  метод усиления безопасности путем  увеличения численности сотрудников не дает желаемого результата как из-за экономических соображений, так и малой эффективности такого подхода. Человек, несущий службу, подвержен утомляемости, невнимательности, не исключен сговор с преступниками, шантаж, запугивание и т. д.. Единственное, по нашему мнению, правильное решение вопроса безопасности использование системного, комплексного подхода, сочетающего в себе методы организационного, технического и физического характера в их правильном сочетании и разумном определении доли каждой составляющей.

     К организационным мерам относятся:

• специально разработанные системы регламентации поведения обслуживающего персонала и сотрудников, отвечающих за безопасность;
• проведение мер по специальной подготовке персонала службы безопасности;
• технология гостиничного обслуживания;
• принципы организации порядка доступа и охраны различных категорий гостиничных номеров и служебных помещений;
• регламентация действий сотрудников в экстремальных ситуациях.

     Система защиты информации

     Защите  подлежит следующая информация:

     информация о клиентах категории VIP - о факте прибытия и убытия, времени проживания, распорядке дня, посетителях и телефонных абонентах клиента;

     о содержании ведущихся клиентом переговоров ( в номере или в специально выделенных комнатах)

     информация, обрабатываемая с применением клиенту  или гостинице оргтехники (персональный компьютер, пишущая машинка, электронная  записная книжка и т.п.).

     Информация, обсуждаемая или обрабатываемая с применением технических средств  во время совещаний в специально выделенных помещениях.

     Коммерческая  тайна.

     Коммерческую  тайну о деятельности отеля могут  составлять сведения об отдельных финансовых показателях, о системе деловых  связей, сведения по клиентам, данные по кадрам, сведения по организации охраны и противопожарной безопасности.

     Защита  сведений, упомянутых в данном пункте, осуществляется посредством определенных организационно технических мероприятий. К организационным мерам следует отнести ограничение доступа к защищаемым сведениям и введение административной и правовой ответственности за их разглашение. Технические меры имеют целью исключить утечку защищаемых сведений по техническим каналам:

• за счет прослушивания по акустическим и виброакустическим каналам
• за счет побочных электромагнитных излучений и наводок технических средств связи, электропитания, радиотелевизионной приемной аппаратуры, электробытовых приборов, оргтехники и т.д.;
• по оптическому каналу;
• за счет средств несанкционированного съема информации (закладок).

     Технические меры защиты включают в себя:

• применение проектных решений, обеспечивающих требуемую звукоизоляцию ограждающих конструкций стен, полов потолков:
• оснащение окон защищаемых помещений защитными жалюзи, шторами, пленкой;
• использование сертифицированных средств технической защиты от побочных радиоизлучений
• периодическую проверку защищаемых помещений и установленных в них средств на отсутствие закладок.

     Реализованные меры защиты от утечки информации отражаются в аттестате помещения, который  при необходимости выдается клиентам категории VIP, а также представителям организаций, ответственным за проведение конфиденциальных мероприятий в специально выделенных помещениях.

     Эффективное информационное обеспечение с адекватной защитой информации важно для  организации по ряду причин. Во-первых, эффективное функционирование организации возможно только при наличии доступа к точной и полной информации. Уровень ИБ должен соответствовать этому принципу. Во-вторых, в результате деятельности организации создаются продукты и услуги, которые доступны рынку или обществу и нужны для выполнения определенных задач. Неадекватное информационное обеспечение влечет производство некачественных продуктов и услуг, которые не могут использоваться для выполнения соответствующих задач и ставят под угрозу существование организации или безопасность зависящих от нее процессов. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

4. Выводы и рекомендации 

     Анализ  состояния дел в области информационной безопасности показывает, что в ряде развитых государств сложилась и  успешно функционирует вполне устоявшаяся инфраструктура системы информационной безопасности СИБ, т.е. системы мер, обеспечивающей такое состояние конфиденциальной информации, при котором исключаются ее разглашение, утечка, несанкционированный доступ (внешние угрозы), а также искажение, модификация, потеря (внутренние угрозы).

     Безопасность  и защита данных являются неотъемлемой частью функционирования как систем управления контентом, так и решений  для управления электронными документами. Система управления контентом отслеживает, какой пользователь обращался к определенному документу, какие изменения внес в него, появилась ли новая версия этого документа. Безопасность здесь осуществляется на уровне доступа авторизованного пользователя.

       Система управления электронными  документами должна отвечать строгим стандартам работы с информацией, принятым законодательно, но в России отдельного положения в этой области не существует. На данный момент разработчики руководствуются некоторыми западными требованиями, в частности, разработанным американским Министерством обороны стандартом Department of Defense 5015.2 regulations (DoD 5015.2) или более популярным в Европейском Союзе стандартом MoReq2. В России регуляторы предлагают участникам рынка также ряд ГОСТов, охватывающих основные аспекты работы с информацией: ГОСТ Р ИСО 15489-1-2007, ГОСТ Р ИСО/МЭК 17799-2005, ГОСТ Р ИСО/МЭК 27001-2006.

     Безопасность  СЭД – внутренняя проблема пользователей 

     Современные системы ЕСМ/СЭД безопасны ровно  настолько, насколько высока культура обращения с документами в организации, полагают опрошенные CNews эксперты. Пока документ, над которым ведется работа, размещен внутри защищенной среды СЭД, он в относительной безопасности. Когда сотрудники, находящиеся в конечных точках, придерживаются четко разработанной инструкции по работе с электронной документацией, компании следует перенести основную заботу о безопасности на защиту внешнего периметра сети. Александр Бейдер, директор по развитию направления ECM компании Terralink, считает, что современные СЭД более чем просто безопасны. «В случае, если работа с документами в организации происходит целиком в рамках промышленной ECM-системы, то отпадает даже необходимость в использовании ЭЦП. Проблемы возникают, когда пользователи начинают использовать электронную почту, печатать, копировать документы и/или пересылать их во внешние организации, – говорит он. – Призывы к культуре, лояльности и прочие воспитательно-полицейские мероприятия в этих случаях всегда обречены на провал. Нарушения всегда имеют место либо случайно, либо в результате злонамеренных действий пользователей».