Автоматизированные информационные системы

Размещено на http://www.allbest.ru/

Содержание

1. Угрозы безопасности информации и нормального функционирования ИС. Методы и средства защиты информации в ИС

2. Пакеты прикладных программ, их назначение, классификация и характеристика

3. Характерные черты информационного, технического и программного обеспечения банковских технологий. Основные виды защиты, используемые в АИС банковской деятельности

Список литературы



1. Угрозы безопасности информации и нормального функционирования ИС. Методы и средства защиты информации в ИС

программное обеспечение банковский

К основным угрозам безопасности информации и нормального функционирования ИС относятся:

- утечка конфиденциальной информации;

- компрометация информации;

- несанкционированное использование информационных ресурсов;

- ошибочное использование информационных ресурсов;

- несанкционированный обмен информацией между абонентами;

- отказ от информации;

- нарушение информационного обслуживания;

- незаконное использование привилегий.

Менеджерам следует помнить, что довольно большая часть причин и условий, создающих предпосылки и возможность неправомерного овладения конфиденциальной информацией, возникает из-за элементарных недоработок руководителей организации и их сотрудников. В настоящее время борьба с информационными инфекциями представляет значительные трудности, так как помимо невнимательности руководителей существует и постоянно разрабатывается огромное множество вредоносных программ, цель которых - порча БД и ПО компьютеров. Большое число разновидностей этих программ не позволяет разработать постоянных и надежных средств защиты против них.

Вредоносные программы классифицируются следующим образом:

- логические бомбы;

- троянский конь;

- компьютерный вирус;

- червь;

- захватчик паролей.

Приведенная классификация наиболее опасных вредоносных программ безопасности ИС не охватывает всех возможных угроз этого типа. И так как существует огромное количество угроз, было бы целесообразнее остановить свое внимание на одном из самых распространенных видов вредоносных программ, как компьютерный вирус.

Компьютерный вирус - это небольшая по размерам программа, которая заражает другие программы, например, приписывая себя к ним, и выполняет различные, вредоносные действия на компьютере - портит файлы или таблицу размещения файлов на диске, засоряет оперативную память, рассылает себя по Интернету и т.д. Когда такая программа начинает исполняться, то сначала управление получает вирус, который находит и заражает другие программы. Вирус маскируется в системе. Например, после того как вирус выполнит вредоносные действия, он передает управление той программе, в которой находится, и она работает обычным образом. Таким образом, работа зараженного компьютера внешне выглядит так же, как и незараженного. Вред вируса проявится позднее, когда, возможно, уже поздно спасать как информацию, так и сам компьютер. Компьютерный вирус может испортить любой файл, вызвав потерю информации на жестких дисках компьютера. Вначале они могут незаметно заразить большое число программ и дисков, а затем вызвать серьезные повреждения, например, разрушив BIkS или отформатировав весь жесткий диск на компьютере.

Наиболее часто вирусом заражаются загрузочный сектор диска и исполняемые файлы, имеющие расширения EXE,.COM,.SYS,.ВАТ. Редко заражаются текстовые файлы.

После заражения программы вирус может выполнить какую-нибудь диверсию, не слишком серьезную, чтобы не привлечь внимания. И наконец, не забывает возвратить управление той программе, из которой он был запущен. Каждое выполнение зараженной программы переносит вирус в следующую. Таким образом, заражается все программное обеспечение.

При заражении компьютера вирусом важно его обнаружить. Для этого следует знать об основных признаках проявления вирусов. К ним можно отнести:

- прекращение работы или неправильная работа ранее успешно функционировавших программ;

- замедление работы компьютера;

- невозможность загрузки операционной системы;

- исчезновение файлов и каталогов или искажение их содержимого;

- изменение даты и времени модификации файлов;

- изменение размеров файлов;

- неожиданное значительное увеличение количества файлов на диске;

- существенное уменьшение размера свободной оперативной памяти;

- вывод на экран непредусмотренных сообщений или изображений;

- подача непредусмотренных звуковых сигналов;

- частые зависания и сбои в работе компьютера.

Следует отметить, что вышеперечисленные явления необязательно вызываются присутствием вируса, а могут быть следствием других причин. Поэтому всегда затруднена правильная диагностика состояния компьютера.

Итак, если не предпринимать мер по защите от вирусов, то последствия заражения компьютера могут быть очень серьезными.

Методы и средства обеспечения безопасности информации:

Препятствие - метод физического преграждения пути злоумышленнику к защищаемой информации (к аппаратуре, носителям информации и т.д.).

Управление доступом - методы защиты информации регулированием использования всех ресурсов ИС и ИТ. Эти методы должны противостоять всем возможным путям несанкционированного доступа к информации.

Управление доступом включает следующие функции защиты:

* идентификацию пользователей, персонала и ресурсов системы (присвоение каждому объекту персонального идентификатора);

* опознание (установление подлинности) объекта или субъекта по предъявленному им идентификатору;

* проверку полномочий (проверка соответствия дня недели, времени суток; запрашиваемых ресурсов и процедур установленному регламенту);

* разрешение и создание условий работы в пределах установленного регламента;

* регистрацию (протоколирование) обращений к защищаемым ресурсам;

* реагирование (сигнализация, отключение, задержка работ, отказ в запросе и т.п.) при попытках несанкционированных действий.

Механизмы шифрования - криптографическое закрытие информации. Эти методы защиты все шире применяются как при обработке, так и при хранении информации на магнитных носителях. При передаче информации по каналам связи большой протяженности этот метод является единственно надежным.

Противодействие атакам вредоносных программ предполагает комплекс разнообразных мер организационного характера и использование антивирусных программ. Цели принимаемых мер -- это уменьшение вероятности инфицирования АИС, выявление фактов заражения системы; уменьшение последствий информационных инфекций, локализация или уничтожение вирусов; восстановление информации в ИС.

Регламентация - создание таких условий автоматизированной обработки, хранения и передачи защищаемой информации, при которых нормы и стандарты по защите выполняются в наибольшей степени.

Принуждение - метод защиты, при котором пользователи и персонал ИС вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.

Побуждение - метод защиты, побуждающий пользователей и персонал ИС не нарушать установленные порядки за счет соблюдения сложившихся моральных и этических норм.

Вся совокупность технических средств подразделяется на аппаратные и физические.

Аппаратные средства - устройства, встраиваемые непосредственно в вычислительную технику, или устройства, которые сопрягаются с ней по стандартному интерфейсу.

Физические средства включают различные инженерные устройства и сооружения, препятствующие физическому проникновению злоумышленников на объекты защиты и осуществляющие защиту персонала (личные средства безопасности), материальных средств и финансов, информации от противоправных действий. Примеры физических средств: замки на дверях, решетки на окнах, средства электронной охранной сигнализации и т.п.

Программные средства - это специальные программы и программные комплексы, предназначенные для защиты информации в ИС. Как отмечалось, многие из них слиты с ПО самой ИС.

Из средств ПО системы защиты необходимо выделить еще программные средства, реализующие механизмы шифрования (криптографии), Криптография - это наука об обеспечении секретности и/или аутентичности (подлинности) передаваемых сообщений.

Организационные средства осуществляют своим комплексом регламентацию производственной деятельности в ИС и взаимоотношений исполнителей на нормативно-правовой основе таким образом, что разглашение, утечка и несанкционированный доступ к конфиденциальной информации становится невозможным или существенно затрудняется за счет проведения организационных мероприятий. Комплекс этих мер реализуется группой информационной безопасности, но должен находиться под контролем первого руководителя.

Законодательные средства защиты определяются законодательными актами страны, которыми регламентируются правила пользования, обработки и передачи информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил.

Морально-этические средства защиты включают всевозможные нормы поведения, которые традиционно сложились ранее, складываются по мере распространения ИС и ИТ в стране и в мире или специально разрабатываются. Морально-этические нормы могут быть неписаные (например, честность) либо оформленные в некий свод (устав) правил или предписаний. Эти нормы, как правило, не являются законодательно утвержденными, но поскольку их несоблюдение приводит к падению престижа организации, они считаются обязательными для исполнения. Характерным примером таких предписаний является Кодекс профессионального поведения членов Ассоциации пользователей ЭВМ США.

2. Пакеты прикладных программ, их назначение, классификация и характеристика

Пакеты прикладных программ (ППП) служат программным инструментарием решения функциональных задач и являются самым многочисленным классом программных продуктов. В данный класс входят программные продукты, выполняющие обработку информации различных предметных областей.

Пакет прикладных программ - комплекс взаимосвязанных программ для решения задач определенного класса конкретной предметной области.

Классификация ППП:

Проблемно-ориентированные ППП

Это наиболее развитая в плане реализуемых функций и многочисленная по количеству созданных пакетов часть ППП. В нем можно классифицировать ППП по разным признакам: типам предметных областей; информационным системам; функциям и комплексам задач, реализуемых программным способом и др. по типу предметных областей можно выделить: ППП автоматизированного бухгалтерского учета; ППП финансовой деятельности; ППП управления персоналом (кадровый учет); ППП управления материальными запасами; банковские информационные системы и др. Примеры: Rs-Bank - банковская система

Методориентированные ППП

Данный класс включает программные продукты, обеспечивающие независимо от предметной области и функций информационных систем математические, статистические и другие методы решения задач. Наиболее распространены методы математического программирования, решения дифференциальных уравнений, имитационного моделирования, исследования операций. Примеры: Мезозавр, Эвриста - статистическая обработка данных, Ms Project for Windows - сетевые методы и модели для решения управленческих задач.

ППП общего назначения

Данный класс содержит широкий перечень программных продуктов:

Настольные системы управления базами данных (СУБД), обеспечивающие организацию и хранение локальных баз данных на автономно работающих компьютерах либо централизованное хранение баз данных на файл-сервер и сетевой доступ к ним. В настоящее время широко представлены реляционные СУБД осуществляющие: работу с базой данных через экранные формы; организацию запросов на поиск данных с помощью специальных языковых запросов; генерацию отчетов различной структуры данных с подведением промежуточных и окончательных итогов; вычислительную обработку путем выполнения встроенных функций, программ, написанных с использованием языков программирования и макрокоманд. Примеры: FoxPro, Access.

Серверы баз данных - предназначен для создания и использования при работе в сети интегрированых баз данных в архитектуре клиент-сервер. Многопользовательские СУБД в сетевом варианте обработки данных хранят информацию на файл-сервере - специально выделенном компьютере в централизованном виде, но сама обработка данных ведется на рабочих станциях. Примеры: Oracle, Ms QSL Server.

Генераторы (серверы) отчетов - обеспечивают реализацию запросов и формирование отчетов в печатном или экранном виде в условиях сети с архитектурой клиент-сервер. Примеры: Report Smith.

Текстовые процессоры - специальные программы, предназначенные для работы с документами (текстами), позволяющие компоновать, форматировать, редактировать тексты при создании пользователем документа. Признанными лидерами в части текстовых процессоров для ПЭВМ являются MS WORD, WordPerfect, AmiPro.

Табличный процессор (электронные таблицы) - пакеты программ, предназначенные для обработки табличным образом организованных данных (осуществляет разнообразные вычисления, строит графики, управляет форматом ввода-вывода данных, проводит аналитические исследования и т.п.). В настоящее время наиболее популярными и эффективными пакетами данного класса являются Excel, Improv, Quattro Pro, 1-2-3.

Средства презентационной графики - специализированные программы, предназначенные для создания изображений и их показ на экране, подготовки слайд-фильмов, мультфильмов, видеофильмов, их редактирования, определения порядка следования изображений. Примеры: PowerPoint, Multimedia Viewer.

Интегрированные пакеты - набор нескольких программных продуктов, функционально дополняющих друг друга. Компоненты интегрированных пакетов могут работать изолированно друг от друга.Примеры: Ms Office, Borland Office.

Интеллектуальные системы

Данный класс программных продуктов реализует отдельные функции интеллекта человека. Основными компонентами систем искусственного интеллекта являются базы знаний, интеллектуальный интерфейс с пользователем и программа формирования логических выводов.Примеры: Интерэксперт, Guru.

ППП автоматизированного проектирования

Программы этого класса предназначены для поддержания работы конструкторов и технологов, связанных с разработкой чертежей, схем, диаграмм, мультфильмов. Примеры: AutoCad, Visio.

Офисные ППП

Данный класс программных продуктов охватывает программы, обеспечивающие организационное управление деятельностью офиса:

Органайзеры (планировщики) - ПО для планирования рабочего времени, составления протоколов встреч, расписаний, ведения записной и телефонной книжки (калькуляторы, записная книжка, часы, календарь и т.д.).

Программы-переводчики, средства проверки орфографии и распознавания текста: FineReader, Lingvo, Promt.

Коммуникационные ППП - предназначены для организации взаимодействия пользователя с удаленными абонентами или информационными ресурсами сети: браузеры, средства для создания WWW-страниц, электронная почта.

Программные средства мультимедиа

Этот класс является относительно новым, он сформировался в связи с изменением среды обработки данных, появлением лазерных дисков высокой плотности записи с хорошими техническими параметрами по доступным ценам, развитием сетевой технологии обработки, появлением региональных и глобальных информационных сетей, располагающих мощными информационными ресурсами. Основное назначение таких ППП - создание и использование аудио- и видеоинформации для расширения информационного пространства пользователя. Программные продукты мультимедиа заняли лидирующие положение на рынке в сфере библиотечного информационного обслуживания, процессе обучения, организации досуга. Примеры: Multimedia.

Настольные издательские системы

Данный класс программ включает программы, предназначенные для профессиональной издательской деятельности и позволяющие осуществлять: форматирование и редактирование текстов; автоматическую разбивку текста на страницы; создание заголовков; компьютерную верстку печатной страницы; монтирование графики; использование всевозможных шрифтов; подготовку иллюстраций и т.д. Например: Adobe Page Maker, FrameMaker, CorelDraw.

3. Характерные черты информационного, технического и программного обеспечения банковских технологий. Основные виды защиты, используемые в АИС банковской деятельности

Автоматизированная банковская система (АБС) -- комплекс программного и технического обеспечения, направленный на автоматизацию банковской деятельности.

Проектирование и функционирование АБС основывается на системотехнических принципах, отражающих важнейшие положения методов общей теории систем, системного проектирования, теории информации и других наук, позволяющих обеспечить необходимую надежность эксплуатации, совместимость и взаимодействие информационных систем различных экономических объектов, экономить труд, время, денежные средства на проектирование и внедрение АБС в практику.

Информационное обеспечение (ИО) АБС представляет собой информационную модель банка. Различают внемашинное и внутримашинное ИО:

-внемашинное - это вся совокупность информации в банке, включая системы показателей, методы классификации и кодирования элементов информации, документов, документооборота информационных потоков;

-внутримашинное - это представление данных на машинных носителях в виде разнообразных по содержанию, по назначению и специальным образом организованных массивов (файлов), БД и их информационных связей.

Современные системы банковских связей складываются и показателей видов банковских услуг и банковской деятельности, которые отражают расчетно-кассовый, кредитный, депозитный, бухгалтерский, нормативный, законодательный, фондовый, инвестиционный и другие аспекты функционирования банка.

С помощью аналитических и сводных показателей анализируются структура активов и пассивов, доходов и расходов, денежных потоков по активным и пассивным операциям, ликвидность и финансовая устойчивость банка и т.п. Показатели банковской деятельности характеризуют соотношения депозитов, кредитов, собственных и привлеченных средств, долю межбанковских операций в общем объеме ресурсов и вложений, определяют удельный вес и значимость тех или иных операций, что позволяет выявлять возможность повышения прибыльности и конкурентоспособности банка

Значительную долю вне машинного ИО составляет документация. При разработке вне машинного ИО к документам, как наиболее распространенным носителям исходной и результативной информации, предъявляется ряд требований по их форме, содержанию, порядку заполнения. Единство требований создает унифицированную систему документации. Унифицированные типовые документы в банковской системы повышают эффективность автоматизации. К таким документам относятся платежные поручения, чеки, кассовые ордера, банковские выписки и другие. Унифицированные формы документов вырабатываются для всей территории РФ, утверждаются Министерством финансов РФ и ЦБ

Современные АБС предоставляют получения информации в различных формах: в виде печатных документов, экранных форм, на машинных носителях; она может быть представлена в текстовом, табличном и графическом виде. ПЭВМ располагают набором готовых форм первичной и результативной информации или удобными средствами их формирования и компоновки. Существует прикладной пакет программных средств общего назначения для работы с документами табличного типа или представления информации в табличной форме. АБС разрабатываются с использованием таких программных продуктов, которые имеют разнообразные версии и могут носить встроенный характер.

Внутри машинное ИО формирует информационную среду для удовлетворения разнообразных профессиональных потребностей банковской системы.

Оно включает все виды специально организованной на машинных носителях информации для восприятия, передачи, обработки техническими средствами. Поэтому информация представляется в виде файлов, БД, банков данных (БнД)

Современные банковские технологии работают только с БД. Существуют различные инструментальные программные средства как для проектирования, так и для управления и поддержания БД - это, прежде всего, СУБД. В зависимости от выполняемых функций их спектр может включать как простые, так и сложные разработки.

К внутримашинному ИО банковских систем предъявляется ряд требований. Рассмотрим наиболее важные из них

Система должна предоставлять возможность экспорта (импорта) данных в текстовом и DBF - форматах, что позволяет обмениваться информацией со специальными программами, электронными таблицами и т.д., а экспортируемый из системы документ может быть послан по электронной почте.

Внутримашинное ИО банковских систем должно реализовываться в режиме реального масштаба времени, при котором изменение в данных. произведенные одним пользователем, сразу должны становиться доступными остальным пользователям системы. Следует отметить, что действительный режим реального времени обеспечивают только системы, использующие сетевую СУБД, основанную на архитектуре сервера БД (' Clarion ', ' Oracle '…), а при использовании СУБД, основанной на модели 'файл - сервер ' (Clipper, dBase…) режим реального времени эмитируется.

В настоящее время наиболее распространенной СУБД является ' Btrieve Tecors Manager ' фирмы NOVELL. Программный продукт ' Btrieve ' является частью ОС Net Ware и позволяет эффективно и надежно использовать ресурсы банковской системы. Среди набора возможностей ' Btrieve ' отметим основные:

-реализация модели взаимодействия клиент - сервер, обеспечивающей высокую производительность при многопользовательском доступе к данным;

-интерфейс с различными языками программирования (C, Pascal, Assembler и другие);

-управление файлами размером до 4 Гбайт;

-обработка трансакций, позволяющая выполнять логически связанные изменения в различных файлах;

-системное журналирование всех изменений в файлах;

-мониторинг использования системных ресурсов.

Альтернативный подход состоит в использовании в качестве основы для построения банковских систем распределенной переносимой реляционной СУБД ' Oracle '.В ней обеспечиваются надежные методы хранения и обработки данных , защита от сбоев и несанкционированного доступа, эффективная работа в многопользовательской среде и во всех популярных сетях, высокая производительность. Прикладные системы, созданные на базе СУБД'Oracle',одинаково эффективно функционируют на всех типах ЭВМ: персональных, мини- и больших ЭВМ и лишены недостатков, присущих многим другим СУБД на ПЭВМ. Ввиду полной переносимости прикладных систем сохраняются все вложения в их разработку. Не требуется персонала, а закупка нового оборудования не приводит к полному отказу от старого, ибо последнее может использоваться параллельно с новым. Недостатком СУБД 'Oracle ' является достаточно высокая стоимость, поэтому система доступна, как правило, крупным и средним банкам.

Техническое оснащение современных АБС

Современные банковские системы имеют состав аппаратных средств, в которой входят:

-средства вычислительной техники (ВТ);

-оборудование локальных вычислительных сетей (ЛВС);

-средства телекоммуникации и связи;

-оборудование, автоматизирующее различные банковские услуги: автоматы-кассиры и т.д.

-средства, автоматизирующие работу с денежной наличностью (для полсчета и подтверждения подлинности купюр и другие).

Важнейшими факторами, влияющими на функциональные возможности и эффективную работу банковских систем, являются состав технических средств, их архитектура и набор базового (системного) ПО, на основе которого строится прикладная часть системы.

Использование средств ВТ, в основном, ориентировано на персональные компьютеры, в частности, на IBM совместимые. Широко применяются локальные сети ПЭВМ с центральным ПЭВМ - сервером. Создание информационных систем для крупных банков строится на основе более мощной центральной мини - ЭВМ и относительно дешевых терминалов или ПЭВМ. В качестве центральной ЭВМ могут использоваться, например, многопроцессорные системы , а также системы на RISC - процессорах. Создание распределенных систем на основе локальных сетей с высокопроизводительными ЭВМ, выполняющими роль серверов и ПЭВМ в качестве рабочих станций - основное современное направление технической базы банковских систем.

Автоматизация банковских операций при работе с наличностью предполагает использование детекторов валют и ценных бумаг, счетчиков купюр и монет, упаковщиков банкнот, машины для уничтожения бумаг и документов. Это оборудование при больших объемах операций значительно сокращает трудоемкость работы, экономит время кассиров, операционистов. Защита от фальшивой наличности при значительных оборотах в обменных пунктах и многочисленных филиалах банка обеспечивает достоверность денежных средств и их сохранность

С целью повышения производительности и надежности автономных банковских технологий компьютеры объединяются в сети с помощью определенных дополнительных технических и программных средств. В практике банковской деятельности широко распространены ЛВС в пределах одного здания, либо с удаленностью объектов до 1км друг от друга.

Для подключения устройств к ЛВС достаточно иметь один канал, соединяющий компоненты сети, кроме того, требуются сетевые адаптеры, которые обеспечивают физическое согласование различных устройств

Наиболее распространенные режимы обслуживания пользователей в сети организуются как файл - сервер и клиент - сервер. Обе модели, имея общую схему обслуживания пользователей, различаются сложностью, объемами работ, разнообразием функций, программно-технической оснащенностью, а так же производительностью. Модель клиент - сервер имеет больше ресурсных возможностей, дает ответы на запросы, тогда как первая - передает файлы по сети.

Программное обеспечение АБС

Отличительной чертой функционирования АБС является необходимость обработки больших объемов данных в сжатые сроки. При этом основная тяжесть падает на операции ввода, чтения, записи, передачи данных. Это предъявляет весьма жесткие требования к производительности ОС, СУБД и средств передачи данных. Кроме того, значительные объемы информации должны быть доступны в оперативном режиме для обеспечения возможностей анализа, прогнозирования, контроля и прочего. Поэтому базовые средства должны быть в состоянии поддерживать доступ к большим (и постоянно возрастающим) объемам данных без потери производительности.

Базовые средства используются для обеспечения эксплуатации АБС, для разработки прикладной части программных средств. Базовыми являются ОС, СУБД и другие программные средства системного назначения. В их окружение, под их действием функционируют прикладные программы.

Наличие в спектре базовых средств сетевых функций является непременным атрибутом современных АБС. Сетевые функции придают системе свойства многоуровневости и многозвенности, а также обеспечивают возможность объединения различных программных платформ (MS DOS, NetWare, Windows NT, Unix и другие) и, как следствие, возможность гибкого расширения и наращивания системы - дополнения ее новыми рабочими системами, новыми серверами различных классов.

Основным свойством АБС, с точки зрения прикладных потребительских свойств, является достаточная широта функционального набора.

Перечень функций, реализуемых банковской системой, можно разделить на две части:

-обязательные;

-дополнительные.

К первым следует отнести те направления деятельности, которые , как правило, имеют место в любом КБ. Выбор вторых зависит от специализации банка.

Прикладные характеристики АБС, кроме функциональных свойств, должны отвечать также требованиям интегрированности, конфигурируем ости, открытости и настраиваем ости системы.

Конфигурируем ость банковской системы означает возможность приобретения различных конфигураций системы (минимальной с последующим расширением путей введения дополнительных модулей). При этом важно учитывать такие характеристики системы, как набор модулей и реализуемых ими функций, степень автономности модулей, наличия межмодульного взаимодействия и формы его реализации (почта между модулями, пересылка управляющих сообщений и другое), возможные конфигурации системы, ее минимальный состав, независимо функционирующие части, варианты расширения.

Интегрированная АБС, объединяющая все банковские процессы, повышает уровень управляемости банка. Такая система адекватно отражает все функциональные и информационные связи, существующие в банке, обеспечивает доступ к данным любого уровня, тем самым предоставляя возможность контролировать работу банка с необходимой степенью детализации.

Открытость системы предполагает в ней наличие средств для развития и модификации. Современная методология и инструментальные программные средства даю дают такую возможность. Они получили название CASE средств, позволяют автоматизировать создание и сопровождение ПО. Настраиваем ость системы необходима для адаптации к технологии конкретного банка. Необходимость настройки и обычно возникает при установке ЛВС в банке, но может быть и следствием технологических изменений в операциях банка. Тогда настраиваем ость непосредственно граничит с открытостью. Настраиваемость предполагает возможность процедурной настройки системы: регламентацию прав пользователей, конфигурирование рабочих мест, определение набора процедур при открытии и закрытии операционного дня и прочее.

Виды защиты

Благодаря своей специфической роли со времени своего появления банки всегда притягивали преступников. С тех пор как банки перешли к компьютерной обработке информации, появились источники совершенно новых угроз, не известных ранее. Большинство из них обусловлены новыми информационными технологиями и не предназначены исключительно для банков.

Существует два аспекта, выделяющих банки из круга остальных коммерческих систем:

* информация в банковских системах представляет собой «живые деньги», которые можно получить, передать, истратить, вложить и т.д.;

* она затрагивает интересы большого количества организаций и отдельных лиц.

Поэтому информационная безопасность банка - критически важное условие его существования.

Остановимся подробнее на наиболее распространенных случаях нарушений и сбоев в информационных системах кредитных организаций, а также методах защиты от них.

Случаи ошибочных действий пользователей информационной системы бывают практически во всех информационных системах. Совершаемые ошибки связаны с неверным вводом информации в систему автоматизации. При этом последствия ошибки можно расценивать по-разному ввиду разной ценности вводимых данных.

Наиболее опасным следствием ошибочных действий работника банка может стать совершение операции с неправильными основными реквизитами (счета или сумма). Последствия таких ошибок даже в случае исправления проводки и возврата средств ухудшают репутацию банка и снижают доверие клиентов. Поэтому в большинстве банков вводятся дополнительные системы контроля и достаточно крупные штрафные санкции для сотрудников, совершивших ошибки.

Другая весьма болезненная ошибка пользователя - неправильный запуск какого-либо большого процесса, например закрытие операционного дня или переоценка валютных средств. Такого рода ошибки обычно вызывают сбои в работе всей организации, задержку в обслуживании клиентов.

Для минимизации потерь от этих ошибок в работе с информационной системой обычно принимаются следующие меры.

Во-первых, проводится продуманная и задокументированная политика контроля за информационными ресурсами в банке, которая должна определять типы основных документов, условия и вид контроля за их прохождением. Можно выделить следующие принципы, определяющие политику контроля-

* дополнительный визуальный контроль документов на большие суммы (сверх некоторого заранее установленного уровня);

* группировка документов в пачки не более чем по 30-40 шт.;

* параллельный независимый ввод ключевых реквизитов всех (или хотя бы внешних) платежных документов.

Во-вторых, система настраивается в соответствии с правами пользователя, т.е. его доступ к проведению операций должен быть ограничен определенными условиями и контролируемыми параметрами.

В-третьих, вводится четкая регламентация действий сотрудников в случае ошибочных операций.

В-четвертых, регулярно проводится повышение квалификации сотрудников, использующих компьютерную технику.

Однако в полном объеме эти меры редко применяются, хотя они необходимы. Основные причины - высокая трудоемкость и отсутствие таких процедур в программном обеспечении информационной системы банка. При построении системы защиты этими процедурами обычно пренебрегают, особенно в небольших банках, где затраты на автоматизацию невысоки

Умышленные атаки на систему происходят достаточно редко, но в то же время они наиболее болезненны для банка.

Труднее всего организовать защиту от несанкционированного получения информации. Это объясняется тем, что для полной защиты часто необходимы не только технические средства, но и комплекс процедур, выполняемых персоналом, поскольку нередко для получения конфиденциальной информации достаточно войти в контакт с кем-то из банковских служащих. Однако ущерб от утечки информации обычно невелик, что необходимо помнить, принимая решение о выделении денежных средств на разработку защиты. Нанести значительный урон путем хищения информации может только мощная организация (конкурирующая или государственная), которая при достаточных затратах обойдет любую защиту. Ограничение доступа в помещение отдела автоматизации и ключевых функциональных служб послужит дополнительной защитой.

В отличие от хищений информации осуществление несанкционированных действий часто можно доказать и, следовательно, пресечь. Мотивами несанкционированных действий, как правило, являются попытки хищения средств. Несмотря на наличие параллельного бумажного документооборота, российские банки имеют ряд слабых мест, позволяющих совершать хищения средств. Распространенное мнение, что подобные преступления совершают профессиональные хакеры, используя Интернет, в целом неверно. В большинстве российских банков Интернет не интегрирован во внутреннею сетевую среду либо защищен с особой тщательностью.

Самым уязвимым для несанкционированных действий звеном информационной системы банка являются автоматические групповые операции, сумма и счета которых обычно не подлежат тщательному контролю. Рассмотрим некоторые из этих операций.

Начисление процентов на расчетные счета и счета до востребования. Обычно лишь приблизительно известна общая сумма такой фупповой операции. Незначительные изменения в каждой проводке с последующим сбросом суммы на счет злоумышленника практически не поддаются визуальному контролю. Для предотвращения подобного рода хищений рекомендуется иметь в рамках службы безопасности специализированную службу для параллельного контроля автоматических операций по закрытым для остальных сотрудников методикам.

Хищение через систему «клиент-банк». Ввиду особого внимания к защите этой системы и дополнительного контроля проходящих сумм клиентом попытки такой атаки обычно имеют характер разового хищения крупной суммы.

Исходя из этого в качестве защиты рекомендуется ограничить для каждого клиента максимальные ежедневные объемы платежей, совершаемых по системе «клиент-банк», и регламентировать обязательный ежедневный контроль выписки клиентом даже при отсутствии платежей.

Изменение внешнего получателя платежа. Такие хищения характеризуются изменением реквизита после прохождения стадий контроля. Защита от злоупотребления достаточно сложна и сводится к запрету на редактирование информации после прохождения стадий контроля и до электронной подписи отправляемого рейса.

Еще одним источником потенциальной опасности для информационных систем является разрушение системы автоматизации или ее отдельного модуля. Одна из возможных причин подобных действий - желание какого-либо банковского служащего (обычно увольняемого) отомстить руководству и организации в целом. Результаты нанесенного ущерба могут проявиться через неопределенное время, что сделает установление виновного невозможным. Для защиты можно рекомендовать регулярно создавать резервные копии, ввести запрет на доступ увольняемого в информационную систему после уведомления его об увольнении, совершенствовать сами процедуры увольнения.

Можно привести несколько фактов:

* потери банков и других финансовых организаций от воздействия на их системы обработки информации составляют около 3 млрд долл. в год;

* потери, связанные с использованием пластиковых карт, оцениваются в 2 млрд долл. в год;

* средний ущерб от банковской кражи с применением электронных средств составляет около 9000 долл. [75];

* один из самых громких скандалов связан с попыткой семерых человек украсть 700 млн долл. в национальном банке в Чикаго. Она была предотвращена ФБР.

Чтобы обезопасить себя и своих клиентов, большинство банков принимают необходимые меры защиты, в числе которых защита АБС - дорогостоящее и сложное мероприятие. Например, Barclays Bank ежегодно тратит на защиту своей автоматизированной системы около 20 млн долл.

Datapro Information Services Group провела почтовый опрос случайно выбранных менеджеров информационных систем. Целью опроса было выяснение состояния дел в области защиты. Из 1153 анкет получены следующие результаты [75]:

* около 25% всех нарушений составляют стихийные бедствия;

* около половины систем испытывали внезапные перерывы электропитания или связи, причины которых имели искусственный характер;

* около 3% систем испытывали внешние нарушения (проникновение в систему организации);

* 70-75% - внутренние нарушения, из них:

- 10% совершены обиженными и недовольными служащими - пользователями АБС банка;

- 10% - совершены из корыстных побуждений персоналом системы;

- 50-55% - результат неумышленных ошибок персонала и/или пользователей системы в результате небрежности, халатности или некомпетентности.

Эти данные свидетельствуют о том, что чаще всего происходят не такие нарушения, как нападения хакеров или кража компьютеров с ценной информацией, а самые обыкновенные, проистекающие из повседневной деятельности. В то же время именно умышленные атаки на компьютерные системы приносят наибольший единовременный ущерб, а меры защиты от них наиболее сложны и дорогостоящи. В этой связи проблема оптимизации защиты АБС наиболее актуальна в сфере информационной безопасности банков.

Встроенные механизмы разграничения доступа в сетевых ОС при систематическом администрировании и строгом разграничении доступа к информационным ресурсам (что бывает далеко не всегда) позволяют достаточно надежно защитить данные, хранимые на серверах. Практически все операционные системы содержат минимальный набор защитных механизмов и для локальных рабочих мест.

Классические угрозы безопасности информации в АБС - это вывод системы из строя, отказ в обслуживании и компрометация или подмена данных.

По сведениям Национального центра данных о преступности, связанной с ЭВМ (Лос-Анджелес, США), компьютерные правонарушения наиболее часто совершаются программистами, студентами и операторами ввода исходных данных. В табл. 7.4 указаны основные типы и субъекты угроз для компьютерных систем.

Субъектов компьютерных преступлений по их профессиональной подготовленности принято подразделять на лиц, совершающих преступления:

а) нетехнически;

б) технически, требующие минимума специальных знаний;

в) высокотехнические, возможные при условии основательного владения вычислительной техникой.

Практика показывает, что большинство нетехнических преступлений совершают мало знакомые с вычислительной техникой служащие со средним образованием. Однако этих людей отличают два качества: они имеют доступ к компьютеру и знают, какие функции он выполняет в их организации. Нетехнические преступления совершаются главным образом путем кражи пароля доступа к файлам информации, хранящейся в машинной памяти. Владея паролем и определенными навыками, можно войти в засекреченные файлы, изменить их содержание и т.п. Эти преступления довольно просты для расследования, и, усилив защиту системы, их легко предупредить.



Список литературы

1. Журнал информационных технологий CHIP №12, декабрь 2011.- 146 с.

2. Безруков, Н.Н. Компьютерные вирусы [Текст] / Н.Н. Безруков. - М.: Наука, 2011.- 345 c.- ISBN 978-5-0395-2489-243

3. Кирсанов, Д. А. Понятный Internet. [Текст] - М.: Символ-Плюс, 2011. - 198 с. - ISBN 978-5-0245-13590-4124-1

4. Мельников, В. А. Защита информации в компьютерных системах. [Текст] - М.: Финансы и статистика, 2011. - 268 с. - ISBN 978-5-79469-3458-231

5. Симонович, С. В. и др. Информатика: Базовый курс. [Текст] - СПб.: Питер, 2011. - 455 с. - ISBN 978-5-56504-2140-5344-124640

6. Уголовный кодекс Российской Федерации от 13.06.1996 г. № 63-ФЗ с изм. 07.03.2011 г. // Справочно-правовая система «Консультант Плюс» : [Электронный ресурс] / Компания «Консультант Плюс». - Посл. Обновление 06.03.2012.

7. Максименков, А. В., Селезнев, М. Л. Основы проектирования информационно-вычислительных систем и сетей ЭВМ. [Текст] -М.: Радио и связь, 2010. - 398 с. - ISBN 978-5-221-2359-131-001

8. Мостовой, Д.Ю. Современные технологии борьбы с вирусами [Текст] // Мир ПК. №4. 2010. - 104 с.

9. Нечаев, В. И. Элементы криптографии. [Текст] Основы теории защиты информации. М. 2010. - 359 с. - ISBN 978-5-49-12540-2680

10. Северин, В.А. Комплексная защита информации на предприятии. [Текст] Гриф УМО МО РФ. - М. : Городец, 2010. - 387 с. ISBN 978-5-21049-462342-1425

11. Хомоненко, А. Д. Основы современных компьютерных технологий. [Текст] Учебное пособие для Вузов. - СПб.: Корона принт, 2010. - 412 с. - ISBN 978-5-8240-12845-1241-345

12. Кузнецов, А.А. Защита деловой информации (секреты безопасности). [Текст] М. Экзамен. 2008. - 155 с. ISBN 978-5-0491-41985460421

13. Хоникарт, Джерри Internet без проблем. [Текст] - М.: Радио и связь, 2008. - 240 с. - ISBN 978-5-9351-5494-2491

14. Постановление Правительства РФ от 28 февраля 1996 г. N 226 «О государственном учете и регистрации баз и банков данных». Справочно-правовая система «Консультант-плюс.» [Электронный ресурс] / Компания «Консультант-плюс.»/ Посл. Обновление 06.03.2012.

Размещено на Allbest.ru