Защита информации в телекоммуникационной Сбербанка РФ

Размещено на http://www.allbest.ru/

Введение

Сложившаяся к настоящему времени мировая практика сбора, хранения, переработки и распространения информации, по всеобщему признанию, далеко не полностью удовлетворяет современным требованиям, причем практически по всем важнейшим параметрам качества информации (своевременности, актуальности, релевантности и толерантности). В связи с этим проблемы совершенствования систем информационного обеспечения деятельности считаются одними из наиболее актуальных и неотложных задач общества. В интересах их решения в последние годы ведутся весьма интенсивные и крупномасштабные исследования и разработки.

Однако интенсификация информационных процессов порождает ряд попутных и достаточно серьезных проблем, без эффективного решения которых вообще нельзя будет говорить об эффективности информатизации. Одной из наиболее острых проблем указанного плана выступает проблема надежной защиты информации, т.е. проблема предупреждения ее искажения или уничтожения, несанкционированной модификации, злоумышленного получения и использования и т.п. Особую остроту проблема защиты приобретает в связи с повсеместной и массовой компьютеризацией информационных процессов и особенно - в связи с устойчивой тенденцией объединения электронной вычислительной техники в информационно-вычислительные сети с доступом к их ресурсам массы пользователей.

Рассматриваемая проблема разрабатывается у нас в стране и за рубежом уже более 30 лет. Естественно, что за истекшее время коренным образом изменилось как представление о ее сущности, так и методологические подходы к решению. Указанные изменения происходили постепенно и непрерывно, поэтому всякая периодизация этого процесса в значительной мере носит искусственный характер. Тем не менее, относительно подходов к защите информации весь этот период довольно четко делится на три этапа, которые условно можно назвать начальным, развитым и комплексным.

Первые два этапа характеризуются экстенсивным подходом к решению задач защиты информации. Суть их составляет постепенное расширение арсенала используемых средств защиты. На этапе развитой защиты начинает получать распространение комплексное применение технических программных и организационных средств. В целях регулирования правил защиты в ведущих странах стали приниматься специальные законодательные акты.

Третий этап в настоящее время только начинается. Его характерная особенность заключается в попытках аналитико-синтетической обработки данных всего имеющегося опыта теоретических исследований и практического решения задач защиты и формирования на этой основе научно-методологического базиса защиты информации. Иными словами, основная задача третьего этапа - перевод всего дела защиты информации на интенсивные способы, базирующиеся на строгой научной основе.

1. Диагностический анализ системы управления Северо-Кавказского банка Сбербанка РФ

1.1 Общая характеристика организации

Акционерный коммерческий Сберегательный банк Российской Федерации, именуемый в дальнейшем "Банк", создан в форме акционерного общества в соответствии с законом РСФСР "О банках и банковской деятельности в РСФСР" от 2 декабря 1990г. Учредителем банка является Центральный банк Российской федерации.

Фирменное (полное официальное) наименование Банка: Акционерный коммерческий Сберегательный банк Российской Федерации (открытое акционерное общество); сокращенное наименование: Сбербанк России.

Банк имеет исключительное право использования своего наименования. Банк имеет круглую печать со своим фирменным полным наименованием, указанием местонахождения, штампы, бланки со своим наименованием, собственную эмблему и другие средства визуальной идентификации.

Банк входит в банковскую систему РФ и в своей деятельности руководствуется законодательством РФ, нормативными документами Банка России и своим уставом.

Банк является юридическим лицом и со своими филиалами и другими особыми подразделениями составляет единую систему Сберегательного Банка России. Имеет в собственности обособленное имущество, учитываемое на его самостоятельном балансе.

Акционерами Банка могут быть юридические и физические лица, в том числе и иностранные, в соответствии с законодательством РФ.

Банк отвечает по своим обязательствам всем своим имуществом, может от своего имени приобретать и осуществлять имущественные и неимущественные права, нести обязательства, быть истцом и ответчиком в суде.

Акционеры Банка не отвечают по обязательствам Банка и несут риск убытком, связанным с его деятельностью в пределах стоимости принадлежащих им акций.

Акционеры, не полностью оплатившие акции, несут солидарную ответственность по обязательствам Банка в пределах неоплаченной части стоимости принадлежащих им акций.

Банк не отвечает по обязательствам своих акционеров.

Банк не отвечает по обязательствам государства и его органов. Государство (РФ) гарантирует возврат вкладов физических лиц в Банк в порядке, предусмотренном федеральными законами.

Банк не отвечает по обязательствам Банка России. Банк России не отвечает по обязательствам Банка, за исключением случаев, предусмотренных федеральными законами.

Банк вправе участвовать самостоятельно или совместно с другими юридическими и физическими лицами в других коммерческих и некоммерческих организациях на территории РФ и за ее пределами, в соответствии с действующим законодательством РФ и соответвующего иностранного государства.

Банк в установленном порядке может создавать филиала и открывать представительства, которые не являются юридическими лицами.

Банк создается без ограничения срока деятельности и осуществляет свою деятельность на основании лицензии Банка России.

Банк независим от органов государственной власти и местного самоуправления при принятии самостоятельных решений.

Северо-Кавказский банк Сбербанка России действует на территории 7 субъектов Российской Федерации Южного Федерального округа - Ставропольского края, Республик Дагестан, Ингушетия, Кабардино-Балкария, Калмыкия, Карачаево-Черкесия и Северная осетия - Алания.

Территория обслуживания банка 247 тысяч квадратных километров.

Учитывая экономический потенциал и специфику обслуживаемых регионов, Северо-Кавказский банк активно способствует развитию ведущих отраслей промышленности, что находит свое отражение в проводимой гибкой кредитной политике по наращиванию объемов инвестиций в реальный сектор экономики.

В целом за период с 1 января 1999г. по 1 июля 2001г. ссудная задолженность клиентов Северо-Кавказского банка выросла в 4,5 раза. Более 42% кредитных вложений банка приходится на долю предприятий промышленности (в их структуре топливно-энергетический комплекс занимает 53%, пищевая и перерабатывающая промышленность - 24%, химическая - 12%).

Вложения в сельское хозяйство занимают более 12% в ссудном портфеле банка. При этом первостепенное внимание уделяется развитию зернового производства.

Расширяется присутствие на региональном рынке межбанковских операций (в 2001 году осуществлено более 300 сделок с коммерческими банками региона на сумму в 4 млрд. руб. и 0,2 млн. дол.).

Выросли объемы кредитования физических лиц до 883 млн. рублей.

Также Сбербанк является участником международных расчетов с использованием системы SWIFT - Сообщество международных межбанковских финансовых телекоммуникаций, что значительно облегчает международные расчеты, ускоряет передачу больших объемов информации при снижении вероятности ошибок.

За 2001 год общая сумма доходов составила 4631 млн. руб., что в 1,5 раза больше уровня 2000 года.

Таким образом, можно сделать вывод, о том, что банк активно осуществляет размещение своих привлеченных средств.

1.2 Изучение целей, стоящих перед банком

Система управления банком характеризуется наличием двух взаимосвязанных компонентов: субъекта управления (управленческого аппарата организации, осуществляющего формирование целей и принятие решений, а так же обеспечивающего контроль за их выполнением) и объекта управления (организации, осуществляющей выполнение задач и планов).

Процесс управления заключается в изменении состояния объекта системы, ведущему к достижению поставленных целей. Цели задаются при создании организации, а в процессе ее функционирования все время корректируются, в соответствии с изменениями внешних условий. Под целями понимается характеристика системы, и ее ожидаемое значение, задаваемые субъектом управления. Чем точнее сформулированы и определены цели организации, тем легче выбрать средства их достижения.

Учитывая объективную сложность проблемы управления банковской деятельностью в крае, были использованы для ее структуризации методы системного анализа и осуществлено построение дерева целей системы управления банком. Следуя методике построения дерева целей, сформулирована глобальная цель органов управления банка в следующем виде: "Эффективное управление банковской деятельностью". Обозначена эта цель как СО.

С. 1. Привлечение денежных средств от физических и юридических лиц, осуществление кридитно-рассчетных и иных банковских операций и сделок с физическими и юридическими лицами для получения прибыли.

С. 1.1. Привлечение денежных средств физических и юридических лиц во вклады.

С. 1.2. Размещает указанные выше привлеченные средства от своего имени и за свой счет.

С. 1.3. Открывает и ведет банковские счета физических и юридических лиц.

С. 1.3.1. Осуществляет рассчеты по поручению клиентов.

С. 1.4. Инкассирует денежные средства, векселя, платежные и рассчетные документы.

С. 1.4.1. Осуществление кассового обслуживания физических и юридических лиц.

С. 1.5. Покупает и продает иностранную валюту в наличной и безналичной форме.

С. 1.6. Привлекает во вклады и размещает драгоценные металлы.

С.1.7. Выдает банковские гарантии.

С. 1.8. Осуществление перевода денежных средств по поручениям физических лиц,без открытия банковского счета за год.

С. 2. Распределение прибыли банка.

С. 2.1. Создание резервного фонда банка.

С. 2.2. Формирование фонда аннулирования работников банка.

С. 2.3. Формирование иных фондов в соответствии с законодательством РФ.

С. 2.4. Своевременное предоставление налоговыми и другими контролирующими органами балансов, отчетов и иной информации, необходимой для проверки правильности исчисления и уплаты налогов и обязательств неналоговых платежей за год.

С. 3. Осуществить контроль за финансово-хозяйственной деятельностью банка.

С. 3.1. Осуществить контроль за соблюдением банком законодательных и других актов.

С. 3.2. Осуществить контроль за финансово-хозяйственной деятельностью банка.

С. 3.3. Выявление злоупотреблений должностных лиц.

С. 3.4. Документальное оформление результатов ревизионной комиссии за год.

С. 4. Полностью осуществить обмен информации с организациями и центральным управлением банка.

С. 4.1. Получить и отправить документы, подготовленные как в установленных формах, так и в произвольных.

С. 4.2. Осуществить не регламентированный обмен информацией с Центральным Сбербанком России.

С. 5. Обеспечение устойчивой ликвидности банка.

С. 5.1. Обеспечить достаточное число денежной наличности в кассе банка.

С. 5.2. Обеспечить достаточное количество ценных металлов, находящихся в обороте банка.

С. 5.3. Обеспечить закупку и иметь в наличии ценные бумаги правительства.

С. 5.4. Наличие ссуд, предоставленных банкам, срок погашения которых наступает в течение ближайших 30 лет.

С. 6. Обеспечить качественный и налаженный маркетинг.

С. 6.1. Выявить существующие и потенциальные рынки для предоставления услуг.

С. 6.2. Выбор сфер наиболее выгодного предложения банковских услуг.

С. 6.2.1. Определение соответствующих потребностей клиентов.

С. 6.3. Установление кратко- и долгосрочных целей развития существующих услуг.

С. 6.3.1. Создание новых видов услуг.

С. 6.4. Предложение услуг таким образом, чтобы заинтересовать клиентов при условии постоянного контроля за качеством выполнения услуг.

С. 6.4.1. Получение прибыли от проведения услуг.

1.3 Анализ организационно-управленческой структуры Северо-Кавказского банка Сбербанка РФ

1.3.1 Общая характеристика функций управления

В Северо-Кавказском банке Сбербанка РФ, как и в любой другой организации можно выделить следующие основные функции управления:

1. Планирование - функция, посредством которой реализуется цель управления. Оно занимает значительное место в деятельности высшего руководства, меньшее - на среднем уровне (на уровне начальников отделов) и минимальное - на уровне рядовых сотрудников банка. Планирование на высшем уровне связано с решением будущих проблем и ориентировано на длительный срок. На среднем уровне временной интервал, на который осуществляется планирование, значительно короче, при этом, план, поступающий с высшего уровня, детализируется, а показатели в данном случае более точные. Оперативное управление предполагает самую длительную проработку плана.

2. Учет и контроль основной деятельности банка являются важнейшими функциями управления и ориентированы на получение информации о ходе всей работы путем наблюдения, измерения и систематической регистрации всех ресурсов, процессов и их результатов. При учете применяются экономические группировки, позволяющие путем их обобщения получить развернутую картину о результатах основной деятельности. Учет осуществляется в основном на оперативном и среднем уровнях управления. На высшем уровне управления учет отсутствует, однако на его основе осуществляется анализ результатов работы организации и контроль за выполнением основной деятельности организации.

3. Анализ и регулирование - это составление фактических показателей с нормативными (директивными, плановыми), определение отклонений, выходящих за пределы допустимых параметров, установление причин отклонений, выявление резервов, нахождение путей исправления сложившейся ситуации и принятие мер по выводу объекта управления на плановый курс.

1.3.2 Построение организационной структуры Северо-Кавказского банка Сбербанка РФ

Для того, чтобы эффективно выполнялись все функции управления необходима хорошая организационно-управленческая структура. Эффективность организационной структуры определяется соответствием каждого исполнителя своему рабочему месту.

В процессе управления организацией принимаются стратегические, тактические и оперативные решения, в связи с чем, в организационно-управленческой структуре банка можно выделить три уровня управления: высший, средний и оперативный. На высшем уровне управления принимаются наиболее общие решения по управлению организацией и осуществляются функции стратегического планирования, общего контроля и связи с внешними структурами. На среднем уровне решения высшего уровня детализируются, преобразуются в конкретные планы, осуществляется выполнение функций текущего планирования, связи между высшим и низшим уровнями управления, контроля, управления основной деятельностью и потоками ресурсов. Результатом деятельности работников оперативного уровня является выполнение поставленных планов, происходит реализация функций управления основной деятельностью, оперативным управлением и местным контролем.

На рисунке 1.4 приводится организационная структура Северо-Кавказского банка Сбербанка России. Из приведенной схемы видно, что организационная структура банка состоит из Правления, управлений, отделов и секторов. Управление состоит из отделов и секторов. В структуре банка существуют сектора и отделы, которые не входят в состав управления, то есть являются самостоятельным структурным звеном, подчиняющимся напрямую Правлению банка или представителю Правления.

Правление банка состоит из 6 человек: Председателя Правления, Первого заместителя Председателя Правления и четырех заместителей Председателя.

Рассмотрим более подробно организационную структуру Северо-Кавказского банка СБ РФ.

Северо-Кавказский банк СБ РФ состоит:

ПРАВЛЕНИЕ БАНКА

ПЛАНОВО-ЭКОНОМИЧЕСКОЕ УПРАВЛЕНИЕ (отдел планирования и финансово-хозяйственной деятельности, отдел банковской статистики, сектор филиальной сети и организационной структуры).

УПРАВЛЕНИЕ РЕСУРСАМИ (отдел организации операций на денежном рынке, отдел фондовых операций и анализа финансовых рынков).

УПРАВЛЕНИЕ БУХГАЛТЕРСКОГО УЧЕТА И ОТЧЕТНОСТИ (отдел методологии и анализа учета, учетно-операционный отдел, отдел внутрибанковского учета: сектор учета активных и пассивных операций, учета хозяйственных операций, отдел финансово-хозяйственной деятельности, отдел налогообложения, сектор первичного учета и расчетов по допофису №123, сектор первичного учета и расчетов по допофису №130, сектор первичного учета и расчетов по допофису №137).

УПРАВЛЕНИЕ КРЕДИТОВАНИЯ (сектор организации кредитных операций в отделениях, сектор организации кредитных операций, отдел инвестиционного кредитования юридических лиц, отдел методологии анализа и контроля кредитных операций).

ОТДЕЛ ПРОБЛЕМНЫХ И ПРОСРОЧЕННЫХ КРЕДИТОВ

ОПЕРАЦИОННОЕ УПРАВЛЕНИЕ (отдел обслуживания вкладов: сектор вкладов (в иностранной валюте и в рублях), обмена иностранной валюты, пластиковых карточек, отдел по работе с юридическими лицами, отдел организации по привлечению и обслуживанию юридических лиц, кассовый отдел кладовая ценностей, аренда индивидуальных сейфов, вечерняя касса, приходно-расходная касса, отдел по работе с физическими лицами, сектор вкладов и кредитования населения).

ОТДЕЛ ВАЛЮТНЫХ И НЕТОРГОВЫХ ОПЕРАЦИЙ

ДЕПОЗИТАРИЙ

ОТДЕЛ ЦЕННЫХ БУМАГ

ТРЦ (отдел контроля и обработки информации, сектор анализа и отчетности, отдел электронных платежей, сектор расчета в инвалюте, в валюте РФ, процессинговый центр, сектор оперативного контроля).

УПРАВЛЕНИЕ ИНФОРМАТИКИ И АВТОМАТИЗАЦИИ БАНКОВСКИХ РАБОТ (отдел внедрения и сопровождения программ, отдел технического обслуживания, отдел информационно-вычислительных сетей, отдел автоматизированных банковских систем)

СЕКТОР КАССОВЫХ ОПЕРАЦИЙ ИНКАССАЦИИ (отдел инкассации и кассовых работ, отдел перевозки ценностей)

ОБЩИЙ ОТДЕЛ (машбюро, ксерокс, архив, отдел административно-хозяйственного обеспечения)

ЮРИДИЧЕСКИЙ (отдел претензионно-исковой работы, отдел правового обеспечения)

УПРАВЛЕНИЕ БЕЗОПАСНОСТИ И ЗАЩИТЫ ИНФОРМАЦИИ (отдел информационной и технической защиты, отдел экономической безопасности, отдел охраны, бюро пропусков)

ОТДЕЛ ПО РАБОТЕ С ПЕРСОНАЛОМ

КОНТРОЛЬНО-РЕВИЗИОННОЕ УПРАВЛЕНИЕ СБ РОССИИ ПО СЕВЕРО-КАВКАЗСКОМУ БАНКУ

ОТДЕЛ ВКЛАДОВ И РАСЧЕТОВ НАСЕЛЕНИЯ

ОТДЕЛ БАНКОВСКИХ КАРТ

СЕКТОР РИСКОВ

СЕКТОР СОПРОВОЖДЕНИЯ И ОФОРМЛЕНИЯ БАНКОВСКИХ ОПЕРАЦИЙ

СЕКТОР БАНКОВСКИХ ТЕХНОЛОГИЙ

СЕКТОР ОПЕРАТИВНОГО КОНТРОЛЯ

Планово-экономическое управление устанавливает бизнес-план по всем направлениям деятельности Северо-Кавказского банка, то есть для каждого подразделения разрабатывается годовой план, утверждаемый в последствии Сбербанком РФ, который должен быть выполнен. Осуществляет подготовку предложений по установлению тарифных ставок на осуществляемые банком услуги и проводимые банком операции, которые выносятся на Кредитную комиссию для утверждения.

Отдел банковской статистики осуществляет обработку информации, которая предоставляется в отчетах от каждого подразделения банка о результатах проводимой деятельности, осуществляемых операций. Также отдел банковской статистики осуществляет контроль за выполнением подразделениями утвержденных для них бизнес-планов, выявляет и фиксирует отклонения, занимается финансовой статистикой банка.

Отдел организации операций на денежном рынке осущесвляет покупку финансовых ресурсов на денежном рынке, но не осуществляет операций через биржу, производит закупку денежных ресурсов, распределяет закупленные ресурсы между подразделениями банка в соответствии с установленными нормами.

Отдел фондовых операций и анализа финансовых рынков занимается тем же, что и отдел организаций операций на денежном рынке, только закупает на фондовом рынке ценные бумаги. Может осуществлять операции на фондовом рынке, как от своего лица, так и по поручению клиентов, осуществлять как покупку, так и продажу ценных бумаг. Занимается анализом состояния на фондовых рынках, прогнозирует возможное развитие ситуации на фондовом рынке, изменение котировок ценных бумаг. В целом управление ресурсами занимается управлением активными операциями банка.

Управление бухгалтерского учета и отчетности занимается разработкой методологий учета операций, производит учет и анализ активных операций банка, производит оптимизацию налогообложения, контроль за рациональным использованием материальных и финансовых ресурсов.

Управление кредитования занимается предоставлением краткосрочных и долгосрочных кредитов юридическим лицам, изучает кредитные риски и определяет методы страхования банковских кредитных операций. Кредиты юридических лиц - минимальная сумма не определена (как правило, не менее 40000 руб.), ставки кредитов от 21 до 27% годовых в зависимости от суммы выданного кредита и срока кредита. Инвестиционное кредитование идет на обеспечение исполнения инвестиционных проектов и программ, направленных на развитие экономики региона.

Отдел проблемных просроченных кредитов рассматривает ситуации по невозвращению или частичному возвращению кредита, уплаты процентов по нему физическими и юридическими лицами. Ведет регистрацию клиентов, не погасивших кредиты.

Депозитарий занимается ведением учета операций с ценными бумагами, открытие и закрытие счетов ДЕПО, предоставление кредита под залог ценных бумаг (счет ДЕПО блокируется при предоставлении кредита владельцу счета), ведет учет и начисление дивидентов по ценным бумагам и т.д.

Отдел ценных бумаг осуществляет операции с ценными бумагами: акции, векселя. Осуществляет установку котировок ценных бумаг для подразделений. Способствует размещению средств банка для получения прибыли и осуществлению деятельности банка на рынке ценных бумаг.

ТРЦ осуществляет обработку информации, производит расчет электронных платежей юридических и физических лиц, как в инвалюте, так и валюте РФ, отслеживаются потоки финансовых ресурсов, осуществляются расчеты по корсчетам "ЛОРО" и "НОСТРО", учет и анализ межбанковских операций.

Сектор кассовых операций и инкассации осуществляет инкассирование выручки, производит перевозку ценностей и осуществление кассовых операций.

Отдел по работе с персоналом занимается подбором кадрового состава банка, разрабатывает критерии отбора, производит тестирование, как собственных работников, так и работников доп. Офисов и отделений банка в регионах Северного Кавказа. Проводит семинары для повышения квалификационных знаний сотрудников банковской сферы, выдает сертификаты на проведение определенных операций.

Управление информатики и автоматизации банковских работ осуществляет электронные платежи и клиринг, внедрение систем пластиковых карточек, разработка программного обеспечения для отделов и управлений банка.

Управление безопасности и защиты информации проводит мероприятия по обеспечению информационной и технической защиты банковских продуктов.

Юридический отдел осуществляет разработку нормативных документов, контролирует правильность банковских сделок, составление договоров, деловых бумаг, ведение дел банка в суде и администрации, ведет исковые заявления и решает иные правовые вопросы, связанные с интересами банка.

Контрольно-ревизионное управление осуществляет проверку работы банка отделений, соответствие их деятельности действующим нормам учета.

2. Характеристика АИС Северо-Кавказского банка Сбербанка РФ

2.1 Общие сведения об АИС Северо-Кавказского банка Сбербанка РФ

Основными целями автоматизированной информационной системы Северо-Кавказского банка Сбербанка РФ являются:

Повышение обоснованности принимаемых решений.

Обеспечение своевременной и качественной обработки информации.

Повышение качества управления.

Эффективное использование новых методов планирования и управления.

Оптимизация использования трудовых и материальных ресурсов.

Рост производительности труда управленческого персонала и специалистов.

АИС СКБ СБ РФ базируется на основных базовых принципах, изложенных ниже:

Система является распределенной. Это значит, что обработка информации распределена по узлам АИС.

Система имеет единое хранилище данных по каждой подсистеме - совокупность баз данных, содержащих всю информацию, необходимую для управления филиалами. Единое хранилище данных размещено физически в одном месте и вся совокупность данных передаются по электронной почте в единую базу данных.

Система спроектирована таким образом, чтобы учесть существующую организационную структуру банка и интегрировать новые решения в уже существующую сеть автоматизированной информационной системы.

Система опирается на общепринятые мировые промышленные стандарты, применяемые в информатике и вычислительной технике (сетевой протокол TCP/IP, реляционная и объектно-реляционная СУБД, стандарт языка запросов SQL, оконный графический интерфейс MS Windows и т.д.).

В системе используется унифицированное оборудование и программное обеспечение.

Эффективность АИС в большей степени определяется ее эксплуатационными, а не функциональными характеристиками. Удовлетворение функциональным требованиям (соответствие, полнота, правильность) является только необходимым условием применимости системы.

На первый план выдвигаются экономические критерии эффективности, но при этом система реализовывает нужную функциональность.

Информационная система СКБ СБ РФ удовлетворяет следующим требованиям:

1) Достаточные надежность и живучесть.

2) Невысокие эксплуатационные затраты.

3) Оперативность внедрения и развития.

4) Достаточные стабильность эксплуатации и защищенность инвестиций.

Надежность и живучесть АИС СКБ СБ РФ означает, что система функционирует без сбоев или с приемлемым их количеством, а основные функции должны выполняться даже при выходе из строя отдельных элементов системы. Высокой степенью защищенности от несанкционированного доступа к информации. Использовать все ныне известные методы защиты информации. Предусматривать все виды угроз защиты информации.

Невысокие эксплуатационные затраты достигаются применением технологии централизации информации (данных и программ) на крупных узлах обработки с высокой степенью защищенности. При небольшом количестве узлов затраты на администрирование, сопровождение, техническое обслуживание, модернизацию, повышение квалификации персонала намного меньше, чем при эксплуатации системы, распределенной по сотням рабочих станций. Например:

При внесении изменений в программное обеспечение (ПО) модифицированное ПО становится доступным сразу всем пользователям, что исключает необходимость введения версий и обновления ПО на каждом рабочем месте.

Не требуются специальные механизмы для создания, ведения и обслуживания баз данных, а так же синхронизации данных.

Кардинально снижаются затраты на приобретение (модернизацию) и установку общего программного обеспечения, т.к. оно устанавливается только на узлах обработки, а не на компьютерах всех пользователей.

При этом дополнительно снижаются затраты на модернизацию рабочих станций, поскольку при централизации информации технические требования к ним снижаются.

Рабочая станция начинает играть роль терминала, реализующего только интерфейс пользователя, а хранение и обработка информации выполняются на мощных узловых серверах.

Вторым средством снижения эксплуатационных затрат является - сокращение числа специализированных элементов системы, для обслуживания которых требуется особо подготовленный персонал. Это также достигается применением технологии централизации информации, при которой рабочие места пользователей представляют собой стандартный компьютер со стандартным программным обеспечением.

Текущий момент развития экономики и государства характеризуется острой динамикой. Эта динамика требует способности оперативно реагировать на изменения. Отсюда требование к информационной системе - возможность оперативной корректировки функциональности в соответствии с изменениями внешних условий. Возможность изменения функциональности - это важнейшая эксплуатационная характеристика информационной системы.

Это требование достигнуто при помощи общеизвестной компонентной технологии, основу которой составляют:

Отделение в программном обеспечении прикладной логики от средств общего назначения.

Реализация прикладной логики в виде программных компонентов.

Организация межкомпонентного взаимодействия на основе стандартных интерфейсов.

Компонентная технология дает возможность разрабатывать, развивать и тестировать функциональные блоки системы независимо и параллельно, а значит быстро. Скорость разработки резко возрастает и в связи с наличием отлаженного ядра системы, реализующего все общие механизмы.

Компонентная технология позволяет привлекать к разработке и развитию прикладной части АИС независимые команды.

Таким образом, компонентная технология улучшает сразу четыре эксплуатационные характеристики АИС:

Оперативность развития.

Надежность.

Защищенность инвестиций.

Масштабируемость.

Стабильность эксплуатации и защищенность инвестиций - эти характеристики взаимосвязаны и обусловлены зависимостью владельца системы:

От изменения коньюнктуры на рынке информационных технологий.

От разработчика информационной системы.

От собственного персонала, эксплуатирующего систему.

С учетом важности обрабатываемой информации, работоспособность АИС не должна зависеть от подобных факторов.

Для защиты от изменений коньюнктуры на рынке информационных технологий используются только аппаратное и программное обеспечение крупных производителей, финансовое положение которых стабильно и репутация не испорчена. Это дает дополнительное преимущество - повышение производительности и эффективности системы за счет заложенных интеграционных качеств.

2.2 Характеристика структуры АИС Северо-Кавказского банка Сбербанка РФ

Автоматизация в общем виде представляет собой комплекс действий и мероприятий технического, организационного и экономического характера, который позволяет снизить степень участия или полностью исключить непосредственное участие человека в осуществлении той или иной функции процесса управления. Таким образом, АИС Северо-Кавказского банка Сбербанка РФ можно рассматривать как человеко-машинную систему с автоматизированной технологией получения результатной информации, необходимой для информационного обслуживания специалистов и оптимизации процесса управления в основных сферах деятельности.

С помощью АИС обеспечивается многовариантность расчетов, принимаются рациональные управленческие решения, в том числе в режиме реального времени, организуется комплексный учет и экономический анализ, достигаются достоверность и оперативность получаемой и используемой в управлении информации т.д.

В зависимости от технологического и функционального аспектов рассмотрения АИС Северо-Кавказского банка Сбербанка РФ может быть разбита на несколько составляющих элементов (рис 2.1).

Используя технологический аспект рассмотрения, в АИС Северо-Кавказского банка Сбербанка РФ выделяют аппарат управления, а также технико-экономическую информацию, методы и средства ее технологической обработки. Выделив аппарат управления, оставшиеся элементы, технологически тесно взаимоувязанные, при условии единого системного использования экономико-математических методов и технических средств управления образуют автоматизированную информационную технологию данных (АИТД).

Являясь человеко-машинной системой, в рамках которой реализуется информационная модель, формализующая процессы обработки данных в условиях новой технологии, АИТД замыкает через себя прямые и обратные информационные связи между объектом управления и аппаратом управления, а также вводит в систему и выводит из нее потоки внешних информационных связей.

Функции АИТ определяют ее структуру, которая включает следующие процедуры: сбор и регистрацию данных; подготовку информационных массивов; обработку, накопление и хранение данных; формирование результативной информации; передачу данных от источников возникновения к месту обработки, а результатов (расчетов) - к потребителям информации.

3. Характеристика защиты информации в телекоммуникационной системе банка

3.1 Актуальность защиты информации в телекоммуникационной системе банка

Задача защиты информации, хранимой в компьютерных системах, от несанкционированного доступа (НСД), является весьма актуальной. Для решения этой задачи используется целый комплекс средств, включающий в себя технические, программно-аппаратные средства и административные меры защиты информации. Построение надежной защиты компьютерной системы невозможно без предварительного анализа возможных угроз безопасности системы. Этот анализ должен включать в себя: оценку ценности информации, хранящейся в системе; оценку затрат времени и средств на вскрытие системы, допустимых для злоумышленников; оценку характера хранящейся в системе информации, выделение наиболее опасных угроз (несанкционированное чтение, несанкционированное изменение и т.д.); построение модели злоумышленника - другими словами, оценка того, от кого нужно защищаться - от постороннего лица, пользователя системы, администратора и т.д.; оценку допустимых затрат времени, средств и ресурсов системы на организацию ее защиты.

Основную цель работы можно сформулировать следующим образом - обобщить имеющийся опыт теоретических исследований и практического решения задач защиты информации, сформировать на этой основе научно-методологический базис защиты и выработать рекомендации по практическим шагам в области интенсификации процессов обеспечения информационной безопасности.

Актуальность такой постановки задачи определяется:

во-первых, возрастанием роли информации, информационных ресурсов и технологий в жизни граждан, общества и государства в XXI веке, которое выводит вопросы информационной безопасности на первый план в системе обеспечения национальной безопасности,

во-вторых, изменениями, которые происходят в понимании существа проблемы защиты информации, подходах, методах и средствах ее решения, предопределяющими расширение рамок комплексности защиты, что, в свою очередь, требует существенной корректировки организации и содержания работ по всем видам деятельности в данной сфере.

в-третьих, вызреванием объективной необходимости и созданием соответствующих предпосылок для перевода всего дела защиты информации с экстенсивного пути развития на интенсивный.

Уместно будет также отметить, что в последнее время все более остро ставится проблема обеспечения так называемой информационной безопасности, представляющей собой совокупность двух параллельных процессов - защиты информации и защиты от информации (от негативного воздействия информации на современные технические, технологические и организационные системы, а также на отдельных людей, их коллективы и общество в целом). Последствия последнего воздействия могут носить не просто тяжелый, а трагический и даже катастрофический характер.

К сожалению, системные исследования проблем защиты от информации до настоящего времени не проведены, поэтому говорить о каких-либо фундаментальных выводах пока преждевременно. Однако даже те предварительные проработки, которые уже выполнены, дают достаточно веские основания утверждать, что решение проблемы может быть осуществлено на основе того же концептуально-методологического базиса, что и проблемы защиты информации. Это обстоятельство естественным образом приводит к заключению, что и проблему защиты от информации целесообразно включить в расширенное толкование понятия комплексной защиты информации.

Все это говорит о необходимости обобщения накопленного опыта теоретических исследований и практического решения задач защиты информации в целях формирования на этой основе научно-методологического базиса защиты как краеугольного камня интенсификации процессов обеспечения информационной безопасности.

Углубленное изучение проблемы совершенствования научно-методологического базиса теории защиты информации показывает, что уже в настоящее время (а тем более в перспективе) решение проблем защиты вне органической связи с решением более общих проблем (информационной безопасности, информационных технологий, информатизации общества) может привести к неадекватным результатам. Серьезность данного вопроса признана настолько основательной, что его решение должно вестись с использованием существенно иных (по сравнению с прежними) подходов.

В связи с тем, что процессы защиты информации подвержены сильному влиянию случайных факторов, методы классической теории систем оказываются практически непригодными для решения задач создания, организации и обеспечения функционирования систем защиты информации. Таким образом, возникает актуальная задача расширения арсенала классической теории за счет использования методов, позволяющих адекватно моделировать процессы, существенно зависящие от воздействия трудно предсказуемых факторов. Наиболее подходящими для формирования методологического базиса теории защиты информации оказываются методы нечетких множеств, лингвистических переменных (нестрогой математики), неформального оценивания, неформального поиска оптимальных решений.

Исследование особенностей названных методов применительно к задачам интенсификации процессов защиты информации, а также практически полное отсутствие на сегодняшний день систематизированных статистических данных функционирования реальных систем защиты информации, выдвигают на передний план эвристическую составляющую методологического базиса теории защиты информации. Отсюда исключительно важное значение для решения современных проблем защиты приобретают методы экспертных оценок, эвристического программирования, “мозгового штурма” и психоинтеллектуальной генерации.

Проведенные исследования показывают, что с учетом требуемого уровня защиты и степени свободы действий при ее организации целесообразно выделить три вида стратегий защиты информации: оборонительную, наступательную и упреждающую.

Рассмотрим далее возможную на сегодня последовательность решения проблемы создания и организации функционирования оптимальной системы защиты информации, обрабатываемой в АС. Совершенно очевидно, что весь процесс формирования кортежа концептуальных решений по защите (функции защиты, задачи защиты, средства защиты, система защиты) должен начинаться с количественной оценки угроз защищаемой информации.

Одной из наиболее принципиальных особенностей проблемы защиты информации является абсолютный характер требования полноты выявленных угроз. При этом формирование полного множества угроз представляет собой ярко выраженную неформализуемую проблему. Одним из наиболее адекватных методов ее решения является метод натурных экспериментов, который, однако, в силу его чрезвычайной дороговизны, больших затрат сил и времени, целесообразен не для первоначального формирования множества дестабилизирующих факторов, а для его уточнения и пополнения.

Для первоначального же формирования возможно более полного множества дестабилизирующих факторов целесообразно использовать различные модификации экспертных оценок. Наиболее эффективным здесь оказывается метод психоинтеллектуальной генерации.

Для определения значений показателей уязвимости информации должны быть разработаны методы, соответствующие природе этих показателей и учитывающие все факторы, влияющие на их значение. В процессе развития теории и практики защиты информации сформировалось три методологических подхода к оценке ее уязвимости: эмпирический, теоретический и теоретико-эмпирический.

Условность и приближенность эмпирического подхода серьезно подрывают доверие к такого рода моделям. Повысить их адекватность можно за счет использования методов теории вероятностей и теории принятия решений. На этой основе в [1] построены динамические модели, позволяющие определять текущие и прогнозировать будущие значения всех показателей уязвимости информации для любых компонентов АС, любой их комбинации и для любых условий жизнедеятельности АС.

Однако все эти модели предполагают независимость тех случайных событий, совокупности которых образуют сложные процессы защиты информации в современных АС, а для обеспечения их работы необходимы исходные данные, систематизация и обобщение подавляющего большинства которых в настоящее время в России не организованы.

Таким образом, снова возникает задача серьезной корректировки организационной структуры обеспечения работ по защите информации, которая может проводиться путем создания специализированных центров защиты.

Следующий этап создания оптимальной системы защиты информации имеет целью выработку подходов к решению прагматической задачи перехода от выявленных на предыдущем этапе угроз к условиям их предотвращения.

На этапе перехода от экстенсивных к интенсивным способам защиты информации конкретные требования к защите определяются характером, видом и объемом обрабатываемой информации, продолжительностью ее пребывания в АС, технологией обработки и организацией информационного процесса, структурой и этапом жизненного цикла АС.

Выработка данных требований в каждом конкретном случае может быть осуществлена на основе структурно-логического анализа систем и ситуаций защиты и структурированного их описания с широким применением методологии и методов неформальной теории систем.

В современных условиях наиболее подходящим оказывается подход, основанный на выделении некоторого количества типовых систем защиты и разработке рекомендаций по их использованию. На сегодняшний день в целях типизации систем защиты информации у нас в стране и за рубежом разработано несколько регламентирующих документов, определяющих критерии оценки защищенности АС и механизмы защиты, которые должны использоваться при обработке информации различной степени конфиденциальности.

Наличие данных документов создает достаточно надежную базу для защиты информации на регулярной основе. Однако с точки зрения современной постановки задачи защиты они имеют ряд принципиальных недостатков, так как ориентированы на защиту информации только в средствах ЭВТ и учитывают далеко не все факторы, оказывающие существенное влияние на уязвимость информации. Кроме того, их научное обоснование оставляет желать много лучшего.

В [1] предпринята попытка формирования полного множества возможных вариантов условий защиты информации и последующего деления его на некоторое число классов, которое можно было бы использовать в дальнейшем для практического решения поставленной нами задачи.

Осуществление такой классификации множества вариантов потенциально возможных условий защиты информации фактически является задачей формирования необходимого и достаточного набора типовых систем защиты информации.

На основании рассмотренных в [1] теоретического, эмпирического и теоретико-эмпирического подходов к решению этой проблемы предлагается классификационная структура типовых систем защиты, содержащая пять основных и пять дополнительных классов.

В завершение последовательного рассмотрения проблем интенсификации процессов защиты информации в современных АС остановимся на результатах многолетней работы по формированию методологических принципов создания систем защиты информации и управления их функционированием.

Из предыдущего рассмотрения ясно, что все ресурсы, выделяемые в АС для защиты информации, должны быть объединены в единую, функционально самостоятельную подсистему - систему защиты информации (СЗИ). Создание такой СЗИ предполагает удовлетворение целому комплексу функциональных, эргономических, экономических, технических и организационных требований.

Важнейшее значение для обеспечения надежности и экономичности защиты информации имеют типизация и стандартизация СЗИ. Анализ концепции защиты информации и возможных подходов к архитектурному построению СЗИ показывает, что целесообразно выделить три уровня типизации и стандартизации: высший - уровень СЗИ в целом, средний - уровень компонентов СЗИ и низший - уровень проектных решений по средствам и механизмам защиты.

С целью создания объективных предпосылок для типизации и стандартизации на высшем и среднем уровнях на основании примененного нами эмпирического подхода предложена системная классификация СЗИ, в соответствии с которой все СЗИ в зависимости от уровня обеспечиваемой защиты могут быть разделены на 4 категории: системы слабой защиты, системы сильной защиты, системы очень сильной защиты, системы особой защиты, а в зависимости от активности реагирования на несанкционированные действия - на три типа: пассивные СЗИ, полуактивные СЗИ, активные СЗИ. В зависимости от сочетания указанных критериев классификации можно выделить обязательные, целесообразные, нецелесообразные, допустимые и недопустимые варианты систем защиты информации.

Для формирования полного множества необходимых СЗИ должен быть принят во внимание также и тип АС, для которой эта система предназначена. В соответствии с современными представлениями можно различать следующие АС: персональная ЭВМ, используемая локально (ПЭВМ); групповая ЭВМ, используемая локально (ГЭВМ); ВЦ предприятия, учреждения, организации (ВЦП); ВЦ коллективного пользования (ВЦКП); локальная вычислительная сеть (ЛВС); слабо распределенные (в пределах населенного пункта, небольшой территории) вычислительные сети (СВС); сильно распределенные, региональные вычислительные сети (РВС); глобальные вычислительные сети (ГВС).

Типизация и стандартизация на среднем уровне предполагает разработку типовых проектов структурно и функционально ориентированных компонентов СЗИ. В качестве наиболее перспективного варианта покомпонентной типизации и стандартизации СЗИ предлагается использовать подход, основанный на так называемой семирубежной модели. Тогда организационное построение СЗИ в самом общем случае может быть представлено совокупностью следующих рубежей защиты: 1)территория, занимаемая АС; 2)здания, расположенные на территории; 3)помещения внутри здания, в которых расположены ресурсы АС и защищаемая информация; 4)ресурсы, используемые для обработки и хранения информации, и сама защищаемая информация; 5)линии связи, проходящие в пределах одного и того же здания; 6)линии (каналы) связи, проходящие между различными зданиями, расположенными на одной и той же охраняемой территории; 7)линии (каналы) связи, проходящие по неконтролируемой территории.

Типизация и стандартизация на низшем уровне предполагает разработку типовых проектных решений по практической реализации средств защиты информации (технических, программных, организационных и криптографических).

Проектирование СЗИ заключается в создании оптимальных механизмов обеспечения защиты информации и механизмов управления ими. В зависимости от уровня конфиденциальности защищаемой информации, условий, в которых создается система защиты, а также с учетом предложенной классификации СЗИ нами разработана структура возможных подходов к проектированию системы, включающая 6 различных вариантов, от использования типовых СЗИ до разработки проекта системы с применением индивидуальных средств защиты.

Предложенная структуризация позволяет оптимальным образом выбрать и реализовать необходимый подход к проектированию СЗИ для любой АС в любых условиях ее функционирования.

Целесообразно еще кратко затронуть проблемы управления процессами функционирования систем защиты. Здесь могут быть выделены основные макропроцессы управления, к которым отнесены планирование, оперативно-диспетчерское управление, календарно-плановое руководство и обеспечение повседневной деятельности.

Особое значение в процессах управления имеет регулярно осуществляемый контроль защищенности информации в АС, который складывается из собственно контроля защищенности информации и контроля функционирования механизмов защиты.

3.2 Виды угроз безопасности в телекоммуникационной системе

В общем случае автоматизированная банковская система (АБС) включает в себя три основных уровня: одна или несколько систем управления базами данных (СУБД); одна или несколько операционных систем (ОС), обслуживающих СУБД и системы документооборота; сетевое программное обеспечение, обеспечивающее информационное взаимодействие рабочих станций и серверов банковской сети. Атака АБС может осуществляться на любом из перечисленных уровней. Пусть, например, требуется прочитать определенные записи из базы данных (БД). Злоумышленник может попытаться: прочитать эти записи средствами СУБД (атака на уровне СУБД); прочитать файлы БД (атака на уровне ОС); отправить в сеть пакеты определенного вида, получив которые, сервер БД предоставит злоумышленнику требуемую информацию (атака на уровне сети). Поскольку методы осуществления несанкционированного доступа (НСД) к ресурсам АБС существенно различаются в зависимости от того, на каком уровне происходит атака АБС, эти методы для разных уровней целесообразно рассмотреть отдельно.

3.2.1 Атаки на уровне СУБД

Защита базы данных является одной из наиболее простых задач защиты информации. Это обусловлено тем, что базы данных имеют четко определенную внутреннюю структуру, и операции над элементами баз данных также четко определены. Обычно над элементами баз данных определены всего четыре основные операции: поиск, вставка, замена и удаление. Другие операции носят вспомогательный характер и используются относительно редко. Такая простая структура системы защиты упрощает ее администрирование и сильно усложняет задачу преодоления защиты СУБД. В большинстве случаев хакеры даже не пытаются атаковать СУБД, поскольку преодолеть защиту АБС на уровнях операционной системы и сети гораздо проще. Тем не менее, в отдельных случаях преодоление злоумышленником защиты, реализуемой СУБД, вполне возможно. Такая ситуация имеет место в следующих случаях: если в АБС используется СУБД, защита которой недостаточно надежна; если используется недостаточно хорошо протестированная версия СУБД, содержащая ошибки в программном обеспечении; если администраторы базы данных допускают грубые ошибки при определении политики безопасности. Кроме того, известны две атаки СУБД, для защиты от которых требуются специальные меры. К ним относятся: “атака салями”, когда результаты округления результатов арифметических операций прибавляются к значению некоторого элемента базы данных (например, к сумме, хранящейся на личном счету злоумышленника); статистическая идентификация. Эта атака позволяет получать конкретные значения тех полей базы данных, для которых доступна только статистическая информация. Основная идея заключается в том, чтобы так задать параметры запроса, что множество записей, по которым собирается статистика, включает в себя только одну запись. Для реализации атаки на СУБД злоумышленник должен как минимум являться пользователем СУБД.

...