ККЭП 090305 492_25 001 ПЗ
АННОТАЦИЯ
В пояснительной записке представлен
курсовой проект на тему: «Обеспечение
целостности информации вАС «Банк»»
Пояснительная записка состоит
из девяти разделов в соответствии с которыми
будет проектироваться, и создаваться
данная подсистема защиты.
Также в пояснительной записке
содержится описание объекта автоматизации,
требования к компонентам системы, алгоритм
работы системы, инструкция по эксплуатации
системы, визуальные формы программных
компонентов, таблицы, объекты, используемые
в системе.
Содержание
ВВЕДЕНИЕ
Современное общество немыслимо
без применения информационных технологий.
Они проникли в каждую сферу общественной
жизни. Банковская система, авиация, космонавтика
и современная индустрия управляются
и обслуживаются компьютерами. Компьютерные
системы и телекоммуникации реализуют
современные IT-технологии, обеспечивая
хранение информации, ее обработку, доставку
и представление потребителю, определяют
надежность систем обороны и безопасности
страны. Высочайшая степень автоматизации,
к которой стремится общество, ставит
его в зависимости от уровня безопасности
использования информационных технологий,
обеспечивающих благополучие множества
людей.
Современные методы и средства
обработки информации не только дают возможность
повышения эффективности деятельности
человека, но и создают целый комплекс
проблем, связанных с вопросом ее защиты.
Актуальность проблемы защиты
информационных технологий в современных
условиях определяется следующими основными
факторами:
- расширением сферы использования
ЭВМ, многообразием и повсеместным распространением
информационно-управляющих систем, высокими
темпами увеличения парка средств вычислительной
техники и связи
- вовлечением в процесс информационного
взаимодействия все большего числа людей
и организаций, резким возрастанием их
информационных потребностей, наличием
интенсивного обмена информацией между
участниками этого процесса
- отношением к информации, как
к товару, переходом к рыночным отношениям
в области предоставления информационных
услуг с присущей им конкуренцией и промышленным
шпионажем
- ростом числа квалифицированных
пользователей вычислительной техники
и возможностей по созданию ими нежелательных
программно-математических воздействий
на системы обработки информации
- ростом числа квалифицированных пользователей
вычислительной техники и возможностей
по созданию ими нежелательных программно-математических
воздействий на системы обработки информации
Таким образом, в настоящее
время от степени защищенности информационных
технологий зависит благополучие, а порой
и жизнь многих людей. Вывод из строя автоматизированных
систем может повлечь сбои технологического
цикла предприятия, систем управления
и сопровождения транспорта и, как следствие,
привести к авариям и катастрофам с гибелью
населения. Нарушение в информационных
процессах может повлечь за собой экономический,
экологический или военный кризис.
Предметомисследования является
автоматизированная система обработки
информации (АСОИ) вАС "Банк", в которой
необходимо реализовать комплексный подход
обеспечения защиты информации, уделив
особое внимание подсистеме защиты целостности
информации.
Объектом исследования является
подсистема защиты информации АС «Банк»
по обеспечению целостности информации
данной организации.
- НАЗНАЧЕНИЯ И ЦЕЛИ
СОЗДАНИЯ АВТОМАТИЗИРОВАННОЙ СИСТЕМЫ
ЗАЩИТЫ ИНФОРМАЦИИ (АСЗИ)
Система защиты
информации (СЗИ) предназначена дляобеспечение
информационной безопасности (ИБ) данных,
обрабатываемых в информационной системе.
СЗИ должна обеспечивать конфиденциальность,
целостность и доступность данных в информационной
системе.
Целями создания СЗИ являются:
- воспрещение несанкционированного
доступа к источникам конфиденциальной
информации;
- сохранение целостности, полноты
и доступности информации;
- защита программ и
данных;
- обеспечение контроля
доступа к ресурсам предприятия;
- защита документооборота.
- сохранение конфиденциальности
критичных информационных ресурсов;
- обеспечение непрерывности
доступа к информационным ресурсам
В результате создания СЗИ должно
быть обеспечено:
- снижение вероятности реализации
актуальных угроз несанкционированного
доступа (НСД) к системе, а так же к обрабатываемой в ней информации;
- сохранение целостности и доступности
информации.
- поддержание возможности банка по оказанию услуг высокого качества и принятию эффективных управленческих решений;
- предотвращение утечки,
хищения, утраты, искажение, подделки.
- защита конституционных
прав.
3. ОПИСАНИЕ ПРЕДМЕТНОЙ
ОБЛАСТИ
3.1 Описание компонентов
системы
Исходя из основных принципов
функционирования банка, в здании можно
выделить два основных укрупненных блока
- операционно-кассовый блок и блок, включающий
помещения информатизации, офисные помещения
и сопутствующие им вспомогательные помещения,
а также помещения охраны и службы безопасности.
Операционно-кассовый блок
является главным функциональным звеном
в зданиях банков и, как правило, составляет
до 70 % от общего объема здания.
В его состав входят:
а) кассовый узел;
б) кассовый и операционный
залы или операционно-кассовый зал (залы)
для обслуживания юридических и физических
лиц;
в) группа специальных помещений
по обслуживанию клиентов (обмена валюты,
банкоматов, ночного сейфа, автоматического
обслуживания);
г) помещения индивидуальных
сейфов (депозитарий).
Для подразделений информации
предназначены помещения центральных
устройств локальных сетей ЭВМ, помещения
аппаратуры связи и др. помещения технологического
обеспечения.
Офисные помещения включают
кабинеты и приемные руководства банка,
помещения отделов, включая помещения
бухгалтерии.
Схема взаимосвязи помещений
банка
УСЛОВНЫЕ ОБОЗНАЧЕНИЯ
- основные маршруты посетителей
- основные маршруты перемещения денег
- основные технологические связи
Рисунок 1
Основной поток посетителей
банка проходит по маршруту: вестибюль
- операционный зал - кассовый зал - вестибюль
или вестибюль - операционно-кассовый
зал – вестибюль.
Исходя из вышеуказанных маршрутов, необходимо
обеспечить защиту каждому:
- Маршрут, по которому происходит постоянный
поток посетителей, оборудован камерами
видеонаблюдения, а так же применены физические средства защиты
(охрана, невозможность прохода к кассовому
узлу и другим местам хранения ценностей).
Проход к депозитарию должен быть под надежной
защитой, а так же должна производиться
идентификация и аутентификация клиентов.
- Маршрут перемещения денежных
средств должен быть скрыт от посторонних
глаз и являться конфиденциальной информацией.
- Основные технологические каналы
должны иметь качественную защиту от проникновения
в систему злоумышленником.
В центре внимания защиты
находятся:
- Помещение передачи ценностей
- Операционные кассы
- Подразделения информации,
связи и защиты информации
- Бухгалтерия
- Учетно – операционные и кредитно
– экономические отделы
- Архивы
- Руководство и администрация
- Обмен валюты
Между операционистами и кассирами
операционных касс обеспечена техническая
или курьерская связь для оперативной
передачи документов. Конкретный способ
решения этой задачи должен учитываться
при взаиморасположении зон операционистов
в операционном или операционно-кассовом
зале и операционных касс.
Информационная система рассматривается
как единое целое программно-аппаратного
комплекса и человеческих ресурсов. Под
нарушением будем понимать любое нерегламентированное
событие в информационной системе, способное
привести к нежелательным для организации
последствиям.
Администратор банка следит
за работоспособностью системы информационной
безопасности.
Бухгалтер занимается финансовой
отчетностью и прочей документацией.
Оператор\кассир занимается
приемом платежей, денежных переводов
и других операций.
Система безопасности следит
за любыми действиями, которые могут привести
к несанкционированному доступу в систему,
а так же выявлению незаконных действий
в помещении банка.
Схема организации информационной
безопасности
Рисунок 2
Обеспечение информационной
безопасности
Рисунок3
Предупреждение возможных угроз
и противоправных действий может быть
обеспечено самыми различными мерами
и средствами, начиная от создания климата
глубоко осознанного отношения сотрудников
к проблеме безопасности и защиты информации
до создания глубокой, эшелонированной
системы защиты физическими, аппаратными,
программными и криптографическими средствами.
Все эти способы имеют целью защитить
информационные ресурсы от противоправных
посягательств и обеспечить:
предотвращение разглашения
и утечки конфиденциальной информации;
воспрещение несанкционированного
доступа к источникам конфиденциальной
информации;
сохранение целостности, полноты
и доступности информации;
соблюдение конфиденциальности
информации;
обеспечение авторских прав
(Рис.4).
Цели защиты информации
Рисунок 4
Определение объектов и субъектов
системы
Объектом внедрения СУИБ является
несколько отделений банка.
Данные отделения занимаются
оказанием услуг: по переводам денежных
средств, по депозитам, по предоставлению
банковских карт, банковского страхования,
по вкладам, по конвертации денежных валют,
по оплате коммунальных услуг, по аренде
банковских ячеек и сейфов, по получению
заработной платы через банк.
Отдел внедрения СУИБ имеет
несколько отделений:
- Кабинет управляющего банком.
Доступ имеют посетители, встреча с которыми
назначена и одобрена заранее.
- Отдел бухгалтерии. Занимается
учетом всех финансовых операций, в том
числе выдачей заработной платы всем сотрудникам.
Через данный отдел проходит основной
финансовый документооборот.
- Отдел охраны. Занимается охраной
служебных помещений от доступа посторонних
лиц.
- Отдел предоставления банковских
услуг. Совершение различных операций
с денежными средствами, оформление банковских
карт и прочее.
Таблица 1. Таблица связи субъектов
и объектов
Занимаемая должность |
Кадры |
Сведения о клиенте |
Заработная плата |
Записи камер видеонаблюдения |
Журналы подкл. к системе и серверу |
Главный бухгалтер |
+ |
+ |
+ |
- |
- |
Администратор |
- |
- |
- |
- |
+ |
Управляющий банком |
+ |
+ |
+ |
- |
- |
Отдел банковских услуг |
- |
+ |
- |
- |
- |
Отдел охраны |
+ |
- |
- |
+ |
- |
Тип доступа на редактирование
и чтение:
«+» назначены права доступа
к данным.
«-» не назначены права доступа
к данным.
Объектами защиты являются:
1.Документы и прочие бумажные
источники информации;
2.Аппаратура;
3.Компьютеры и хранящаяся в
них информация;
4.Прочее имущество.
3.3 Описание бизнес-процессов
предметной области
Бизнес-процесс – это последовательность
работ, направленных на решение одной
из задач предприятия, например, материально-техническое
снабжение, планирование и т.д.