АИС / АВТОМАТИЗИРОВАННЫЕ ИНФОРМАЦИОННЫЕ СИСТЕМЫ В ЭКОНОМИКЕ 2007
.pdfОрганизационное обеспечение – это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе таким образом, что разглашение, утечка и несанкционированный доступ к конфиденциальной информации становятся невозможными или существенно затрудняются за счет проведения организационных мероприятий [101].
Организационное обеспечение компьютерной безопасности включает в себя ряд мероприятий:
организационно-административные;
организационно-технические;
организационно-экономические.
Втабл. изложены организационные мероприятия, обеспечивающие защиту документальной информации
|
|
Таблица 13.1 |
Обеспечение информационной безопасности организации |
||
|
|
|
Составные части |
Функции обеспечения ИБ при |
Способы выполнения |
делопроизводства |
работе с документами |
|
Документирование |
Предупреждение: |
|
|
– необоснованного изготовления |
Определение перечня |
|
документов; |
документов |
|
– включение в документы |
Осуществление контроля за |
|
избыточной конфиденциальной |
содержанием документов и |
|
информации; |
степени |
|
|
конфиденциальности |
|
|
содержания |
|
– необоснованного завышения |
Определение реальной |
|
степени конфиденциальности |
степени |
|
документов; |
конфиденциальности |
|
|
сведений, включенных в |
|
– необоснованной рассылки |
документ |
|
|
Осуществление контроля за |
|
|
размножением и рассылкой |
|
|
документов |
Учет документов |
Предупреждение утраты |
Контроль за |
|
(хищения) документов |
местонахождением |
|
|
документа |
Организация |
Предупреждение: |
|
документооборота |
– необоснованного ознакомления |
Установление |
|
с документами; |
разрешительной системы |
|
|
доступа исполнителей к |
|
– неконтролируемой передачи |
документам |
|
документов |
Установление порядка |
|
|
приема-передачи |
|
|
документов между |
|
|
сотрудниками |
Хранение документов |
Обеспечение сохранности |
Выделение специально |
|
документов |
оборудованных помещений |
|
|
для хранения документов, |
|
|
исключающих доступ к ним |
|
|
посторонних лиц |
|
|
Установление порядка |
|
Исключение из оборота |
подготовки документов для |
|
документов, потерявших ценность |
уничтожения |
Уничтожение |
Исключение доступа к бумажной |
Обеспечение необходимых |
371
документов |
«стружке» |
условий уничтожения |
|
|
Осуществление контроля за |
|
|
правильностью и |
|
|
своевременностью |
|
|
уничтожения документов |
Контроль наличия, |
Контроль наличия документов, |
Установление порядка |
своевременности и |
выполнения требований |
проведения наличия |
правильности |
обработки, учета, исполнения и |
документов и порядка их |
исполнения |
сдачи |
обработки |
документов |
|
|
Комплекс организационно-технических мероприятий состоит:
в ограничении доступа посторонних лиц внутрь корпуса оборудования за счет установки различных запорных устройств и средств контроля;
в отключении от ЛВС, Internet тех СКТ, которые не связаны с работой с конфиденциальной информацией, либо в организации межсетевых экранов;
в организации передачи такой информации по каналам связи только с использованием специальных инженерно-технических средств;
в организации нейтрализации утечки информации по электромагнитным и акустическим каналам;
в организации защиты от наводок на электрические цепи узлов и блоков автоматизированных систем обработки информации;
в проведении иных организационно-технических мероприятий, направленных на обеспечение компьютерной безопасности.
372
13.3 Организация системы защиты информации экономических систем
Каждую систему защиты следует разрабатывать индивидуально, учитывая следующие особенности:
-организационную структуру организации;
-объем и характер информационных потоков (внутри объекта в целом, внутри отделов, между отделами, внешних);
-количество и характер выполняемых операций: аналитических и повседневных;
-количество и функциональные обязанности персонала;
-количество и характер клиентов;
-график суточной нагрузки.
Защита должна разрабатываться для каждой системы индивидуально, но в соответствии с общими правилами. Построение защиты предполагает следующие этапы:
-анализ риска, заканчивающийся разработкой проекта системы защиты и планов защиты, непрерывной работы и восстановления;
-реализация системы защиты на основе результатов анализа риска;
-постоянный контроль за работой системы защиты и АИС в целом (программный, системный и административный).
На каждом этапе реализуются определенные требования к защите; их точное соблюдение приводит к созданию безопасной системы.
Для обеспечения непрерывной защиты информации в АИС целесообразно создать из специалистов группу информационной безопасности. На эту группу возлагаются обязанности по сопровождению системы защиты, ведения реквизитов защиты, обнаружения и расследования нарушений политики безопасности и т.д.
Основные этапы построения системы защиты заключаются в следующем:
Анализ -> Разработка системы защиты (планирование) -> Реализация системы защиты -> Сопровождение системы защиты.
Этап анализа возможных угроз АИС необходим для фиксирования на определенный момент времени состояния АИС (конфигурации аппаратных и программных средств, технологии обработки информации) и определения возможных воздействий на каждый компонент системы. Обеспечить защиту АИС от всех воздействий на нее невозможно, хотя бы потому, что невозможно полностью установить перечень угроз и способов их реализации. Поэтому надо выбрать из всего множества возможных воздействий лишь те, которые могут реально произойти и нанести серьезный ущерб владельцам и пользователям системы.
На этапе планирования формируется система защиты как единая совокупность мер противодействия различной природы.
По способам осуществления все меры обеспечения безопасности компьютерных систем подразделяются на: правовые, морально-этические, административные, физические и технические (аппаратные и программные).
Наилучшие результаты достигаются при системном подходе к вопросам обеспечения безопасности АИС и комплексном использовании различных мер защиты на всех этапах жизненного цикла системы, начиная с самых ранних стадий ее проектирования.
Очевидно, что в структурах с низким уровнем правопорядка, дисциплины и этики ставить вопрос о защите информации просто бессмысленно. Прежде всего, надо решить правовые и организационные вопросы.
Результатом этапа планирования является план защиты — документ, содержащий перечень защищаемых компонентов АИС и возможных воздействий на них,
373
цель защиты информации в АИС, правила обработки информации в АИС, обеспечивающие ее защиту от различных воздействий, а также описание разработанной системы защиты информации.
При необходимости, кроме плана защиты на этапе планирования может быть разработан план обеспечения непрерывной работы и восстановления функционирования АИС, предусматривающий деятельность персонала и пользователей системы по восстановлению процесса обработки информации в случае различных стихийных бедствий и других критических ситуаций.
Сущность этапа реализации системы защиты заключается в установке и настройке средств защиты, необходимых для реализации зафиксированных в плане защиты правил обработки информации. Содержание этого этапа зависит от способа реализации механизмов защиты в средствах защиты.
Этап сопровождения заключается в контроле работы системы, регистрации происходящих в ней событий, их анализе с целью обнаружить нарушения безопасности.
В том случае, когда состав системы претерпел существенные изменения (смена вычислительной техники, переезд в другое здание, добавление новых устройств или программных средств), требуется повторение описанной выше последовательности действий.
Стоит отметить тот немаловажный факт, что обеспечение защиты АИС — это итеративный процесс, завершающийся только с завершением жизненного цикла всей системы.
На последнем этапе анализа риска производится оценка реальных затрат и выигрыша от применения предполагаемых мер защиты. Величина выигрыша может иметь как положительное, так и отрицательное значение. В первом случае это означает, что использование системы защиты приносит очевидный выигрыш, а во втором - лишь дополнительные расходы на обеспечение собственной безопасности.
Сущность этого этапа заключается в анализе различных вариантов построения системы защиты и выборе оптимального из них по некоторому критерию (обычно по наилучшемусоотношению «эффективность/стоимость»).
Политика безопасности определяется как совокупность документированных управленческих решении, направленных на защиту информации и ассоциированных с ней ресурсов.
При разработке и проведении ее в жизнь целесообразно руководствоваться следующими принципами:
невозможность миновать защитные средства;
усиление самого слабого звена;
невозможность перехода в небезопасное состояние;
минимизация привилегий;
разделение обязанностей;
эшелонированность обороны;
разнообразие защитных средств;
простота и управляемость информационной системы;
обеспечение всеобщей поддержки мер безопасности.
При этом важно ответить на вопрос: как относиться к вложениям в информационную безопасность – как к затратам или как к инвестициям? Если относиться к вложениям в ИБ как к затратам, то сокращение этих затрат является важной для компании проблемой. Однако это заметно отдалит компанию от решения стратегической задачи, связанной с повышением ее адаптивности к рынку, где безопасность в целом и ИБ в частности играет далеко не последнюю роль. Поэтому, если у компании есть долгосрочная стратегия развития, она, как правило, рассматривает вложения в ИБ как инвестиции. Разница в том, что затраты – это, в первую очередь, «осознанная необходимость», инвестиции – это перспектива окупаемости. И в этом случае требуется тщательная оценка эффективности таких инвестиций и экономическое обоснование планируемых затрат.
374
Не следует забывать и о том, что далеко не весь ущерб от реализации угроз ИБ можно однозначно выразить в денежном исчислении. Например, причинение урона интеллектуальной собственности компании может привести к таким последствиям, как потеря позиций на рынке, потеря постоянных и временных конкурентных преимуществ или снижение стоимости торговой марки.
Кроме того, четкое понимание целей, ради которых создается СЗИ, и непосредственное участие постановщика этих целей в процессе принятия решений также является залогом высокого качества и точности оценки эффективности инвестиций в ИБ. Такой подход гарантирует, что система защиты информации не будет являться искусственным дополнением к уже внедренной системе управления, а будет изначально спроектирована как важнейший элемент, поддерживающий основные бизнес-процессы компании.
375
Контрольные вопросы и тесты для проверки знаний по теме *)
1.Какие имеются угрозы безопасности информации?
2.Чем занимается «компьютерный пират» (хакер)?
3.Назовите угрозы, обусловленные естественными факторами.
4.В чем отличие утечки от разглашения?
5.Назовите основные этапы построения системы защиты.
6.Какие Вы знаете методы обеспечения безопасности?
7.Какие Вы знаете средства обеспечения безопасности?
8.Назовите составные части делопроизводства.
9.Назовите основные нормативно-правовые акты обеспечения информационной безопасности организации.
Т13 – В1. Хакерная война – это..?
Аатака компьютеров и сетей гражданского информационного пространства;
Биспользование информации на влияние на умы союзников и противников;
Вблокирование информации, преследующее цель получить экономическое превосходство.
Т13 – В2. Конфиденциальность компьютерной информации – это..?
Апредотвращение проникновения компьютерных вирусов в память ПЭВМ;
Бсвойство информации быть известной только допущенным и прошедшим проверку (авторизацию) субъектам системы;
Вбезопасное программное обеспечение.
Т13 – В3. Угрозы доступности данных возникают в том случае, когда..?
Аобъект не получает доступа к законно выделенным ему ресурсам;
Блегальный пользователь передает или принимает платежные документы, а потом отрицает это, чтобы снять с себя ответственность;
Вслучаются стихийные бедствия.
Т13 – В4. Внедрение компьютерных вирусов является следующим способом воздействия угроз на информационные объекты?
Аинформационным;
Бфизическим;
Впрограммно-математическим способом.
Т13 – В5. Логическая бомба – это..?
Акомпьютерный вирус;
Бспособ ведения информационной войны;
Вприем, используемый в споре на философскую тему.
Т13 – В6. Криптографические средства – это..?
А регламентация правил использования, обработки и передачи информации ограниченного доступа;
Бсредства защиты с помощью преобразования информации (шифрование);
Всредства, в которых программные и аппаратные части полностью взаимосвязанны.
*) Правильные ответы представлены в приложении №1.
376
Т13 – В7. Защита от утечки по побочным каналам электромагнитных излучений реализуется?
А средствами контроля включения питания и загрузки программного обеспечения;
Бограждением зданий и территорий;
В экранированием аппаратуры и помещений, эксплуатацией защищенной аппаратуры, применением маскирующих генераторов шумов и помех, а также проверкой аппаратуры на наличие излучений.
377
Заключение
В материалах учебного пособия изложены исторические и логические аспекты информатизации общества, автоматизированных информационных систем в экономике, их видов, структуры и методики создания и функционирования в комплексных системах управления предприятием, в финансах, в бухгалтерском учете, в коммерческих банках, в налоговых органах, в коммерции, в таможенных органах и других системах.
Внимание читателя акцентируется на общих методологических аспектах создания АИС с учетом потребностей экономистов – пользователей новых информационных технологий.
Предлагаемый материал учебного пособия позволит, используя предложенные здесь базовые понятия, быстрее понять особенности информационных технологий в различных экономических системах и разобраться с реализацией электронных платежей, электронного декларирования, Интернет-банкинга и другими специфическими проблемами.
378
Список литературы
1.1С:Предприятие 8.0 Управление торговлей // Нижегородский бухгалтер,
№9(11), 2003.
2.Абрамов А.В. Новое в финансовой индустрии: информатизация банковских технологий. – СПБ: Питер, 1997 г.
3.Авдеева Р. В., Бородкин В. М., Бочаров В. П. Финансовое планирование, учёт, анализ в условиях применения программных продуктов: Учебное пособие. – Воронеж: ВГУ. – 2003.
4.Аврин С. Инструмент для анализа финансового состояния предприятия // Экономика и жизнь № 14 (8864), апрель 2002 г.
5.Автоматизация аудиторской деятельности - Audit Expert. Решение задач финансового анализа предприятия // Материалы интернет-сайта компании «Лаборатория аудита» http://www.docaudit.ru
6.Автоматизация банковской деятельности // «Московское Финансовое Объединение». - 1994, 288с.
7.Автоматизация коммерческого банка: взгляд из России Г. Семин // 1996.-
№10
8.Автоматизированные информационные системы в экономике: Учебник / Под ред. проф. Г.А. Титоренко. – М.: Компьютер, ЮНИТИ, 1998.
9.Автоматизированные информационные технологии в банковской деятельности / Г.А. Титоренко, В.И. Суворова, И.Ф. Возгилевич, В.И. Акимов и др.; Под ред. Г.А. Титоренко. - М.: Финстатинформ, 2003г.
10.Автоматизированные информационные технологии в экономике: Учебник / Под ред. Проф. Г.А. Титоренко. М: Компьютер, ЮНИТИ. 2006.
11.Аглицкий И. Новые технологии платежей. // финансовая газета, №9(793), 1
марта 2007.
12.Амириди Ю. Автоматизация управления банковским бизнесом; текущее состояние и тенденции//www.iso.ru.
13.Арсеньев Ю.Н. Информационные системы и технологии. – М.: ЮНИТИ-
ДАА, 2006.
14.Арсланбеков-Федоров А.А. Система внутреннего контроля коммерческого банка. – М.: ЮНИТИ-ДАНА, 2004.
15.Арустамов Э.А. Банковское, таможенное и офисное оборудование: Учебник для вузов, колледжей и техникумов. - М.: Информационный центр «Маркетинг», 1999. - 216.
16.Ахапкин Ю.К., Барцев С.И., Всеволодов, Н.Н. и др. Биотехника – новое направление компьютеризации. – М.: наука, 1990.
17.Ахметов Программное и аппаратное обеспечение банков/ Журнал Компьютерпресс, 1998 г, №8
18.Базаров. Р. Электронные деньги: новые технологии Интернет-банкинга, опубликовано в апреле-мае 2004 года, CNews.ru, Internet.ru
19.Балабанов И.Т. Электронная коммерция. – Спб.: Питер, 2001.
20.Балдин К.В., Уткин В.Б. Информационные системы в экономике: Учебник. 2-е изд. – М.: Издательско-торговая корпорация «Дашков и К», 2006.
21.Банина Ю. Финансы под контролем // Бухгалтер и компьютер. № 7 (22)
2001.
22.Банк В.Р., Зверев В.С. Информационные системы в экономике: учебник. – М.: Экономистъ, 2005.
23.Банки и банковское дело /Под ред. И.Т. Балабанова. - СПб: Питер, 2003.-304
с.
24.Банки привлекают внимание к пластиковым картам новыми услугами и льготами. Финансовые известия № 37
25.Банковское дело. Учебник. Под ред. Лаврушина О.И. - М.: Финансы и статистика, 2001г.
379
26.Банковское дело: Учебник / Под ред. д-ра экон. наук, проф. Г.Г. Коробовой.
-М.: Юристъ, 2002. - 715 с.
27.Баронов В.В. и др. Автоматизация управления предприятием. – М.: ИНФА,
2000.–239с.
28.Белянин М. Недремлющий мозг корпорации // Русский полис, №10, 2003. –
С. 54-55.
29.Бобровский С. Baan старается не сдавать позиции в России//PC WEEK/RE, №44, .2001, с. 29.
30.Болышев Максим Вячеславович (руководитель сектора «Внедрение» Отдела поддержки систем компании R-Style Softlab.)/ «Внедрение автоматизированной банковской системы – важнейший этап ее жизненного цикла» / http://bk2ow.narod.ru/bt-10- 2001 -62-66.html
31.Борисов В.И., (начальник отдела платформенного программного обеспечения компании 1В8), Забулонов М.Ю., (эксперт по системам антивирусной защиты)/ «Организация системы антивирусной защиты банковских информационных систем» / http://www.citforum.ru/security/virus/bank/
32.Брага В. В. Автоматизированные информационные технологии в экономике. МАО финстатинформ, 1999.
33.Вендров А. М. Москва: Финансы и статистика; 2001г.
34.Висков Д. Эволюционный подход к внедрению ERP-системы. //Intelligent Enterprise/Russian Edition. Корпоративные системы.– №17, 2004.–с.14-26.
35.Власова С. «Банковские услуги в период кризиса»//Аналитический банковский журнал.-2004, №4.
36.Водзинская Е.Л. Автоматизация проведения экспресс – анализа финансового состояния предприятия // Инвестиционная газета № 9, 5 марта 2002 г.
37.Водинов В.В. Классификация страховых информационных систем // Страховое дело, №8, 2003.
38.Воронцов И. Платежные карточки - микропроцессорная революция/ Журнал Банковское дело, №10,2002 г.
39.Гайдамакин. И.А. «Автоматизированные информационные системы, базы и банки данных». Учебное пособие, 2002г.
40.Гайкович Ю.В, Першия А.С. Безопасность электронных банковских систем.
– М: Единая Европа, 1999 г.
41.Галактионов Виктор Иванович (начальник управления банковских технологий Московского муниципального банка - Банка Москвы, канд. техн. наук). Сергей Анатольевич Захаров (заместитель начальника управления банковских технологий Московского муниципального банка - Банка Москвы.) / «Обзор рынка зарубежных АБС» / http://ncmchinovl.narod.Ri/posobic/indcx-2.htm, и на сайте wwvv.bi/corn.ru
42.Галапжин А. Комплексный подход к автоматизации финансового и управленческого учета// «Банки и технологии», 2001, №4.
43.Галашкин А. Управленческий и финансовый учет в Актуальные задачи автоматизации// «Банки и технологи», 2001, №3.
44.Горбань А.Н., Россиев Д.А. Нейронные сети на персональном компьютере. – Новосибирск: Наука, Сибирская издательская фирма рАН, 2000.
45.Гражданский Кодекс РФ (Часть Первая), №51-ФЗ от 30.11.1994 (ред.
29.06.2004).
46.Гринберг А.С., Горбачев Н.Н., Бондаренко А.С. Информационные технологии управления: Учеб. пособие для вузов. – М.: ЮНИТИ-ДАНА, 2004. – 479 с.
47.Гусев A. WEB-технология в России. Опыт создания банковского WWWсервера в России // Банковские технологии, август 1996.
48.Демин B.C. и др. Автоматизированные банковские системы. – М: МенатепИнформ, 1997г.
49.Дик В. В. Информационные системы в экономике.
50.Добриднюк С. Карточный бизнес и отчетность/ «DiasoftlNFO», №9,2003 г.
380