Информационные технологии и информационная безопасность в банковском бизнесе
Информационные банковские технологии. Типичные угрозы для банковских систем и продуктов. Преступления с использованием информационных технологий в банковской сфере. Основные проблемы информационной безопасности, ее стандарты и информационные риски.
Рубрика | Банковское, биржевое дело и страхование |
Вид | дипломная работа |
Язык | русский |
Дата добавления | 13.12.2012 |
Размер файла | 822,3 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
документирование ИС организации с позиции ИБ;
категорирование информационных ресурсов с позиции руководства организации;
определение возможного воздействия различного рода происшествий в области ИБ на информационную технологию;
анализ рисков;
технология управление рисками на всех этапах жизненного цикла;
аудит в области ИБ.
На данном уровне зрелости организации анализ рисков связан с другими компонентами технологии управления режимом ИБ.
На четвертом уровне для руководства организации актуальны вопросы измерения параметров, характеризующих режим ИБ. На этом уровне руководство осознанно принимает на себя ответственность за выбор определенных величин остаточных рисков (которые остаются всегда). Риски, как правило, оцениваются по нескольким критериям (не только стоимостным).
Технология управления режимом ИБ остается прежней, но на этапе анализа рисков применяются качественные и количественные методы, позволяющие оценить параметры остаточных рисков, эффективность различных вариантов контрмер при управлении рисками.
На пятом уровне ставятся и решаются различные варианты оптимизационных задач в области обеспечения режима ИБ. Примеры постановок задач:
выбрать вариант подсистемы ИБ, оптимизированной по критерию стоимость/эффективность при заданном уровне остаточных рисков;
выбрать вариант подсистемы ИБ, при котором минимизируются остаточные риски при фиксированной стоимости подсистемы ИБ;
выбрать архитектуру подсистемы ИБ с минимальной стоимостью на протяжении жизненного цикла при определенном уровне остаточных рисков.
Таким образом, более половины организаций за рубежом относятся к первому или второму уровню зрелости и не заинтересованы в проведении анализа рисков в любой постановке.
Организации третьего уровня зрелости (около 40% общего числа), использующие (или планирующие использовать) какие-либо подходы к оценке системы ИБ, применяют стандартные рекомендации и руководства класса "good practice", относящиеся к базовому уровню ИБ. Эти организации используют или планируют использовать систему управления рисками базового уровня (или ее элементы) на всех стадиях жизненного цикла информационной технологии.
Организации, относящиеся к четвертому и пятому уровням зрелости, составляющие в настоящее время не более 7% от общего числа, используют разнообразные "углубленные" методики анализа рисков, обладающие дополнительными возможностями по сравнению с методиками базового уровня. Такого рода дополнения, обеспечивающие возможность применения качественного и количественного методов анализа информационных рисков и оптимизации подсистемы ИБ в различной постановке, в официальных руководствах не регламентируются.
В России доля организаций, относящихся к третьему, четвертому и пятому уровням зрелости, еще меньше. Соответственно наиболее востребованными в настоящее время являются простейшие методики анализа рисков, являющиеся частью методик управления рисками базового уровня.
Потребителями методик анализа рисков в России являются в основном компании финансового профиля, для которых информационные ресурсы представляют большую ценность. Их немного, но они готовы вкладывать существенные ресурсы в разработку собственных (приемлемых для них) методик.
Наличие системы управления рисками (Risk Management) является обязательным компонентом общей системы обеспечения ИБ на всех этапах жизненного цикла информационных систем. Организации, начиная с третьего уровня зрелости, применяют какой-либо вариант системы управления рисками. Многие зарубежные национальные институты стандартов, а также организации, специализирующиеся в решении комплексных проблем ИБ, предложили схожие с вышеизложенной концепции управления информационными рисками.
Обзор зарубежных стандартов информационной безопасности
В соответствие с международными и национальными стандартами ISO 15408, ISO 17799 (BS7799), BSI, COBIT, SAC, COSO, SAS 78/94 обеспечение ИБ в любой компании предполагает следующее. Во-первых, определение целей обеспечения ИБ компьютерных систем. Во-вторых, создание эффективной системы управления ИБ. В третьих, расчет совокупности детализированных не только качественных, но и количественных показателей для оценки соответствия ИБ заявленным целям. В четвертых, применение инструментария обеспечения ИБ и оценки ее текущего состояния. В пятых, использование методик управления безопасностью с обоснованной системой метрик и мер обеспечения ИБ, позволяющих объективно оценить защищенность информационных активов и управлять ИБ компании.
Рассмотрим наиболее известные зарубежные стандарты в области защиты информации.
Международный стандарт ISO 15408
Следуя по пути интеграции, в 1990г. Международная организация по стандартизации (ISO) начала создавать международные стандарты по критериям оценки безопасности информационных технологий для общего использования. В результате 8 июня 1999г. был утвержден Международный стандарт ISO 15408 под названием Common Criteria for Information Technology Security Evaluation ("Общие критерии оценки безопасности информационных технологий"). В ISO 15408 проведена классификация широкого набора требований безопасности информационных технологий, определены структуры их группирования и принципы использования. Главные достоинства стандарта - полнота требований безопасности и их систематизация, гибкость в применении и открытость для последующего развития.
Критерии оценки безопасности информационных технологий, состоят из трех частей. Первая часть определяет концепцию всего стандарта, а вторая, самая большая часть, формализует методы и требования к ИБ. Его третья часть полностью посвящена процессам обеспечения доверия (качества) компонентов ИС, реализующих функции их безопасности. По существу рассматривается регламентирование технологии и процессов обеспечения жизненного цикла программных средств, создаваемых для обеспечения безопасности функционирования и применения систем. При этом акцент документа сосредоточен на ИБ сложных ИС, а термин - доверие применяется как понятие качество или уверенность выполнения требования безопасности.
Нарушения безопасности ИС возникают вследствие преднамеренного использования или случайной активизации уязвимостей при применении ИС. Уязвимости могут возникать вследствие недостатков:
требований (ИС может обладать требуемыми от нее функциями и свойствами, но все же содержать уязвимости, которые делают ее непригодной или неэффективной в части безопасности применения);
проектирования (ИС не отвечает спецификации, и/или уязвимости являются следствием некачественных стандартов проектирования или неправильных проектных решений);
эксплуатации (ИС разработана в полном соответствии с корректными спецификациями, но уязвимости возникают как результат неадекватного управления при эксплуатации).
В стандарте применяется иерархия детализации требований к безопасности и качеству ИС с использованием специфических терминов: класс - наиболее общая характеристика качества, которая структурируется семейством - субхарактеристиками. Каждое семейство может иметь несколько компонентов - атрибутов, состоящих из элементов качества. Семейство доверия (качества) в стандарте может содержать один или несколько компонентов доверия. Этот подраздел семейства доверия включает описание имеющихся компонентов и объяснение их содержания и разграничения.
Подраздел идентификации компонента содержит описательную информацию, необходимую для категорирования, регистрации и ссылок на компонент. Каждый элемент представляет собой требование для выполнения. Формулировки этих требований к ИС должны быть четкими, краткими и однозначными. Поэтому каждое требование рекомендуется излагать как отдельный элемент. Структура процессов жизненного цикла ИС, обеспечивающих ИБ применения в соответствии с классами и семействами стандарта, представлена в таблице.
Управление конфигурацией ИС |
Автоматизация управления конфигурацией Возможности управления конфигурацией Область управления конфигурацией |
|
Разработка ИС |
Функциональная спецификация ИС Проект верхнего уровня ИС Представление реализации ИС Внутренняя структура функциональной безопасности объекта Проект нижнего уровня ИС Соответствие представлений Моделирование политики ИБ |
|
Поставка и эксплуатация ИС |
Поставка программного продукта Установка, генерация и запуск ИС |
|
Руководства по безопасности ИС |
Руководство администратора Руководство пользователя |
|
Поддержка жизненного цикла безопасности ИС |
Безопасность разработки ИС Устранение дефектов Определение жизненного цикла ИС Инструментальные средства и методы |
|
Тестирование ИС |
Покрытие тестами ИС Глубина тестирования ИС Функциональное тестирование ИС Независимое тестирование ИС |
|
Оценка уязвимостей ИС |
Анализ скрытых каналов Неправильное применение ИС Стойкость функций безопасности объекта Анализ уязвимостей объекта |
Класс "Управление конфигурацией ИС" обеспечивает сохранение целостности объектов, устанавливая и контролируя определенный порядок процессов корректировки, модификации и предоставления связанной с ними информации. Управление конфигурацией предотвращает несанкционированную модификацию, добавление или уничтожение составляющих объектов, обеспечивая тем самым качество и документацию компонентов, которые подготовлены к распространению.
Класс "Разработка ИС" определяет требования для пошагового уточнения ИБ, начиная с краткой спецификации объекта в задании и вплоть до фактической реализации. Каждое из получаемых представлений содержит информацию, помогающую оценщику решить, были ли выполнены функциональные требования к безопасности.
Класс "Поставка и эксплуатация ИС" определяет требования к мерам, процедурам и стандартам, применяемым для безопасной поставки, установки и эксплуатации ИС, чтобы безопасность объектов не нарушалась во время его распространения, внедрения и эксплуатации. Поставка распространяется на процедуры, используемые для поддержки безопасности во время передачи объекта пользователю при первоначальной поставке и последующих модификациях. Она включает в себя специальные процедуры, необходимые для демонстрации подлинности поставленного объекта.
Класс "Руководства по безопасности ИС" определяет требования, направленные на обеспечение понятности, достаточности и законченности эксплуатационной документации, представляемой разработчиком. Эта документация, которая содержит две категории информации (для пользователей и администраторов), является важным фактором безопасной эксплуатации ИС.
Класс "Поддержка жизненного цикла безопасности ИС" определяет требования для реализации всех этапов разработки четко определенной модели, включая процедуры устранения недостатков и дефектов, правильное использование ИС, а также меры безопасности для защиты среды разработки. Безопасность разработки охватывает физические, процедурные, организационные и другие меры безопасности, используемые применительно к среде разработки.
Класс "Тестирование ИС" устанавливает требования, которые должны демонстрировать, что реализованные функции удовлетворяют функциональным требованиям безопасности системы. Покрытие определяет полноту функциональных тестов, выполненных разработчиком для анализа качества ИС. Оно связано со степенью тестирования функций безопасности. Глубина тестирования характеризуется уровнем детализации, на котором разработчик проверяет программы.
Класс "Оценка уязвимостей ИС" определяет требования, направленные на идентификацию уязвимостей, которые могут проявиться и быть активизированы. Особое внимание должно быть уделено уязвимостям, которые вносятся при проектировании, эксплуатации, неправильном применении или неверной конфигурации объекта. Анализ скрытых каналов направлен на выявление и анализ непредусмотренных коммуникационных каналов, которые могут применяться при нарушениях предписанных функций безопасности. Анализ уязвимостей заключается в идентификации недостатков, которые могли быть внесены на различных этапах разработки. Эти потенциальные уязвимости оцениваются посредством тестирования проникновения, позволяющим сделать заключение, могут ли они в действительности быть использованы для нарушения безопасности ИС.
В зависимости от сложности и критичности требований к безопасности функционирования ИС и доступных ресурсов для ее реализации, стандартом ISO 15408 рекомендуется выбирать набор классов, достаточных для обеспечения необходимого качества информационной безопасности ИС - так называемый оценочный уровень доверия. Оценочные уровни доверия образуют возрастающую шкалу достигаемого качества безопасности, которая позволяет соотнести получаемый уровень качества с трудоемкостью его реализации и возможностью достижения этой степени доверия.
Оценочный уровень доверия 1 предусматривает функциональное тестирование и применим, когда требуется некоторая уверенность в правильном функционировании ИС, а угрозы безопасности не рассматривают как серьезные.
Оценочный уровень доверия 2 включает структурное тестирование, содержит требование сотрудничества с разработчиком для получения информации об ИС и результатах тестирования. Такая ситуация может возникать при обеспечении безопасности разработанных ранее систем. Этот уровень требует тестирования и анализа уязвимостей разработчиком, основанного на более детализированных спецификациях.
Оценочный уровень доверия 3 предусматривает методическое тестирование и проверку, позволяет разработчику достичь доверия путем применения проектирования безопасности без значительного изменения существующей технологии качественной разработки всей системы. Этот уровень представляет значимое увеличение доверия, требуя более полного покрытия тестированием функций и процедур безопасности.
Оценочный уровень доверия 4 предусматривает методическое проектирование, тестирование и углубленную проверку, что позволяет разработчику достичь максимального качества, основанного на регламентированной технологии разработки, которая не требует глубоких специальных знаний, навыков и других ресурсов. Анализ поддержан независимым тестированием, свидетельством разработчика об испытаниях, подтверждением результатов тестирования разработчиком и независимым анализом уязвимостей.
Оценочный уровень доверия 5 позволяет разработчику достичь максимального качества путем систематического проектирования безопасности, основанного на строгой технологии разработки, поддержанной умеренным применением узко специализированных методов, не влекущих излишних затрат на методы проектирования безопасности. Доверие достигается применением формальной модели политики безопасности.
Оценочный уровень доверия 6 позволяет разработчикам достичь высокой безопасности путем полуформальной верификации всего проекта и тестирования, применением специальных методов проектирования безопасности в строго контролируемой среде разработки с целью получения высокой безопасности системы и защиты активов от значительных рисков, где ценность защищаемых активов оправдывает дополнительные затраты.
Оценочный уровень доверия 7 применим при разработке безопасных систем для использования в ситуациях чрезвычайно высокого риска и/или там, где высокая ценность активов или систем оправдывает максимальные затраты на их безопасность. Этот уровень представляет значительное увеличение доверия, требует всестороннего анализа, использующего формальные представления и формальное соответствие, а также всестороннее независимое тестирование.
Стандарт COBIT
К настоящему времени аудиторскими компаниями образованы различные государственные и негосударственные ассоциации, объединяющие профессионалов в области аудита информационных систем, которые занимаются созданием и сопровождением, как правило, закрытых, тщательно охраняемых от посторонних глаз стандартов аудиторской деятельности в области информационных технологий.
Ассоциация ISACA, в отличие от других, занимается открытым аудитом информационных систем. Она основана в 1969г. и объединяет более 23000 членов из более чем 100 стран, в том числе и России. Ассоциация ISACA координирует деятельность более чем 26000 аудиторов информационных систем, имеет свою систему стандартов в этой области, ведет исследовательские работы, занимается подготовкой кадров, проводит конференции.
Ассоциация ISACA под аудитом ИБ в ИС понимает процесс сбора сведений, позволяющих установить, обеспечиваются ли безопасность ресурсов компании, необходимые параметры целостности и доступности данных, достигаются ли цели в части эффективности информационных технологий.
По заявлениям руководящих органов ISACA основная цель ассоциации - исследование, разработка, публикация и продвижение стандартизованного набора документов по управлению информационными технологиями для ежедневного использования аудиторами и администраторами информационных систем. В интересах профессиональных аудиторов, администраторов и всех заинтересованных лиц ассоциация развивает свою концепцию управления информационными технологиями в соответствии с требованиями ИБ. На основе этой концепции описываются элементы информационной технологии, даются рекомендации по управлению и обеспечению режима ИБ. Концепция изложена в стандарте под названием COBIT (Control Objectives for Information and related Technology - контрольные объекты информационной технологии), который состоит из четырех частей:
краткое описание концепции;
определения и основные понятия;
спецификации управляющих процессов и возможный инструментарий;
рекомендации по выполнению аудита компьютерных информационных систем.
Третья часть этого документа в некотором смысле аналогична международному стандарту ISO 17799. Примерно также подробно приведены практические рекомендации по управлению ИБ, но модели систем управления в этих стандартах сильно различаются.
Кратко основная идея стандарта COBIT выражается следующим образом: все ресурсы ИС должны управляться набором естественно сгруппированных процессов для обеспечения компании необходимой и надежной информацией.
В модели COBIT присутствуют ресурсы информационных технологий, являющиеся источником информации, которая используется в бизнес-процессе. Информационная технология должна удовлетворять требованиям бизнес-процесса. Эти требования сгруппированы следующим образом:
Четыре базовые группы содержат в себе 34 подгруппы, которые в свою очередь состоят из 302 объектов контроля. Объекты контроля предоставляют аудитору всю достоверную и актуальную информацию о текущем состоянии ИС.
Стандарт также описывает модели зрелости управления информационными технологиями и сопряженными с ними процессами:
Уровень 0 - "Отсутствие". Полное отсутствие каких либо процессов управления. Организация не признает существования проблем, которые нужно решать, нет никаких сведений о проблемах.
Уровень 1 - "Начало". Организация признает существование проблем управления и необходимость их решения. Нет никаких стандартизированных решений, однако существуют случайные одномоментные решения, принимаемые индивидуально или от случая к случаю. Подход руководства - хаотичен, признание существования проблем - случайно и непоследовательно. Может наблюдаться осознание необходимости привлечения информационных технологий в смежные процессы, ориентированные на получение результата.
Уровень 2 - "Повторение". Существует общее понимание проблем управления информационными технологиями. Показатели деятельности и процессов находятся в стадии развития, которое включает в себя процессы планирования, эксплуатации и мониторинга. Как часть этого, управление информационными технологиями формально встраиваются в процессы управления организацией с высокой степенью вовлечения высшего руководства в них. Руководство выбрало основные сравнительные и оценочные методики управления информационными технологиями, хотя сам процесс не был внедрен в организации. При этом не существует формализованного обучения и процесса передачи информации об управлении информационными технологиями, а вся отчетность возложена на сотрудников. Они контролируют процессы управления в рамках различных проектов и процессов. В вопросе сбора данных о системе управления выбор падает на ограниченные инструменты управления, которые и внедряются для реализации данной цели, но не могут быть использованы в полную силу из-за недостатка экспертных оценок их функциональности.
Уровень 3 - "Описание". Необходимость действовать с учетом принципов управления информационными технологиями понимается и принимается. Развивается базовый набор показателей управления информационными технологиями; связь между результатом и показателями производительности определена, зафиксирована и внедрена в стратегическое и операционное планирование и мониторинг. Процедуры стандартизированы, зафиксированы и внедрены. Процедуры не сложные, но являются формализацией существующей практики. Инструменты стандартизированы и используют существующие доступные методики. Ответственность за обучение, выполнение и применение стандартов возложена на сотрудников. Причинный анализ используется время от времени. Большинство процессов проверяются на сравнение с некоторыми основными метриками, и, как правило, малоопытными сотрудниками, поэтому, скорее всего, любые отклонения от стандартов не будут замечены руководством. Однако ответственность за выполнения ключевых процессов очевидна, и сотрудники награждаются, исходя из уровня выполнения задач.
Уровень 4 - "Управление". Существует полное понимание проблем управления информационными технологиями на всех уровнях, поддерживаемое формальным обучением. Также существует полное понимание того, кто есть клиент. Ответственности определены и отслеживаются на протяжении всего срока действия договоренностей. Процессы информационных технологий выстраиваются в единую линию с бизнесом и стратегией. Улучшения в процессах информационных технологий в первую очередь базируются на количественном анализе, что позволяет отслеживать и измерять соответствие системы метриками. Все совладельцы процесса осознают риски, важность информационных технологий и их возможности. Руководство определило допустимые нормы, при которых процессы должны работать. Процессы постоянно совершенствуются, и результаты их выполнения соответствуют "лучшим практикам". Анализ первопричин проблем стандартизуется. Присутствует понимание необходимости постоянной модернизации. Все необходимые эксперты участвуют в процессе. Управление информационными технологиями проникает во все производственные процессы. Процессы управления информационными технологиями интегрируется в процесс управления организации.
Уровень 5 - "Оптимизация". Присутствует современное понимание управления информационными технологиями, проблем и решений, а также их перспектив. Обучение и коммуникация поддерживаются самыми передовыми методиками. Благодаря постоянной модернизации процессы соответствуют моделям зрелости, построенным на основании "лучших практик". Внедрение этих процедур привело к появлению в организации людей и процессов, максимально адаптируемых к изменяющимся условиям, а также полностью соответствующих требованиям управления информационными технологиями. Первопричины всех проблем и отклонений тщательно анализируются, затем назначаются продуктивные действия. Информационные технологии интегрированы в бизнес-процессы и полностью их автоматизируют, предоставляя возможность повысить качество и эффективность работы организации.
Отличительными чертами COBIT являются большая зона охвата (все задачи - от стратегического планирования и основополагающих документов до анализа работы отдельных элементов ИС), наличие перекрестного аудита (перекрывающиеся зоны проверки критически важных элементов), адаптируемость, наращиваемость стандарта.
Стандарт ISO 17799 (BS 7799)
История развития стандарта началась в 1993г., когда Министерство торговли Великобритании опубликовало пособие, посвященное практическим аспектам обеспечения ИБ. Пособие оказалось настолько удачным, что его стали использовать администраторы ИБ многих организаций. Позже доработанная версия этого пособия была принята в качестве британского стандарта BS7799 "Практические правила управления информационной безопасностью" (1995 г.). Стандарт стали применять на добровольной основе не только в Великобритании, но и в других странах. В 1998г. вышла вторая часть стандарта BS 7799 "Спецификации систем управления информационной безопасностью", посвященная вопросам аудита ИБ.
Вторая часть стандарта определяет возможные функциональные спецификации корпоративных систем управления ИБ с точки зрения их проверки на соответствие требованиям первой части стандарта. В соответствии с положениями стандарта также регламентируется процедура аудита информационных корпоративных систем. С практической точки зрения вторая часть является инструментом для аудитора и позволяет оперативно проводить внутренний или внешний аудит ИБ любой компании.
В 2000 г. был принят международный стандарт ISO 17799, в основу которого был положен BS7799. В сентябре 2002 г. основные положения ISO 17799 были пересмотрены и дополнены с учетом развития современных информационных технологий и требований к организации режима ИБ. Сегодня это наиболее распространенный стандарт во всем мире среди организаций и предприятий, которые используют подобные стандарты на добровольной основе.
Текущая версия стандарта рассматривает следующие актуальные вопросы обеспечения ИБ:
необходимость обеспечения ИБ;
основные понятия и определения ИБ;
политика ИБ компании;
организация ИБ;
классификация и управление корпоративными информационными ресурсами;
кадровый менеджмент и ИБ;
физическая безопасность;
администрирование ИБ корпоративных информационных систем;
управление доступом;
требования по ИБ к корпоративным информационным системам в ходе их разработки, эксплуатации и сопровождения;
управление бизнес-процессами компании с точки зрения ИБ;
внутренний аудит ИБ компании.
К методикам управления рисками на основе требований ISO 17999 относится методика анализа и управления рисками CRAMM, разработанный в 1985г. Британской правительственной организацией CCTA (Центральное агентство по компьютерам и телекоммуникациям). Ее достоинствами являются использование технологии оценки угроз и уязвимостей по косвенным факторам с возможностью верификации результатов, удобная система моделирования ИС с позиции ИБ, обширная база данных по контрмерам. Данная методика является "мощной" и трудоемкой, но она позволяет весьма детально оценить риски и различные варианты контрмер.
Основными целями методики CRAMM являются:
формализация и автоматизация процедур анализа и управления рисками;
оптимизация расходов на средства контроля и защиты;
комплексное планирование и управление рисками на всех стадиях жизненного цикла ИС;
сокращение времени на разработку и сопровождение корпоративной системы защиты информации;
обоснование эффективности предлагаемых мер защиты и средств контроля;
управление изменениями и инцидентами;
поддержка непрерывности бизнеса;
оперативное принятие решений по вопросам управления безопасностью.
Управление рисками в методике СRAMM осуществляется в несколько этапов:
Этапы |
Действия |
|
Инициация |
Определение границ исследуемой ИС, состав и структура ее основных информационных активов и транзакций |
|
Идентификация и оценка ресурсов |
Идентификация и расчет стоимости информационных активов, позволяющий однозначно определить необходимость и достаточность предлагаемых средств контроля и защиты |
|
Оценка угроз и уязвимостей |
Идентификация и оценка угроз и уязвимостей информационных активов |
|
Анализ рисков |
Получение качественных и количественных оценок рисков |
|
Управление рисками |
Предложение мер и средств для уменьшения или уклонения от риска |
Рассмотрим возможности CRAMM на следующем примере. Пусть проводится оценка информационных рисков следующей корпоративной ИС:
В этой схеме условно выделим следующие элементы системы:
рабочие места, на которых операторы вводят информацию, поступающую из внешнего мира;
почтовый сервер, на который информация поступает с удаленных узлов сети через Интернет;
сервер обработки, на котором установлена система управления базами данных;
сервер резервного копирования;
рабочие места группы оперативного реагирования и резерва;
рабочее место администратора ИБ и администратора системы управления базами данных.
Функционирование системы осуществляется следующим образом. Данные, введенные с рабочих мест пользователей и поступившие на почтовый сервер, направляются на сервер корпоративной обработки данных. Затем данные поступают на рабочие места группы оперативного реагирования и резерва и там принимаются соответствующие решения.
Теперь необходимо провести анализ рисков с помощью методики CRAMM и предложить некоторые средства контроля и управления рисками, адекватные целям и задачам бизнеса.
Этап 1. Этап начинается с решения задачи определения границ исследуемой системы. Для этого собирается следующая информация: ответственные за физические и программные ресурсы; кто является пользователем и как пользователи используют или будут использовать систему; конфигурация системы. Первичная информация собирается в процессе бесед с менеджерами проектов и другими сотрудниками.
Этап 2. Проводится идентификация ресурсов: материальных, программных и информационных, содержащихся внутри границ системы. Каждый ресурс необходимо отнести к одному из предопределенных классов. Затем строится модель ИС с точки зрения ИБ. Для каждого информационного процесса, имеющего самостоятельное значение с точки зрения пользователя и называемого пользовательским сервисом, строится дерево связей используемых ресурсов. В рассматриваемом примере будет единственный подобный сервис. Построенная модель позволяет выделить критичные элементы.
Этап 3. Определение ценности ресурсов является обязательным в полном варианте анализа рисков. Ценность физических ресурсов в данной методике определяется ценой их восстановления в случае разрушения. Ценность данных и программного обеспечения определяется в следующих ситуациях:
недоступность ресурса в течение определенного периода времени;
разрушение ресурса - потеря информации, полученной со времени последнего резервного копирования, или ее полное разрушение;
нарушение конфиденциальности в случаях несанкционированного доступа штатных сотрудников или посторонних лиц;
модификация - рассматривается для случаев мелких ошибок персонала (ошибки ввода), программных ошибок, преднамеренных ошибок;
ошибки, связанные с передачей информации: отказ от доставки, недоставка информации, доставка по неверному адресу.
Для оценки возможного ущерба предлагается использовать следующие критерии:
ущерб деловой репутации;
нарушение действующего законодательства;
ущерб, связанный с разглашением персональных данных отдельных лиц;
финансовые потери от разглашения информации;
финансовые потери, связанные с восстановлением ресурсов;
финансовые потери, связанные с невозможностью выполнения обязательств;
дезорганизация деятельности.
Для программного обеспечения и данных выбираются применимые к данной ИС критерии, дается оценка ущерба по шкале со значениями от 1 до 10.
Например, если данные содержат подробности коммерческой конфиденциальной (критичной) информации, эксперт, проводящий исследование, задает вопрос: как может повлиять на организацию несанкционированный доступ посторонних лиц к этой информации?
Возможен такой ответ: провал сразу по нескольким параметрам из перечисленных выше, причем каждый аспект следовало бы рассмотреть подробнее и присвоить самую высокую из возможных оценок.
Затем разрабатываются шкалы для выбранной системы параметров. Они могут, например, выглядеть следующим образом:
Ущерб деловой репутации:
2 - негативная реакция отдельных клиентов;
4 - критика в средствах массовой информации, не имеющая широкого общественного резонанса;
6 - негативная реакция отдельных депутатов парламента;
8 - критика в средствах массовой информации, имеющая последствия в виде крупных скандалов, парламентских слушаний, широкомасштабных проверок и т.п.;
10 - негативная реакция на уровне президента и правительства страны.
Финансовые потери, связанные с восстановлением ресурсов:
2 - менее 1 тысячи долларов;
6 - от 1 тысячи до 10 тысяч долларов;
8 - от 10 тысяч до 100 тысяч долларов;
10 - свыше 100 тысяч долларов.
Дезорганизация деятельности в связи с недоступностью данных:
2 - отсутствие доступа к информации до 15 минут;
4 - отсутствие доступа к информации до 1 часа;
6 - отсутствие доступа к информации до 3 часов;
8 - отсутствие доступа к информации от 12 часов;
10 - отсутствие доступа к информации более суток.
На этом этапе может быть подготовлено несколько типов отчетов (границы системы, модель, определение ценности ресурсов). Если ценность ресурсов низкая, можно использовать базовый вариант защиты. В таком случае эксперт может перейти от этой стадии сразу к стадии анализа рисков. Однако для адекватного учета потенциального воздействия какой-либо угрозы, уязвимости или комбинации угроз и уязвимости, которые имеют высокие уровни, следует использовать сокращенную версию стадии оценки угроз и уязвимости. Это позволяет разработать более эффективную систему защиты информации.
Этап 4. На этапе оценки угроз и уязвимости оцениваются зависимости пользовательских сервисов от определенных групп ресурсов и существующий уровень угроз и уязвимости. Далее активы группируются с точки зрения угроз и уязвимости. Например, в случае наличия угрозы пожара или кражи, в качестве группы ресурсов разумно рассмотреть все ресурсы, находящиеся в одном месте (серверный зал, комната средств связи и т.д.). При этом оценка уровней угроз и уязвимости может проводится на основе косвенных факторов или на основе прямых оценок экспертов.
Уровень угроз оценивается, в зависимости от ответов, как:
очень высокий;
высокий;
средний;
низкий;
очень низкий.
Уровень уязвимости оценивается, в зависимости от ответов, как:
высокий;
средний;
низкий;
отсутствует.
Этап 5. На этапе анализа рисков возможно проведение коррекции результатов или использование других методов оценки. На основе этой информации рассчитываются уровни рисков в дискретной шкале с градациями от 1 до 7. Полученные уровни угроз, уязвимостей и рисков анализируются и согласовываются с заказчиком. Только после этого можно переходить к заключительной стадии метода.
Этап 6. На этапе управления рисками генерируется несколько вариантов мер противодействия, адекватных выявленным рискам и их уровням. Контрмеры разбиваются на группы и подгруппы по следующим категориям:
обеспечение безопасности на сетевом уровне;
обеспечение физической безопасности;
обеспечение безопасности поддерживающей инфраструктуры;
меры безопасности на уровне системного администратора.
В результате выполнения данного этапа формируются несколько видов отчетов.
Рассмотренная методика анализа и управления рисками полностью применима и в российских условиях, несмотря на то, что показатели защищенности от несанкционированного доступа к информации и требования по защите информации различаются в российских и зарубежных стандартах. Особенно полезным представляется использование методики CRAMM при проведении анализа рисков информационных систем с повышенными требованиями в области ИБ. Это позволяет получать обоснованные оценки существующих и допустимых уровней угроз, уязвимостей и эффективности защиты.
Стандарт Банка России по обеспечению информационной безопасности организаций банковской системы РФ
Идея выработки единого подхода к защите информации в финансовой сфере в России возникла сравнительно давно, но в последние годы обсуждалась в банковском сообществе более плотно и обстоятельно. За рубежом эти задачи хорошо проработаны, развиты и им уделяется большое внимание. Российская банковская система в ее нынешнем виде формировалась в течение последних десяти лет, и на первых этапах стояла задача - создать и запустить ее в работу, чтобы обеспечить переход от одной экономической формации к другой. К сегодняшнему дню многие финансовые и банковские институты сложились, и вопросы защиты информации, правил обращения с ней стали по-настоящему актуальными для банков. Прежде всего потому, что банк - открытая структура, работающая с большим числом клиентов, которая, с одной стороны, должна быть доступна всем клиентам, а с другой - быть достаточно защищенной и минимизирующей риск нанесения ущерба клиентам из-за ошибочных или злоумышленных действий.
Действующая в стране нормативная база, которой руководствуются кредитные организации, к сожалению, не адаптирована к особенностям кредитно-финансовой сферы, к тем угрозам, которые в ней присутствуют. Фактически она охватывает только технические стороны вопроса защиты информации. Что же касается управления, аудита и оценки ИБ, то эти аспекты в документах вообще не рассматриваются. Более того, и развивается эта база все в том же направлении - в русле совершенствования и усиления требований по технической защите информации и по-прежнему не учитывает реальные модели нарушителя и модели угроз, которые свойственны для кредитно-финансовой сферы.
Поэтому в 2003г. Банк России приступил к разработке первого в России национального стандарта ИБ, адаптированного для банковского сектора. Основные требования к стандарту сформулированы на рабочем совещании с участием начальников департаментов и управлений Банка России, представителей крупных банков, руководителей управлений Гостехкомиссии России, представителей фирм-разработчиков и включают в себя:
простоту и понятность;
непротиворечивость терминов и определений;
открытость;
прямое действие стандарта;
гармонизацию стандарта с отечественными и международными документами, стандартизирующими (или представляющими наилучшие практики) область ИБ информационных технологий;
наличие механизмов актуализации стандарта.
Занимается разработкой национального стандарта специально созданный по инициативе Банка России в ноябре 2003г. орган - "Подкомитет № 3 защиты информации в кредитно-финансовой сфере технического комитета ТК-362 защиты информации Госстандарта". Деятельность подкомитета затрагивает несколько направлений:
разработка предложений по стандартизации в области, касающейся защиты информации и обеспечения ИБ в кредитно-финансовой сфере России;
разработка проектов национальных стандартов и других нормативных документов по стандартизации, оценке соответствия, аудита и сертификации для организаций кредитно-финансовой сферы страны;
проведение необходимых научно-исследовательских и опытно-конструкторских работ по направлению деятельности подкомитета;
экспертиза стандартов по защите информации и ИБ, разработанных кредитно-финансовыми организациями.
В ноябре 2003 г. на базе научно-производственной фирмы "Кристалл" (г. Пенза) прошло первое заседание подкомитета. Обсуждение первой редакции проекта стандарта завершилось принятием согласованного текста документа. В апреле 2004 г. очередное заседание банковского подкомитета рассмотрело текст проекта стандарта, который был рекомендован Банку России для принятия и введения его в действие. Распоряжением Банка России от 18 ноября 2004 г. № Р-609 утвержден стандарт Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения", носящий рекомендательный характер.
Основная идея и философия стандарта, изложенная в разделе "Исходная концептуальная схема (парадигма) информационной безопасности организаций банковской системы РФ", основывается на современной модели обеспечения ИБ, определенной международными стандартами (ISO 17799, ISO 15408), и опирается на следующие базовые понятия: активы, собственник, злоумышленник, угроза, уязвимость, риск, политика безопасности, управление безопасностью, мониторинг.
Структура стандарта включает следующие основные функциональные разделы:
исходная концептуальная схема (парадигма) ИБ;
основные принципы обеспечения ИБ;
модели угроз и нарушителей;
политика ИБ;
управление ИБ;
модель зрелости процессов управления ИБ;
аудит и мониторинг ИБ.
Парадигма ИБ основывается на модели, которая изначально рассматривает два основных субъекта - собственника и злоумышленника, и объект собственника, который представлен его информационными активами, включающими информацию и инфраструктуру собственника. Модель отражает концепцию информационного противоборства этих субъектов - собственника и злоумышленника - за контроль над информационными активами собственника.
Информационное противоборство - растянутый во времени процесс, основывающийся на знаниях как собственника, так и злоумышленника, направленный на получение материальной выгоды через контроль над целями своего противника и основанный на избирательных информационных воздействиях, которые позиционированы по пространству и времени.
При этом злоумышленник, как правило, изучает объект нападения и таким образом отрабатывает наиболее эффективный способ реализации собственной цели, выбирая соответствующий метод нападения. Поэтому собственник должен стремиться к выявлению следов такой активности, для чего создает уполномоченный орган - службу ИБ (подразделение или лицо, ответственные за обеспечение ИБ в организации).
Философия информационного противоборства исходит из того, что изначально знания собственника относительно его потенциального противника (или злоумышленника) минимальны - как, впрочем, и злоумышленника относительно слабых мест информационных активов собственника. Поэтому собственник (его служба ИБ) строит предположения, гипотезы относительно потенциального противника, которые затем нуждаются в подтверждении, в том числе и в рамках практической деятельности служб ИБ. Главным инструментом собственника является основанный в первую очередь на его опыте прогноз (разработка модели угроз и модели нарушителя) относительно его информационных активов. И чем точнее сделан прогноз (составлены модель угроз и модель нарушителя), тем ниже риски нарушения ИБ в организации при минимальных ресурсных затратах. Таким образом, наиболее правильный и эффективный способ добиться минимизации рисков нарушения ИБ для собственника - это разработать на основе точного прогноза политику ИБ и в соответствии с ней построить систему управления ИБ в организации. Требования по разработке политики ИБ организации составляют значительную часть требований стандарта, ибо именно положения этой политики определяют цели и задачи по обеспечению ИБ, права, обязанности и ответственность службы ИБ.
В стандарт включены требования ИБ по семи областям, которые обязательно должны найти отражение в политике ИБ организации. Двумя другими "столпами" стандарта являются требования к системе управления ИБ организации и требования по мониторингу и аудиту ИБ. Результаты аудита могут быть выражены в терминах уровня зрелости процессов управления ИБ в организации. Разделы стандарта по модели зрелости процессов управления ИБ организации, а также ее аудиту и мониторингу основываются на соответствующих общепризнанных в международном сообществе подходах, изложенных, например, в таких стандартах как COBIT и BS 7799-2, а также других документах.
Важным вопросом является также использование результатов оценки кредитной организации. Мировая практика показывает, что результатом оценки может быть сертификат соответствия, рейтинг организации в рамках профессионального сообщества и т.п. Как сертификат, так и рейтинг организации - это информация для пользователей, потребителей продукции и услуг организации, поэтому она должна быть публичной. Как представляется, не каждая российская кредитная организация готова к тому, чтобы информация об уровне ее ИБ была публично доступной. Однако это требование времени и международного сообщества и, как можно прогнозировать, в самом ближайшем будущем будет и требованием клиентов банков. Значит, к этому необходимо стремиться, что наверняка успешно скажется и на бизнесе кредитной организации.
Банк России намерен будет вести работы в этом направлении и дальше. К этому основному документу планируется разработать тематические приложения. Одно из них - это приложение по аудиту и мониторингу. Механизмы аудита будут гармонизированы со стандартами классического аудита. Это позволит сделать так, чтобы деятельность внутреннего контроля коррелировалась с теми стандартами, которые приняты в международной практике, в результате чего банк получит возможность сам себя регулярно контролировать, что зачастую на порядки дешевле, чем приглашать внешнего аудитора.
Рассмотрев в третьей главе методы анализа информационных рисков и некоторые наиболее известные зарубежные стандарты информационной безопасности, можно констатировать, что в организациях, достигнувших определенного уровня зрелости, проведение анализа информационных рисков и управление этими рисками являются обязательными элементами в системе мероприятий по обеспечению защиты информации. Выполнение организациями требований стандартов значительно минимизируют риски информационных технологий. Банк России, разработав национальный стандарт информационной безопасности для применения в кредитно-финансовой сфере, способствовал повышению стабильности функционирования банковской системы Российской Федерации.
Глава 4. Задачи органов надзора и практические аспекты инспекционных проверок в области обеспечения информационной безопасности в кредитных организациях
Прогресс в области информационных банковских технологий вносит все более существенные изменения в работу кредитных организаций. Так, для расширения ассортимента банковских услуг, в том числе развития ритейлового бизнеса, необходимо внедрение соответствующих технологий дистанционного банковского обслуживания, таких как пластиковые карты, сеть банкоматов и терминалов в торговых точках, традиционный телефонный "Клиент-Банк" и все более популярный "Интернет Клиент-Банк". Количество банков, использующих новые информационные технологии, с каждым годом умножается. Например, проводившееся в 2001-2003гг. Банком России анкетирование кредитных организаций по тематике интернет-бэнкинга выявило как значительный рост числа банков (примерно в 2,5 раза), предоставляющих эту услугу, так и существенное увеличение количества клиентов - потребителей этой услуги: юридических и физических лиц (в 3 и 2 раза соответственно), и этот процесс продолжается. Это обуславливает наблюдающиеся изменения в информационном контуре деятельности кредитных организаций, появлением в нем новых элементов (например, каналов связи) и новых участников - провайдеров телекоммуникационных услуг и клиентов, которые уже не приходят в банк для того, чтобы осуществить те или иные банковские операции. С точки зрения банковского регулирования и надзора в этой связи становится важен учет достаточно большого числа дополнительных компонентов в упомянутом контуре, которых ранее в нем не существовало.
Если говорить о проблемах регулирования рисков, возникающих в связи с применением кредитными организациями информационных технологий при осуществлении банковских операций, то прежде всего следует обратить внимание на необходимость минимизации данных рисков путем создания ситуации предсказуемости последствий. Кредитные организации особенно восприимчивы к правовым рискам, когда они приступают к проведению новых операций. Эта особенность в полной мере применима к условиям использования информационных технологий в банковской деятельности, когда скорость появления новых технологических решений существенно опережает скорость правовой и надзорной реакции.
Кредитные организации становятся все больше зависимыми от качества используемого программного обеспечения и надежности внешних провайдеров, а следовательно, в такой же зависимости оказываются и их клиенты. Таким образом, банковские информационные комплексы неизбежно должны попадать в сферу внимания органов банковского надзора. Принципиально важно, что современный этап развития банковских технологий характеризуется тем, что основаны эти технологии на гораздо более сложных и при этом распределенных компьютерных системах, чем те, которые применялись в конце XX века. Наиболее сложными из них на сегодняшний день стали технологии интернет-бэнкинга и WAP-бэнкинга (обслуживания на основе беспроводной мобильной связи). Следует заметить, что прогресс в области технологий банковского обслуживания не прекращается, и появляются такие его варианты, которые могут в перспективе перевести интерпретацию содержания этого обслуживания в совершенно иную область. Поэтому необходимо, чтобы регулирование и надзор за деятельностью кредитных организаций в области применения информационных банковских технологий и обеспечения ИБ оставались адекватными вне зависимости от характера нововведений. Речь идет о поддержании процесса надзора на уровне, соответствующем уровню информационного обеспечения выполняемых банковских операций, своего рода "адаптации" надзора, - об этом уже много написано за рубежом, у нас эта проблематика также начала изучаться.
С позиций риск-ориентированного банковского надзора ИБ в кредитных организациях играла и играет особую роль, поскольку в современных условиях именно информационно-технологическая среда определяет возможности этих организаций по выполнению своих функций. Причем ИБ и непрерывность электронной обработки данных не самоцель для кредитных организаций, а средство обеспечения основной деятельности в условиях возможной реализации определенных угроз. По мере усложнения информационно-телекоммуникационных систем банковским сообществом и надзорными органами предпринимались постоянные усилия для разработки единых требований по защите банковской информации. Это связано с тем, что формирование требований занимает ключевое место в процессе обеспечения ИБ, поскольку их неудачный выбор уже не может быть компенсирован. Итогом этих усилий стало появление стандарта Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" (далее - стандарт).
Вместе с внедрением новых информационных банковских технологий и видов обслуживания требуется создание специальных методов для выявления, анализа и мониторинга информационных рисков, а также методов управления ими. Причем в рамках международных подходов считается, что сами банки, внедряющие такие технологии, обязаны выявлять, оценивать, анализировать эти риски и организовывать управление ими. В свою очередь, функции надзора дополняются аналогичными, т.е. риск-ориентированными процедурами (включая, естественно, инспекционные), приводящими к надзорным оценкам, а функции регулирования расширяются за счет выработки рекомендаций в адрес кредитных организаций по совершенствованию соответствующих процессов. Следствием этого в наиболее общем случае является необходимость постоянного мониторинга (в том числе в виде инспекционных проверок) применения кредитными организациями информационных технологий и обеспечения ИБ.
...Подобные документы
Исследование современного этапа развития банковской системы, её основных функций. Изучение особенностей информационных банковских систем и технологий. Автоматизация банковской деятельности. Анализ проблем создания автоматизированных банковских систем.
курсовая работа [572,3 K], добавлен 10.11.2013Принципы создания банковских систем и технологий. Применение информационного обеспечения в деятельности банка на примере оценки кредитоспособности предприятия с помощью коэффициентов ликвидности. Методы совершенствования АИТ в банковской деятельности.
курсовая работа [37,8 K], добавлен 24.09.2014Понятие, эволюция и специфика банковских информационных систем. История развития автоматизированных банковских систем. Финансовая информация и финансовые потоки. Уровни описания автоматизированных банковских систем. Обзор зарубежных и отечественных АБC.
реферат [48,8 K], добавлен 28.11.2010Проблемы, решаемые с помощью АИТ (Автоматизированные информационные технологии). Функций, которые должны быть реализованы в системах Интернет-трейдинга. Рынок информационных технологий, предлагаемых для рынка ценных бумаг. Преимущество интернет-трейдинга.
реферат [23,2 K], добавлен 06.04.2011Информационные банковские системы: назначение, примеры. Основные возможности системы "клиент-банк". Мультисервисный терминал самообслуживания. Мобильный банк клиентам: основные преимущества. Автоматизация документооборота для Западно-Уральского банка.
курсовая работа [30,1 K], добавлен 26.11.2014Информационные технологии в дистанционном банковском обслуживании. Современные системы дистанционных расчетов. Суть системы Интернет-банкинга. Анализ услуг по дистанционному обслуживанию в ОАО "Челябинвестбанк". Недостатки электронных платежных систем.
курсовая работа [92,6 K], добавлен 20.04.2011Проектирование, стадии, этапы и принципы создания автоматизированных информационных систем, их эффективность. Особенности информационного обеспечения автоматизированных банковских технологий, управление планами, материальными и финансовыми ресурсами.
контрольная работа [56,6 K], добавлен 13.11.2010Источники, виды и классификация угроз информационной безопасности банковской деятельности. Мошенничество с платежными картами. Стандарты информационной безопасности Банка Российской Федерации. Схема информационной защиты системы интернет-платежей.
презентация [1,5 M], добавлен 02.04.2013Понятие и принципы разработки банковских информационных систем как специфических систем управления финансовой организацией. Структура управления банком, информационное обеспечение. Главные критерии оценки кредитного риска и кредитоспособности клиента.
презентация [811,5 K], добавлен 17.03.2015Виды банковских продуктов и услуг. Оказание банковских услуг с использованием информационных технологий. Оценка экономической эффективности эмиссии пластиковых карт. Мероприятия по совершенствования банковских продуктов и услуг в Российской Федерации.
курсовая работа [455,8 K], добавлен 14.10.2012Основные положения теории безопасности банковской деятельности. Угрозы безопасности банков. Цели службы безопасности банка. Информационная безопасность банковской деятельности. Внутренняя защита банка. Мошеннические действия на финансовом рынке РФ.
презентация [3,0 M], добавлен 26.05.2012История развития банка, основные информационные системы, которые используются в его работе. Анализ традиционных и новых банковских технологий проведения расчетных, платежных, валютных и других операций, поиск путей их синтеза, преимущества и недостатки.
курсовая работа [24,5 K], добавлен 27.02.2011Информационные технологии, нормативная база и риски в сфере дистанционного банковского обслуживания. Анализ тенденций развития банковских услуг по дистанционному обслуживанию в России. Системы дистанционного банковского обслуживания юридических лиц.
дипломная работа [1,6 M], добавлен 02.06.2011Функциональные задачи и модули банковских информационных систем. Программное обеспечение, техническое оснащение. Международная система SWIFT. Система "Клиент-банк" и ее телекоммуникационные средства. Использование Internet финансовыми организациями.
курсовая работа [113,0 K], добавлен 21.10.2013Технологии продажи розничных банковских продуктов. Услуги банков для частных лиц. Клиентская политика современного коммерческого банка. Технологии продаж розничных банковских продуктов Российской Федерации. Привлечение и использование денежных средств.
курсовая работа [38,1 K], добавлен 22.05.2013Анализ российского рынка дистанционного банковского обслуживания. Риски, связанные с использованием данной технологии. Уровень проникновения систем ДБО юридических и физических лиц. Основные проблемы и направления развития электронных банковских услуг.
курсовая работа [1,4 M], добавлен 12.03.2015Понятие и классификация банковских технологий, их типы и направления реализации, тенденции современного развития. Система и механизмы дистанционного обслуживания банковских карт. Использование новых банковских технологий в АКБ "Русславбанк" ЗАО.
дипломная работа [477,6 K], добавлен 15.01.2014Понятие и экономическая сущность страховой деятельности, ее структура и основные элементы. Техническое обеспечение автоматизированных информационных систем страхового дела, его значение в деятельности страховых компаний. АИТ страховой компании "РОСНО".
реферат [51,9 K], добавлен 14.12.2009Системы "банк-клиент". Преимущества системы "банк-клиент" перед традиционными способами обслуживания. Использование банками сети Internet в коммерческих целях. Автоматизация межбанковских операций. Телекоммуникационные технологии для банков.
курсовая работа [140,0 K], добавлен 14.09.2006Современные банковские технологии с использованием компьютерной техники. Разработка автоматизированного рабочего места "Валютный кассир" на основе автоматизированной системы "Валютная касса". Экономическая эффективность внедряемого АРМ "Валютный кассир".
дипломная работа [230,2 K], добавлен 15.08.2005