Обеспечение целостности информации

ККЭП 090305 492_25 001 ПЗ

АННОТАЦИЯ

В пояснительной записке представлен курсовой проект на тему: «Обеспечение целостности информации вАС «Банк»»

Пояснительная записка состоит из девяти разделов в соответствии с которыми будет проектироваться, и создаваться данная подсистема защиты.

Также в пояснительной записке содержится описание объекта автоматизации, требования к компонентам системы, алгоритм работы системы, инструкция по эксплуатации системы, визуальные формы программных компонентов, таблицы, объекты, используемые в системе.

 

Содержание

 

1. ВВЕДЕНИЕ

Современное общество немыслимо без применения информационных технологий. Они проникли в каждую сферу общественной жизни. Банковская система, авиация, космонавтика и современная индустрия управляются и обслуживаются компьютерами. Компьютерные системы и телекоммуникации реализуют современные IT-технологии, обеспечивая хранение информации, ее обработку, доставку и представление потребителю, определяют надежность систем обороны и безопасности страны. Высочайшая степень автоматизации, к которой стремится общество, ставит его в зависимости от уровня безопасности использования информационных технологий, обеспечивающих благополучие множества людей.

Современные методы и средства обработки информации не только дают возможность повышения эффективности  деятельности человека, но и создают целый комплекс проблем, связанных с вопросом ее защиты.

Актуальность проблемы защиты информационных технологий в современных условиях определяется следующими основными факторами:

• расширением сферы использования ЭВМ, многообразием и повсеместным распространением информационно-управляющих систем, высокими темпами увеличения парка средств вычислительной техники и связи
• вовлечением в процесс информационного взаимодействия все большего числа людей и организаций, резким возрастанием их информационных потребностей, наличием интенсивного обмена информацией между участниками этого процесса
• отношением к информации, как к товару, переходом к рыночным отношениям в области предоставления информационных услуг с присущей им конкуренцией и промышленным шпионажем
• ростом числа квалифицированных пользователей вычислительной техники и возможностей по созданию ими нежелательных программно-математических воздействий на системы обработки информации
• ростом числа квалифицированных пользователей вычислительной техники и возможностей по созданию ими нежелательных программно-математических воздействий на системы обработки информации

Таким образом, в настоящее время от степени защищенности информационных технологий зависит благополучие, а порой и жизнь многих людей. Вывод из строя автоматизированных систем может повлечь сбои технологического цикла предприятия, систем управления и сопровождения транспорта и, как следствие, привести к авариям и катастрофам с гибелью населения. Нарушение в информационных процессах может повлечь за собой экономический, экологический или военный кризис.

Предметомисследования является автоматизированная система обработки информации (АСОИ) вАС "Банк", в которой необходимо реализовать комплексный подход обеспечения защиты информации, уделив особое внимание подсистеме защиты целостности информации.

Объектом исследования является подсистема защиты информации АС «Банк» по обеспечению целостности информации данной организации.

 

 

 

 

 

2. НАЗНАЧЕНИЯ И ЦЕЛИ СОЗДАНИЯ АВТОМАТИЗИРОВАННОЙ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ (АСЗИ)

 Система защиты  информации (СЗИ) предназначена дляобеспечение информационной безопасности (ИБ) данных, обрабатываемых в информационной системе. СЗИ должна обеспечивать конфиденциальность, целостность и доступность данных в информационной системе.

Целями создания СЗИ являются:

• воспрещение несанкционированного доступа к источникам конфиденциальной информации;
• сохранение целостности, полноты и доступности информации;
• защита программ и данных;
• обеспечение контроля доступа к ресурсам предприятия;
• защита документооборота.
• сохранение конфиденциальности критичных информационных ресурсов;
• обеспечение непрерывности доступа к информационным ресурсам

В результате создания СЗИ должно быть обеспечено:

• снижение вероятности реализации актуальных угроз несанкционированного доступа (НСД) к системе, а так же к обрабатываемой в ней информации;
• сохранение целостности и доступности информации.
• поддержание возможности банка по оказанию услуг высокого качества и принятию эффективных управленческих решений;
• предотвращение утечки, хищения, утраты, искажение, подделки.
• защита конституционных прав.

 

3. ОПИСАНИЕ ПРЕДМЕТНОЙ ОБЛАСТИ

3.1 Описание компонентов системы

 

 Исходя из основных принципов функционирования банка, в здании можно выделить два основных укрупненных блока - операционно-кассовый блок и блок, включающий помещения информатизации, офисные помещения и сопутствующие им вспомогательные помещения, а также помещения охраны и службы безопасности.

Операционно-кассовый блок является главным функциональным звеном в зданиях банков и, как правило, составляет до 70 % от общего объема здания.

В его состав входят:

а) кассовый узел;

б) кассовый и операционный залы или операционно-кассовый зал (залы) для обслуживания юридических и физических лиц;

в) группа специальных помещений по обслуживанию клиентов (обмена валюты, банкоматов, ночного сейфа, автоматического обслуживания);

г) помещения индивидуальных сейфов (депозитарий).

Для подразделений информации предназначены помещения центральных устройств локальных сетей ЭВМ, помещения аппаратуры связи и др. помещения технологического обеспечения.

Офисные помещения включают кабинеты и приемные руководства банка, помещения отделов, включая помещения бухгалтерии.

 

 

 

 

 

 

 

Схема взаимосвязи помещений банка

УСЛОВНЫЕ ОБОЗНАЧЕНИЯ

    - основные маршруты посетителей

    - основные маршруты перемещения денег

    - основные технологические связи

Рисунок 1

 

Основной поток посетителей банка проходит по маршруту: вестибюль - операционный зал - кассовый зал - вестибюль или вестибюль - операционно-кассовый зал – вестибюль.

Исходя из вышеуказанных маршрутов, необходимо обеспечить защиту каждому:

• Маршрут, по которому происходит постоянный поток посетителей, оборудован камерами видеонаблюдения, а так же применены физические средства защиты (охрана, невозможность прохода к кассовому узлу и другим местам хранения ценностей). Проход к депозитарию должен быть под надежной защитой, а так же должна производиться идентификация и аутентификация клиентов.
• Маршрут перемещения денежных средств должен быть скрыт от посторонних глаз и являться конфиденциальной информацией.
• Основные технологические каналы должны иметь качественную защиту от проникновения в систему злоумышленником.

В центре внимания защиты  находятся:

• Помещение передачи ценностей
• Операционные кассы
• Подразделения информации, связи и защиты информации
• Бухгалтерия
• Учетно – операционные и кредитно – экономические отделы
• Архивы
• Руководство и администрация
• Обмен валюты

Между операционистами и кассирами операционных касс обеспечена техническая или курьерская связь для оперативной передачи документов. Конкретный способ решения этой задачи должен учитываться при взаиморасположении зон операционистов в операционном или операционно-кассовом зале и операционных касс.

Информационная система рассматривается как единое целое программно-аппаратного комплекса и человеческих ресурсов. Под нарушением будем понимать любое нерегламентированное событие в информационной системе, способное привести к нежелательным для организации последствиям.

Администратор банка следит за работоспособностью системы информационной безопасности.

Бухгалтер занимается финансовой отчетностью и прочей документацией.

Оператор\кассир занимается приемом платежей, денежных переводов и других операций.

Система безопасности следит за любыми действиями, которые могут привести к несанкционированному доступу в систему, а так же выявлению незаконных действий в помещении банка.

Схема организации информационной безопасности

Рисунок 2

 

Обеспечение информационной безопасности

Рисунок3

Предупреждение возможных угроз и противоправных действий может быть обеспечено самыми различными мерами и средствами, начиная от создания климата глубоко осознанного отношения сотрудников к проблеме безопасности и защиты информации до создания глубокой, эшелонированной системы защиты физическими, аппаратными, программными и криптографическими средствами. Все эти способы имеют целью защитить информационные ресурсы от противоправных посягательств и обеспечить:

• предотвращение разглашения и утечки конфиденциальной информации;

• воспрещение несанкционированного доступа к источникам конфиденциальной информации;

• сохранение целостности, полноты и доступности информации;

• соблюдение конфиденциальности информации;

• обеспечение авторских прав (Рис.4).

 

Цели защиты информации

Рисунок 4

 

2. Определение объектов и субъектов системы

Объектом внедрения СУИБ является несколько отделений банка.

Данные отделения занимаются оказанием услуг: по переводам денежных средств, по депозитам, по предоставлению банковских карт, банковского страхования, по вкладам, по конвертации денежных валют, по оплате коммунальных услуг, по аренде банковских ячеек и сейфов, по получению заработной платы через банк.

Отдел внедрения СУИБ имеет несколько отделений:

1. Кабинет управляющего банком. Доступ имеют посетители, встреча с которыми назначена и одобрена заранее.
2. Отдел бухгалтерии. Занимается учетом всех финансовых операций, в том числе выдачей заработной платы всем сотрудникам. Через данный отдел проходит основной финансовый документооборот.
3. Отдел охраны. Занимается охраной служебных помещений от доступа посторонних лиц.
4. Отдел предоставления банковских услуг. Совершение различных операций с денежными средствами, оформление банковских карт и прочее.

Таблица 1. Таблица связи субъектов и объектов

Занимаемая должность	Кадры	Сведения о клиенте	Заработная плата	Записи камер видеонаблюдения	Журналы подкл. к системе и серверу
Главный бухгалтер	+	+	+	-	-
Администратор	-	-	-	-	+
Управляющий банком	+	+	+	-	-
Отдел банковских услуг	-	+	-	-	-
Отдел охраны	+	-	-	+	-

 

Тип доступа на редактирование и чтение:

«+» назначены права доступа к данным.

«-» не назначены права доступа к данным.

Объектами защиты являются:

1.Документы и прочие бумажные источники информации;

2.Аппаратура;

3.Компьютеры и хранящаяся в них информация;

4.Прочее имущество.

3.3 Описание бизнес-процессов предметной области

Бизнес-процесс – это последовательность работ, направленных на решение одной из задач предприятия, например, материально-техническое снабжение, планирование и т.д.