Компания
На главную На главную русской версии На главную украинской версии написать письмо

Автоматизированные системы управления, ERP системы, EAM, MRP II, BI, СЭД, управление ресурсами предприятий

Обеспечение внутренней информационной безопасности

Обеспечение внутренней информационной безопасности

Информационная система управления предприятием является мощным многофункциональным инструментом обработки самых различных данных. Она содержит в себе сведения о поставщиках и клиентах, взаиморасчетах с контрагентами, бухгалтерские записи, персональные данные сотрудников компании и т.д. Разумеется, вся эта информация является в той или иной степени конфиденциальной и подлежит защите как на корпоративном, так и на законодательном уровне.

Защиту информации от несанкционированного доступа можно сгруппировать по двум типам: внешняя и внутренняя.

Решение задач обеспечения внешней безопасности осуществляется комплексом решений и мероприятий: защита каналов связи, шифрование данных, управление правами доступа к информации для внешних пользователей и т.п.

Подход же к внутренней информационной безопасности имеет несколько другую идеологию, так как внутренний пользователь, т.е. сотрудник компании, априори является носителем той или иной части конфиденциальной корпоративной информации, а значит, источником риска ее порчи или утечки.

В этой статье мы рассмотрим основные классы данных с ограниченным доступом, которые хранятся и используются в системах управления предприятием, задачи внутренней информационной безопасности, а также свойства и инструменты, которыми должны обладать системы для решения этих задач.

Какую информацию необходимо защитить?

Конечно же, скрыть «все от всех» не удастся, да и смысла в этом нет. Однако разграничение доступа внутренних пользователей к информации в соответствии со спектром выполняемых ими функций – вещь более чем оправданная. Это защищает компанию от ряда рисков с разным уровнем «стоимости реализации».

Рассмотрим, какие основные группы данных подлежат защите и какие риски их несанкционированного использования существуют:

  1. Данные о договорах и сделках с контрагентами. Условия поставки одного и того же товара (или услуги) для разных компаний могут очень сильно отличаться. Сюда стоит отнести как сделки с поставщиками, так и с клиентами. Условия эти зависят от множества разнообразных факторов, наиболее известные из которых – объемы поставок, надежность партнера, условия оплат и т.п. Использование информации об условиях закупок может сыграть на руку конкурентам компании. Попадание такой информации клиентам также является крайне нежелательным по объективным причинам. Ценность же клиентских баз является неоспоримой для любой компании. Передача их сторонним «заинтересованным лицам» может нанести не только непосредственно коммерческий, но и репутационный ущерб предприятию.
  1. Финансовая информация. К сведениям о состоянии взаиморасчетов с контрагентами и банками, объемах выручки и остатках денежных средств на счетах и в кассах предприятия проявлять интерес могут самые различные субъекты, начиная с контрольных органов и заканчивая обыкновенными мошенниками.
  2. Персональные данные сотрудников. Кроме рисков недобросовестного использования этих данных для какого-либо воздействия на сотрудников, эта информация напрямую защищается законом, а за ее несанкционированное раскрытие (умышленное или нет) предусмотрена ответственность.
  3. Данные о заработной плате. Отношение к информации о суммах выплачиваемого сотрудникам вознаграждения в коммерческих (да и не только) структурах всегда было достаточно щепетильным. Причем, раскрытие ее крайне нежелательно не только внешним структурам (по понятным причинам), но и внутри коллектива. Ведь не единичны случаи, в которых, например, труд высококлассного специалиста оплачивается солиднее, чем его непосредственного руководителя. А что уж говорить о разнице в мотивации сотрудников иерархически горизонтальных подразделений.

Различия в условиях оплаты далеко не всегда встречаются сотрудниками с пониманием и могут привести конфликтам в коллективе, что вряд ли скажется благоприятно на результатах его работы.

Кроме защиты информации с ограниченным доступом от «посторонних» глаз не менее важную роль играют механизмы ограждения данных от искажения в случае неквалифицированных действий пользователя.

Будет справедливо заметить, что менеджер по сбыту, например, не нуждается в доступе к бухгалтерским данным (т.е. сальдо, проводкам, итоговым отчетам и т.д.), а производственнику не обязательно владеть информацией о договорах с поставщиками. А ведь часто бывает, что ввиду отсутствия программных возможностей или просто недостаточного внимания к вопросу внутренней безопасности у пользователя имеется возможность исказить данные просто по ошибке, не отдавая себе в этом отчета.

При этом риски в таких случаях могут быть ничуть ни меньше, чем в результате несанкционированного раскрытия информации. Ведь искажение бухгалтерских данных ведет к искажению отчетности (в т.ч. для контролирующих органов). За этим вполне обосновано могут последовать штрафы и санкции, которые зачастую рассчитываются исходя из суммы нарушения.

Программные средства защиты информации

Что же должна «уметь» информационная система предприятия, чтобы обеспечить необходимый уровень защиты учетно-управленческих данных?

В первую очередь, конечно, средства идентифицированного доступа или попросту – обеспечение входа пользователя посредством указания имени и пароля.

Второй аспект – инструментарий мониторинга и контроля действий в системе и изменений информационных объектов. Возможность просмотра действий пользователя, истории обращения к функциям и интерфейсам, модификации данных – важнейший функционал современных корпоративных систем.

И самое главное – функции разграничения прав доступа пользователей (или их групп) к различным документам и данным в программе. Очень важно, чтобы этот функционал был гибким, применимым для решения самых разнообразных задач.

Например, компания имеет в своем составе центральный офис и территориальные подразделения (филиалы). Сотрудники офиса должны иметь доступ на просмотр информации о деятельности компании в целом (например, совокупный объем продаж), при этом модификация документов филиалов не допускается.

Для решения этой задачи необходимо «сгруппировать» пользователей по принципу принадлежности к филиалу и предоставить им соответствующие права, например, на чтение, изменение или удаление.

Здесь же и задача по ограничению доступа к зарплатным данным. Допуск к этой информации должны иметь только бухгалтеры, отвечающие за расчет ФОТ, и высшее руководство. Это значит, что кроме принадлежности к филиалу надо определить доступ к некоторым видам документов: расчетные ведомости, ведомости начисления и т.п.

Разграничение прав доступа к картотеке сотрудников в системе «Галактика ERP»

Рис. Разграничение прав доступа к картотеке сотрудников в системе «Галактика ERP»

Каждая ли система отвечает таким требованиям? Отнюдь. Разработка высококачественной системы защиты информации под силу только крупным системным разработчикам ПО, т.к. эта задача сама по себе является очень ресурсоемкой. Корпорация «Галактика», разработчик системы «Галактика ERP», обладает всем необходимым функционалом для надежной защиты доступа к данным. Кроме многолетнего опыта использования и отзывов требовательнейших клиентов из таких секторов как государственный и оборонный, это подтверждено лицензиями на право оказания услуг по технической и криптографической защите данных, которыми обладает Корпорация «Галактика».

Использование надежной системы управления предприятием защищает его от рисков несанкционированных утечек информации. И помните: кто владеет информацией, тот владеет миром!

Автор статьи - Игорь Кириленко,
бизнес-консультант корпорации «Галактика»

Доступно на: Украинский

Задайте вопрос

 
Здравствуйте!

У Вас есть вопрос?

Наши специалисты
оперативно ответят Вам!

Задать вопрос

Return to Top ▲Return to Top ▲