Автоматизированные системы управления в менеджменте

Оглавление

 

Введение 2

Виды угроз  информации 3

Способы защиты информации 5

Этапы создания системы защиты информации 7

Результат разработки системы защиты информации. 7

Заключение 10

Источники инфромации 12

 

 

Введение

В информационных системах гостиничного бизнеса обрабатываются конфиденциальные данные клиентов и сотрудников, включая  почтовые адреса, номера контактных телефонов, адреса электронной почты, данные кредитных  и дебетовых карт. По этой причине  гостиничный сектор, как и многие другие виды бизнеса, остается одной  из мишеней киберпреступников: на него приходится 15% от общего числа случаев утечки данных.

Одна из часто используемых хакерских  техник – это атаки через Интернет на приложение, к которому имеется  удаленный доступ. организации этой отрасли используют многочисленные внутренние или внешние каналы связи  с сотрудниками и ИТ-специалистами. Такие системы часто реализованы  без парольной защиты или с  легко угадываемыми паролями и, значит, плохо защищены от внешних атак.

Также хакеры компрометируют веб-серверы  и размещают на них вредоносный  контент, что позволяет заражать компьютеры клиентов, посещающих туристические  веб-сайты для выполнения онлайн-бронирования и других задач. Это ведет к  потере репутации туристической  организации.

Как правило, эти мошенничества  совершаются через Интернет или  электронную почту. Мошенничество  с кредитными картами - один из наиболее распространенных видов преступлений, с которым сталкиваются предприятия, обрабатывающие финансовые данные клиентов.

Большинство руководителей предприятий  гостиничного сектора понимают важность поддержания высокого уровня информационной безопасности, с ростом киберпреступности степень этой осведомленности растёт, и руководители гостиничных компаний стали с большей ответственностью подходить к обеспечению информационной безопасности, как одной из главных задач.

 

Виды угроз информации

 

Под угрозой безопасности информации обычно понимаются события или действия, которые могут привести к искажению, несанкционированному использованию или даже к разрушению информационных ресурсов управляемой системы, а также программных и аппаратных средств.

Воздействия на нее могут носить случайный характер. Поэтому среди угроз безопасности информации следует выделять как один из видов угрозы случайные, или непреднамеренные. Их источником могут быть выход из строя аппаратных средств, неправильные действия работников, непреднамеренные ошибки в программном обеспечении и т.д. Такие угрозы тоже следует держать во внимании, так как ущерб от них может быть значительным. Однако, наибольшее внимание уделяется угрозам умышленным, которые в отличие от случайных преследуют цель нанесения ущерба управляемой системе или пользователям. Это делается нередко ради получения личной выгоды.

Внешние угрозы могут определяться злонамеренными действиями конкурентов, экономическими условиями и другими  причинами (например, стихийными бедствиями). По данным зарубежных источников, получил  широкое распространение промышленный шпионаж — это наносящие ущерб владельцу коммерческой тайны незаконные сбор, присвоение и передача сведений, составляющих коммерческую тайну, лицом, не уполномоченным на это ее владельцем.

К основным угрозам безопасности информации относятся:

• утечка конфиденциальной информации;

• компрометация информации;

• несанкционированное использование  информационных ресурсов;

• ошибочное использование  информационных ресурсов;

• несанкционированный обмен  информацией между абонентами;

• нарушение информационного  обслуживания;

• незаконное использование  привилегий.

Наиболее распространенными  путями несанкционированного доступа  к информации являются:

• перехват электронных  излучений;

• применение подслушивающих устройств (закладок);

• дистанционное фотографирование;

• перехват акустических излучений  и восстановление текста принтера;

• чтение остаточной информации в памяти системы после выполнения санкционированных запросов;

• копирование носителей  информации с преодолением мер защиты

• маскировка под зарегистрированного  пользователя;

• маскировка под запросы  системы;

• использование программных  ловушек;

• использование недостатков  языков программирования и операционных систем;

• незаконное подключение  к аппаратуре и линиям связи специально разработанных аппаратных средств, обеспечивающих доступ информации;

• злоумышленный вывод  из строя механизмов защиты;

Перечисленные пути несанкционированного доступа требуют достаточно больших  технических знаний и соответствующих  аппаратных или программных разработок со стороны взломщика, однако есть и достаточно примитивные пути несанкционированного доступа:

• хищение носителей информации и документальных отходов;

• склонение к сотрудничеству со стороны взломщика; 

• выпытывание;

• подслушивание, наблюдение и другие пути.

Любые способы утечки конфиденциальной информации могут привести к значительному  материальному и моральному ущербу как для организации, где функционирует  ИС, так и для ее пользователей.

Способы защиты информации

 

 

Учитывая привлекательность  туристского бизнса для мошенников, необходимо правильно выбрать решение информационной безопасности, удовлетворяющее всем потребностям организации. Оно должно обеспечивать многоуровневую продуманную защиту в режиме реального времени от любых возможных угроз.

Необходимо, чтобы такое  решение включало брандмауэр, который  эффективно фильтрует входящий и  исходящий трафик сети. Также нужна  функция контроля доступа к сети для предотвращения подключения  неавторизованных устройств.

Кроме того, выбранное решение  должно производить мониторинг сети в режиме реального времени, идентифицировать вредоносные программы и уведомлять администратора об их появлении, предотвращать распространение вредоносного программного обеспечения по сети.

Но скорее всего, некоторых  технических решений может быть недостаточно – необходимо также обучение сотрудников предприятия мерам информационной безопасности, а также предотвращение промышленного шпионажа (предоставление работникам только необходимой для его работы информации, отслеживание потоков информации), ограничение использования физических носителей информации и т.д.

Не существует надежного  способа устранения рисков, универсального для всех предприятий. Однако есть ряд  основных мер, которые должны быть предприняты, чтобы предупредить финансовые и  репутационные потери компании:

• Использование закрытых сетей (без доступа к внешним сетям за исключением интрасети и внутренней почты). Особое внимание следует уделить обеспечению закрытости внутренних Wi-Fi-сетей отеля;
• Ограничение использования сотрудниками внешних устройств, таких как флеш-карты и USB-модемы;
• Соблюдение норм и стандартов информационной безопасности, например, стандарта безопасности данных в индустрии платежных карт PCI-DSS;
• Централизованное управление ИТ-инфраструктурой и ИТ-безопасностью, соблюдение политик информационной безопасности, в том числе своевременная установка исправлений и патчей, регулярное обновление антивирусных баз, ограничение доступа к ресурсам и контроль приложений.

 

Этапы создания системы защиты информации

 

 

Независимо  от выбранного варианта создания СЗИ, процесс разработки системы защиты информации выполняется в три последовательных этапа:

1. Разработка требований к СЗИ.

Требования  определяются с учетом выявленных на этапе обследования несоответствий требованиям стандарта PCI DSS и включает в себя комплекс технических и организационных мер, позволяющих привести информационную систему (ИС) Заказчика в соответствие требованиям стандарта.

2. Выбор необходимых средств защиты информации, обеспечивающих выполнение требований стандарта.

На данном этапе проводится выбор и согласование с Заказчиком средств защиты для обеспечения соответствия PCI DSS, а также специфичным требованиям заказчика с учетом принятых компенсационных мер.

3. Разработка проектной документации.

С учетом всей информации, которая была получена на предыдущих этапах, разрабатывается проектная документация с описанием реализации системы защиты. Она включает в себя всю информацию по внедряемому оборудованию, различным используемым техническим средствам и методику проведения испытаний.

Результат разработки системы защиты информации.

В результате проведения разработки СЗИ  Заказчик получает полный набор проектной  документации, необходимой для проведения качественного внедрения средств  защиты информации:

• Техническое задание на создание СЗИ.
• Технический проект СЗИ, включающий в себя:
• ведомость технического проекта;
• пояснительную записку;
• спецификацию оборудования;
• описание комплекса технических средств;
• программу и методику проведения испытаний.

Процесс внедрения включает в себя следующие работы:

• Монтаж оборудования
• Установка и настройка программного обеспечения.
• Разработка рабочей и эксплуатационной документации.
• Пусконаладочные работы.
• Предварительные испытания.

В результате внедрения  средств защиты Заказчик получает систему  защиты:

• полностью настроенную и развернутую на объектах работы с платежными картами;
• способную обеспечивать высокий уровень безопасности обработки и хранения данных платежных карт и их держателей;
• готовую к проведению сертификации на соответствие требованиям  

Рассуждая о незащищенности информационных потоков следует  помнить о том, что злоумышленником  может быть не только посторонний  человек, но и сам сотрудник гостиницы. Мы ни в коем случае не призываем  подозревать всех и каждого и  сканировать отпечатки пальцев  при приеме на работу. Однако, как  известно, бдительность не бывает излишней. Существует масса примеров, когда  сотрудники, имеющие доступ к номерам  кредитных карт в отеле, использовали их в своих личных целях. Гостиница  – не банк, и сотрудники не проходят специализированного тестирования, которое может предотвратить  подобные эксцессы. Наибольший риск неправомерного использования личной информации гостей, как правило, исходит от службы размещения, а также от сотрудников, проводящих ночной аудит. Они имеют постоянный открытый доступ к номерам кредитных карт и личной информации гостей. Задача руководства отеля не пытаться отслеживать несанкционированное использование данных – это более чем сложно, а предотвращать его. Это может быть не постоянный, но неожиданный аудит начислений гостя, проведение бесед с персоналом. Кроме того, важно донести до сотрудников понятие корпоративной этики, которая регламентирует действия персонала в отношении гостя и его личных данных.

 

Заключение

 

Защита информации – серьезная  и глубокая тема, по которой написана не одна книга. Говоря о защите информации в отеле, следует заметить, что  Ваши сотрудники могут быть ответственными и честными (мы надеемся, что это  именно так), однако косвенно могут  дать возможность преступнику использовать информацию в его собственных  целях. Так оставленные в корзине  и не уничтоженные отчеты по данным о проживающих легко могут  попасть в руки охотнику за информацией. Следует помнить, что все отчеты, списки, таблицы и иные документы, хранящиеся в отеле должны быть либо уничтожены, либо храниться в недоступном  для посторонних месте. В любом  бизнесе неоднократно возникали  ситуации, когда выброшенный в  мусорную корзину документ впоследствии становился инструментом для преступной деятельности. И если в офисах классических компаний существует пропускная система, то в отель имеет доступ практически  любой.