Автоматизированные системы обработки экономической информации

В российских банках предпочитают:

DOS + Novell - 47,5% Windows NT - 43,7% Windows 3. 11/ Windows 95 - 32,2% Unix - 29%.

Операционные оболочки - специальные программы, предназначенные для облегчения работы, общения пользователей с ОС. Это программная надстройка к ОС. Операционные оболочки (ОО) существуют с текстовым интерфейсом и с графическим интерфейсом. Объекты ОО: меню, которое предоставляет список возможностей; окна ввода-вывода; пиктограммы. Наиболее популярна - Windows 3. 11. Ее плюсы: графический интерфейс - использование пиктограмм, обеспечение виртуальной многозадачности (параллельная работа с несколькими приложениями). Следующая по популярности - Norton Commander.

22. Понятие информации (И), экономической И. и банковской И. Свойства экономической И

В термин И. вкладывается различный смысл: в информатике под И. понимают объект и результат автоматизации, реализуемый при помощи ЭВМ. В этом случае И. - предмет и продукт машинного вычислительного процесса, но ее можно рассматривать и как предмет и продукт труда человека, например, работников управления. Для решения управленческий задач требуется исходная информация- предмет труда. В итоге решения возникает новая информация (продукт труда) - результатная, необходимая для управления. Кибернетика как наука разделяет понятия И. и данные. В приведенном выше примере исходная информация с кибернетических позиций - это данные, а результатная информация - И. Тогда И. - суть соотношения между данными и их получателем, пользователем. И. - это только те данные, которые нужны пользователю, полезны ему и несут что-то новое, определенное, обеспечивая возможность выполнения возложенных на него функций. Поэтому кибернетика трактует И. как меру устранения неопределенности, как меру знаний конкретного пользователя. В экономической науке используется подобное толкование И. , но чаще под И. понимается совокупность любых данных (сведений) о чем-либо. Понятие И. имеет много др. определений, связанных с принадлежностью к соответствующей научной отрасли. Итак, термин И. многозначный. В курсе АСОФКИ под И. преимущественно понимают любые данные (сведения).

Если И. по своему содержанию отражает явления экономической жизни общества, то она называется экономической. . Экономическая И. в сфере материального производства служит инструментом управления производством. Она подразделяется на ряд видов по функциям управления. С этих позиций она подразделяется на прогнозную, плановую, учетную и аналитическую. Плановая И. делится на И. перспективного, технико- экономического и оперативного планирования.

Эконом. И. в финансово-кредитных органах имеет специфическое содержание, т. к. связана с экономической работой финансовых и банковских учреждений, которая ими ведется по обслуживанию клиентуры, воздействуя на их показатели экономической деятельности. Достигается это посредством анализа, контроля и ревизии, разработкой мероприятий по улучшению финансово-экономического положения хозяйствующих субъектов. Учетно-операционная деятельность банков не относится к экономической, поэтому учетная И. в банках рассматривается отдельно от экономической, хотя и используется при анализе и контроле хозяйственной деятельности клиентов.

В месте с экономической информацией по обслуживанию клиентуры для контроля и анализа их хозяйственной деятельности используется также техническая, нормативно-справочная, директивная информация.

23. Структура эк. И. и структурные единицы

Существует несколько подходов к структуризации эк. И. Они зависят от целей и методов организации И.

Структура- это конкретные информационные образования, наделенные экономическим смыслом. Именно в структурных единицах И. принимает осязаемый характер. Структурное строение эк. И. может быть различным, но приоритет отдается иерархическому принципу выделения информационных образований- единиц. Единица самого высокого ранга- информационная система какого-либо объекта управления, например, отрасли, региона, п/п и т. п. Информационная система - совокупность информации объекта управления, которым может быть практически любой процесс и предмет в н/х. Информационная система делится на: подсистемы, массивы, показатели и реквизиты. Реквизит- минимальное структурное образование, несущее экономический смысл. Он характеризует эк. явления с какой-либо одной стороны: качественной или количественной. В первом случае это достигается посредством призначных свойств, задающихся словами. Обычно слова заменяются кодами, но их текстовая сущность сохраняется. Такие реквизиты называются реквизитами - признаками (примеры: название п/п, вид кредита и т. п. ). Количественные характеристики задаются числами в явной форме и называются реквизитами - основаниями (пример: трудоемкость в нормо-часах, стоимость в руб. и т. д. ). В показателях сочетаются реквизиты - основания с реквизитами - признаками, что позволяет давать полное представление об экономических процессах как с количественной, так и с качественной сторон. Одно основание может иметь один или несколько признаков. Обычный случай образования показателей представляет набор только реквизитов - признаков, один из которых (ведущий признак) выполняет функцию основания. . Роль показателей исключительно высока в экономике, и их следует считать главными структурными единицами экономической И.

Реквизиты и показатели обладают своими внутренними качествами: формой (названием) и содержанием (значением). Например, показатели сумм з/пл рабочих имеют различные значения, присущие отдельным рабочим в разные периоды времени.

Ряд показателей одной формы, но с различными значениями образуют массив. Массив принимает упорядоченное содержание, если все показатели (реквизиты) располагаются с заданной последовательностью значений, например, в порядке возрастания чисел натурального ряда или по алфавиту.

Информационная система при дифференциации объекта управления подразделяется на подсистемы нескольких рангов, образуя самостоятельные структурные едины. Каждая информационная подсистема формируется из определенных массивов, состав которых зависит от задач, решаемых подсистемой.

Другой подход к структуризации И.

Запись экономической И. в документах, на магнитных лентах, дисках и др. носителях сопровождается особой ее структуризацией.

В ЭВМ информация структуризируется особыми приемами, что приводит к образованию таких единиц как байты, машинные слова, поля и т. д.

В АС информация подвергается соответствующей структуризации с выделением таких информационных образований как база данных, информационный фонд, каталоги и словари данных.

При внедрении диалогового режима появились такие структуры, как меню-столбцы и меню-строки, электронные таблицы и др.

24. Понятие организационного обеспечения (ОО)

ОО - совокупность методов и средств, используемых специалистами для повышения эффективности управления как на стадии создания, так и на последующих стадиях жизнедеятельности системы. Оно включает широкий спектр проблем, связанных с проектированием и функционированием системы, определяет организационную структуру, состав элементов, их связи и взаимодействие, устанавливает четкий порядок выполнения комплексов работ. ОО базируется на методологии, заложенной в основу функционирования системы, отражает ее особенности, включает правовые акты, регулирующие деятельность человеко-машинной системы. Техническое перевооружение информационно-вычислительного обслуживания банков и финансовых органов существенно изменяет функции и организацию работы их сотрудников. Создаются принципиально новые условия, при которых комплекс машин и специалисты действуют в едином контуре регулирования в рамках выбранного варианта технологического процесса. Все связанные с этим особенности функционирования должны быть заблаговременно учтены, спроектированы, отражены в технологической документации и инструкциях, регламентирующих выполнение конкретных операций. ОО включает методы, средства, персонал нужной квалификации для ведения проектировочных работ и организации качественного последующего функционирования системы.

В основе построения АСОФКИ лежат единые принципы создания автоматизированных систем управления, что позволяет рассматривать ОО АСОФКИ в целом, выделяя при этом целевые, методические, структурные и технологические особенности, присущие АС финансовых органов и банков. Проектирование АСОФКИ включает комплексные технико-экономические исследования информационных процессов, разработку проектных решений, установление очередности ввода в эксплуатацию завершенных разработок, формирование проектно-технологической документации. Т. о. , сущность ОО АСОФКИ - надежно организованная работа на стадиях создания и функционирования автоматизации информационных процессов, а также строгий контроль за ее выполнением согласно утвержденным инструкциям и правовым актам.

25. Организация предпроектного обследования

Предпроектная стадия включает комплекс научно-исследовательских работ и организационно-технических мероприятий по обследованию объекта автоматизации. На этой стадии исследуются экономические показатели работы п/п или учреждения, его организационная структура, информационные потоки, документооборот, методы учета и планирования. Обследование способствует определению основных параметров проектируемой системы и подразумевает сбор данных об объекте автоматизации в соответствии с конкретно выбранными методами. Важным этапом на этой стадии является анализ результатов обследования, который учитывая характер собранных данных, их объем, и, как правило, жесткие сроки, целесообразно проводить с применением ВТ. Цель такого обследования заключается в определении эк. целесообразности автоматизации и подготовке научно обоснованных, рациональных направлений по совершенствованию управления. От качества проведенного обследования зависит весь дальнейший ход проектных работ. На этой стадии можно выделить два этапа, которые завершаются подготовкой и утверждением двух документов: ТЭО и технического задания (ТЗ). ТЭО- первый документ, создаваемый на предпроектной стадии разработки системы, подтверждающий ее эк. целесообразность и производственную необходимость. Разработка ТЭО базируется на результатах обследования объекта автоматизации и имеет вид пояснительной записки. В него включены: обоснование цели проектирования и состава комплекса подсистем и задач, перечень организационно-технических мероприятий по разработке и внедрению системы, оценка эк. эффективности. ТЗ - документ, завершающий предпроектную стадию создания АИС и включающий в себя правовое обоснование проектирования, к которому относятся издаваемые вышестоящими организациями постановления и приказы; описание цели и расчет эк. эффективности разработки; требования к задачам, техническому комплексу, обеспечивающим подсистемам и их составу. В ТЗ определяется очередность проектирования и внедрения АИС с приложением сетевых графиков и указанием источников финансирования работ.

К работам на предпроектной стадии привлекается заказчик проекта, который заключает договор с проектирующей организацией на создание ТЭО и ТЗ, составляет план организационно- технических мероприятий по обследованию организации, описание действующей системы управления и действующего документооборота, согласовывает в установленном порядке предложения по изменению методов и организационной структуры управления объектом; утверждает ТЭО и ТЗ. Разработчик на этой стадии участвует в разработке плана- графика совместных работ, составляет программу предпроектного обследования и принимает участие в его проведении. Кроме того, на предпроектной стадии проектировщик системы должен обеспечить обучение персонала объекта автоматизации современным методам управления с применением разнообразных средств ВТ и оргтехники. На этой стадии разработчик согласовывает вышеназванные документы с заказчиком, рассматривает и утверждает их.

26. Организация работ на стадии технического проектирования

На стадии технического проектирования разрабатываются основные положения создаваемой системы, формулируются основные принципы ее функционирования и взаимодействия с другими АС, определяется структура АИС и ее подсистем, осуществляются проектные решения по комплексу технических средств, созданию информационной базы. Много внимания уделяется проектированию обеспечивающих подсистем. Документация технического проекта очень обширна и многообразна. В пояснительной записке дается краткое изложение содержания проекта с указанием его соответствия существующим нормам и правилам. Особое внимание уделяется проектным решениям по комплексу технических средств. В ТЗ указывается их состав, структура, организационные формы использования на различных уровнях создаваемой АИС, описываются методы обмена данными внутри системы и с др. аналогичными АС. Создается сборник заказных спецификаций на такие виды оборудования, как средства ВТ, периферийные технические средства, контрольно-измерительная аппаратура, оргтехника и т. д. План мероприятий по подготовке объекта к внедрению должен содержать перечень работ, обеспечивающих внедрение системы, с указанием содержания и сроков их выполнения, ответственного исполнителя и формы завершения работ. По результатам реализации первой стадии рассчитывается эк. эффективность проекта. Результаты расчета, характеризующие затраты на создание и эксплуатацию системы, расчетный коэффициент эффективности и срок окупаемости, дают основание сформулировать предложения по учету экономии. Описание организационной структуры содержит изменения в данной структуре объекта автоматизации и рекомендации для реорганизуемых и вновь создаваемых объектов. Техническим проектом раскрывается постановка автоматизируемых задач, их целевая функция и характеристика, даются алгоритмы и технология решения задач на ЭВМ, определяются эффективные меры контроля достоверности данных. . Здесь же дается описание компонентов комплексов задач, реализуемых средствами пакетов прикладных программ, приводится подробное описание используемых эк. -математ. методов. В техническом проекте формируются требования к обеспечивающим подсистемам, определяются способы сбора и организации данных, дается структура массивов информации на технических носителях, логическая структура баз данных. По программному обеспечению на этом этапе выбираются общесистемные решения, включая операционные системы, системы управления базами данных, определяется возможность настройки пакетов прикладных программ и др. Заказчик на этом этапе завершает работу по составлению плана организационно- технических мероприятий по подготовке объекта к внедрению АИС, проводит мероприятия по адаптации управленческих кадров к новым условиям работы, принимает участие в проектировании форм входных и выходных документов, разрабатывает под руководством проектировщиков систему классификации и кодирования, используемую на данном п/п. Он обеспечивает уточнение исходных данных по составу и структуре информационной базы, выполняет различные подготовительные мероприятия на объекте автоматизации. Основная задача разработчика на этом этапе заключается в создании технического проекта в соответствии с техническим заданием. Он разрабатывает и сдает заказчику программы и рабочую документацию по организации и ведению первичных массивов данных, разрабатывает и согласовывает с заказчиком соответствующие разделы контрольного примера, уточняет состав применяемых пакетов прикладных программ, принимает участие в обучении персонала заказчика.

27. Организация работ на стадии рабочего проектирования

Основанием для начала работ на стадии рабочего проектирования является утвержденный технический проект. В связи с тем, что основная цель рабочего проекта- это разработка технической, рабочей документации, необходимой для отладки и внедрения АИС, проведение приемно-сдаточных мероприятий и обеспечение нормального функционирования системы, рабочий проект не утверждается. По своей структуре он аналогичен техническому проекту и содержит в принципе те же разделы. В него входят уточненные и детализированные общесистемные проектные решения, программы, локальные проектные решения по отдельным функциональным и обеспечивающим подсистемам, доведенные до инструктивных материалов, перечень мероприятий по подготовке объекта к внедрению.

Программная документация рабочего проекта включает:

1. Руководство программиста, содержащее описания используемых средств программирования, непосредственно программ и их функционирования, алгоритмов обработки данных, способов и средств диагностики и др.

2. Руководство оператора, в составе которого можно выделить описание его действий при запросах программы, правила организации программ на внешних носителях, тестирование.

3. Эксплуатационные программы, если используется ППП, или тексты программ.

4. Контрольный пример, кот. включает описание проверяемых функций и параметров, состава необходимых технических средств, входной информации и результатов апробирования.

В состав технических инструкций, которые, как правило, являются типовыми, входят инструкции по: сбору, регистрации, контролю и передаче информации; переносу ее на машинные носители, ведению архива носителей документов; порядку передачи выходной, результатной информации. Должностные инструкции определяют права и обязанности производственного и управленческого персонала при эксплуатации АИС, регламентируют их действия в новых условиях производства.

28. Организация работ на стадии внедрения системы

Внедрение разработанной системы- это процесс постепенного перехода от существующей системы обработки данных к новой, автоматизированной. Ввод в эксплуатацию проводится силами заказчика при участии разработчика и осуществляется поэтапно:

-подготовка объекта к внедрению АИС

-опытная эксплуатация отдельных задач или их комплексов

-сдача системы в промышленную эксплуатацию.

В процессе опытной эксплуатации, которая не должна превышать 3 месяцев, выявляются результаты проектной работы, неточности и ошибки, допущенные на предыдущих стадиях и этапах, происходит их устранение. На основе реальной информации проверяется качество конкретных проектных решений, инструктивных материалов, подготовленность кадров к работе в новых условиях. Проверяется возможность выполнения комплекса организационно- правовых решений проекта, в частности, по использованию информации, ее защите, достоверности, полноты, соблюдение установленных сроков поступления данных и выдачи результатов расчета. Опытная эксплуатация проводится на основе специальной программы. По результатам эксплуатации, которые оцениваются специальной комиссией, осуществляется анализ внедрения представленных технического задания и рабочего проекта. При положительных результатах составляется двусторонний акт о приемке отдельных задач и их комплексов в промышленную эксплуатацию. После завершения приемки всех задач заказчиком происходит приемка комиссией системы в целом. Дата подписания акта о приемке системы является датой ввода АИС в промышленную эксплуатацию. С этого момента ответственность за функционирование АИС несет заказчик. Заказчик обязан обеспечить выполнение персоналом должностных и технологических инструкций, полностью подготовить объект автоматизации к внедрению АИС, внести изменения в его организационную структуру, проверить эффективность реализованных проектных решений в условиях промышленной эксплуатации и по результатам функционирования АИС подготовить рекомендации по ее дальнейшему развитию. Разработчик же на заключительном этапе проектирования корректирует рабочую документацию по результатам опытной эксплуатации, участвует в работе комиссии по приемке АИС в промышленную эксплуатацию.

Внедрение АИС в промышленную эксплуатацию является ответственным процессом и означает, что система приступила к практической реализации возложенных на нее функций. Со временем она может быть модернизирована.

29. Режимы обработки данных

При проектировании технологических процессов ориентируются на режимы их реализации. Режим реализации технологии зависит от объемно-временных особенностей решаемых задач: периодичности и срочности, требований к быстроте обработки сообщений, а также от режимных возможностей технических средств, и в первую очередь ЭВМ. Существуют: пакетный режим; режим реального масштаба времени; режим разделения времени; регламентный режим; запросный; диалоговый; телеобработки; интерактивный; однопрограммный; многопрограммный (мультиобработка). Для пользователей финансово-кредитной системы наиболее актуальны следующие режимы: реального времени, пакетный и диалоговый.

Пакетный режим. При использовании этого режима пользователь не имеет непосредственного общения с ЭВМ. Сбор и регистрация информации, ввод и обработка не совпадают по времени. Вначале пользователь собирает информацию, формируя ее в пакеты в соответствии с видом задач или каким-то др. признаком. (Как правило, это задачи неоперативного характера, с долговременным сроком действия результатов решения). После завершения приема информации производится ее ввод и обработка, т. о. , происходит задержка обработки. Этот режим используется, как правило, при централизованном способе обработки информации. В банке в течение первой половины операционного дня производится прием документов от клиентов, банк работает на прием данных. Во второй половине дня собранная и организованная в пакеты информация направляется на вычислительный центр для обработки. Передача может осуществляться как в виде документов или машинных носителей, так и по каналам связи.

Диалоговый режим (запросный) режим, при котором существует возможность пользователя непосредственно взаимодействовать с вычислительной системой в процессе работы пользователя. Программы обработки данных находятся в памяти ЭВМ постоянно, если ЭВМ доступна в любое время, или в течение определенного промежутка времени, когда ЭВМ доступна пользователю. Взаимодействие пользователя с вычислительной системой в виде диалога может быть многоаспектным и определяться различными факторами: языком общения, активной или пассивной ролью пользователя; кто является инициатором диалога - пользователь или ЭВМ; временем ответа; структурой диалога и т. д. Если инициатором диалога является пользователь, то он должен обладать знаниями по работе с процедурами, форматами данных и т. п. Если инициатор - ЭВМ, то машина сама сообщает на каждом шаге, что нужно делать с разнообразными возможностями выбора. Этот метод работы называется “выбором меню”. Он обеспечивает поддержку действий пользователя и предписывает их последовательность. При этом от пользователя требуется меньшая подготовленность.

Применительно к банку режим меню часто используются при вводе информации на рабочем столе операциониста, для него на экране дисплея высвечивается готовый документ со свободными графами, которые заполняются исходными данными из платежных документов клиента. Процесс ввода стандартизируется и упрощается.

Диалоговый режим требует определенного уровня технической оснащенности пользователя, т. е. наличие терминала или ПЭВМ, связанных с центральной вычислительной системой каналами связи. Этот режим используется для доступа к информации, вычислительным или программным ресурсам. Возможность работы в диалоговом режиме может быть ограничена во времени начала и конца работы, а может быть и неограниченной.

Иногда различают диалоговый и запросный режимы, тогда под запросным понимается одноразовое обращение к системе, после которого она выдает ответ и отключается, а под диалоговым- режим, при которым система после запроса выдает ответ и ждет дальнейших действий пользователя.

Режим реального масштаба времени. Означает способность вычислительной системы взаимодействовать с контролируемыми или управляемыми процессами в темпе протекания этих процессов. Время реакции ЭВМ должно удовлетворять темпу контролируемого процесса или требованиям пользователей и иметь минимальную задержку. Как правило, этот режим используются при децентрализованной и распределенной обработке данных. Пример: на рабочем столе операциониста установлен ПК, через который вся информация по банковским операциям вводится в ЭВМ банка по мере ее поступления.

Режим телеобработки дает возможность удаленному пользователю взаимодействовать с вычислительной системой.

Интерактивный режим предполагает возможность двустороннего взаимодействия пользователя с системой, т. е. у пользователя есть возможность воздействия на процесс обработки данных.

Режим разделения времени предполагает способность системы выделять свои ресурсы группе пользователей поочередно. Вычислительная система настолько быстро обслуживает каждого пользователя, что создается впечатление одновременной работы нескольких пользователей. Такая возможность достигается за счет соответствующего программного обеспечения.

Однопрограммный и многопрограммный режимы характеризуют возможность системы работать одновременно по одной или нескольким программам.

Регламентный режим характеризуется определенностью во времени отдельных задач пользователя. Например, получение результатных сводок по окончании месяца, расчет ведомостей начисления зарплаты к определенным датам и т. д. Сроки решения устанавливаются заранее по регламенту в противоположность к произвольным запросам.

30. Способы обработки данных

Различаются следующие способы обработки данных: централизованная, децентрализованная, распределенная и интегрированная.

Централизованная предполагает наличие ВЦ. При этом способе пользователь доставляет на ВЦ исходную информацию и получают результаты обработки в виде результативных документов. Особенностью такого способа обработки являются сложность и трудоемкость налаживания быстрой, бесперебойной связи, большая загруженность ВЦ информацией (т. к. велик ее объем), регламентацией сроков выполнения операций, организация безопасности системы от возможного несанкционированного доступа.

Децентрализованная обработка. Этот способ связан с появлением ПЭВМ, дающих возможность автоматизировать конкретное рабочие место. В настоящие время банковской системе существуют три вида технологий децентрализованной обработки данных. Первая основывается на персональных компьютерах, не объединенных в локальную сеть. (данные хранятся в отдельных файлах и на отдельных дисках). Для получения показателей производится перезапись информации на компьютер. Недостатки: отсутствие взаимоувязки задач, невозможность обработки больших объемов информации, низкая зашита от несанкционированного доступа. Второй: ПК объединенные в локальную сеть, что ведет к созданию единых файлов данных (но он не рассчитан на большие объемы информации). Третий: ПК объединенные в локальную сеть, в которую включаются специальные серверы (с режимом “клиент-банк”).

Распределенный способ обработки данных основан на распределении функций обработки между различными ЭВМ, включенными в сеть. Этот способ может быть реализован двумя путями: первый предполагает установку ЭВМ в каждом узле сети (или на каждом уровне системы), при этом обработка данных осуществляется одной или несколькими ЭВМ в зависимости от реальных возможностей системы и ее потребностей на текущий момент времени. Второй путь - размещение большого числа различных процессоров внутри одной системы. Такой путь применяется в системах обработки банковской и финансовой информации, там, где необходима сеть обработки данных (филиалы, отделения и т. д. ).

Преимущества распределенного способа: возможность обрабатывать в заданные сроки любой объем данных; высокая степень надежности, так как при отказе одного технического средства есть возможность моментальной замены его на другой. ; сокращение времени и затрат на передачу данных; повышение гибкости систем, упрощение разработки и эксплуатации программного обеспечения и т. д. Распределенный способ основывается на комплексе специализированных процессоров, т. е. каждая ЭВМ предназначена для решения определенных задач, или задач своего уровня.

Следующий способ обработки данных - интегрированный. Он предусматривает создание информационной модели управляемого объекта, то есть создание распределенной базы данных. Такой способ обеспечивает максимальное удобство для пользователя. С одной стороны, базы данных предусматривают коллективное пользование и централизованное управление. С другой стороны, объем информации, разнообразие решаемых задач требуют распределения базы данных. Технология интегрированной обработки информации позволяет улучшить качество, достоверность и скорость обработки, т. к. обработка производится на основе единого информационного массива, однократно введенного в ЭВМ. Особенностью этого способа является отделение технологически и по времени процедуры обработки от процедур сбора, подготовки и ввода данных.

31. Понятие безопасности АБС

Безопасность АБС- защищенность банковской системы от случайного или преднамеренного вмешательства в нормальный процесс ее функционирования, а также от попыток хищения, модификации или разрушение ее компонентов. Безопасность АБС это: безопасность сотрудников, безопасность помещений, ценностей, информационная безопасность. Различают внешнюю и внутреннюю. безопасность АБС. Внешняя- защита от стихийных бедствий и проникновения злоумышленника извне в целях хищения, получения доступа к носителям информации или вывода системы из строя. Внутренняя - обеспечение надежной и правильной работы системы, целостности ее программ и данных. Безопасность информации - состояние информации, информационных ресурсов и информационных систем, при котором с требуемой вероятностью обеспечивается защита информации от утечки, хищения, утраты и т. д.

Цели защиты информации:

1. Предотвращение хищений, подделок, искажений информации

2. Предотвращение несанкционированного действия по уничтожению модификации, блокированию, копированию информации.

3. Сохранение конфиденциальности информации.

4. Обеспечение прав разработчиков АБС.

Факторы, повышающие необходимость защиты информации: повышение степени криминальности банковского сектора конкуренция в КБ отсутствие единых стандартов безопасности отсутствие законодательного обеспечения защиты интересов субъектов информационных отношений развитие компьютерных вирусов широкое использование в КБ однотипных стандартных вычислительных. средств.

32. Меры обеспечения безопасности АБС

Система защиты АБС - совокупность специальных мер правового и административного характера, организационных мероприятий, физических и технических средств защиты, а также специального персонала, предназначенного для обеспечения безопасности АБС.

Правовые меры защиты информации- действующие в стране законы, указы и другие нормативные. акты, регламентирующие. правила обращения с информацией и ответственность за их нарушения.

Морально-этические меры защиты информации - традиционно сложившиеся в стране нормы поведения и правила обращения с информацией. Эти нормы не являются обязательными, как законодательно утвержденные нормы, однако, их несоблюдение ведет к падению авторитета, престижа человека, организации. Организационные (административные) меры защиты - это меры, регламентирующие процессы функционирования АБС, использование ее ресурсов, деятельности персонала, а также порядок взаимодействия пользователей системой таким образом, чтобы максимально затруднить или исключить возможность реализации угроз безопасности информации.

Физические меры защиты - различные механические, электро или электронно-механические устройства, предназначение для создания физических препятствий на путях проникновения потенциальных нарушителей к абонентам АБС и защищаемой информации, а также техник. средства визуального наблюдения, связи и охранной сигнализации.

Технические (аппаратно-программные) средства защиты - различные электронные устройства и специальные программы, выполняющие (самостоятельно или в комплексе с другими средствами) функции защиты информации (идентификацию пользователей, разграничение доступа к ресурсам, криптографическое закрытие информации и т. п. )

Администратор безопасности - лицо или группа лиц, ответственных за обеспечение безопасности системы, за реализацию и непрерывность соблюдения установленных административных мер защиты и осуществляющих постоянную организационную поддержку функционирования применяемых физических и технических средств защиты.

Наилучшие результаты по защите АБС достигаются при системном подходе к вопросам безопасности АБС и комплексном использовании различных мер защиты на всех этапах жизненного цикла системы начиная с ее проектирования.

33. Общие или универсальные способы зашиты АБС

Существуют следующие универсальные (общие) способы защиты АБС от различных воздействий на нее:

1. Идентификация и аутентификация АБС (пользователей процессов и т. д. );

2. Контроль доступа к ресурсам АБС (управление доступом);

3. Регистрация и анализ событий, происходящих в АБС;

4. Контроль целостности объектов АБС;

5. Шифрование данных;

6. Резервирование ресурсов и компонентов АБС.

Идентификация - это присвоение кода каждому объекту персонального идентификатора. Аутентификация - установление подлинности. Управление доступа - защита информации путем регулирования доступа ко всем ресурсам системы (техническим, программным, элементам баз данных). Регламентируются порядок работы пользователей и персонала, право доступа к отдельным файлам в базах данных и т. д. Резервирование ресурсов и абонентов АБС предполагает: организацию регулярных процедур спасения и резервного хранения критичных данных, установку и периодическую проверку резервных устройств обработки данных, подготовку специалистов, способных заменить администраторов систем, регистрацию систем и хранение носителей информации в строго определенных местах, выдачу их уполномоченным лицам с необходимыми отметками в регистрационных документах.

34. Угрозы безопасности. Понятие и классификация

Угроза - целенаправленное действие, которое повышает уязвимость накапливаемой, хранимой и обрабатываемой системы информации и приводит к ее случайному или предумышленному изменению или уничтожению.

Угрозы бывают: Случайные: ошибки персонала, пропуски, форс-мажор, ошибки автоматизированных и программных средств (повреждения компьютеров, периферии). Преднамеренные угрозы, создающиеся специалистами, работающими в данной системе людьми из внешней среды ( хакеры). Преднамеренные угрозы включают вирусы.

Угрозы можно объединить в следующие группы: прерывание (прекращение нормальной обработки информации); перехват (незаконное копирование, чтение данных системы); модификация (доступ и изменение информации, манипуляция); разрушение (необратимая потеря данных).

Не существует общепринятой системы классификации угроз безопасности. Один из вариантов может быть выполнен по следующим признакам:

1. По цели реализации: нарушение конфиденциальности информации, нарушение целостности информации, нарушение работоспособности АБС

2. По принципу воздействия: с использованием доступа в систему, с использованием скрытых каналов

3. По характеру воздействия: активные, пассивные

4. По способу воздействия атаки на объект: (атака реализация угрозы) непосредственное воздействие на объект, воздействие на систему разрешений (в т. ч. захват).

5. По способу воздействия на АБС: в интерактивном режиме, в пакетном режиме.

6. По объекту атаки: на АБС в целом, на объекты АБС (данные, программы), на субъекты АБС (процессы, пользователи ), на каналы передачи данных.

7. По состоянию объекта атаки: при хранении на носителях, при передаче объекта по каналам связи, при обработке объекта.

Общая классификация угроз банковским электронным системам выглядит следующим образом:

1. Угрозы конфиденциальности данных и программ. При несанкционированном доступе к данным, программам или каналам связи. Полезная информация может быть получена и при перехвате электромагнитного излучения, создаваемого аппаратурой системы. Определенные сведения о работе компьютерной системы извлекаются даже в том случае, когда ведется наблюдение за характером процесса обмена сообщениями без доступа к их содержанию.

2. Угрозы целостности данных, программ, аппаратуры. При несанкционированном уничтожении, добавлении лишних элементов и модификации данных, изменении порядка расположения данных, формировании фальсифицированных платежных документов в ответ на законные запросы, активной ретрансляции сообщений с их задержкой. Целостность аппаратуры нарушается при ее повреждении, похищении или незаконном изменении алгоритмов работы.

3. Угрозы доступности данных. Когда объект (пользователь или процесс) не получает доступа к законно выделенным ему службам или ресурсам. Эта угроза реализуется захватом всех ресурсов, блокированием линий связи несанкционированным объектом в результате передачи по ним своей информации или исключением необходимой системной информации. Эта угроза может привести к ненадежности или плохому качеству обслуживания в системе и поэтому будет влиять на достоверность и своевременность доставки платежных документов.

4. Угрозы отказа от выполнения транзакций. Когда легальный пользователь выполняет транзакции (передает или принимает платежные документы) в системе, а затем отрицает свое участие в них, чтобы снять с себя ответственность.

35. Наиболее распространенные угрозы безопасности АБС

Угроза - целенаправленное действие, которое повышает уязвимость накапливаемой, хранимой и обрабатываемой системы информации и приводит к ее случ. или преднамер. изменению или уничтожению.

К наиболее распространенным угрозам безопасности относят:

Несанкционированный доступ ( НСД ) - наиболее распространенный вид компьютерных нарушений. Он заключается в получении пользователем доступа к объекту, на который у него нет разреш-я в соответствии с принятой в организации политикой безопасности. Самое сложное- определить, кто и к каким данным может иметь доступ, а кто- нет.

Незаконное использование привилегий - злоумышленники используют штатное прогр. обеспечение, функционирующее в нештатном режиме. Незаконный захват привилегий возможен либо при наличии ошибок в самой системе защиты, либо в случае халатности при управлении системой и привилегиями. Чтобы избежать таких нарушений- строго соблюдать правила управления системой защиты, принцип минимума привилегий.

Атаки “салями” - характерны для систем, обрабатывающих денежные счета. Принцип атак: при обработке счетов используются целые единицы (рубли, копейки), а при исчислении процентов нередко получаются дробные суммы.

“Скрытые каналы” - пути передачи информации между процессами системы, нарушающие системную политику безопасности. В среде с разделением доступа к информации пользователь может не получить разрешение на обработку интересующих его данных, однако может придумать для этого обходные пути. “Скрытые каналы” могут быть реализованы различными путями, в том числе и при помощи программных закладок (“троянский конь”).

“Маскарад” означает выполнение каких-либо действий одним пользователем банковской электронной системы от имени другого пользователя. Такие действия другому пользователю могут быть разрешены. Нарушение заключается в присвоении прав и привилегий. Наиболее опасен “маскарад” в банковских электронных системах платежей, где неправильная идентификация клиента может привести к огромным убыткам. Особенно это касается платежей с помощью банковских пластиковых карт. Сам по себе метод идентификации с помощью персонального ПИН-кода достаточно надежен, нарушения могут происходить вследствие ошибок его использования, например в случае утери карты, при использовании очевидного идентификатора ( своего имени, ключевого слова ). Поэтому клиентам надо строго соблюдать все рекомендации банка при использовании такого вида платежей.

“Сборка мусора” - после окончания работы обрабатываемая информация не всегда полностью удаляется из памяти. Данные хранятся на носителе до перезаписи или уничтожения. При искажении заголовка файла их прочитать трудно, но все-таки возможно с помощью специальных программ и оборудования. Это может привести к утечке важной информации. Для защиты используются специальные механизмов, например, стирающий образец.

“Взлом системы” - умышленное проникновение в систему с несанкционированными параметрами входа, то есть с именем пользователя и его паролем. Основная нагрузка при защите- на программе входа. Алгоритм ввода имени и пароля, их шифрование, правила хранения и смены паролей не должны содержать ошибок.

“Люки” - это скрытая, недокументированная точка входа в программный модуль. Это угроза, возникающая при ошибках реализации каких-либо проектов ( системы в целом, комплекса программ и т. д. ). Часто происходит обнаружение “люков” - в результате случайного поиска.

Вредоносные программы - специально созданные программы, которые прямо или косвенно дезорганизуют процесс обработки информации или способствуют утечке или искажению информации. Наиболее распространенные виды:

-вирус (программа, способная заражать др. программы, модифицируя их так, чтобы они включали в себя копию вируса),

-”троянский конь” (программа, приводящая к неожиданным, нежелательным результатам). Способна раскрыть, изменить, уничтожить данные или файлы. Эту программу встраивают в программы широкого пользования (обслуживание сети). Антивирусные средства не обнаруживают эти программы, но системы управления доступом в больших компьютерах обладают механизмами идентификации и ограничения их действия.

-“червяки” - программа, распространяемая в системах и сетях по линиям связи. Подобны вирусам: заражают другие программы, однако не способны самовоспроизводиться.

-“жадная” программа - захватывает отдельные ресурсы вычислительной системы, не давая другим программам возможности их использовать.

-“захватчик паролей” - предназначены для распознавания паролей

-”бактерии” - делает копии самой себя и становится паразитом, перегружая память ПК и процессор.

-“логические бомбы” - приводит к повреждению файлов или компьютеров (от искажения до полного уничтожения данных ). Как правило, ее вставляют при разработке программы, а срабатывает она при выполнении некоторого условия ( время, дата).

-“лазейки” - точка входа в программу, открывающая доступ к некоторым системным функциям. Обнаруживаются путем анализа работы программы.

36. Электронная цифровая подпись- понятие и внедрение ее в банках

Электронная цифровая подпись (ЭЦП) - одна из криптографических систем зашиты контроля и подлинности информации. Значение ЭЦП усилилось при передаче информации расчетно-денежных документов по каналам связи в условиях “безбумажной” технологии выполнения банковских операций.

ЭЦП- система, позволяющая гарантированно подтвердить авторство и установить истинность документа “безбумажной” технологии.

В отличие от “бумажной” подписи ЭЦП не является неизменной и проставляется она не человеком, а программой. В основе программы ЭЦП лежат сложные математические схемы, что затрудняет ее подделку. ЭЦП формируется в виде нескольких сотен символов, как правило, в конце документа. При формировании ЭЦП используются четыре взаимосвязанных компонента: закрытый (секретный) ключ, открытый ключ, содержание документа, идентификатор отправителя документа. Секретный ключ хранится на дискете, доступ к которой должен быть защищен как физически (сейф), так и паролем. Открытый ключ передающего абонента позволяет судить об истинности его подписи, но не позволяет восстановить секретный ключ подписи. Открытый ключ и идентификатор являются общедоступной для сети абонентов информацией. Поскольку ЭЦП связана с содержанием документа, злоумышленники, которые не были бы обнаружены программой проверки документа при помощи открытого ключа. Процесс использования ЭЦП включает следующие процедуры: генерация ключей, подписывание документа, проверка подписи.

Большую роль в предотвращении подделки ЭЦП играют стандарты на электронную подпись, т. к. они представляют собой подробное описание алгоритмов, по которым вычисляется и проверяется подпись.

В России приняты стандарты, обеспечивающие высокую криптографическую стойкость алгоритмов, реализующих ЭЦП.

Гарантией надежности ЭЦП служит ее сертификация Федеральным агентством правительственной связи и информации (ФАПСИ). Сертификация - процесс, в результате которого подтверждается соответствие требованию стандарта.

37. Информационный процесс управления банком

Технология управленческого процесса в банке состоит по крайней мере из 2 частей: информационного процесса и связанного с принятием управленческих решений. В этом случае информационный процесс можно охарактеризовать как рутинный, включающий разные технические операции. Помимо этих двух процессов выделяют также организационно методологический, коммуникационный процессы.

Организационно- методологический процесс предназначается для организации управления, разработки его методов и моделей. Коммуникационный процесс служит целям информационного обмена и, по сути дела, является информационным.

Информационным процессом управления называется совокупность управленческих операций, главным предметом которых выступает информация. Подобные операции направлены на сбор (съемка, улавливание, восприятие) информации, ее преобразование с целью получения необходимой информации для формирования управленческих решений, обеспечивающих реализацию функций объекта управления. Поскольку для формирования решений недостаточно иметь первичную информацию, то необходимо прибегать к операциям ее всевозможного преобразования, что и вызывает потребность информационного процесса.

38. Классификация информационных задач

Совокупность управленческих операций с информацией называется информационным процессом. Каждая операция ориентирована на выполнение определенной целевой функции, прямо связанной с информацией, что позволяет называть подобные операции информационными. Их выполнение- решение информационных задач. Информационные управленческие задачи подразделяются на несколько видов по различным признакам:

1. С позиций правил организации решения задач в установленном управленческом режиме: регламентные- установлены принятым порядком управления и решаются в определенные временные периоды; запросно-справочные- возникают и решаются в не установленное заранее время.

2. По регулярности решения: систематические с твердой и частой датой решения; эпизодические с редкими датами решения; случайные.

3. По срочности: срочные и несрочные;

4. С позиции технологической общности правил решения задач: типовые и нетиповые.

5. По повторяемости: единичные, групповые и массовые.

6. По математической основе вычислений: задачи прямого счета - ведущими являются арифметические действия, алгоритм которых несложный, а исходная информация объемна и сложна по структуре (это задачи учета ). Это одновариантные задачи. Оптимизационные- ведущими являются логические действия, алгоритм их далеко не прост, а исходная информация малообъемна (это задачи прогнозирования и планирования, АХД). Многовариантные с поиском наилучшего решения. Поэтому используются экономико - математические методы и модели.

7. Задачи управления экономикой можно также рассматривать с позиции формализации правил их решения: формализуемые (имеют свой алгоритм решения;. это все информационные задачи); неформализуемые (нет алгоритма; это преимущественно творческие задачи, для их решения используются эвристические способы, методы экспертных оценок).

39. Автоматизированный банк данных: понятие, пользователи

Банк данных - система специальным образом организованных данных (баз данных), программных, технических, языковых, организационно-методических средств, предназначенных для централизованного накопления и коллективного многоцелевого использования данных.

БД создаются для решения многих задач для многих пользователей. Наличие специальных языковых и программных средств, которые облегчают выполнение тех или иных операций для пользователя. Такая совокупность языковых и программных средств называется СУБД.

Преимущества банка данных: независимость данных от отдельных задач, концентрация данных в единой базе, постоянная готовность информационной базы, обеспечение коллективного доступа пользователей к информации, централизованное управление данными.

Требования к банкам данных:

1. Адекватность отражения предметной области,

2. Надежность функционирования, то есть защита от разрушений, возможность восстановления,

3. Возможность функционирования различных видов пользователей в различных режимах (параллельная обработка запросов пользователей),

4. Быстродействие и производительность - количество запросов в единицу времени и время ответа на запрос,

5. Простота использования,

6. Возможность расширения, то есть добавления и удаления данных, модулей.

Банк данных включает вычислительную систему (операционная система и технические. средства); базу данных; СУБД; администратор данных; организационно - методические средства; словарь данных.

Словарь данных - централизованное хранилище нетто-информации (информации об информации), описывающее структуру баз данных, пользователей информации.

Организационно-методические средства - различные инструкции, материалы для пользователей банка данных.

Администратор банка данных - специалист, обеспечивающий создание и функционирование банка данных.

Система базы данных - банк данных.

Банк данных - именованная совокупная структура. данных, отображающая состояние объектов и их отношений в рассматриваемой предметной области. Основные элементы базы данных:

Элемент данныхАгрегат данныхЗаписиНабор записейБД.

Элемент данных - наименьшая сематически значимая поименованная единица информации, обладает именем, типом (символ. , числа), длиною, точностью (количество знаков после запятой).

Агрегат данных - поименованная совокупность элементов данных внутри записи, которые можно рассматривать как единое целое. Делится на простой и сложный.

Простой агрегат: Дата(агрегат): - год - месяц - число (элементы данных)

Предприятие (агрегат):- наименование п/п - адрес п/п (простой агрегат) - индекс - город - улица -дом (элементы данных)

Запись - наименьшая совокупность элементов данных или элементов данных и агрегатов.

СтудентИвановК/рЗащищеноХорошо

Набор - поименованная совокупность записей, взаимосвязанных в файлах.

По технологии обработки базы данных м. б. :

-централизованные, хранящиеся в памяти одной системы.

-распределенные, хранящиеся на различных ЭВМ, узлах сети, возможно пересек.

СУБД - совокупность программ и языковых средств, предназначенных для создания, ведения и использования баз данных.

Назначение СУБД: управление базами данных, т. е. выполнение ими роли менеджера; разработка, отладка и выполнение прикладных программ (трансляторы); выполнение вспомогательных операций, сервис.