Открытый ключ, наоборот, должен быть доступен всем, с кем данный корреспондент намерен обмениваться информацией, заверенной личной подписью. Например, он может храниться на каком-нибудь разделяемом ресурсе [28].

Схема электронной подписи обычно включает в себя:

алгоритм генерации ключевых пар пользователя;

функцию вычисления подписи;

функцию проверки подписи.

Функция вычисления подписи на основе документа и секретного ключа пользователя вычисляет собственно подпись. В зависимости от алгоритма функция вычисления подписи может быть детерминированной или вероятностной. Детерминированные функции всегда вычисляют одинаковую подпись по одинаковым входным данным. Вероятностные функции вносят в подпись элемент случайности, что усиливает криптостойкость алгоритмов ЭЦП. Однако, для вероятностных схем необходим надёжный источник случайности (либо аппаратный генератор шума, либо криптографически надёжный генератор псевдослучайных бит), что усложняет реализацию.
Функция проверки подписи проверяет, соответствует ли данная подпись данному документу и открытому ключу пользователя. Открытый ключ пользователя доступен всем, так что любой может проверить подпись под данным документом.

Возможные атаки на ЭЦП:

подделка подписи;

получение фальшивой подписи, не имея секретного ключа -- задача практически нерешаемая даже для очень слабых шифров и хэшей;

подделка документа (коллизия первого рода).

Злоумышленник может попытаться подобрать документ к данной подписи, чтобы подпись к нему подходила. Однако в подавляющем большинстве случаев такой документ может быть только один. Причина в следующем:

документ представляет из себя осмысленный текст;

текст документа оформлен по установленной форме;

документы редко оформляют в виде Plain Text -- файла, чаще всего в формате DOC или HTML.

Для реализации в прикладном программном обеспечении функций криптографической защиты информации (применения электронной цифровой подписи (ЭЦП) и шифрования) используются различные программные системы. Рассмотрим наиболее известную из них - систему криптографического обеспечения «КАРМА» («Электронные офисные системы»).

«КАРМА» - простая в управлении, многофункциональная система. Она может не только работать с ЭЦП и сертификатами, но и шифровать и расшифровывать данные, добавлять в состав подписи графические изображения. «КАРМА» позволяет не только использовать весь функционал электронной цифровой подписи, существенно расширять возможности ее применения, но и делает это максимально просто [29].

Главным достоинством системы криптографической защиты «КАРМА» является то, что она берет на себя сложные и требующие определенных знаний и квалификации функции общения со средствами криптографической защиты информации (СКЗИ) и хранилищами сертификатов.

Уникальная особенность системы криптографической защиты «КАРМА» - возможность добавления в состав электронной цифровой подписи факсимиле - изображения собственноручной подписи. Эти факсимиле можно использовать в электронном документе на тех же местах, в которых на бумаге ставятся подписи. Такая подпись будет надежно защищена от подделок, а выглядеть будет так, как на привычном бумажном документе. Такой документ будет не только скреплен малопонятной и «невидимой» человеку ЭЦП, но и «живой» подписью, введенной при помощи сенсорного экрана планшетного устройства. Электронный документ будет выглядеть также как и в бумажном виде.

Использование ЭЦП также может быть интегрировано в систему электронного документооборота. Например, в систему «ЕВФРАТ-документооборот» входит модуль «Настройка ЭЦП» -- средство настройки электронно-цифровой подписи [30].

коммерческий тайна достоверность информация

2. Анализ обеспечения достоверности и защиты информации в ООО «Тисм-югнефтепродукт»

2.1 Анализ деятельности ООО «Тисм-Югнефтепродукт»

Общество с ограниченной ответственностью «Тисм-Югнефтепродукт» является коммерческой организацией - хозяйственным обществом, зарегистрированным по адресу: 353240, Краснодарский край, Северский район, ст.Северская, ул. Ленина, д. 43. Общество в своей деятельности руководствуется действующим законодательством Российской Федерации и Уставом Общества.

Основной целью деятельности Общества является организация рентабельной деятельности и получение прибыли, используемой в интересах Участников, а также для развития Общества, расширения сферы его деятельности и укрепления финансового положения.

Миссии компании: организовывать для лиентов бесперебойные поставки любых нефтепродуктов. Стать образцом высокого качества обслуживания и скорости работы. Давать сотрудникам компании возможность реализовывать свои устремления и мечты.

Ценности компании:

- профессионализм,

- нацеленность на результат,

- порядочность,

- честность,

- командность,

- уважение к традициям,

- взаимопомощь,

- ответственность,

- инициативность,

- доброжелательность,

- здоровый образ жизни.

Данные ценности это свод принципов, на основании которых руководители будут ставить цели, и определять, достигнуты ли они. Эти ценности лежат в основе взаимоотношений между сотрудниками.

Ассортимент продаваемой продукции постоянно расширяется. Сейчас, помимо отечественных нефтепродуктов, компания начала реализовывать импортные. В 2009 году компания запустила направление по светлым нефтепродуктам (в частности по дизельному топливу).

Также в 2009 году «Тисм-Югнефтенродукт» получил лицензию на утилизацию отработанных нефтепродуктов, и в данное время это направление деятельности развивается, и вскоре будет занимать значимое место в общем обороте компании. Таким образом, на сегодняшний день можно выделить основные направления деятельности компании, представленные на рисунке 7. Основным видом деятельности организации согласно Устава является деятельность агентов по торговле топливом.

Рисунок 7 - Основные направления деятельности компании ООО «Тисм-Югнефтепродукт»

По мере развития компания открывала различные территориальные подразделения. В настоящее время действуют 3 подразделения:

1. Краснодарское обособленное подразделение ООО «Тисм-Югнефтепродукт», зарегистрированное по адресу: 350059, г. Краснодар, ул. Уральская, 116.

2. Кропоткинское обособленное подразделение ООО «Тисм-Югнефтепродукт», зарегистрированное по адресу: 352380, г. Кропоткин, ул. Шоссейная, 16.

3. Тимашевское обособленное подразделение ООО «Тисм-Югнефтепродукт», зарегистрированное по адресу: 352700, г. Тимашевск, ул. Строителей, 3.

Данное распределение филиалов очень выгодно:

- В каждом подразделении на одной территории функционируют офис и склад. Все вопросы по качеству, подбору, замене товара и дальнейшем сотрудничестве можно решить с менеджером во время выборки оплачено товара со склада поставщика.

- Клиентам, осуществляющим свою деятельность в Кавказском, Тимашевском и близлежащих районах, удобней осуществлять работу по документам и забирать товар.

- В Кавказском и Тимашевском районах отсутствуют филиалы компаний-конкурентов, что в значительной степени облегчает работу менеджеров подразделений ООО «Тисм-Югнефтепродукт».

Численность персонала предприятия: директор, заместитель директора по общим вопросам, бухгалтерия (6 человек), специалист по найму и обучению персонала, специалист по закупкам, уборщица, IT-отдел (2), директора ОСП (3), транспортный отдел (4), всего в филиалах - в коммерческом отделе работают 9 человек, на сладах - 7, в отделе металлоизделий задействовано 5 человек. В общей сложности в организации числится 43 человека.

На данный момент организация столкнулась с проблемой - текучестью кадров в коммерческом отделе. Основные причины:

- Плохая адаптация или ее отсутствие у сотрудников на испытательном сроке. Через отдел продаж ежедневно проходит огромный поток информации, большинство решений необходимо принимать оперативно и по возможности точно, каждая ошибка менеджера стоит денег для компании. Вновь прибывшие работники не успевают справляться с объемами информации и не проходят испытательный срок.

- Перспектива получения более высокой зарплаты. Управление продажами является одним из наиболее высокооплачиваемых должностей в Краснодаре. Сотрудник, проработавший на фирме год и более и получивший значительный опыт в сфере продаж, может рассчитывать на получение должности в другой фирме на лучших условиях.

- Отсутствие карьерного роста. В коммерческом отделе существуют должности: помощник менеджера, менеджер и начальник отдела продаж. Промежуточных должностей между двумя последними не существует, работник, пришедший на место менеджера, останется на этой должности на все время работы в компании.

Организационная структура ООО «Тисм-Югнефтепродукт» представлена на рисунке 8.

Представленная организационная структура является дивизионной. Дивизионный подход к организационной структуре характеризуется тем, что высший уровень в организации (директор) централизует планирование и распределение основных ресурсов, принимает стратегические решения, в то время, как подразделения принимают оперативные решения и ответственны за получение прибыли.

В целом, дивизиональная схема в построении организации позволяет последней продолжать свой рост и эффективно осуществлять управление разными видами деятельности и на разных рынках [31]. В нашем случае, управление осуществляется на двух очень развитых и объемных рынках - рынке металлоизделий и рынке нефтепродуктов, в последнем свою очередь автономизированы три региональные подразделения.

Директор ООО «Тисм-Югнефтепродукт» действует на основании Устава, приложение А. Директоры структурных подразделений действуют на основании доверенностей.

Рисунок 8 - Организационная структура ООО «Тисм-Югнефтепродукт»

Компания является дилером ОАО «Лукойл» по продукции секторов В2В и В2С. Кроме того наиболее крупными поставщиками «Тисм-Югнефтепродукт» являются:

- ОАО «НК «Роснефть»

- «Шелл Трейдинг Раша Б.В.»

- Корпорация «ЭксонМобил»

- ООО «ТД« Агринол »

- ПАО «АЗМОЛ»

- ЗАО «Краснодарский нефтеперерабатывающий завод - Краснодарэконефть»

В настоящее время «Тисм-Югнефтепродукт» является одной из наиболее крупных компаний по объемам продаж в Краснодарском крае, занимающихся смазочными материалами, техническими жидкостями и смазками. Основными конкурентами компании являются:

- ООО «ЮГТЕХМАС» (Мир Масел и Смазок);

- ТТК «Ривьера»;

- ООО «СмазОйл»;

- ООО «СуперОйл»;

- ООО «СК-Авто»;

- ООО «Чайка»;

- ООО «ЭлитОйл».

Проанализировав деятельность ООО «Тисм-Югнефтепродукт» были выявлены слабые и сильные стороны организации.

Сильные стороны:

- Хорошие рыночные позиции, выражающиеся в высокой рыночной доле при постоянном росте продаж, удачном расположении офиса и склада, высоком уровне знания бренда при сохраняющейся рекламно-маркетинговой активности и в целом позитивном имидже компании в глазах целевой аудитории.

- Надежность, обусловленная успешной деятельностью компании в течение более десяти лет, кредитной историей и устойчивыми финансовыми показателями.

- Профессионализм команды менеджеров при регулярном повышении квалификации сотрудников.

- Диверсификация и развитие дополнительных бизнесов.

Слабые стороны:

- Дублирование функций на разных уровнях управления в подразделениях (продуктовых и территориальных), что приводит повтору выполняемых работ и росту общеорганизационных и накладных расходов, плохому взаимодействию при решении вопросов, волоките.

- Отсутствие (недостаточность) проактивного поведения, стратегического мышления.

- Недостаточно быстрая реакция на запросы рынка.

- Возможность утечки информации, составляющей коммерческую тайну, отсутствие оперативного управленческого учета.

В области документационного и информационного обеспечения существуют следующие проблемы функционирования:

- Разрозненность мест хранения и отсутствие резервного копирования файлов. Подразделения ведут документацию по сделкам самостоятельно и раз в месяц передают все накопившиеся документы в бухгалтерию головной организации. Часто происходит потеря документов, или из-за неоперативного ответа бухгалтерии проблемы по оформлению документов так и остаются нерешенными.

- В связи с удаленностью доступа и качеством Internet-соединения на территории подразделений происходят сбои в работе автоматизированной программы, что приводит к сбою нумерации документов или и вовсе останавливает работу по выписке документов.

- Отсутствие единого электронного хранилища документов приводит к утере и длительному поиску документов.

- Неполное и (или) ненадежное документирование своей деятельности подразделениями.

Для анализа ООО «Тисм-Югнефтепродукт» были использованы данные на конец периода за 2010, 2011, 2012 года. Уставный капитал компании по состоянию на 1 июля 2012 года - 101 000 руб. Рассмотрим основные технико-экономические показатели по итогам работы ООО «Тисм-Югнефтепродукт» за 3 года, представленные в таблице 4.

Таблица 4 - Основные технико-экономические показатели по итогам работы ООО «Тисм-Югнефтепродукт» за 2010, 2011, 2012 года.

Показатель	2010 г.	2011 г.	2012 г.	Темп роста
				2011 к 2010г.	2011 к 2012г.
1. Выручка от реализации товара, тыс.руб.	198 560	238 040	247 840	119,8	104,1
2. Себестоимость реализации, тыс.руб.	178 320	213 010	221 280	119,5	103,9
3. Валовая прибыль, тыс.руб.	20 240	25 030	26 560	123,7	106,1
4. Среднесписочная численность работников, чел.	42	43	43	102,4	100,0
7. Фонд заработной платы, тыс.руб.	659,4	791,2	851,4	119,9	107,6
8. Среднемесячная зарплата, руб.	15 700	18 400	19 800	117,2	107,6
9. Чистая прибыль (убыток) от хозяйственной деятельности, руб.	876 149	836 249	485 000	95,4	58
10. Дебиторская задолженность, руб.	1 605 735	2 228 541	1 622 000	138,8	72,8
11. Кредиторская задолженность, руб.	1 601 145	1 872 150	2 168 000	116,6	115,8

Данные, представленные в таблице, характеризуют работы предприятия следующим образом:

- судя по показателям выручки от реализации продукции, наиболее удачным был 2012 год;

- аналогично выручке от продажи меняется и себестоимость услуг;

- необходимо отметить, что с увеличением темпа роста себестоимости в возрастает темп роста выручки от реализации услуг, что является положительным моментом в работе предприятия;

- среднемесячная заработная плата постепенно увеличивается;

- как отрицательный факт в работе ООО ООО «Тисм-Югнефтепродукт» нужно отметить увеличение дебиторской и кредиторской задолженности в общей тенденции.

В общем, можно охарактеризовать динамику всех показателей на протяжении 3-х лет как положительную.

2.2 Анализ правового обеспечения защиты информации в организации

Нормативно-методическая база делопроизводства - это совокупность законов, нормативных правовых актов и методических документов, регламентирующих технологию создания, обработки, хранения и использования документов в текущей деятельности учреждения, а также регламентирующие работу службы делопроизводства - ее структуру, функции, штаты, техническое обеспечение и некоторые другие аспекты [32].

В настоящее время регламентация документирования, достоверности и защиты документационного обеспечения управления ведется в нескольких направлениях: законодательное регулирование, стандартизация, разработка нормативных и нормативно-методических документов общегосударственного действия.

Высшей правовой значимостью обладают законы Российской Федерации.

В своей деятельности ООО «Тисм-Югнефтепродукт» руководствуется Конституцией Российской Федерации, федеральными законами и иными нормативными правовыми актами Краснодарского края.

Федеральный закон Российской Федерации «Об информации, информационных технологиях и о защите информации» закрепил обязательность документирования информации, установил ряд терминов (информация, информатизация, информационные ресурсы, документированная информация и др.), урегулировал отношения, возникающие при создании и использовании информационных технологий, установил обязательность предоставления информации государственным органам [33].

Принципы управления документами в равной степени применимы к документам на различных носителях, независимо от способа доставки документов. Это особенно важно, т.к. в России наблюдается переход от традиционного бумажного документооборота идет не к электронному, а к смешанному документообороту.

Законодательными актами Российской Федерации регулируются требования к документам, пересылаемым с помощью разнообразных средств связи (почта, телеграф, факсимильные и электронные сообщения), требования к защите информации на разных стадиях ее создания и хранения, приданию документам официальности (юридической силы). В них также содержатся основы регулирования процессов информатизации. Законом установлены право собственности на отдельные документы и массивы документации, категории информации по уровням доступа к ней [34].

Вся информация в компании ООО «Тисм-Югнефтепродукт» защищена в соответствии со степенью ее важности и конфиденциальности. Никогда и ни при каких условиях сотрудники не должны использовать в своих целях или в целях третьих лиц закрытую информацию, полученную во время работы в Компании.

К организационным мероприятиям по защите информации относится разграничение прав доступа в помещения и к информации. Это серия мероприятий, основанных на различных документах. В «Тисм-Югнефтепродукт» применяются регламенты, порядок доступа в помещения и к ресурсам, должностные инструкции и т.п. Главное правило во всех этих документах одно - каждый сотрудник должен иметь доступ только к той информации, которая ему необходима для исполнения своих служебных обязанностей. В соответствии с этим разграничивается доступ в помещения, к компьютерным и сетевым ресурсам, программному обеспечению.

Часть информации, к которой имеют доступ сотрудники компании, является конфиденциальной. Компания четко регламентирует то, какая именно информация является конфиденциальной, и доводит это до сведения сотрудников. Поступая на работу, сотрудники принимают на себя обязательства не разглашать информацию, являющуюся коммерческой тайной. Данное условие имеет юридическую силу после подписания сотрудниками «Соглашения о неразглашении коммерческой тайны», приложение Б, составленного юристами компании. Настоящее Соглашение вступает в силу с момента его подписания и действует в течение 3 (Трех) лет с момента прекращения трудового договора с работником.

Под коммерческой тайной в настоящем Соглашении понимается режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду.

Информация, относящаяся к коммерческой тайне, определена в Перечне сведений, на которые распространяется режим коммерческой тайны. К конфиденциальной информации ООО «Тисм-Югнефтепродукт» согласно данному перечню относятся сведения:

1) Территория маслохранилищ

- сведения о структуре производства, типе и размере резервуарного парка, производительности насосного и другого технического оборудования.

2) Управление

- сведения об организационной и функциональной структуре управления предприятием.

3) Планы

- сведения о планах инвестиций, закупок и продаж.

4) Совещания

- сведения о целях, рассматриваемых вопросах, результатах, фактах проведения совещаний на предприятии.

5) Рынок

- сведения о результатах изучения рынка, о рыночной стратегии предприятия, сведения об эффективности коммерческой деятельности предприятия.

6) Партнеры

7) Переговоры

- сведения, о получаемых и прорабатываемых предложения, о сведения о сроках, месте, предмете переговоров, уровень предлагаемых цен.

8) Контракты

- условия коммерческих контрактов с другими предприятиями.

9) Цены

- сведения о методах расчетов, структуре, уровне цен на продукцию и размерах скидок.

10) Программные продукты

- сведения о применяемых предприятием оригинальных программных продуктах.

11) Безопасность

- сведения о порядке и состоянии организации охраны, пропускном режиме, системе сигнализации и видеонаблюдения; сведения, составляющие коммерческую тайну предприятий.

12) Оплата труда

- сведения о системе оплаты, структуре, размерах, сроках и способах получения заработной платы.

При сотрудничестве с клиентами, поставщиками и другими внешними компаниями сотрудники должны выступать от лица компании и только в ее целях (а не личных). У сотрудников, так и у их ближайших родственников не должно быть личных финансовых интересов в какой-либо организации, сотрудничающей или конкурирующей с компанией «Тисм-Югнефтепродукт», если эти финансовые интересы приведут к какому-либо конфликту интересов, или создадут конфликт интересов с компанией.

Если сотрудник совмещает трудовую деятельность в Компании с работой в другой организации, то его дополнительная трудовая деятельность:

- Не может осуществляться в компании, которая является конкурентом «Тисм-Югнефтепродукт».

- Может осуществляться только в свободное от выполнения основных служебных обязанностей время.

- Не должна негативно влиять на выполнение его основных обязанностей.

- Не должна наносить ущерб репутации или материальным интересам компании.

- Не противоречит положениям Соглашения о неразглашении коммерческой тайны.

- Должна быть известна непосредственному руководителю.

Таким образом, в разработанных документах для защиты информации, используемых в работе «Тисм-Югнефтепродукт», содержится значительное количество обязательных для исполнения норм, правил и требований к документированию различных направлений деятельности подразделений. А в действующем законодательстве, задействованном в работе компании, содержатся требования к оформлению тех или иных видов документов, их содержанию, структуре текста, а также по защите информации. Специалисты в области делопроизводства должны знать действующее законодательство страны и следить за его изменениями, так как эти знания составляют одно из важнейших профессиональных качеств, без которого невозможно заниматься делопроизводством на современном уровне.

Можно сделать вывод, что нормативное обеспечение документооборота включает в себя всю совокупность нормативных, организационно-правовых, регламентирующих документов, определяющих порядок работы аппарата управления, соблюдение требований которых необходимо как для организации эффективной управленческой деятельности в целом, так и для достижения высокой исполнительской дисциплины в частности.

2.3 Исследование системы защиты информации в учреждении

Документооборот в организации осуществляется в виде потоков документов, циркулирующих между пунктами обработки информации (руководители, специалисты, служащие) и пунктами технической обработки (бухгалтерия). Существуют три основных потока документов: входящий, исходящий, внутренний.

В организации прием входящих документов осуществляет помощник менеджера (по сути исполняющий функции секретаря), рассматривает прибывшую корреспонденцию и сортирует документы по отделам, предварительно вносит сведения о документе в журнал входящей корреспонденции и присваивает входящий номер. В отделах документы распределяются между исполнителями.

Входящие документы в день поступления разделяют на документопотоки, направляемые руководителям, в структурные подразделения и отдельным исполнителям.

Исходящие документы формируются в подразделениях. Проект документа составляется исполнителем и согласовывается с заинтересованными должностными лицами или структурными подразделениями. Исполнитель проверяет его содержание, приложения к документу. Сотрудники бухгалтерии проверяют правильность оформления, наличие необходимых реквизитов.

Контроль исполнения документов в учреждении осуществляет директор подразделения. В контроль исполнения документов входит:

- постановка документа на контроль,

- проверка своевременного доведения документов до исполнителей,

- предварительная проверка и регулирование хода исполнения,

- учет и обобщение результатов контроля, исполнения документов,

- информирование руководителя по результатам исполнения особо важных документов.

Сроки исполнения устанавливаются директором подразделения.

Каждый документ в организации регистрируется в день поступления, а создаваемые - в день подписания или утверждения.

В «Тисм» используется журнальная регистрация корреспонденции. Все журналы имеют номера по номенклатуре дел. При регистрации документ получает свой порядковый номер, который проставляется на документе.

Наиболее распространенными внутренними документами являются:

1. Распоряжения Директора обособленного структурного подразделения.

Создаются для решения оперативных задач и прояснения спорных вопросов, подписываются всеми менеджерами при ознакомлении.

2. ЗРС (Законченная Работа Сотрудника).

Является аналогом служебной записки, включает в себя следующие поля:

- кому, от кого, дата;

- ситуация (проблема);

- данные (факты);

- решение (предложения сотрудника по решению ситуации, проблемы, сроки; ответственное лицо на период отсутствия, его подпись).

Для обеспечения безопасности на территории ООО «Тисм-Югнефтепродукт» ведется видеонаблюдение, а именно в охранном пункте, на территории базы и в коммерческом отделе. На въезде на территорию базы компании организован контрольно-пропускной пункт, попасть на территорию можно лишь при предъявлении пропуска. Например, при поступлении товара на склад происходит следующее:

1. Представителю поставщика передается копия товарной накладной, бланк сдачи товара на склад (в нем проставляется номер и дата товарной накладной) и пропуск на въезд на территорию склада.

2. После выгрузки товара представитель поставщика возвращается в офис с подписанным кладовщиком бланком сдачи товара на склад.

3. Поставщику передаются документы, предварительно проверенные бухгалтерией и заверенные директором подразделения.

4. На основании полученных документов составляется акт согласования, который включает в себя:

- номер и дату товарной накладной,

- дату фактического прибытия товара на склад,

- наименование поставщика,

- условия и стоимость доставки,

- расчетно-закупочные и продажные цены на товар,

- ГТД на импортную продукцию.

5. Данное согласование составляет и подписывает директор подразделения, подкрепляет бланком сдачи товара на склад и передает в бухгалтерию.

6. Бухгалтерия вносит все данные в информационную систему («1С:Предприятие 8»).

Помещения, в которых обрабатывается, либо хранится значимая для организации информация, имеют надежные стены, пол, потолок, окна и двери. В нерабочее время (ночь, выходные, праздники), данные помещения надежно закрыты и сданы под охрану. Доступ посторонним лицам (в том числе и сотрудникам организации) в данные помещения и на территорию базы запрещен.

Кабинеты оснащены системами пожарного оповещения. При этом системы пожарной сигнализации выведены на пульт охраны. Помещения, в которых хранится либо обрабатывается значимая для организации информация, оснащены системами контроля доступа. Чтобы попасть из коммерческого отдела в другие отделы организации, например в бухгалтерию, необходимо набрать цифровой код на магнитном замке двери.

К основным задачам торгового предприятия «Тисм» можно отнести:

- закупку товара и продукции и их реализацию;

- сохранение собственных материальных и нематериальных ресурсов;

- стабильность осуществления бизнес-процессов.

Решение этих задач немыслимо без внедрения информационных технологий в различные области деятельности компании. Внедрению должны предшествовать тщательное изучение всех аспектов бизнес-процессов, анализ целесообразности применения тех или иных решений. Эффективность проведенной автоматизации в немалой степени будет зависеть от того, насколько при этом будут учтены вопросы защиты информации. Конечно, систему защиты нельзя рассматривать в отдельности от информационной системы, необходимо изначально планировать реализацию всех требуемых функций безопасности, а не добавлять их в спешном порядке после запуска системы [35]

В организации используется система программ «1С:Предприятие 8», которая включает в себя платформу и прикладные решения, разработанные на ее основе, для автоматизации деятельности организаций и частных лиц. Устройство системы представлено на рисунке 9. Сама платформа не является программным продуктом для использования конечными пользователями, которые обычно работают с одним из многих прикладных решений (конфигураций), разработанных на данной платформе [36].

Рисунок 9 - Система программ «1С:Предприятие 8»

Гибкость платформы позволяет применять «1С:Предприятие 8» в самых разнообразных областях:

- автоматизация производственных и торговых предприятий, бюджетных и финансовых организаций, предприятий сферы обслуживания и т.д.;

- поддержка оперативного управления предприятием;

- автоматизация организационной и хозяйственной деятельности;

- ведение бухгалтерского учета с несколькими планами счетов и произвольными измерениями учета, регламентированная отчетность;

- широкие возможности для управленческого учета и построения аналитической отчетности, поддержка многовалютного учета;

- решение задач планирования, бюджетирования и финансового анализа;

- расчет зарплаты и управление персоналом;

- другие области применения.

Платформа «1С:Предприятие 8» была создана с учетом 6-летнего опыта применения системы программ «1С:Предприятие 7.7», которую используют десятки тысяч разработчиков. Технологическая платформа содержит следующие решения, позволяющие усилить информационную безопасность, достоверность и защиту информации:

1. Отказоустойчивость.

Система обеспечивает бесперебойную работу пользователей при программных и аппаратных сбоях в кластере серверов.

Такие события, как выход из строя рабочего сервера (в том числе и центрального сервера), аварийное (или плановое) завершение рабочего процесса или менеджера кластера не влияют на работу пользователей. Пользователи продолжают работать так, как будто ничего не произошло.

В случае физического разрыва соединения пользователя с кластером (например, уборщица выдернула провод) и последующего его восстановления пользователь может продолжить работу без повторного соединения с информационной базой и без потери своих текущих данных.

Если какой-либо рабочий процесс завершился аварийно, кластер запускает вместо него один из неактивных резервных процессов и автоматически перераспределяет имеющуюся нагрузку на него. Кластер «запоминает» подключившихся пользователей и состояние выполняемых ими действий благодаря тому, что для каждого пользователя создается собственный сеанс.

В случае потери физического соединения кластер будет ожидать восстановления соединения с этим пользователем. В подавляющем большинстве случаев после восстановления соединения пользователь сможет продолжить работу с того «места», на котором она была прекращена. При этом не потребуется повторное подключение к информационной базе, для каждого пользователя создается собственный сеанс.

2. Механизм криптографии.

Механизм криптографии позволяет прикладным решениям использовать криптографические операции для обработки данных, хранящихся в информационной базе.

Механизм криптографии не содержит реализации собственно алгоритмов криптографии. Он обеспечивает набор объектов, позволяющих взаимодействовать с внешними модулями криптографии сторонних производителей - криптопровайдерами.

Для взаимодействия с криптопровайдерами в операционной системе Windows используется интерфейс CryptoAPI. Таким образом, прикладные решения могут взаимодействовать с любыми криптопровайдерами, поддерживающими этот криптографический интерфейс, как это представлено на рисунке 10.



Рисунок 10 - Взаимодействие приложений с криптопровайдерами

3. Система прав доступа.

Система прав доступа позволяет описывать наборы прав, соответствующие должностям пользователей или виду деятельности.

Кроме этого, для объектов, хранящихся в базе данных (справочники, документы, регистры и т.д.) могут быть определены права доступа к отдельным полям и записям. Например, пользователь может оперировать документами (накладными, счетами и т.д.) определенных контрагентов и не иметь доступа к аналогичным документам других контрагентов.

Среди действий над объектами, хранящимися в базе данных (справочниками, документами и т.д.), есть действия, отвечающие за чтение или изменение информации, хранящейся в базе данных. К таким действиям относятся:

- чтение - получение записей или их фрагментов из таблицы базы данных;

- добавление - добавление новых записей без изменения существующих;

- изменение - изменение существующих записей;

- удаление - удаление некоторых записей без внесения изменений в оставшиеся.

В ООО «Тисм-Югнефтепродукт наиболее отличаются у сотрудников коммерческого отдела:

- наибольшими правами доступа обладает директор подразделения,

- права менеджеров и помощника менеджера включают в себя стандартный набор прав, необходимых для выполнения должностных обязанностей,

- у стажеров установлен минимальный объем прав.

4. Список пользователей.

Список пользователей - это один из инструментов администрирования.

Система позволяет вести список пользователей, которым разрешена работа с системой. Этот список не является частью прикладного решения, а создается отдельно в конкретной организации, в которой используется система, как изображено на рисунке 11.

Администратор информационной базы имеет возможность добавлять, копировать, удалять пользователей, а также модифицировать данные пользователя. Создание новых пользователей возможно также путем копирования уже существующих пользователей.

Для каждого пользователя может быть задано имя, идентифицирующее пользователя в системе, полное имя, используемое при отображении справочной информации, и порядок аутентификации (опознавания) пользователя системой. В случае использования аутентификации «1С:Предприятия» пользователю можно запретить изменять пароль.

Список пользователей играет важную роль в обеспечении безопасности и предприятия, директор подразделения может просмотреть каким сотрудником и какие действия совершались в программе в течение определенного временного периода. Каждый сотрудник заходит в программу под своим именем, используя пароль. При таком порядке доступа к программе все операции с информацией прозрачны, информация не может быть изменена или удалена безнаказанно.

Рисунок 11 - Список пользователей

5. Журнал регистрации.

Журнал регистрации содержит информацию о том, какие события происходили в информационной базе в определенный момент времени или какие действия выполнял тот или иной пользователь. Для каждой записи журнала, отражающей изменение данных, отображается статус завершения транзакции (транзакция завершена успешно, или же транзакция отменена). Это позволяет понять изменены реально данные или нет.

В качестве антивирусной защиты на предприятии используется «Kaspersky» -комплексное решение для обеспечения безопасности предприятий. Оно предназначено для предприятий, которым нужны действенные технологии для защиты всех узлов сети. Инструменты, обеспечивающие контроль использования программ, устройств и веб-ресурсов позволяют IT-подразделению гибко контролировать то, какие программы можно запускать на компьютерах корпоративной сети, к каким IT-ресурсам эти программы могут получать доступ и какими правами на использование устройств и интернета обладают сотрудники компании.

Что касается электронной почты сотрудников на серверах фирмы, предназначенной для выполнения ими служебных обязанностей и представляющей собой один из распространенных каналов утечки информации, то сотрудниками it-отдела было реализовано следующее. На каждый отдел в компании создан почтовый ящик (например, ko@example.com), для того чтобы вся исходящая и входящая корреспонденция писем сотрудников коммерческого отдела дублировалась на этот ящик.

Отдел внутренней автоматизации (IT-отдел) должен:

1) осуществлять работу по обеспечению эксплуатации автоматизированных систем организации,

2) реализовывать мероприятия по сохранению конфиденциальности персональной информации сотрудников и прочей служебной информации;

3) обеспечивать сопровождение и бесперебойную эксплуатацию системам, автоматизирующих деятельность компании;

4) выполнять установку, настройку и обновление версий программного обеспечения;

5) администрировать процессы обмена данными с другими организациями;

6) устанавливать полномочия пользователей баз данных;

7) обеспечивать защиту баз данных от несанкционированного доступа, заражения «вирусами» и другими вредоносными программами;

8) выполнять сопровождение программного комплекса «1С:Предприятие 8», в т.ч.

- сопровождение бухгалтерских программ;

- обеспечение связи;

- информирование (изготовление наглядной информации и сайт);

9) эксплуатация и модернизация компьютерной техники и оргтехники.

2.4 Проблемы комплексной системы защиты информации в ООО «Тисм-Югнефтепродукт»

Информационная безопасность имеет три основные составляющие:

1) конфиденциальность - защита чувствительной информации от несанкционированного доступа;

2) целостность - защита точности и полноты информации и программного обеспечения;

3) доступность - обеспечение доступности информации и основных услуг для пользователя в нужное для него время.

Достоверность информации - в криптографии - общая точность и полнота информации.

Защищенность информационной системы - способность системы противостоять несанкционированному доступу к конфиденциальной информации, ее искажению или разрушению. Различают два аспекта защищенности: техническую защиту (свойство недоступности); и
социальную защищенность (свойство конфиденциальности).

Контроль доступа - процесс защиты данных и программ от их использования объектами, не имеющими на это права.

В ООО «Тисм-Югнефтепродукт» существует несколько видов информационных ресурсов, каждый из которых имеет свои особенности:

- электронные документы и информация, хранящиеся в компьютерных системах и сетях. За сохранность этой информации несет ответственность отдел внутренней автоматизации (IT отдел). Отдел обеспечивает бесперебойную работу всех систем, регулярное резервирование информации и т.д.;

- за бумажные документы отвечает бухгалтерия. Документы хранятся в защищенных помещениях или в закрытых шкафах. Ведётся регистрация и учёт документов, как созданных, так и полученных;

- работа с бумажными документами и с информацией, которая в них содержится, хорошо регламентирована и отлажена. Соблюдение правил позволяет обеспечить информационную безопасность организации на протяжении всего жизненного цикла документов и информации, от момента создания или получения до момента уничтожения в связи с истечением сроков хранения.

В итоге управление информационной безопасности осуществляют несколько подразделений. Каждая из этих служб занимается только «своими» вопросами, не согласовывая и не координируя свою деятельность с деятельностью других служб. Такая разобщённость приводит к появлению колоссальных «дыр» в общей системе информационной безопасности.

Наибольшая опасность для информационной безопасности «Тисм-Югнефтепродукт» связана с тем, что поскольку предприятие является торговым, каждый день офис компании посещает большое количество человек, не состоящих в штате: поставщики, покупатели (представители компаний и частный лица), торговые представители.

В связи с этим возникают следующие проблемы:

1) Сотрудники организации, склонные обсуждать свои проблемы, а также слабые стороны организации, с коллегами, а в торговой организации еще и с покупателями, очень часто становятся источником утечки конфиденциальной информации. Также данный фактор приводит к ухудшению репутации компании.

2) Практически каждый день в коммерческий отдел ООО «Тисм-Югнефтепродукт» попадают поставщики, по сути, являющиеся конкурентами данной компании, для оформления документов на поставку товара. Поставщиками могут быть случайно или злоумышленно получена коммерчески выгодная для организации информация, как то контактные данные покупателей, уровень цен на продукцию и размер скидок, сведения о получаемых и прорабатываемых предложениях и т.д.

3) Часто конкуренты идут на хитрость и под видом покупателей запрашивают прайсы, узнают наличие редких групп товара. Часто перенимают идеи стимулирующих акций.

4) Новые сотрудники организации в силу своей неопытности могут причинить вред информационным ресурсам. Например, случайно удалить и переместить важный документ, положить не на то место бумажный документ, или не поделиться известной человеку информацией. Новые сотрудники могут передать ценную информацию конкурентам, просто не приняв данную информацию за ценную. Сотрудники, не принятые на работу по истечению испытательного срока, обижаются, и порой мстят - наносят вреда информационным ресурсам, а порой пытаются устроиться на работу к конкурентам.

Данный фактор дает понять, что специалист по подбору и обучению персонала не только играет существенную роль в обеспечении информационной безопасности, но для предотвращения и предупреждения ошибок со стороны новых сотрудников ему необходима помощь и сознательность всех сотрудников организации.

Из всего вышеизложенного можно сделать вывод, что большинство причин утечки информации (примерно две трети) связаны с халатностью работников компании, рисунок 12.

Большинство удачных атак на информационные системы либо идут изнутри организации, либо при содействии кого-то из сотрудников. При помощи одних только технических и программных средств надёжную защиту обеспечить трудно.

Уязвимость любой системы оценивается по её наиболее слабому звену систем информационной безопасности, в данном случае это собственные сотрудники.

К группе рисков также можно отнести разного рода катастрофические явления, как естественные, так и обусловленные деятельностью человека.

Наиболее распространённые из них - повреждение водой и отключение электроэнергии.



Рисунок 12 - Причины утечки информации.

Как и многие другие задачи, проблема защиты важнейших документов решается только в том случае, когда бухгалтерия, отвечающая главным образом за «бумажную» работу, отдел внутренней автоматизации (IT отдел), отвечающий исправность всех автоматизированных систем, и коммерческий отдел, контролирующий безопасность коммерческой информации, объединяются в единое целое и действуют совместно.

Таким образом, в данной компании безопасность - это не только защита от преступных посягательств, но и обеспечение сохранности (особенно электронных) документов и информации, а также меры по защите важнейших документов, и обеспечению непрерывности и/или восстановлению деятельности в случае катастроф.

3. Совершенствование системы защиты информации в информационном обеспечении ООО «Тисм-Югнефтепродукт»

3.1 Проблемы качества защиты информации и их решение

Предлагаю рассмотреть следующие проблемы в обеспечении достоверности и защиты информации в информационном обеспечении управления ООО «Тисм-Югнефтепродукт»:

- проблемы качества корпоративной защиты информации;

- проблемы текучести кадров и улучшения и создание благоприятного климата в коллективе;

- проблемы системы защиты информации в организации.

Обеспечение информационной безопасности требует решения многочисленных проблем, и их, безусловно, не под силу в одиночку решить ни IT-отделу, ни бухгалтерии. Только координированная работа всех служб под единым руководством, при понимании и поддержке, как со стороны высшего руководства, так и сотрудников компании может привести к успеху. Особенно, важна интеграция IT-отдела и бухгалтерии в единую службу управления документами и информацией, при этом сотрудники бухгалтерии должны понимать и активно использовать современные технологии в своей работе, а сотрудники IT-отдела - относиться более внимательно и с пониманием всей важности к вопросам, связанным с соблюдением законодательных и нормативных требований к документообороту.

Но в итоге управление информационной безопасности осуществляют несколько подразделений. Каждая из этих служб занимается только «своими» вопросами, не согласовывая и не координируя свою деятельность с деятельностью других служб. Такая разобщённость приводит к появлению колоссальных «дыр» в общей системе информационной безопасности. Для решения этой проблемы и для повышения уровня качества защиты информации необходимо ввести должность специалиста по информационной безопасности. Специалист будет осуществлять следующие виды деятельности:

- осуществление выбора целесообразных оптимальных систем и методов защиты;

- оценка процента потенциальной опасности и вероятности произведения атак;

- разработка защитного программного обеспечения;

- ликвидация вредоносных программ и программ-шпионов;

- проведение процедур по восстановлению и исправлению работы поврежденных программ, файлов;

- анализ степени причиненных убытков.

Специалист должен обладать профессиональными навыками:

- владение спектром необходимых технических знаний и умений (программирование, IT);

- наличие инженерно-математической подготовки;

- знание правовых законодательных основ, посвященных вопросу передачи и хранению информации;

- слежение за обновлениями, передовыми разработками;

- знание иностранного языка

Сотрудникам ООО «Тисм-Югнефтепродукт» необходимо в своей работе неукоснительно выполнять требования следующих корпоративных документов:

- Соглашения о неразглашении коммерческой тайны ООО «Тисм-Югнефтепродукт»;

- Перечень сведений, составляющих коммерческую тайну ООО «Тисм -Югнефтепродукт»;

- Внутренняя инструкция по работе с документами;

- Распоряжения Директора ОСП по работе с основными документами в коммерческом отделе;

- Регламент работы с документами в автоматизированной системе делопроизводства и документооборота.

Блок технических (программных) средств защиты электронного делопроизводства должен быть многорубежный. Наиболее эффективной является система, состоящая из 3 рубежей:

1) системы защиты информации, предусмотренные программным обеспечением, на которой работает компьютерная сеть (средства защиты Windows, Office и т.д.);

2) системы защиты информации, встроенные в саму систему электронного делопроизводства («1С:Предприятие 8»);

3) системы защиты информации, дополнительно установленные в компьютерной сети на сервере и на рабочих местах пользователя (антивирусные программы и пр.).

Блок технических (программных) средств защиты электронного делопроизводства должен предусматривать (рисунок 13):

- криптографическую защиту компьютерной информации на магнитных носителях (жестких дисках, CD-ROM, flash-накопителях и т.д);

- защиту информации при пересылки при передаче по электронной почте;

- защиту компьютерной информации от несанкционированного доступа;

- защиту компьютерной сети при работе в глобальной информационной сети Интернет;

- разделение пользователей на группы и наделение каждой группы возможности работы только с электронными документами определенного грифа конфиденциальности;

- защиту от вредоносных программ (вирусов);

- парольную защиту на включение машины, на обращение к жесткому диску и/или на открытие файлов прикладных программ с периодическим изменением используемых паролей [37].