Информационная безопасность является важнейшим аспектом информационных технологий. Сам термин информационная безопасность первоначально использовался для определения комплекса мер по защите информации от несанкционированных действий. Однако практика показала, что общий объем ущерба, наносимый информационным системам осознанно, ниже ущерба, возникающего в результате ошибок и сбоев.

Информационная система рассматривается как единое целое программно-аппаратного комплекса и человеческих ресурсов. Под нарушением понимается любое нерегламентированное событие в информационной системе, способное привести к нежелательным для организации последствиям. Рассматривается три группы событий:

1. Нарушение конфиденциальности.

Причиной возникновения проблем данной группы является нарушение движения информационных потоков или ошибки в системе доступа. К ним относятся:

· ошибки администрирования:

неправильное формирование групп пользователей и определение прав их доступа;

отсутствие политики формирования паролей пользователей;

ошибки в формировании итоговых и агрегированных отчетов и доступа к ним (например: отчет по выпискам из отчетов банка или сводный бухгалтерский журнал, которые хранят всю информацию по операциям кредитной организации и формируются в бухгалтерии, где за доступом к отчетам часто не ведется контроль);

· ошибки проектирования информационной системы:

использование недостаточно защищенной среды для разработки информационной системы (часто особенно для систем, располагаемых на локальных компьютерах, доступ к информации можно получить не через интерфейс программы, который требует пароля, а напрямую читая из таблиц базы данных);

ошибки алгоритмов доступа к данным;

небрежность в разработке систем защиты;

· небрежность пользователей в вопросах информационной безопасности;

нарушение хранения паролей;

нерегламентированное обсуждение закрытой информации;

· умышленный взлом системы;

самый опасный вид взлома - через Интернет, так как нарушитель почти недоступен для службы безопасности;

анализ не уничтоженных черновых документов системы.

2. Изменения в системе.

Нарушение целостности или нерегламентированные изменения в информационной системе приводят к более серьезным последствиям, чем нарушения конфиденциальности. Здесь рассматриваются причины, приводящие к нарушениям записи информации в системе:

· ошибки программирования;

· ошибки ручного ввода - составляют более 80% ошибок персонала, связанных с информационными системами;

· сбои в работе системы (используемые промышленные СУБД, такие, как Oracle, MS SQL обеспечивают целостность данных при любом виде сбоев, хотя и не дают абсолютных гарантий);

· умышленные нарушения в системе;

несанкционированный умышленный ввод данных через пользовательский интерфейс;

несанкционированные изменения в системе, минуя пользовательский интерфейс;

компьютерные вирусы.

3. Утрата работоспособности или производительности.

Данный вид нарушений не связан с информационными потоками. Его причины кроются в механизмах самой системы, в ее способности совершать различные действия, в результате которых или полностью или частично снижается ее работоспособность.

Причины, связанные с работоспособностью системы:

· ошибки разработки и проектирования;

ошибки в требованиях масштабируемости системы (потери производительности при росте числа пользователей или объема обрабатываемой информации);

· технические проблемы, связанные с программно-аппаратным комплексом;

неисправность оборудования;

конфликты между различными приложениями (часто встречающийся вид технического сбоя, особенно в операционной системе Windows);

ошибки администрирования;

слабая защищенность от целенаправленных действий со стороны по снижению работоспособности информационных систем организации.

11.2 Средства защиты АБС

- создание резервных копий систем - для многофилиальных организаций - создание взаимных резервных копий различных подразделений на территории друг друга либо создание резервного офиса;

- моделирование нарушений;

- подробное регламентирование действий сотрудников в исключительных ситуациях (сигнализация, отключение, отказ в запросе).

4. Организационные средства защиты - связаны с административным управлением и относятся к действиям, принимаемым руководством по защите системы.

- регламентация технологических процессов и процедур внесения изменений (назначение лиц: ответственных за эксплуатацию и безопасность системы; имеющих право вносить изменения в систему и контроль за всеми видами изменений);

- регламентация работы персонала и пользователей (формирование списков сотрудников, их идентификационных номеров и паролей с указанием доступных им ресурсов системы);

- регламентация работы с конфиденциальной информацией (классификация информации по степени важности, организация обработки секретной информации только в безопасных зонах, обмен секретной информацией только в зашифрованном виде);

5. Мониторинг нарушений. Цель мониторинга - распознавание нарушений в системе:

- аудит информационной системы (оценка рисков информационных технологий, предотвращение сбоев информационных систем);

- сравнение показателей системы с независимыми источниками;

- система контрольных метрик.

6. Законодательные - определяются законодательными актами страны, которыми регламентируются правила пользования, обработки и передачи информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил.

7. Морально-этические средства - применение административных мер наказания за различные нарушения, формирование у персонала понимания важности мер безопасности.

12. Автоматизация функций управления

Задачи стратегического управления и планирования относятся к одним из самых трудно автоматизируемых.

Сущность стратегического управления представляется в виде следующих элементов:

1. Стратегический анализ - определение факторов, влияющих на настоящее и будущее состояние банка,

2. выработки стратегических решений (плана),

3. воплощение стратегии в жизнь.

Разработка стратегии связана с определением того, насколько возможности банка соответствуют внешней среде. Поэтому стратегический анализ включает как внутренний, так и внешний анализ.

Внешний анализ состоит из нескольких этапов:

· Оценка факторов внешней среды и прогнозирование состояния ее изменения. Результатом этого этапа является разработка лучшего, вероятного и худшего сценария.

· Определение ключевых внешних факторов, играющих для банка первостепенную роль.

Наиболее важным фактором в анализе является наличие необходимых источников информации:

· Оценка конкурентной позиции. Анализируется конкурентная позиция банка относительно других банков, ведущих борьбу за одну и те же группу клиентов,

· Анализ сегментации рынка - выбор целевого сегмента рынка.

Внутренний анализ

Определение банком сильных и слабых сторон своей деятельности. Где анализируется:

· Организационная структура банка,

· Спектр оказываемых услуг,

· Кадровый потенциал.

Разработка стратегического плана предусматривает:

· Определение стратегических целей,

· Разработка альтернативных стратегий - для каждого направления нужно выбрать методы, с помощью которых будет осуществляться дальнейшее развитие.

Результатом решения стратегических задач должны стать сформулированные цели как для всего банка, так и для его функциональных подразделений.

Таким образом, АРМ стратегического управления и планирования призван помогать в:

· прогнозе финансового состояния банка на заданную перспективу,

· формировании системы требований к параметрам проводимым банком операций,

· оптимизации стратегических планов,

· определении объемов и динамики минимально необходимых привлекаемых ресурсов,

· определении основных показателей ликвидности.

АРМ маркетинга

Информационно-аналитические системы - это особый класс информационных систем, предназначенных для аналитической обработки данных, а не для автоматизации повседневной деятельности организации. Информационно-аналитические системы объединяют, анализируют и хранят как единое целое информацию, извлекаемую как из учетных баз данных организации, так и из внешних источников.

Назначением любой современной информационно-аналитической системы (ИАС) является обеспечение руководителей, аналитиков и менеджеров информацией обо всех аспектах деятельности компании для ее последующей оценки и анализа.

В состав информационно-аналитической системы обычно включаются следующие подсистемы:

· подсистема сбора и хранения корпоративных данных, решающая задачи по сбору и фильтрации данных, накоплению и индексированию информации, обеспечивающая возможность использования информации в аналитических целях, а также при поддержке принятия решений на различных уровнях управления;

· подсистема доступа к данным, анализа и корпоративной отчетности, включающая в себя модули, обеспечивающие доступ к данным и защиту конфиденциальной информации, инструменты по поддержке принятия решений и оперативному анализу информации, средства корпоративной отчетности и визуализации данных.

Информационно-аналитическая система, как правило, базируется на хранилище данных, которое:

· является базой данных, предназначенной только для чтения;

· обновляется из операционных деловых систем на периодической основе;

· предлагает единый подход к именованию и хранению данных, причем не имеет значения, как организованы данные в источниках;

· разрабатывается для поддержки управленческих нужд, а не для транзакционной обработки.

Хранилище данных предлагает среду накопления данных, оптимизированную для выполнения сложных аналитических запросов управленческого персонала. Эти запросы могут быть достаточно индивидуальны для каждого подразделения и даже отдельного руководителя.

Хранилище данных автоматически собирает операционные данные, согласовывая их и объединяя в предметно-ориентированный формат, который нужен работникам управления. Данные в хранилище данных не предназначены для модификации.

Составные части информационно-аналитических систем

Создание информационно-аналитических систем, реально отвечающих целям и задачам организаций, представляет собой достаточно сложный процесс. Необходима общая методика создания информационно-аналитических систем, содержащая состав и последовательность работ и задач, состав ролевых функций и порождаемых артефактов (документов, моделей, схем и проч.).

В качестве стадий реализации информационно-аналитических систем традиционно выделяются следующие:

· обследование - определение исходных данных для проектирования и реализации информационно-аналитической системы и подготовка требований к технологии, составу документации и среде проектирования.

· технический проект - разработка проектных решений в соответствии с техническим заданием;

· рабочий проект - реализация проектных решений;

· передача в эксплуатацию;

· эксплуатация.

Создание информационно-аналитической системы всегда направлено на решение задач управления во всех его аспектах - управления финансовыми, кадровыми, техническими ресурсами и т.д. Поэтому, в конечном счете, отдача от внедрения информационно-аналитической системы будет состоять в резком повышении эффективности управления: оперативного принятия сбалансированных решений, возможности долговременного планирования и прогнозирования и т.д.

Современные аналитические системы не являются системами искусственного интеллекта и они не могут ни помочь, ни помешать в принятии решения. Их цель своевременно обеспечить менеджера всей информацией, необходимой для принятия решения. А какая информация будет запрошена и какое решение будет принято на её основе, зависит только от конкретного человека.

Стоимость аналитических систем, базирующихся на хранилищах данных, остается достаточно высокой, поскольку методологии и технологии реализации таких систем находятся ещё в стадии становления.

14. Системы автоматизации фондовых операций

На этом этапе на основе имеющейся информации и оценки принимается решение о покупке новой системы автоматизации или ее разработке собственными силами. До начала реализации проекта банку необходимо найти четкие ответы на ряд вопросов.

· Каковы временные рамки для процесса выбора, внедрения и возможной эксплуатации решения?

· Действительно ли новое решение продиктовано требованиями бизнеса и какие альтернативные варианты существуют?

· Существуют ли на рынке решения, способные удовлетворить требованиям банка?

· Какова примерная стоимость собственной и сторонней разработок?

· Соответствует ли замена информационной системы общей стратегии банка?

· Каковы основные риски, с которыми столкнется банк при том или ином сценарии?

Далее следует обосновать целесообразность и осуществимость с экономической, технической, технологической и социальной точек зрения.

На основании всей собранной информации высшим руководством банка принимается окончательное решение о покупке или разработке новой системы.