12.04.2011

Защита систем розничных продаж на АЗС и контроль ее эффективности

Spasennix_L

Автор: Спасенных Елизавета

Должность: Консультант отдела консалтинга компании «Информзащита»

В компаниях, занимающихся розничной продажей нефтепродуктов, одной из целей обеспечения безопасности бизнес-процессов является контроль соответствия данных о фактической и заявленной реализации товарно-материальных ценностей на АЗС, проведение, которого позволяет избежать напрасных финансовых потерь. Одним из инструментов в достижении данной цели являются автоматизированные системы розничных продаж на АЗС, использование которых позволяет не только оптимизировать процессы приема, хранения и отпуска товарно-материальных ценностей, но также выявить ошибки, допущенные персоналом. Однако в случае недостаточной защищенности данных систем, их использование может привести к полной остановке деятельности АЗС, значительным хищениям нефтепродуктов или потерям репутации.

Распределенность системы розничных продаж на АЗС, ее ориентация на большое число клиентов, публичность, общедоступность, а также число предлагаемых товаров (различные виды нефтепродуктов, сопутствующих товаров и услуг) представляют собой основную сложность в организации процессов защиты. Процессы защиты данных систем включают в себя обеспечение безопасности как самой системы, так  и систем (или компонентов) смежных с ее работой, обеспечивающих управление процессами приемки, хранения или отпуска нефтепродуктов, включая  измерение параметров в резервуарах. Защита системы должна быть комплексной и включать в себя не только технические и организационные меры, но также и меры, направленные на обеспечение физической безопасности:

а) технические меры защиты должны включать в себя механизмы аутентификации и управления доступом, аудита и мониторинга событий безопасности,  обеспечения целостности, антивирусную защиту, средства межсетевого экранирования, обнаружения вторжений, защиты каналов связи и передаваемых данных.

б) организационные меры должны включать себя контроль за качеством и своевременностью выполнения требований должностных обязанностей, договорных обязательств, нормативных документов персоналом АЗС, технической поддержки и представителей сервисных обслуживающих компаний. Также должен осуществляться контроль за корректностью и своевременностью предоставления отчетной документации, или подачей заявок о неисправностях, частотой возникающих расхождений, сбоев электропитания или связи на АЗС, исправностью технических средств и т.д.

в) обеспечение физической безопасности должно включать в себя видеонаблюдение за критическими объектами, а также средства разграничения доступа:

  • в контролируемые зоны АЗС;
  • к компонентам системы розничных продаж на АЗС;
  • компонентам систем смежных с работой системы розничных продаж на АЗС;
  • к используемым средствам защиты.

Используемые средства и меры защиты системы розничных продаж на АЗС, во-первых, должны быть адекватны по стоимости в сравнении с потенциальными убытками от реализации риска, а также должны в достаточной мере обеспечивать минимизацию рисков. Во-вторых, используемые средства защиты должны быть достаточны, не избыточны, корректно настроены и соответствовать целям их внедрения.

Контроль эффективности защиты системы розничных продаж на АЗС должен быть комплексным и включать в себя периодический анализ всех, используемых средств и мер защиты. Эффективность используемых средств защиты может быть оценена следующим образом:

а) методом стоимостного анализа – сравнения потенциальных или реальных убытков, выявленных в результате анализа рисков, со стоимостью средств защиты, используемых для минимизации данного риска. При использовании данного метода полученный результат будет:

  •  прямо отражать финансовую эффективность использования данного набора средств и мер защиты;
  • косвенно отражать эффективность корректности их работы за счет информации о повторном возникновении инцидентов;
  • косвенно отражать достаточность используемых средств и мер защиты за счет информации о новых инцидентах безопасности.

 Использование данного метода возможно только при проведении количественного анализа рисков. Следует учитывать, что чем точнее оценены убытки от реализации риска, тем точнее будет значение эффективности. Дополнительный анализ данных об инцидентах безопасности и убытков от них за определенный период позволит сделать выводы о финансовых потерях до и после внедрения средств защиты, а также достаточности и точности их работы.

б) методом анализа корректности работы средств и мер защиты. Данный метод заключается в разработке перечня показателей, характеризующего качество работы средств или мер защиты, и последующей их оценке. Для получения информации о степени достижения целей по минимизации рисков метод необходимо применять совместно с оценкой достаточности используемых средств и мер защиты.

При использовании данного метода полученный результат будет отражать качество и корректность работы используемых средств и мер защиты, а также позволит провести более глубокий технический анализ, разработать сценарии атак и сделать выводы об объективности используемых средств и мер защиты, а также их совокупности.

Данный метод удобно использовать в случае низкой значимости стоимости средств и мер защиты, отсутствии информации о них или о размере потенциальных/фактических убытков. Также метод с технической точки зрения наглядно отражает информацию о недостатках в работе системы защиты. Основной сложностью в использовании данного метода является разработка объективных метрик оценки безопасности.