пав. Контрольные вопросы для повторения материала, а также список рекомендуемой литературы для изучения

Кейс « Проектирование электронной торговой площадки для нефтяной компании»
167
Типы нарушений систем ИТ
Инциденты, %
Связанные потери, %
Активное прослушивание
2 1
Несанкционированный доступ к акти- вам системы ИТ
97 62
Несанкционированный доступ к кон- фиденциальной информации платеж- ной системы
55 32
Из преступлений в сфере высоких технологий доминируют взло- мы информационных систем банков, электронных магазинов, кра- жи конфиденциальных данных. Электронный бизнес невозможен без гарантийной защиты. Информационная безопасность – один из важнейших элементов электронного бизнеса и должна обеспе- чиваться целым набором методов и средств.
Когда речь заходит о безопасности систем электронной торгов- ли, пользователя интересует вопрос доверия при совершении элек- тронных сделок.
Объем продаж в области электронной торговли ограничивает- ся опасениями безопасности, испытываемыми покупателями, про- давцами и финансовыми институтами
1
, которые основываются на следующем:
отсутствие гарантии конфиденциальности – возможность пе- рехватить ваши данные и найти ценную информацию;
недостаточный уровень проверки участников операции, по- купатель не уверен, что представленная компания именно та, за которую она себя выдает;
у продавца нет возможностей проверить, что покупатель, сде- лавший заказ, является обладателем кредитной карты;
нет гарантии целостности данных; даже если отправитель идентифицирован, то третья сторона может изменить инфор- мацию во время передачи.
Безопасность и защита электронного бизнеса критичны для нормального непрерывного бизнес-процесса. Для поиска решений проблем информационной безопасности был создан консорциум
1
Лукацкий А. В. Необходимость проведения анализа защищенности систем электронного ведения бизнеса. URL: http://www.infosec.ru.
–
–
–
–
Окончание табл. 22

168 3. Информатизация маркетинговых бизнес-процессов на предприятии
ISTF (Internet Security Task Force)
1
– общественная организация, которая состоит из экспертов компаний-поставщиков средств ин- формационной безопасности и провайдеров. Цель консорциума – разработать технические, организационные и операционные руко- водства по безопасности работы в сети Интернет
2
Консорциум ISTF выделил ряд областей информационной бе- зопасности, на которых в первую очередь должны обратить внима- ние создатели электронного бизнеса:
объективное подтверждение идентифицирующей информа- ции;
обеспечение конфиденциальности информации;
детектирование атак;
контроль за потенциально опасным содержимым;
администрирование;
реакция на событие;
организация демилитаризованных зон в корпоративной сети с помощью межсетевых экранов, Firewall и др.
Рекомендации ISTF предназначены для компаний электрон- ной коммерции и электронного бизнеса, помогают определить по- тенциальные дыры в компьютерной сети, которые могут использо- ваться взломщиками и привести к атакам на систему, потрясениям и крушению электронного бизнеса. Консорциум ISTF рекомендо- вал воспользоваться наработками до начала организации компа- нией электронной коммерции.
Для комплексной гарантии выгодного и безопасного использо- вания коммуникационных средств необходимо решить следующие задачи:
проанализировать угрозы безопасности систем электронного бизнеса;
разработать политику информационной безопасности;
защитить внешние каналы передачи данных, обеспечив це- лостность и подлинность информации;
1
The Internet Security Task Force. URL: http://ezinearticles.com/?The-Internet-
Security-Task-Force&id=6608803.
2
Кадощук И. Т., Савельев С. А. Интернет-трейдинг и его безопасность // Рынок ценных бумаг. 2000. № 21 (180). С. 105–109.
–
–
–
–
–
–
–
–
–
–

Кейс « Проектирование электронной торговой площадки для нефтяной компании»
169
гарантировать безопасный доступ к открытым ресурсам вне- шних сетей и Интернета;
защитить отдельные информационные системы независимо от каналов передачи данных;
предоставить защищенный доступ персонала к информаци- онным ресурсам корпоративной сети.
Согласно рекомендациям ISTF важнейшим этапом разработки системы электронного бизнеса является применение механизмов управления доступом к активам систем электронной торговли и использование механизмов безопасных коммуникаций, межсете- вых экранов и продуктов частных защищенных виртуальных се- тей (VPN).
Следующий рубеж включает средства контроля доступа пользо- вателей в систему в общей структуре систем электронной коммер- ции вместе с системами идентификации, аутентификации и авто- ризации.
Антивирусная защита и средства обнаружения атак заверша- ют создание целостной системы безопасности электронного бизне- са. При работе с конфиденциальной информацией потребуется ис- пользование криптографических средств и средств ЭЦП.
Существуют два типа политики безопасности: дискреционная и мандатная. Основу дискреционной политики безопасности пред- ставляет дискреционное управление доступом (Discretionary Ac- cess Control, DAC)
1
, определяемое двумя свойствами:
все субъекты и объекты должны быть идентифицированы;
права доступа субъекта к объекту системы определяются на основании внешнего правила.
К достоинствам дискреционной политики относится простая реализация механизмов защиты. Обусловлено это тем, что боль- шинство распространенных ИТ-систем обеспечивают выполнение уставов данной политики безопасности. В качестве примера реа- лизаций дискреционной политики безопасности в системах ИТ можно привести матрицу доступов HRU
2
, строки которой соответс-
1
Discretionary Access Control Lists (DACLs) and Access Control Entries (ACEs).
URL: http://msdn.microsoft.com/en-us/library/cc246052.aspx.
2
Castano S., Fugini M. G. Database Security. N. Y.: Addison Wesley Publishing
Company: ACM Press, 1995.
–
–
–
–
–

170 3. Информатизация маркетинговых бизнес-процессов на предприятии твуют субъектам системы, а столбцы – объектам; элементы матри- цы характеризуют права доступа. К недостаткам модели относится ее статичность, т. е. данная политика безопасности не учитывает динамику изменений состояния систем и не накладывает ограни- чения на состояние системы.
При внедрении дискреционной политики возникает вопрос оп- ределения прав доступа и распространения влияния на безопас- ность систем. При использовании данной политики безопасности стоит неразрешимая задача: проверить, приведут ли действия зло- умышленника к нарушению безопасности или нет. Имеются моде- ли, которые реализуют дискреционную политику безопасности, на- пример модель Take-Grant
1
. Так или иначе, матрица доступов не позволяет добиться ясной и четкой системы защиты информации, что приводит к поиску более совершенных политик безопасности.
В основе мандатной политики безопасности лежит мандатное управление доступом (Mandatory Access Control – MAC)
2
, которое подразумевает, что:
все субъекты и объекты должны быть однозначно идентифи- цированы;
задан набор меток секретности;
каждому объекту системы присваивается метка секретности, определяющая ценность информации и его уровень секрет- ности;
каждый субъект системы наделен меткой секретности, опре- деляющей уровень доверия к нему в системе.
Цель мандатной политики безопасности – предотвращать утеч- ки информации от объектов с высоким уровнем доступа к объектам с низким уровнем доступа, т. е. противодействовать информаци- онным каналам сверху вниз. Обычно мандатная политика описы- ваются в терминах свойств модели Белла–Лападула
3
. В данной модели доказывается утверждение, отличающее систему с мандат-
1
Jones A., Lipton R., Snyder L. Linear time algorithm for “Deciding Security” //
Proceedings of the 17th Annual Sump. оn the Foundations of Computer Science (Okt.
1976). Houston, 1976. Р. 337–366.
2
Руководство FreeBSD. Глава 16. Принудительный контроль доступа (MAC).
URL: http://www.freebsd.org/doc/ru/books/handbook/mac.html.
3
Bell D. E., LaPadula L. J. Secure Computer Systems: Unifi ed Exposition and
Multics Interpretation. Bedford, Mass.: MITRE Corp., 1976.
–
–
–
–

Кейс « Проектирование электронной торговой площадки для нефтяной компании»
171
ной защитой от системы с дискреционной защитой: если началь- ное состояние системы безопасно и все переходы системы из состо- яния в состояние не нарушают ограничений, то любое состояние системы безопасно.
Для систем с мандатной политикой характерна высокая сте- пень надежности в связи с отслеживанием, помимо правил до- ступа субъектов к объектам, состояния системы. Каналы утечки в таких системах не заложены в саму систему непосредственно, в отличие от предыдущей политики, а могут появиться лишь при реализации системы из-за ошибок разработчика. Основное назна- чение мандатной политики безопасности – регулировать доступ субъектов к объектам различного уровня конфиденциальности и тем самым предотвращать утечку информации с верхнего уровня иерархии на нижний. Мандатная политика может функциониро- вать совместно с дискреционной, придавая ее требованиям упоря- доченный иерархический характер.
Кроме управления доступом субъектов к объектам, проблема защиты информации содержится еще в одном: для получения ин- формации об объекте системы необязательно использовать несан- кционированный доступа к нему – в системе всегда присутствуют информационные потоки. Необходимо определить, какие инфор- мационные потоки «легальны» в системе, а какие ведут к утечке информации. В результате возникает необходимость разработки правил, которые бы регламентировали управление информацион- ными потоками в ИТ-системе.
Применительно к системам электронной коммерции можно сформулировать требования безопасности ИТ-систем
1
:
любые транзакции не должны приводить к нарушению це- лостности, конфиденциальности и аутентичности данных;
транзакции и информационные потоки не должны вызы- вать накопления объектами низкого уровня архивных фай- лов, системных журналов, информации об объектах высокого уровня, номеров платежных карт, сведений о количестве де- нежных средств на счетах покупателя и др.;
1
Красильников В. GeneHunter и генетические алгоритмы // Компьютерные вести. 2005. № 32.
–
–

172 3. Информатизация маркетинговых бизнес-процессов на предприятии любые транзакции в системе электронной коммерции не должны понижать уровень доверия при совершении сделок.
Выше рассмотрены теоретические положения информацион- ных моделей безопасности, модели безопасности информационных потоков систем ИТ, модели информационной невыводимости и ин- формационного невмешательства. Рассмотрим далее данные мо- дели с точки зрения практических методов защиты веб-сайтов.
Особенно подвержены атакам злоумышленников сайты, рабо- тающие на основе CMS-систем управления сайтом. С одной сторо- ны, применение методов серверного программирования на языках
PHP, CGI, Perl и др. придает сайту динамичность и простоту обслу- живания по сравнению со статичными HTML-сайтами. Но приме- нение системы управления сайтом накладывает на разработчика обязательства по защите сайта. Ведь сайт, выполненный на ста- тичном языке разметки HTML, подобен набору текстовых докумен- тов, графических файлов, гиперссылок, скриптов и т. д., который расположен на сервере у хостинг-провайдера в отдельной папке, и разработчик имеет FTP-доступ к данной папке, получает его по паролю в процессе аутентификации. Обычно в Интернет-системах на основе CMS реализуется смешанный тип политики безопаснос- ти – мандатная политика на фоне дискреционной. Каждому субъ- екту системы присвоена метка секретности, которая определяет уровень доверия к нему в системе, максимальное значение метки секретности объектов, к которым субъект имеет доступ. Например: администратор сайта с самым высоким уровнем доступа к системе, контент-редактор сайта со средним уровнем доступа, незарегист- рированный пользователь сайта с самым низким уровнем доступа.
В то же время в таких системах есть и применение дискреционной политики безопасности – вход на сайт по имени и паролю.
Распределение ролевых функций между ключевыми
участниками электронных торговых площадок (табл. 23). На
ЭТП выполняются следующие основные операции:
заключение рамочного договора (на год с возможностью про- лонгации) и договора о работе на ЭТП (однократно);
заключение приложений к рамочному договору (ПРД) о кон- кретных поставках (как правило, в течение месяца). ПРД заключаются по результатам аукционов на поставку нефте-
–
–
–

Кейс « Проектирование электронной торговой площадки для нефтяной компании»
173
продуктов или в ходе переговоров (обмен формализованными предложениями) с менеджерами;
подача/изменение реквизитных заявок (РЗ) на поставку про- дукции в рамках ПРД;
регистрация сведений НПЗ об отгрузках по реквизитным за- явкам;
поддержка специфичной для ТНК логики бизнес-операций и документооборота на всех этапах оформления и исполнения заказов;
автоматическое формирование уведомлений (почтовых и он- лайновых) и списков задач для персонала ЭТП (департамен- тов ТНК);
чат с менеджером (переговоры в реальном времени);
форумы;
подписка и рассылка новостей;
каталог с описанием продукции;
отчеты по всем документам, проведенным/проводимым опе- рациям, балансам.
Таблица 23
Роли участников электронной торговой площадки
Роль
Участники
Покупатель
Клиент, подписавший договор на работу с ЭТП
Менеджер
Сотрудник блока маркетинга, продаж и переработки
(БМПП). Обеспечивает текущую работу с клиентами, включая переговоры, заключение договора об участии в
ЭТП, подготовку и заключение РД, ПРД и РЗ
Бизнес-администратор Сотрудник БМПП. Управляет профилями покупателей, сотрудников ТНК и каталогом продукции
Администратор торгов Сотрудник БМПП. Создает и закрывает сессии сбора заявок, обеспечивает выбор победителей в соответствии с конкурентным листом
Подписывающая роль Сотрудник БМПП. Обладает правом подписи докумен- тов ЭТП от имени ТНК
Сотрудник бэкофиса
Обеспечивает текущую работу с документами, включая проверку, оформление и согласование
Администратор приложения
Сотрудник блока информатизации и связи. Управляет сертификатами безопасности, пользователями, ролями, информационно-аналитическим блоком ЭТП, структурой
–
–
–
–
–
–
–
–
–

174 3. Информатизация маркетинговых бизнес-процессов на предприятии
Роль
Участники каталога, рабочими процессами и шаблонами документов
Аудитор
Сотрудник блока безопасности. Выполняет аудит пове- дения системы и пользователей
Средства администрирования и аудита ЭТП обеспечивают:
управление ролями и правами доступа;
управление пользователями;
управление сертификатами;
управление схемами бизнес-процессов;
возможность модернизации шаблонов документов;
уведомления администратора и аудитора о существенных со- бытиях;
журналирование всех операций.
После заполнения покупателем информации о себе администра- тор площадки проверяет всю информацию с подписанием всех необхо- димых договоров и заводит клиента на торговой площадке (рис. 42).
Рис. 42. Регистрация клиента ЭТП
Администратор торгов готовит группу сессий сбора заявок
(рис. 43), создает сессию с необходимыми параметрами, покупа-
–
–
–
–
–
–
–
Окончание табл. 23

Кейс « Проектирование электронной торговой площадки для нефтяной компании»
175
тель подает заявку на участие с ценой и объемом закупки, менед- жер готовит рамочный договор.
Рис. 43. Тендер (сессия сбора заявок)
В примере на рис. 44 клиент подает предложение на покупку.
Таким же образом менеджер может отправить предложение на продажу одному или нескольким клиентам.
Рис. 44. Переговоры

176 3. Информатизация маркетинговых бизнес-процессов на предприятии
Реквизитная заявка может подаваться не только на основании
ПРД (рис. 45), заключенного на площадке, но и по уже существую- щим ПРД, подписанным в обычном порядке. Таким образом, вмес- то передачи РЗ (рис. 46) через факс клиент может послать ее через
ЭТП, что удобнее, быстрее и надежнее.
Рис. 45. Заключение приложения к рамочному договору
Рис. 46. Подача реквизитной заявки

Кейс « Проектирование электронной торговой площадки для нефтяной компании»
177
Предпосылки к автоматизации:
резкий рост количества сотрудников;
резкий рост количества торговых процедур; расширение географии присутствия;
диверсификация бизнеса;
усложнение организационной структуры;
Основные проблемы бумажного документооборота:
потеря важных документов;
длительный поиск документов; несвоевременная оплата счетов;
неэффективный контроль исполнения поручений.
Автоматизация стандартных бизнес-процессов:
согласование служебных записок;
управление кадрами;
управление договорами и контрагентами; выдача поручений и контроль их исполнения; регистрация ОРД, входящих и исходящих писем.
Автоматизация специфических бизнес-процессов:
учет госзаказчиков торговой площадки;
учет прошедших торгов;
контроль работы департамента продаж; расчет мотивации департамента продаж; учет работы партнеров;
взаимодействие с удаленными подразделениями; учет обращений в колл-центр.
Анализ эффективности внедрения:
повышение скорости согласования документов (служебные записки – 1 день, договоры – 2–3 дня); снижение количества потерянных документов на 100 %;
снижение количества просроченных поручений в три раза; сокращение временных затрат на контроль работы сотрудни- ков в два раза;
появление эффективной системы планирования работ;
сокращение затрат на расходные материалы в четыре раза;
снижение загруженности секретарей и делопроизводителей.
Возможные проблемы:
сопротивление сотрудников;
–
–
–
–
–
–
–
–
–
–
–
–
–
–
–
–
–
–
–
–
–
–
–
–
–
–
–
–
–

178 3. Информатизация маркетинговых бизнес-процессов на предприятии нерегламентированные бизнес-процессы; неформализованная организационная структура, нечеткое распределение ответственности;
перевод бумажных документов в электронный вид.
Внедрение ЭТП позволит уменьшить влияние персонального фактора на бизнес-процессы и упростит взаимодействие клиен- тов и трейдеров ТНК. Автоматизация рутинных операций снизит вероятность ошибок и даст сотрудникам возможность работать с большим количеством клиентов.
Таким образом, ЭТП – важная составляющая комплекса мер по реализации политики открытости предприятия. ЭТП являет- ся гибким инструментом, который позволяет обеспечивать соот- ветствие предприятия совершенствуемым деловым процессам и уровню мировых информационных сбытовых систем поддержки.
Площадка представляется дополнительным каналом реализации продукции, повышения лояльности клиентов и эффективности ра- боты подразделений предприятия.
Электронные торговые площадки нового поколения отличают- ся тесной интеграцией с внутрикорпоративными информацион- ными системами, обеспечивают выполнение полного цикла обра- ботки сделок, предоставляя клиентам и персоналу существенные преимущества в работе.
Доверие на рынке ЭТП играет важную роль, поскольку, при- ходя на стороннюю площадку, компания должна быть уверена в порядочности оператора. ЭТП может стать прибыльным бизнесом при условии правильной маркетинговой политики и нескольких сотен, а лучше тысяч активных пользователей. Однако чтобы за- работать на площадке, необходимо понимать, каковы перспектив- ные варианты развития рынка и каким будет рынок электронной торговли России через два-три года. За счет высокой конкуренции на площадке гарантировано изменение в меньшую сторону на- чальной стоимости закупки от 5 до 15 %, прибыль будет зависеть от сферы деятельности компании; 6–8 % могут быть актуальны для наукоемких предприятий, которые заказывают узкоспециализи- рованное оборудование с малым числом поставщиков. Следует от- метить, что если компания проводит закупки на крупные суммы, то минимальный процент экономии принесет большие деньги.
–
–
–

Кейс « Проектирование электронной торговой площадки для нефтяной компании»
179
Российский рынок готов к освоению передовых информаци- онных решений, архитектура и бизнес-модели которых ничем не уступают приложениям, использующимся ведущими компания- ми в аналогичных сегментах рынка в США или Евросоюзе. При- ток зарубежных участников пополнит базу клиентов российских торговых площадок и повысит конкуренцию среди поставщиков, стремление организаторов торгов к сокращению затрат на приоб- ретаемую продукцию приведет к закупке через электронные пло- щадки. В итоге вырастут численные показатели отрасли электрон- ной торговли: количество участников, объем торгов и др.
Следует ожидать, что российские площадки будут стремиться к качественному развитию – переводу торговых процедур на англий- ский язык, что расширит круг иностранных участников торгов. Од- нако высока вероятность появления на российском рынке междуна- родных досок объявлений с ориентацией на малый и средний бизнес, особенностью которых будет предоставление ряда дополнительных сервисов, что также будет способствовать изменениям в электрон- ной коммерции в корпоративном сегменте и в сегменте B2G.
Возможность заработать зависит от числа заказчиков и учас- тников, которых владелец сможет привлечь на площадку. Дру- гой вопрос – за счет чего он это будет делать: улучшения качест- ва самой площадки, удобных сервисов, гибкой ценовой политики.
Для заказчиков площадок наиболее предпочтительны будут такие процедуры, как запрос котировок и запрос предложений. Востре- бованы будут традиционные конкурсы и аукционы. Следует авто- матизировать, помимо торговых процедур, контроль финансовых потоков, управление обеспечениями и плату за услуги площадки.
На площадке будут востребованы модули согласования плана за- купок и контроля исполнения договоров.
Благодаря вступлению России в ВТО электронная торговля в сегментaх business-2-business и business-2-go vernment получит стимулы для экстенсивного и интенсивного развития. Другие от- расли экономики России испытают положительное влияние от вступления России в ВТО: металлургия, химическая, нефтегазо- вая отрасль, сфера связи и т. д. Отрицательные последствия Рос- сии от ВТО наступят, скорее всего, для сельского хозяйства, тя- желой и легкой промышленности. В легкой промышленности на

180 3. Информатизация маркетинговых бизнес-процессов на предприятии данный момент функционируют 14 тыс. зарегистрированных на территории России крупных, средних и малых предприятий, 70 % предприятий являются градообразующими. Со вступлением Рос- сии в ВТО пошлины на одежду снизятся с 10–25 до 5–8 %, на текс- тиль – с 10,5 до 7,5 %. Прямые потери в отрасли к 2020 г. составят около 13 % объема производства (по прогнозам экспертов).
Для тяжелой промышленности вступление в ВТО может иметь также отрицательные последствия в виде прямых потерь вслед- ствие увеличения импорта, порядка 102 % от объема производства в 2020 г., с упущенными возможностями роста – 180 %.
В такой ситуации предприятия вынуждены снижать цену про- изводимой ими продукции. Один из способов снижения цены – это сокращение доли прибыли. Конечно же, данный способ нежелате- лен, в том числе и потому, что уровень рентабельности для многих предприятий промышленного сектора в России составляет 7–10 %.
Другим способом является снижении себестоимости продукции.
Добиться этого можно проведением закупок товаров и услуг в элек- тронной форме.
Участие в электронных торгах – наиболее эффективный инс- трумент повышения конкурентоспособности российских предпри- ятий и необходимый фактор выживания в условиях единого торго- вого пространства.
Залог успеха ЭТП предприятия состоит в следующем:
тщательное предварительное изучение потребностей клиентов;
реинжиниринг бизнес-процессов работы с контрагентами для более тесной интеграции традиционных и новых кана- лов сбыта;
высокая квалификация персонала;
оптимальный выбор исполнителя и платформы реализации.
Электронная торговая площадка позволяет достичь следующих результатов:
1. Измеряемые результаты внедрения и эксплуатации ЭТП:
повышение рентабельности бизнеса благодаря возможности гибкой реализации нефтепродуктов меньшими партиями;
рост объемов реализации без существенного увеличения чис- ленности менеджеров (в том числе при существенном росте объема переработки на новых производственных мощностях);
–
–
–
–
–
–

Вопросы для самоконтроля
181
увеличение числа и относительной доли лояльных потреби- телей;
снижение затрат на реализацию нефтепродуктов.
2. Качественные результаты внедрения и эксплуатации ЭТП:
повышение прозрачности торговых операций;
оптимизация процесса продаж;
полное документирование процесса взаимодействия с клиен- том;
укрепление отношений с существующими контрагентами;
сглаживание нежелательных колебаний конъюнктуры;
повышение имиджа ТНК как высокотехнологичной компа- нии.
Несмотря на то, что основный интерес сегодня к электронным торгам проявляется со стороны будущих владельцев электронных площадок, не стоит забывать о выгодах непосредственных органи- заторов торгов. Правильно организованные закупки – серьезный инструмент увеличения прибыли. За счет автоматизации процес- сов закупки компании могут существенно уменьшить затраты на свою закупочную деятельность, снизить накладные расходы и из- бежать ненужных ошибок.