Сетевой уровень АБС обычно наиболее уязвим для атак хакеров. Это обусловлено тем, что канал связи, по которому передаются сетевые пакеты, является открытым - каждый, кто имеет физический доступ к этому каналу, может отправлять в канал пакеты произвольного содержания. Для обеспечения надежной защиты сетевого уровня АБС необходимо добиться максимальной «закрытое™» сетевых каналов связи, другими словами, максимально затруднить несанкционированный информационный обмен в защищаемой сети.
3.1 Меры по предупреждению несанкционированного доступа и безопасного функционирования информационной банковской системы
Подводя итоги вышеизложенному, можно сформулировать перечень основных задач, которые должны решаться по всей банковской системе
* управление доступом (разграничение полномочий) пользователей к ресурсам локальной и корпоративной банковским компьютерным сетям с целью их защиты от неправомерного случайного или умышленного вмешательства в работу системы и несанкционированного (с превышением предоставленных полномочий) доступа к ее информационным, программным и аппаратным ресурсам со стороны посторонних лиц, а также лиц из числа персонала организации и пользователей; должен быть четко определенный порядок получения доступа к ресурсам сети в соответствии с функциональными обязанностями конкретного работника (набор полномочий должен быть минимально необходимый для выполнения им своих прямых обязанностей);
* защита рабочих станций - применение паролей на включение, программ защиты экрана, отключение дисководов, опечатывание корпусов; использование дискет только в случае технологической необходимости; дискеты должны быть промаркированы;
* охрана серверных и обеспечение их бесперебойной работы - ограниченный доступ, средства сигнализации, соблюдение требований НБУ к помещениям, где находится аппаратура СЕП; обязательное использование источников бесперебойного питания, качественных систем пожаротушения;
* защита данных, передаваемых по каналам связи - в первую очередь это касается системы Клиент-банк (всего по системе работает 2877 клиентов), где некоторые дирекции и филиалы (Кировоград, Днепропетровск) продолжают осуществлять клиентские платежи вообще без защиты или с использованием несертифицированных средств защиты; нельзя допускать передачи информации в открытом виде за пределами охраняемых территорий;
* контроль за действиями пользователей в сети - регистрация, сбор, хранение, обработка и выдача сведений обо всех событиях, происходящих в системе и имеющих отношение к ее безопасности; необходимо научиться работать с системными журналами и знать их возможности для восстановления хронологии происшедших в сети событий; оперативное оповещение службы безопасности о попытках несанкционированного доступа к ресурсам системы; недопущение фактов работы в сети под чужим именем или с групповыми паролями;
* резервное копирование - создание архива резервных копии, который будет надежно защищен от уничтожения в случае стихийных бедствий, неумышленных или умышленных действий; использование для хранения несгораемых сейфов;
* использование на рабочих станциях только проверенного программного обеспечения с целью защиты от бесконтрольного внедрения в систему потенциально опасных программ (в которых могут содержаться вредоносные закладки или опасные ошибки) и средств преодоления системы защиты, а также от внедрения и распространения компьютерных вирусов; нельзя допускать самовольной установки на рабочих местах программного обеспечения, в том числе компьютерных игр;
* контроль за подключениями к сети Интернет - разрешение на подключение к сети Интернет должно даваться только в исключительных случаях, если это необходимо для осуществления работником прямых функциональных обязанностей; в общих случаях такие подключения должны быть запрещены; в идеале подключение к Интернет должно осуществляться с отдельно стоящей машины, которая не работает в локальной сети;
* обучение пользователей - пользователи должны знать азы компьютерной безопасности и нести определенную ответственность, как за свои действия (например, работа без пароля или с легко угадываемым паролем) так и за сохранение в тайне своего пароля;
Выполнение этих задач возможно при использовании существующих многочисленных видов защиты информации, которые условно можно объединить в три основные группы;
* средства физической защиты (защита кабельной системы, телекоммуникационной аппаратуры, антенн, средства архивации и т.д.)
Физические меры защиты основаны на применении разного рода механических, электро- или электронно-механических устройств и сооружений, специально предназначенных для создания физических препятствий на возможных путях проникновения и доступа потенциальных нарушителей к компонентам системы и защищаемой информации, а также технических средств визуального наблюдения, связи и охранной сигнализации.
* программные средства защиты (антивирусные программы, системы разграничения полномочий, программные средства контроля доступа, криптографическая защита информации)
Программные (аппаратно-программные) меры защиты основаны на использовании различных электронных устройств и специальных программ, входящих в состав АС и выполняющих (самостоятельно или в комплексе с другими средствами) функции защиты (идентификацию и аутентификацию пользователей, разграничение доступа к ресурсам, регистрацию событий, криптографическое закрытие информации и т.д.).
* административные меры защиты (контроль доступа в помещения, разработка стратегии безопасности, планов действия в чрезвычайных ситуациях, профилактические работы.
Организационные (административные) меры защиты - это меры организационного характера, регламентирующие процессы функционирования системы обработки данных, использование ее ресурсов, деятельность персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности. Они включают:
* мероприятия, осуществляемые при проектировании, строительстве и оборудовании серверных и других объектов систем обработки данных;
* мероприятия по разработке правил доступа пользователей к ресурсам системы (разработка политики безопасности);
* мероприятия, осуществляемые при подборе и подготовке персонала системы; в подавляющем случае совершения компьютерного преступления невозможно без участия инсайдера;
* организацию охраны и надежного пропускного режима;
* организацию учета, хранения, использования и уничтожения документов и носителей с информацией;
* распределение реквизитов разграничения доступа (паролей, ключей шифрования и т.п.);
* организацию явного и скрытого контроля за работой пользователей;
мероприятия, осуществляемые при проектировании, разработке, ремонте и модификациях оборудования и программного обеспечения и т.п.
4. Проект технического задания автоматизации функции сбора и обработки информации для центрального офиса банка о деятельности его филиалов
4.1 Назначение построения информационной системы в банке
Главной целью создания информационной системы на уровне Центрального офиса коммерческого банка является объединение в единое информационное пространство всех структурных единиц (филиалов) банка.
Эта информационная система позволит решить следующие задачи:
автоматизировать учет поступлений платежей клиентов по системе банка;
вести автоматический учет клиентов;
учет движений по счетам;
учет, проводимых работ с другими банками;
информационный обмен, в том числе обмен электронной почтой, файлами и т.п. между структурными подразделениями банка;
информационное обеспечение руководящего персонала необходимой информацией для принятия управленческих решений;
обеспечение сбора, обработки и надежного хранения корпоративной информации;
автоматизация системы документооборота;
реализация контролируемого доступа к внутренним ресурсам информационной системы.
Единое информационное пространство предполагает, что все пользователи будут работать с реальными данными, которые могут быть только что созданы, внесены или откорректированы их коллегами из других отделов, даже если эти отделы находятся в разных местах.
Для выполнения вышеперечисленных задач информационная система должна выполнять:
сбор первичной информации о поступлении платежей в установленном порядке и их автоматическую регистрацию;
передача информации пользователю системы или ее рассылка по локальной сети;
хранение и поддержку в рабочем состоянии коллективно используемой информации в центральной базе данных.
4.2 Перечень автоматических рабочих мест и предъявляемых к ним требовании
Уполномоченный сотрудник Центрального офиса банка нуждается в информационной поддержке для выполнения своих служебных обязанностей (к примеру, о состоянии кредитно - инвестиционного портфеля филиала банка, доходов и затрат за отчетный период и т.п.)
Данная информационная система требует создания следующих автоматизированных рабочих мест (АРМ):
1. АРМ руководителей кредитного департамента, бухгалтерского учета и отчетности, планирования и контролинга;
2. АРМ администратора сети;
3. АРМ начальника отдела контроля деятельности филиалов;
4. АРМ начальника планового отела
5. АРМ начальника методологии и анализа
6. Начальника отдела кредитных рисков
Руководству Центрального офиса банка требуется обобщенная, достоверная и полная информация, позволяющая принимать правильные управленческие решения. Ему также необходимы данные для анализа и планирования различных финансово - экономических показателей деятельности структурных подразделений банка.
4.3 Требования к аппаратной части
Данная информационная система должна соответствовать следующим требованиям:
Относительно дешевая при максимальном спектре возможностей;
По степени территориальной распределённости - локально-вычислительная сеть с режимом работы «Клиент-сервер»;
По способу управления - централизованная с выделением центрального уровня.
По характеру передачи данных - с маршрутизацией и коммуникацией информации;
По характеру реализации функции - информационно - вычислительная;
По топологии - широковещательная с типом коонфигурации «звезда с пассивным центром»
Каждый АРМ должен:
обеспечивать диалоговый режим работы;
обеспечивать печать всех выходных форм на бумажном носителе информации с требуемым количеством экземпляров;
- создавать копии отчетов распоряжений, а так же другой документации на магнитных носителях
Сервисные функции аппаратной части информационной системы:
возможность настройки АРМ;
возможность архивации данных;
использование функций счетной машины и календаря;
электронная почта;
возможность оперативной обработки табличной, графической, текстовой информации.
Заключение
Бурное развитие информационных технологий имеет и свой негативный аспект: это открыло дорогу для новых форм антисоциальной и преступной деятельности, которые ранее были невозможны. Компьютерные системы содержат в себе новые уникальные возможности для совершения ранее неизвестных правонарушений, а также для совершения традиционных преступлений, однако, более эффективными способами.
С развитием международных глобальных компьютерных и телекоммуникационных сетей возникли новые сферы для совершения преступлений:
1. Международная электронная система банковских расчетов.
2. Система платежей с применением кредитных карточек.
3. Система международных телекоммуникаций.
4. Использование автоматизированных банков данных.
Широкое использование компьютеров поставили некоторые сферы современной жизни в прямую зависимость от них. Коммерческая деятельность и банковская система, транспорт, атомные электростанции и автоматизированные производственные процессы - вот некоторые примеры жизненно важных областей, где компьютерные системы много значат.
Информационно-технологическая революция привела к драматическим изменениям в способе выполнения своих обязанностей для большого числа профессий. Теперь нетехнический специалист среднего уровня может выполнять работу, которую раньше делал высококвалифицированный программист. Служащий имеет в своем распоряжении столько точной и оперативной информации, сколько никогда не имел.
Но использование компьютеров и автоматизированных технологий приводит к появлению ряда проблем для руководства организацией. Компьютеры, часто объединенные в сети, могут предоставлять доступ к колоссальному количеству самых разнообразных данных. Поэтому люди беспокоятся о безопасности информации и наличии рисков, связанных с автоматизацией и предоставлением гораздо большего доступа к конфиденциальным, персональным или другим критическим данным. Все увеличивается число компьютерных преступлений, что может привести, в конечном счете, к подрыву экономики. И поэтому должно быть ясно, что информация - это ресурс, который надо защищать.
Использованная литература
1. Ананьєв, О.М. Інформаційні системи і технології в комерційній діяльності [Текст]: підручник / О.М. Ананьєв, В.М. Білик, Я.А. Гончарук. - Львів: Новий Світ_2000, 2006. - 584 с.
2. Антонов, В.М. Фінансовий менеджмент: сучасні інформаційні технології [Текст]: навчальний посібник / В.М. Антонов, Г.К. Яловий; ред. В.М. Антонов; Мін-во освіти і науки України, КНУ ім. Т.Г. Шевченка. - К.: ЦНЛ, 2005. - 432 с.
3. Гужва, В.М. Інформаційні системи і технології на підприємствах [Текст]: навчальний посібник / В.М. Гужва; Мін-во освіти і науки України, КНЕУ. - К.: КНЕУ, 2001. - 400 с.
4. Гуржій, А.М. Інформатика та інформаційні технології [Текст]: підручник / А.М. Гуржій, Н.І. Поворознюк, В.В. Самсонов. - Х.: Компанія СМІТ, 2003. - 352 с.
5. Информационные системы и технологии: приложения в экономике и управлении: Кн. 6 [Текст]: учебное пособие / Мин-во образования и науки Украины, Донецкий нац. ун_т; ред. Ю.Г. Лысенко. - Донецк: Юго-Восток, 2004. - 377 с.
6. Маслов, В.П. Інформаційні системи і технології в економіці [Текст]: навчальний посібник / В.П. Маслов; Мін-во освіти і науки України. - К.: Слово, 2003. - 264 с.
7. Олійник, А.В. Інформаційні системи і технології у фінансових установах [Текст]: навчальний посібник / А.В. Олійник, В.М. Шацька. - Львів: Новий Світ_2000, 2006. - 436 с.
8. Румянцев, М.И. Информационные системы и технологии финансово-кредитных учреждений [Текст]: учебное пособие для вузов / М.И. Румянцев; Западнодонбасский ин_т экономики и управления. - Днепропетровск: ИМА-пресс, 2006. - 482 с. -
9. Черняк, О.І. Системи обробки економічної інформації [Текст]: підручник / О.І. Черняк, А.В. Ставицький, Г.О. Чорноус. - К.: Знання, 2006. - 447 с.
Страницы: 1, 2, 3