Этапы обеспечения информационной безопасности в гостиничной индустрии

Информационная безопасность гостиницы, либо любого другого коммерческого предприятия, выражается уровнем защиты данных, благодаря которому мошенникам крайне трудно или невозможно завладеть важной для клиента или самого заведения информацией. Каждый день гости гостиничных предприятий производят оплату посредством пластиковых карт, а также оставляют в базе паспортные и личные данные. Все это должно быть доступно исключительно для нужд гостиничного предприятия до тех пор, пока клиент не покинет заведение.

Обеспечение безопасности посетителей, в том числе информационной становится одной из главных задач учредителя и персонала гостиницы. Без доверия в этой сфере очень быстро можно потерять даже самый высокий рейтинг, вот почему на современной технике и на ее обслуживании сейчас экономить не принято.

В конкурентных условиях гостиничного рынка, информация может покупаться и продаваться и быть одним из самых ценных товаров. Из этого следует, что информацию, как и любой другой продукт, следует оберегать и защищать.

Развитие и распространение информационных технологий не стоит на месте, что превращает информационную безопасность в более сложный и дорогостоящий процесс. В некоторой мере эта связь отражается в компромиссе большинства современных организаций: осуществление открытой рекламы предоставляемых товаров и услуг, и при этом выполнять защиту своих интересов, обеспечивая безопасность конфиденциальной информации любыми законными способами [1].

Понятие коммерческой тайны возникло вместе с коммерческими организациями и является неотъемлемой частью отношений в странах, где наряду с государственной существуют и другие формы собственности. Сущность коммерческого шпионажа – это стремление к овладению секретами конкурентов всеми доступными методами (включая применение специальных технических средств и подкуп должностных лиц) с целью получения максимальной выгоды.

При коммерческом шпионаже интересы государства остаются в стороне от прямого негативного воздействия, шпионаж все же остается не законным видом деятельности, так как покушается на конституционные права граждан.

Для решения задач защиты информации от коммерческого шпионажа, в любой организации создается система защиты информации (СЗИ). CЗИ представляет собой комплекс мер, обеспечивающих заданную эффективность защиты информации организации. Основными задачами системы защиты информации является создание условий для непрерывного и устойчивого развития коммерческой организации, а также обнаружение и предотвращение посягательств на его безопасность.

СЗИ обеспечивает:

• защиту прав и коммерческих интересов организации;
• безопасность персонала;
• защиту материально-технических и финансовых ресурсов;
• ограничение и разграничение доступа к информационным и техническим ресурсам организации.

Ориентируясь на задачи системы защиты информации, можно отметить три важнейших этапа создания СЗИ:

• Методологический – включает в себя создание нормативно- методологической документации, в которой раскрываются вопросы правил разработки и поддержки СЗИ;
• Организационный – обеспечивает создание организационно- распорядительной документации, а также на данном этапе производится обучение и инструктаж сотрудников;
• Технический – подбор, закупка и установка программно-аппаратных средств и каналов коммуникации [2].

Методологический этап создания СЗИ

Под методологическими основами комплексной защиты информации понимается совокупность принципов, подходов и методов необходимых и достаточных для анализа проблемы комплексной защиты, построения оптимальных механизмов защиты и управления в процессе их функционирования.

Согласно определению, можно сделать вывод об основных компонентах научно-методологических основ. Ими являются принципы, подходы и методы. При этом под принципами понимается основное исходное положение какой-либо теории, учения, науки, мировоззрения; под подходом – совокупность приемов, способов изучения и разработки какой-либо проблемы; под методом -способ достижения какой-либо цели, решения конкретной задачи.

Общее назначение методологического базиса:

• Формирование обобщенного взгляда на организацию и управление СЗИ, отражающего наиболее существенные аспекты проблемы;
• Формирование полной схемы принципов, следование которым обеспечивает наиболее полное решение основных задач;
• Формирование совокупности методов, необходимых и достаточных для решения всей совокупности задач управления [3].

Организационный этап создания СЗИ

Обеспечение безопасности данных включает в себя целый комплекс технических и организационных мер, характеризующихся применением средств защиты информации и решающих задачи предотвращения утечки информации, ее утраты и несанкционированного изменения.

Порядок выполнения работ и организационные функции по обеспечению защиты информации определяются руководителем организации, начальников отделов, которые создают и эксплуатируют объекты информатизации. Контроль эффективности и обнаружение недостатков системы безопасности должно возлагаться на специально назначенное лицо – начальника по защите информации.

Порядок работ по проектированию и эксплуатации совокупности информационных ресурсов, систем обработки информации, а также их средств защиты должен быть зафиксирован в специальном документе «Руководство по обеспечению информационной безопасности», который должен содержать и описывать следующие положения:

• описание и обоснование защищаемой информации;
• описание и обоснование порядка создания, ввода в эксплуатацию и использования ресурсов и средств информатизации;
• утверждение ответственности сотрудников организации за качество их знаний и навыков, а также соответствия их профпригодности требованиям и нормам, установленным в организации.

В организации необходимо наличие официального документа, в котором зафиксирован весь перечень конфиденциальной информации, циркулирующей в организации, а также создан порядок доступа к этой информации, согласно правам и обязанностям сотрудников.

Этапы разработки системы защиты информации делятся на:

Предпроектный этап состоит из предпроектного исследования объекта, а также включает в себя оценочное обоснование важности и необходимости проектирования и внедрения системы защиты информации и технического задания на ее создание. Определяется необходимость обработки конфиденциальных данных на этом объекте, а также перечень сведений ограниченного доступа. Выделяется список технических и программных средств, которые будут использоваться на объекте, а также места их размещения. Проводится аналитическая работа по распределению обязанностей и прав сотрудников по уровню доступа к обработке конфиденциальных сведений;

Этап проектирования – должен включать в себя процесс непосредственного создания и реализации СЗИ в составе объекта информатизации и учитывать финансовые, трудовые и временные ограничения на строительно-монтажные и организационные работы по созданию СЗИ. Данный этап также должен включать в себя необходимость закупки сертифицированного и лицензированного технического и программного обеспечения, а также создание охранной и физической системы защиты помещений и сотрудников организации;

Этап ввода в эксплуатацию СЗИ – должен содержать отладочные и экспериментальные мероприятия СЗИ, а также проверку объекта на соответствие требованиям нормативной документации. Финальным мероприятием по вводу в эксплуатацию СЗИ является аттестация объекта информатизации на соответствие требованиям защиты информации.

Для своевременного обнаружения скрытых угроз безопасности информации, а также с целью максимального усложнения доступа к конфиденциальной информации для злоумышленника необходимо проведение периодического контроля состояния обеспечения информационной безопасности в организации. Данное мероприятие позволит поддерживать состояние защищенности конфиденциальной информации на стабильно высоком уровне [4].

Технический этап создания СЗИ

Технические средства защиты подразделяются на пассивные и активные. К пассивным техническим средствам защиты относятся: контроль и ограничение доступа, локализация излучений, экранирование технических средств передачи информации, а также кабелей и других соединительных линий, заземление технических средств передачи информации, акустическая звукоизоляцию, подавление побочных электромагнитных излучений и наводок, а также резервирование электропитания. Активные технические средства защиты включают в себя пространственное электромагнитное зашумление, применение акустического и вибрационного шума с использованием специальных акустических генераторов, подавление диктофонных устройств, подавление информационного сигнала в линиях электропитания и обнаружение и дезактивация закладных устройств.

Поиск и деактивация компактных электронных закладных устройств, предназначенных для перехвата информации, осуществляется выполнением исследований служебных помещений, с помощью специального оборудования. При этом осуществляется:

• Обнаружение закладок с использованием пассивного оборудования;
• Размещение в служебных кабинетах специальных устройств – обнаружителей диктофонов;
• Поиск аппаратных закладок при помощи индикаторов поля и программно-аппаратных комплексов контроля;
• Обнаружение закладок с использованием активного оборудования;
• Анализ служебных помещений с использованием нелинейных локаторов;
• Проверка служебных помещений, и аппаратно-программных средств с использованием рентгеновских комплексов [5].

Таким образом, для гостиничных предприятий становятся очень актуальны вопросы информационной безопасности в рамках цифровой трансформации экономики России.

1. Ветитнев А.М., Коваленко Вл.В., Коваленко В.В. Информационные технологии в социально-культурном сервисе и туризме: учеб. пособие. -М.: ФОРУМ, 2013. - 406 с.
2. Мельников В.П., Клейменов С.А., Петраков А.М. Информационная безопасность и защита информации / В.П. Мельников, - М.: Издательский центр «Академия», 2008. - 336 с
3. Попов Л.И., Зубарев А.В. Основные принципы повышения эффективности реализации мероприятий по комплексной защите информации. «Альтпресс», 2009. -512c.
4. Агеев А.С. Организация работ по комплексной защите информации. - К., 2003.
5. Максимов Ю.Н. Защита информации в системах и средствах информатизации и связи.