Совершенствование системы защиты персональных данных ОАО "Альфа Банк"

Характеристика комплекса задач и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии. Разработка проекта применения СУБД, информационной безопасности и защиты персональных данных.

Рубрика Программирование, компьютеры и кибернетика
Вид дипломная работа
Язык русский
Дата добавления 17.11.2012
Размер файла 2,6 M

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru

Размещено на http://www.allbest.ru

ДИПЛОМНЫЙ ПРОЕКТ

На тему

Совершенствование системы защиты персональных данных ОАО "Альфа Банк"

Содержание

  • Введение
  • 1. Аналитическая часть
    • 1.1 Описание деятельности предприятия
    • 1.1.1 Характеристика предприятия и его деятельности
    • 1.1.2 Организационно-функциональная структура предприятия
    • 1.2 Характеристика комплекса задач, задачи и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии
    • 1.2.1 Выбор комплекса задач обеспечения информационной безопасности
    • 1.2.2 Определение места проектируемого комплекса задач в комплексе задач предприятия, детализация задач информационной безопасности и защиты информации
    • 1.2.3 Сущность задачи и предметная технология её решения
    • 1.3 Развёрнутая постановка целей, задачи и подзадач СУБД
    • 1.3.1 Цели и назначение автоматизированного варианта решения задачи
    • 1.3.2 Подзадачи автоматизации и функциональная ИТ их решения
    • 1.4 Обоснование проектных решений
    • 1.4.1 Обоснование проектных решений по техническому обеспечению
    • 1.4.2 Обоснование проектных решений по программному обеспечению
  • 2. Проектная часть
    • 2.1 Разработка проекта применения СУБД, информационной безопасности и защиты информации в проектируемой СУБД
    • 2.2 Информационное обеспечение задачи
    • 2.2.1 Информационная модель и её описание
    • 2.2.2 Характеристика нормативно-справочной и входной оперативной информации
    • 2.2.3 Характеристика базы данных и средств информационной безопасности и защиты информации СУБД
    • 2.2.4 Характеристика результатной информации
    • 2.3 Программное и технологическое обеспечение задачи
    • 2.3.1 Общие положения
    • 2.3.2 Схемы технологического процесса сбора, передачи, обработки и выдачи информации
    • 2.4 Контрольный пример реализации проекта и его описание
  • 3. Обоснование экономической эффективности проекта
  • Заключение
  • Литература

Введение

Современная компьютерная система является по своему назначению и содержательной сущности информационной системой, представляющей собой взаимосвязанную совокупность средств, методов и персонала, обеспечивающих сбор, хранение, обработку, передачу и отображение информации в интересах достижения поставленной цели.

Функциональной основой любой ИС являются протекающие в ней информационные процессы. Характер этих процессов определяется соответствующей информационной технологией. Информационная технология - это совокупность средств и методов сбора, обработки, передачи данных (первичной информации) для получения информации нового качества (информационного продукта) о состоянии объекта, процесса или явления. Иначе говоря, информационная технология представляет собой процесс, реализуемый в среде информационной системы.

Для обеспечения безопасности информации в компьютерных системах (КС) требуется защита не только аппаратных, но и программных средств таких систем[11]. Программные средства сами по себе являются частью информационного ресурса компьютерной системы, а, кроме того, от их безопасности существенно зависит безопасность любой другой информации, которая хранится, передается или обрабатывается в КС. Таким образом, для защиты информации в КС необходимо защищать технические и программные средства, а также машинные носители от несанкционированных (неразрешенных) воздействий на них.

Однако такое рассмотрение компьютерных систем как объектов защиты информации является неполным. Дело в том, что компьютерные системы относятся к классу человеко-машинных информационных систем. Такие системы разрабатываются, обслуживаются и эксплуатируются соответствующими специалистами, которые являются также носителями информации, имеющими самый непосредственный доступ к системе. Вот почему от несанкционированных воздействий необходимо защищать не только программно-технические средства компьютерных систем, но также обслуживающий персонал и пользователей.

При решении проблемы защиты информации в КС необходимо учитывать еще и противоречивость человеческого фактора. Обслуживающий персонал и пользователи могут быть как объектом, так и источником несанкционированного воздействия на информацию.

Таким образом, компьютерная система как объект защиты представляет собой совокупность следующих взаимосвязанных компонентов[1]:

- информационных массивов, представленных на различных машинных носителях;

- технических средств обработки и передачи данных (компьютерных и телекоммуникационных средств);

- программных средств, реализующих соответствующие методы, алгоритмы и технологию обработки информации;

- обслуживающего персонала и пользователей системы, объединенных по организационному, предметно-тематическому, технологическому и другим принципам для выполнения автоматизированной обработки информации (данных) с целью удовлетворения информационных потребностей субъектов информационных отношений.

Программное обеспечение для работы с базами данных используется на персональных компьютерах уже довольно давно. К сожалению, эти программы либо были элементарными диспетчерами хранения данных и не имели средств разработки приложений, либо были настолько сложны и трудны, что даже хорошо разбирающиеся в компьютерах люди избегали работать с ними до тех пор, пока не получали полных, ориентированных на пользователя приложений.

Дипломный проект посвящен автоматизации защиты персональных данных на примере Альфа Банк, которое является крупнейшим предприятием обладающем современной информационной системой и для которого крайне актуальны вопросы безопасности компьютерных информационных систем.

1. Аналитическая часть

1.1 Описание деятельности предприятия

1.1.1 Характеристика предприятия и его деятельности

Альфа-Банк основан в 1990 году. Альфа-Банк является универсальным банком, осуществляющим все основные виды банковских операций, представленных на рынке финансовых услуг, включая обслуживание частных и корпоративных клиентов, инвестиционный банковский бизнес, торговое финансирование и управление активами.

Головной офис Альфа-Банка располагается в Москве, всего в регионах России и за рубежом открыто 444 отделений и филиалов банка, в том числе дочерний банк в Нидерландах и финансовые дочерние компании в США, Великобритании и на Кипре. В Альфа-Банке работает около 17 тысяч сотрудников. Прямыми акционерами Альфа-Банка являются российская компания ОАО «АБ Холдинг», которая владеет более 99% акций банка, и кипрская компания «ALFA CAPITAL HOLDINGS (CYPRUS) LIMITED», в распоряжении которой менее 1% акций банка. Бенефициарными акционерами Альфа-Банка в составе Консорциума «Альфа-Групп» являются 6 физических лиц.

Альфа-Банк является крупнейшим российским частным банком по размеру совокупных активов, совокупному капиталу и размеру депозитов. По состоянию на конец третьего квартала 2011 года клиентская база Альфа-Банка составила около 49 тысяч корпоративных клиентов и 5,8 миллионов физических лиц. В 2011 году Альфа-Банк продолжил свое развитие как универсальный банк по основным направлениям: корпоративный и инвестиционный бизнес (включая малый и средний бизнес (МСБ), торговое и структурное финансирование, лизинг и факторинг), розничный бизнес (включая систему банковских филиалов, автокредитование и ипотеку). Особое внимание оказывается развитию банковских продуктов корпоративного бизнеса в массовом и МСБ сегментах, а также развитию удаленных каналов самообслуживания и интернет-эквайринга. Стратегическими приоритетами Альфа-Банка являются поддержание статуса лидирующего частного банка в России, укрепление стабильности, повышение прибыльности, установление отраслевых стандартов технологичности, эффективности, качества обслуживания клиентов и слаженности работы.

Альфа-Банк является одним из самых активных российских банков на мировых рынках капитала. В сентябре 2010 года Альфа-Банк разместил среднесрочные еврооблигации участия в займе на сумму 1 миллиард долларов США с погашением в 2017 году, став первым российским частным банком, разместившим эти бумаги в таком объеме. В феврале 2011 года Альфа-Банк выпустил рублевые облигации номиналом 5 миллиардов рублей, сроком обращения 5 лет с офертой через 3 года. В апреле 2011 года Альфа-Банк стал первым российским частным банком, разместившим десятилетние еврооблигации, сумма выпуска составила 1 миллиард долларов США.

Ведущие международные рейтинговые агентства присваивают Альфа-Банку одни из самых высоких рейтингов среди российских частных банков. В марте 2011 года агентство Standard &Poor's повысило кредитный рейтинг Альфа-Банка с «B+» до «ВВ-», прогноз стабильный. В ноябре 2010 года агентство Moody's подтвердило свой рейтинг на уровне «Ва1» и изменило прогноз с негативного до стабильного. В июле 2011 г. агентство Fitch повысило свой кредитный рейтинг до «ВВ+», прогноз стабильный.

В течение 2011 года Альфа-Банк подтверждает лидирующие позиции в банковском секторе России. В четвертый раз подряд он занял первое место в по результатам исследования «Индекс впечатления клиента -- 2010. Сектор розничных банковских услуг после финансового кризиса», проведенного компанией Senteo совместно с PricewaterhouseCoopers. Также в прошлом году Альфа-Банк был признан лучшим интернет банком по версии журнала GlobalFinance, награжден за лучшую аналитику Национальной Ассоциацией Участников Фондового Рынка (НАУФОР), стал лучшим российским частным банком по индексу доверия, рассчитанным исследовательским холдингом Ромир.

Сегодня Банк располагает сетью федерального масштаба, включающей 83 точки продаж. Альфа Банк обладает одной из самых крупных сетей среди коммерческих банков, состоящей из 55 офисов и охватывающей 23 города. В результате увеличения сети у Банка появились дополнительные возможности по увеличению клиентской базы, расширению спектра и качества банковских продуктов, реализации межрегиональных программ, комплексному обслуживанию системообразующих клиентов из числа крупнейших предприятий.

Таблица 1.1

Динамика показателей банка (млн. руб.)

Параметр

2010, год

2011

Итог баланса

26906

21752

Ценные бумаги

4220

2423

кредиты

8825

5159

имущество

195

241

Нетто-активы

16072

9798

Срочные средства

8300

4136

Суммарные обязательства

14035

7945

Капитал

1687

1729

Уставной капитал

810

810

Благодаря увеличению капитала, расширению географии присутствия, росту розничного бизнеса, сохранению позитивных изменений в корпоративном управлении Банк существенно укрепил свои позиции на рынке кредитных организаций.

Наиболее наглядно иллюстрируют положительную динамику развития Банка валюта баланса. В течение 2007 год этот показатель увеличился в 1,7 раза и составил 35,8 млрд. руб. (рисунок 1).

Рис. 1.1 Динамика валюты баланса Банка, млрд. руб.

За три года работы банка валюта баланса увеличилась в 5,5 раза с 6,5 до 35,8 млрд. рублей, что является следствием успешной работы Банка как надежного партнера на рынке финансовых услуг.

Далее рассмотрим один из филиалов ОАО «Альфа Банк - офис, находящийся в городе Москва.

1.1.2 Организационно-функциональная структура предприятия

Организационная структура банка представлена на рис.1.2. Во главе филиала банка стоит управляющий, которому подчиняются все структурные подразделения филиала банка. Организационная структура банка включает департамент по административным вопросам и управлению персоналом; дирекцию по развитию бизнеса; финансовую дирекцию; бухгалтерию; коммерческая дирекция, отдел развития розничного бизнеса, сектор информирования населения, сектор кредитования населения, отделы кредитования корпоративных клиентов, кредитования малого и среднего бизнеса и др. подразделения.

Организация ОАО «Альфа Банк» разделяется на отделы.

Размещено на http://www.allbest.ru

Размещено на http://www.allbest.ru

Рис. 1.2 Организационная структура ОАО «Альфа Банк»

Анализ схемы управления предприятием позволяет сделать вывод о ее строго централизованном виде. Все управленческие решения замыкаются на одного руководителя высшего звена управляющего филиалом ОАО «Альфа Банк, который формирует управляющие воздействия, используя руководителей среднего звена и руководителей подразделений. Такое управление не лишено ряда недостатков, например, при реализации неправильных решений по управлению предприятий.

Разрабатываемая автоматизированная система предназначена для автоматизации работы специалистов сектора кредитования населения.

Организационная структура сектора кредитования дополнительного офиса ОАО «Альфа Банк» представлена на рис. 1.3.

В секторе кредитования филиала банка работает 6 человек. Из которых один человек занимается вопросами ипотечного кредитования и пять человек занимаются вопросами потребительского кредитования. В их задачи входит консультирование клиентов об условиях предоставляемых кредитных продуктов, сбор заявлений и необходимых документов для рассмотрения заявки от потенциальных заемщиков.

Таким образом, рассматриваемая организационная структура подразделения компании является линейной. В этой структуре каждый руководитель обеспечивает руководство нижестоящими подразделениями по всем видам деятельности.

Рис. 1.3 Организационная структура сектора кредитования дополнительного офиса ОАО «Альфа Банк»

Она основывается на принципе единства распределения поручений, согласно которому право отдавать распоряжения имеет только вышестоящая инстанция. Соблюдение этого принципа должно обеспечивать единство управления. Такая организационная структура образуется в результате построения аппарата управления из взаимоподчинённых органов в виде иерархической лестницы, т.е. каждый подчинённый имеет одного руководителя, а руководитель имеет несколько подчинённых. Два руководителя не могут непосредственно связываться друг с другом, они должны это сделать через ближайшую вышестоящую инстанцию. Такую структуру часто называют однолинейной.

Преимуществами такой структуры можно назвать:

- Простое построение

- Однозначное ограничение задач, компетенции, ответственности

- Жесткое руководство органами управления

- Оперативность и точность управленческих решений

Недостатками такой системы являются:

- Затруднительные связи между инстанциями;

- Концентрация управления в одном месте;

- Сильная загрузка средних уровней управления.

1.2 Характеристика комплекса задач, задачи и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии

1.2.1 Выбор комплекса задач обеспечения информационной безопасности

Одной из основных функций филиала банка является функция выдачи ссуды и кредитования населения. Рассмотрим подробно механизм выдачи ссуды. Данный механизм можно представить в виде следующих этапов:

I. Начальный этап. На данном этапе человек в офисе банка беседует с сотрудником кредитного отдела, узнает условия кредита, после чего клиента спрашивают о необходимой ему сумме, о сроке, на который он хотел бы взять кредит и т.д., то есть узнают первичную информацию, которую заносят в кредитный калькулятор, где рассчитывается максимально возможная сумма кредита. Если требуемая сумма не превосходит рассчитанную, то начинается либо следующий этап, либо человеку предлагают другой кредитный продукт или просят изменить срок либо требуемую сумму.

II. Сбор необходимых документов. Здесь заемщик заполняет заявление и анкету банка, если требуется, то анкету заполняет поручитель. Кроме того, от заемщика требуют дополнительный пакет документов, таких как паспорт гражданина Российской Федерации заемщика и поручителя, второй документ, подтверждающий личность (загранпаспорт, водительское удостоверение и др.)

III. Заполнение заявки сотрудником банка, которая отправляется в Департамент потребительского кредитования для рассмотрения.

IV. Извещение заемщика о принятии либо отклонении заявки. На данном этапе в офис, откуда пришла заявка, из департамента потребительского кредитования приходит электронное письмо, содержащее либо согласие, либо не согласие на предоставление ссуды. И что самое интересное в случае отказа, в этом письме не указывается причина отклонения заявки.

V. Получение ссуды. Заемщик получает деньги либо через кассу, либо сумма кредита зачисляется на пластиковую карточку.

Одной из основных функции при кредитовании населения является обеспечение необходимости защиты персональных данных. В настоящее время эти функции не автоматизированы, и срочно нуждаются в проведении автоматизации.

Обобщенную схему автоматизации ОАО «Альфа Банк» представлено на рис.1.6. Входные документы в виде двух информационных потоков:

- потока персональной информации, коды защиты информации;

- запрос на получение информации о защите персональных данных.

Деятельность специалиста отдела защиты информации включает в себя выполнение следующих мероприятий:

- заполнение регистрационных форм;

- оформление отчетов по защите информации;

- контроль безопасности информационной системы;

- регистрация информации о компьютерах, используемой в банке и используемых в системе банка;

- регистрация информации о запросах на получение кодов безопасности;

- учет персональной информации о клиентах банка.

Рис. 1.6 Процесс автоматизированного учета

В настоящем дипломном проекте для автоматизации выбраны следующие функции:

- регистрация информации о клиентах банка;

- регистрация информации о запросах на получение персональной информации и кодов защиты;

- учет информации о кодах защите и доступе к персональным данным.

1.2.2 Определение места проектируемого комплекса задач в комплексе задач предприятия, детализация задач информационной безопасности и защиты информации

Учет персональных данных и кодов защиты осуществляется по мере поступления запросов и данных в информационную систему банка. Защита персональных данных осуществляется в соответствии со схемой, представленной на рис.1.6:

Рассмотрим информационные потоки отдела безопасности (рис. 1.7). Заказчик (физическое лицо) делает заявку у специалиста отдела на получение необходимой информации.

Рис. 1.7 Схема информационных потоков предприятия

В качестве входных информационных потоков для задачи рассматриваются:

- поток запросов на получение информации о защите данных;

- поток персональных данных и коды доступа к ним.

В качестве выходных информационных потоков для задачи можно выделить:

- информационный поток учетной информации о наличии кодов доступа к информации, а так же регистрации запросов на доступ к информации.

Рассматриваемая задача в дипломном проекте тесно связана с задачами информационного учета и поиска информации в базах данных.

Рассматриваемая задача имеет особо важное значение для ОАО «Альфа Банк». Решение задачи автоматизации защиты персональных данных позволит существенно повысить производительность труда специалистов отдела кредитования. Участок отдела кредитования населения является критическим для банка, следовательно повышение эффективности работы сотрудников на этом участке приведет к увеличению эффективности работы всего банка, в вопросах уменьшения временных затрат на обслуживание клиентов, увеличения количества обслуживаемых клиентов, а следовательно увеличение прибыли банка и улучшение его финансово-экономических показателей.

Для реализации основных функций возлагаемых на информационную систему для обеспечения работы специалиста отдела кредитования необходимо выполнение следующих действий табл.1.2

Таблица 1.2

Основные действия для реализации функций системы

Основные функции

Основные действия

Учитывать информацию о персональных данных клиента

1. Создание необходимых таблиц базы данных, для хранения информации.

2. Разработка программных процедур для регистрации продукции.

Вести учет кодов защиты информации, и кодов доступа к данным

Создание необходимых таблиц и полей базы данных, для хранения информации о кодах защиты.

Вести учет запросов на получение персональной информации

1. Создание необходимых полей базы данных.

2. Разработка необходимых программных процедур для реализации функций.

Контролировать правильность доступа к персональной информации клиентов.

Создание необходимых программных процедур

Контролировать отсутствие несанкционированного доступа к персональным данным.

Создание необходимых программных процедур

1.2.3 Сущность задачи и предметная технология её решения

Под политикой безопасности, будем понимать набор норм, правил и практических рекомендаций, на которых строится управление, защита и распределение информации в компьютерной системе[8].

В ОАО «Альфа Банк» реализована политика безопасности, основанная на избирательном способе управления доступом. Такое управление в ОАО «Альфа Банк» характеризуется заданным администратором множеством разрешенных отношений доступа. Матрица доступа заполняется непосредственно системным администратором компании. Применение избирательной политики информационной безопасности соответствует требованиям руководства и требований по безопасности информации и разграничению доступа, подотчетности, а также имеет приемлемую стоимость ее организации. Реализацию политики информационной безопасности полностью возложено на системного администратора ОАО «Альфа Банк».

Наряду с существующей политикой безопасности в компании ОАО «Альфа Банк», используется специализированные аппаратные и программные средства обеспечения безопасности.

В качестве аппаратного средства обеспечения безопасности используется средство зашиты - Cisco 1605. Маршрутизатор снабжен двумя интерфейсами Ethernet (один имеет интерфейсы TP и AUI, второй - только TP) для локальной сети и одним слотом расширения для установки одного из модулей для маршрутизаторов серии Cisco 1600. В дополнение к этому программное обеспечение Cisco IOSFirewallFeatureSet делает из Cisco 1605-R идеальный гибкий маршрутизатор/систему безопасности для небольшого офиса. В зависимости от установленного модуля маршрутизатор может поддерживать соединение, как через ISDN, так и через коммутируемую линию или выделенную линию от 1200 бит/сек до 2Мбит/сек, FrameRelay, SMDS, x.25.

Для защиты информации владелец ЛВС должен обезопасить "периметр" сети, например, установив контроль в месте соединения внутренней сети с внешней сетью. Cisco IOS обеспечивает высокую гибкость и безопасность как стандартными средствами, такими как: Расширенные списки доступа (ACL), системами блокировки (динамические ACL) и авторизацией маршрутизации. Кроме того Cisco IOS FirewallFeatureSet доступный для маршрутизаторов серии 1600 и 2500 обеспечивает исчерпывающие функции системы защиты включая:

– контекстное Управление Доступом (CBAC)

– блокировка Java

– журнал учета

– обнаружение и предотвращение атак

– немедленное оповещение

Кроме того, маршрутизатор поддерживает работу виртуальных наложенных сетей, туннелей, систему управления приоритетами, систему резервирования ресурсов и различные методы управления маршрутизацией.

В качестве программного средства защиты используется решение KasperskyOpenSpaceSecurity.

KasperskyOpenSpaceSecurity полностью отвечает современным требованиям, предъявляемым к системам защиты корпоративных сетей:

– решение для защиты всех типов узлов сети;

– защита от всех видов компьютерных угроз;

– эффективная техническая поддержка;

– «проактивные» технологии в сочетании с традиционной сигнатурной защитой;

– инновационные технологии и новое антивирусное ядро, повышающее производительность;

– готовая к использованию система защиты;

– централизованное управление;

– полноценная защита пользователей за пределами сети;

– совместимость с решениями сторонних производителей;

– эффективное использование сетевых ресурсов.

1.3 Развёрнутая постановка целей, задачи и подзадач СУБД

1.3.1 Цели и назначение автоматизированного варианта решения задачи

Основой задачей данной проектируемой системы является автоматизация защиты персональных данных. Оперативное управление процессами защиты информации составляет от одного до нескольких дней и реализует регистрацию событий, например оформление и мониторинг выполнения заявок, приход и удаление персональной информации и кодов защиты, и т.д. Эти задачи имеют итеративный, регулярный характер, выполняются непосредственными исполнителями бизнес-процессов (специалистами отдела кредитования, службы безопасности и т.д.) и связаны с оформлением и пересылкой документов в соответствии с четко определенными алгоритмами. Результаты выполнения операций регистрируются в соответствующих журналах. Автоматизация этих процессов позволит хранить информацию в одной базе, информация, в которую вводится с помощью удобного интерфейса.

Разрабатываемая система должна обеспечивать полный контроль, автоматизированный учёт и анализ защиты персональной информации, позволять уменьшить время обслуживания клиентов, получать информацию о кодах защиты информации и персональных данных.

Для формирования требования к разрабатываемой системе, необходимо сформировать требования к организации БД, информационной совместимости к разрабатываемой системе.

В основу проектирования баз данных должны быть положены представления конечных пользователей конкретной организации - концептуальные требования к системе[12].

В данном случае, ИС содержит данные о сотрудниках фирмы. Одной из технологий, которая существенно иллюстрирует работу информационной системы, является разработка схемы документооборота для документов. В предлагаемой информационной системе основным документом является заявка на получение доступа к персональным данным, схема документооборота представлена на рис.1.8.

Функции разрабатываемой системы могут быть достигнуты, за счет использования вычислительной техники и программных средств. Учитывая, что поиск информации, сведений и документов учета в деятельности специалистов банка составляют порядка 30% рабочего времени, то внедрение автоматизированной системы учета позволит существенно высвободить квалифицированных специалистов, может привести к экономии фонда заработанной платы, уменьшения штата сотрудников, однако могут привести к и введению в штат сотрудников отдела штатной единицы оператора, в обязанности которого будет входить ввод сведений о протекающих бизнес-процессах: документов учета персональных данных и кодов доступа.

Рис.1.8 Схема документооборота Заявки на получение доступ к персональным данным

Таблица 1.3

Показатели затрат на задачу без автоматизации

Аспект деятельности предприятия

Временные затраты

Частота появления (за 6 месяцев)

Количество занятых сотрудников

Количество заявок на доступ к персональной информации

-

1200-2000

2

Количество заявок на изменение персональных данных кодов защиты

-

500

2

Создание запроса возможность доступа к персональным данным

20 мин

2000-3000

1

Проверка возможности осуществления доступа

От 2 часов до 2 дней

2000-3000

1-3

Создание отчета о безопасности информации в банке

от 20 мин.

300

1

Время на формирования запроса

10 мин

2000-3000

1

Количество работников, выполняющих информационный запрос в службе безопасности

20 мин

90-100

2

Процент обработанных запросов

-

100

2

Необходимо отметить, что внедрение разрабатываемой системы, позволит снизить, а в идеале, полностью исключить ошибки учета персональной и информации и кодов защиты. Таким образом, внедрение автоматизированного рабочего места менеджера приведет к значительному экономическому эффекту, сокращению штата сотрудников на 1/3, экономии фонда заработанной платы, повышению производительности труда. Необходимо отметить, что увеличение производительности приведет к возможности увеличения прибыли банка порядка 20%, т.е. составит 13200 руб.

Предположим, что чистая прибыль банка будет пропорциональна увеличению объема продаж кредитных услуг и составит 20% от имеющегося объема и будет увеличено на 850 тыс. руб.[16].

1.3.2 Подзадачи автоматизации и функциональная ИТ их решения

Разработка стратегии реализации проекта автоматизации ОАО «Альфа Банк» предполагает наличие ряда взаимосвязанных между собой последовательных действий

- анализ бизнеса;

- анализ стратегии развития бизнеса;

- определение стратегических свойств ИС;

- определение функциональности ИС в целом;

- выбор стратегии автоматизации;

- определение архитектуры;

- формирование бизнес-плана;

Различают следующие виды стратегий автоматизации:

- полная, с внутренней интеграцией;

- полная, с внешней интеграцией;

- по направлениям;

- по участкам;

- хаотичная.

Автоматизация предприятия «по участкам» предусматривает внедрения небольших автоматизированных систем для прикрытия узких мест. Таким образом, через некоторое время предприятие будет представлять собой ряд разрозненных небольших автоматизированных систем, не согласованных друг с другом. Обычно такой вид автоматизации вызван непониманием руководства предприятия преимуществ комплексной автоматизации в долгосрочной перспективе, которое приведет к экономии средств на внедрение автоматизированных и информационных систем. В итоге приобретаются самые необходимые системы, которые опять же нагромождаются в набор несвязанных друг с другом элементов.

При полном (комплексном) подходе предприятие рассматривается как сложная система взаимосвязанных компонентов, все «узкие» места которой необходимо автоматизировать для повышения общей эффективности системы.

Деятельность предприятия автоматизируется при помощи построения интегрированной автоматизированной системы общего делового процесса предприятия, который может состоять из множества взаимосвязанных сложным образом технологических, производственных и управленческих процессов.

Деятельность предприятия ОАО «Альфа банк» автоматизируется при помощи построения автоматизированной системы позволяющей обеспечивать защиту персональных данных. В связи с отсутствием достаточного количества средств для проведения комплексной автоматизации, автоматизация на фирме ОАО «Альфа банк» будет состоять из проведения отдельных этапов по разработке автоматизированных систем различных подразделений фирмы:

- автоматизация деятельности отдела кредитования;

- автоматизация деятельности службы безопасности банка;

- автоматизации бухгалтерии;

- автоматизации отдела по работе с корпоративными клиентами.

Таким образом, в качестве стратегии автоматизации на предприятии ОАО «Альфа банк» выбран проект автоматизации по участкам.

1.4 Обоснование совершенствования систем

1.4.1 Обоснование проектных решений по техническому обеспечению

Данный проектвключает в себя разработку автоматизированного информационной системы, ориентированной на применение в коммерческом банке. Данная программа может быть использована в качестве дополнительного программного продукта в составе АРМ.При проектировании принимались во внимание следующие требования:

- система будет нормально функционировать на стандартных персональных компьютерах клона IBM с процессором IntelPentium III (минимальные требования, подсоединенных к офисной локальной вычислительной сети в режиме невыделенных серверов;

система не должна иметь привязки к аппаратной части для возможности переноса ее на новую платформу из-за неизбежного морального старения компьютерной техники;

оборудование размещается в пределах нескольких офисных помещений управления и отделов;

- архитектура системы должна быть выбрана таким образом, чтобы минимизировать вероятность нарушения штатного режима работы системы (выход системы из строя, разрушение информационной базы данных, потеряли искажение информации) при случайных или сознательных некорректных действиях пользователей;

- система будет обеспечивать защиту информационной базы данных от несанкционированного доступа;

- основная программная оболочка системы будет устанавливаться на рабочие места начальника отдела и инспектора с любого компьютера, подсоединенного к локальной офисной вычислительной сети;

- установка программной оболочки будет производиться в режиме диалога Пользователь-ЭВМ специальной программой инсталляции;

- основная программная оболочка будет иметь возможность изменять по желанию заказчика генерируемые формы отчетов и порядок заполнения исходных форм;

- система будет иметь возможность наращивания как программной, так и аппаратной части.

Пользователи могут применять различные конфигурации, входящие в комплексную поставку, как по отдельности, так и совместно, подобрав для себя подходящий вариант работы с системой. Выбор конфигурации зависит, прежде всего, от решаемых задач, от типа деятельности и структуры конкретного учреждения, уровня сложности ведения учета и других условий. Пользователи могут вести учет в комплексной конфигурации или решать разные задачи учета в отдельных конфигурациях, пользуясь средствами обмена данных, или же начать с автоматизации одного из направлений учета, используя отдельную конфигурацию.

Технические средства системы учета можно рассмотреть отдельно для серверной и клиентской станции. Типичная сеть организации, для которой разрабатывается программное обеспечение представлено на рис.1.7.

Для нормальной работы системы необходима два варианта конфигурации оборудования - серверной станции и клиентской станции.

Сервер, устанавливаемый в одном из офисных помещения организации. Состав серверного решения представлен в таблице 1.4, стоимость серверного решения составляет 57 630 руб.

Рис. 1.9 - Типичная компьютерная сеть организации, для которой разрабатывалось ПО

Таблица 1.4

Состав серверного решения

Узел

Характеристика

Количество

Процессор BX80574E5405A

IntelXeon E5405 (4-ядерный, тактовая частота 2 ГГц, 12 МБ кэш-памяти второго уровня, частота системной шины 1333МГц, активная система охлаждения)

2

Системная плата S5000VSASATAR

Intel S5000VSASATAR (до 16ГБ оперативной памяти, до 6 разъемов SATA).

1

Корпус SC5299DP

Intel SC5299DP (напольное исполнение с возможностью монтажа в стойку высотой 6U, поддержка системных плат расширенного форм-фактора ATX, 2 порта USB 2.0, источник питания мощностью 550 Вт)

1

Жесткий диск

WD 500 ГБ WD5002ABYS SATA II 16Mb

2

Оперативная память

1ГБ DDR-2 PC2-5300 FB

4

Привод

DVD RW

1

Рабочая станция - рабочее место менеджера, конфигурация приводится в таблице 1.5. Стоимость решения составляет 12958,31.

Таблица 1.5

Состав рабочей станции

Узел

Характеристика

цена

Процессор

Процессор AMD Athlon 64 X2 3800+ (2.00ГГц, 2x512КБ, HT1000МГц, 65Вт) SocketAM2

1378,13

Вентилятор

Вентилятор для Socket754/939/940 TITAN TTC-NK32TZ

423,68

Плата

Мат. плата SocketAM2 ASUS "M2N-X" (nForce 520, 2xDDR2, U133, SATA II-RAID, PCI-E, SB, LAN, USB2.0, ATX)

1718,06

Память

Модуль памяти 2x1ГБ DDR2 SDRAM Corsair XMS2 TWIN2X2048-6400C4DHX G (PC6400, 800МГц, CL4)

2033,06

HDD

Жесткий диск (HDD) 250ГБ SamsungSpinPoint S250 HD250HJ 7200об./мин., 8МБ (SATA II)

1617,79

Видео

Видеокарта PCI-E 256МБPalit GeForce 8600 GT Sonic (GeForce 8600 GT, DDR3, D-Sub, DVI, HDMI)

2974,65

CD/DVD

Привод DVD-RW 18xW/8xRW/16xR/48xW/32xRW/48xR LG GSA-H62N, черный (SATA)

751,54

Корпус

КорпусMiditower IN-WIN "IW-S508U" ATX 2.03, черно-серебр. (450Вт, ATX12V V2.0)

1915,20

Вентилятор

Вентилятор для корпуса ScytheKaze-Jyu SY1025SL12L d100/d90мм (питание от мат.платы и БП)

146,21

1.4.2 Обоснование проектных решений по программному обеспечению

Классификацию баз данных по модели данных иллюстрирует рис. 1.9.

Рис.1.9 Классификация баз данных по модели

Иерархические базы данных основаны на иерархической модели данных, в которой связь между объектами базы данных образует перевернутое дерево. При такой модели каждый нижележащий элемент иерархии соединен только с одним расположенным выше элементом

Сетевые базы данных основаны на сетевой модели данных, в которой связи между объектами данных могут быть установлены в произвольном порядке.

Реляционные базы данных основаны на реляционной модели данных, в которой каждая единица данных в базе данных однозначно определяется именем таблицы (называемой отношением), идентификатором записи (кортежа) и именем поля.

Объектно-реляционные базы данных содержат объектно-ориентированные механизмы построения структур данных (как минимум, механизмы наследования и поддержки методов) в виде расширений языка и программных надстроек над ядром СУБД.

Объектно-ориентированные базы данных определяют как новое поколение баз данных, основанное на сочетании трех принципов: реляционной модели, стандартов на описание объектов и принципов объектно-ориентированного программирования.

Классификацию баз данных по способу доступа иллюстрирует рис. 1.10.

Рис. 1.10. Классификация баз данных по способу доступа

В мэйнфреймовых базах данных пользовательское рабочее место представляет собой текстовый или графический терминал, а вся информация обрабатывается на том же компьютере, где находится СУБД.

В файл-серверных СУБД файлы данных располагаются централизованно на файл-сервере, а ядро СУБД находится на каждом клиентском компьютере. Доступ к данным осуществляется через локальную сеть. Синхронизация чтений и обновлений осуществляется посредством файловых блокировок. Преимуществом этой архитектуры является низкая нагрузка на ЦП сервера, а недостатком -- высокая загрузка локальной сети.

Клиент-серверные СУБД состоят из клиентской части (которая входит в состав прикладной программы) и сервера. Клиент-серверные СУБД, в отличие от файл-серверных, обеспечивают разграничение доступа между пользователями и мало загружают сеть и клиентские машины. Сервер является внешней по отношению к клиенту программой, и при необходимости его можно заменить другим. Недостаток клиент-серверных СУБД состоит в самом факте существования сервера (что плохо для локальных программ -- в них удобнее встраиваемые СУБД) и больших вычислительных ресурсах, потребляемых сервером.

Встраиваемая СУБД представляет собой программную библиотеку, которая позволяет унифицированным образом хранить большие объемы данных на локальной машине. Доступ к данным может происходить посредством запросов на языке SQL либо путем вызова функций библиотеки из приложения пользователя.

Встраиваемые СУБД быстрее обычных клиент-серверных и не требуют развертывания сервера.

Серверные СУБД. Для крупных организаций ситуация принципиально меняется. Там использование файл-серверных технологий является неудовлетворительным по описанным выше причинам.

Поэтому на передний край борьбы за автоматизацию выходят так называемые серверные СУБД.

Основными производителями таких систем обработки и хранения данных являются 3 корпорации: Oracle, Microsoft и IBM. Наиболее распространенными клиент-серверными системами здесь соответственно являются системы Oracle (разработчик компания Oracle), MS SQL Server (разработчик компания Microsoft), DB2, InformixDynamicServer (компания IBM).

Дадим краткую характеристику этим системам.

MS SQL Server. К настоящему времени разработано несколько версий систем: MS SQL Server-2000, MS SQL Server -2005, MS SQL Server-2008. Приведем информацию о системе MS SQL Server-2005.

Microsoft® SQL Server™ 2005 - это законченное предложение в области баз данных и анализа данных для быстрого создания масштабируемых решений электронной коммерции, бизнес-приложений и хранилищ данных. Это решение позволяет значительно сократить время выхода этих решений на рынок, одновременно обеспечивая масштабируемость, отвечающую самым высоким требованиям. В SQL Server включена поддержка языка XML и протокола HTTP, средства повышения быстродействия и доступности, позволяющие распределить нагрузку и обеспечить бесперебойную работу, функции для улучшения управления и настройки, снижающие совокупную стоимость владения

Платформа бизнес-анализа SQL Server 2008, тесно интегрированная с MicrosoftOffice, предоставляет развитую маштабируемую инфраструктуру для внедрения мощных возможностей бизнес-анализа в рабочий процесс всех бизнес-подразделений вашей компании, открывая доступ к нужной бизнес-информации через знакомый интерфейс MS Excel и MS Word.

MS SQL Server-2008 поддерживает создание и работу с корпоративным хранилищем данных, объединяющим информацию со всех систем и приложений, позволяющим получить единую комплексную картину бизнеса вашей компании. MS SQL Server-2005 предоставляет масштабируемый и высокопроизводительный «процессор данных» - для самых ответственных и требовательных бизнес-приложений, тем, кому необходим высочайший уровень надежности и защиты, позволяя при этом снизить совокупную стоимость владения за счет расширенных возможностей по управлению серверной инфраструктурой.

MS SQL Server-2008 предлагает разработчикам развитую, удобную и функциональную среду программирования, включая средства работы с WEB-службами, инновационные технологии Oracle.

К настоящему времени разработано несколько версий систем, каждая из которых включает целую линейку продуктов, например Oracle 8, Oracle 9i, Oracle 10g.

Соответствующие линейки продуктов включают как собственно СУБД (например, OracleDatabase 10g, OracleDatabase 11g), так и средства разработки и анализа данных. Oracle предлагает комплексные, открытые, доступные и удобные в использовании технологические решения. Готовые пакетируемые решения автоматически включают в свою стоимость базу данных, сервер приложений, интеграционную платформу, инструменты аналитики и управления неструктурированными данными. Масштабируемые бизнес-приложения Oracle могут быть легко интегрированы с ИТ-инфраструктурой предприятия без потери уже вложенных в IT инвестиций.

СУБД OracleDatabase 11g обеспечивает улучшенные характеристики за счет автоматизации задач администрирования и обеспечения, лучших в отрасли возможностей по безопасности и соответствию нормативно-правовым актам в области защиты информации. Появилось больше функций автоматизации, самодиагностики и управления. Среди характеристик системы можно отметить управление большими объемами данных с использованием распределенных таблиц и компрессии, эффективную защиту данных, возможность полного восстановления, возможность интеграции геофизических данных медиа-контента в бизнес-процесс и т.д.

Учитывая достоинства, функциональные возможности в качестве средства обработки баз данных выбрана платформа MS SQL Server 2008.

Данная СУБД является промышленной и больше всех других средств удовлетворяет критерию надежности и эффективности функционирования в среде Windows.

Обязательная схема жестче, по сравнению с избирательными схемами секретности, и применяется к базам данных, структура которых редко меняется. Классическим примером могут служить базы данных военных или правительственных организаций. Так, согласно требованиям Министерства обороны США, все используемые в этом ведомстве системы (в том числе базы данных, и программные системы) должны поддерживать обязательное управление доступом.

Основная идея обязательной схемы состоит в том, что каждому объекту данных приписывается некоторый уровень допуска (например, «секретно», «совершенно секретно», и т.д.), а каждому пользователю назначается один уровень допуска, с теми же значениями, что и для объектов данных.

Тогда правила безопасности формулируются так:

1. Пользователь имеет доступ к объекту (просмотр), если его уровень допуска больше или равен уровню допуска объекта.

2. Пользователь может модифицировать объект, только если его уровень допуска равен уровню допуска объекта. Это правило предотвращает ситуации, в которых пользователь с высоким уровнем допуска не может записать данные в файлы/таблицы, имеющие более низкий уровень допуска.

Требования Минобороны США к обязательному управлению доступом изложены в двух документах, называемых “оранжевой книгой” и “розовой книгой”. В “оранжевой” книге перечислен набор требований к безопасности для “идеальной” вычислительной базы (TrustedComputingBase -TCB).В “розовой” книге эти требования уточняются для баз данных.

В “оранжевой” книге определяется четыре класса безопасности (securityclasses) - D, C, B, A. Класс D обеспечивает минимальную защиту, класс С - избирательную, В - обязательную, а класс А - проверенную защиту.

? Избирательная защита: класс С делится на два подкласса - С1 и С2 (более безопасный, чем С1). Согласно требованиям класса С1 необходимо разделение данных и пользователя, т.е. наряду с поддержкой концепции общего доступа к данным здесь возможна организация раздельного использования данных пользователями.

Для систем класса С2 необходимо дополнительно организовать учет на основе процедур входа в систему, аудита (отслеживания обращений к ресурсам) и изоляции ресурсов.

- Обязательная защита: класс В делится на три подкласса В1, В2 и В3 (В3 наиболее безопасный). Для класса В1 необходимо обеспечить «отмеченную защиту» (т.е. каждый объект должен содержать отметку о его уровне безопасности), а также неформальное сообщение о действующей системе безопасности.

Для класса В2 необходимо дополнительно обеспечить формальное утверждение о действующей стратегии безопасности, а также обнаружить и исключить плохо защищенные каналы передачи информации.

Для класса В3 необходимо дополнительно обеспечить поддержку аудита и восстановления данных, а также назначение администратора режима безопасности.

- Проверенная защита: класс А является наиболее безопасным. Согласно его требованиям, необходимо математическое доказательство того, что данный метод безопасности совместим и адекватен заданной стратегии безопасности.

СУБД, в которых поддерживаются методы обязательной защиты, называют системами с многоуровневой защитой или надежными системами.

Кроме требований по надежности и производительности, предлагаемое программное обеспечение должно удовлетворять следующим требованиям.

эффективности;

понятности пользователю;

защиты информации;

модифицируемости;

мобильности;

масштабируемости;

минимизации затрат на сопровождение и поддержку.

Анализ выдвинутых требований к программному обеспечению с учетом проектных решений о техническом и информационном обеспечении системы позволяет сделать вывод о том, что в качестве средств разработки должно использоваться достаточно современное средство разработки, которое позволяет проводить разработку эффективных приложений в среде Windows, с возможностью использования выбранной СУБД MS SQL Server.

Рынок программных средств в настоящее время многообразен, как в области готовых прикладных решений, так и в области средств разработки. Однако, поиск готовых программных решений в рассматриваемой предметной области желаемых результатов не дал. Поэтому для реализации функций программной системы необходима разработка нового программного продукта, который способен гибко реализовать необходимые действия автоматизированной системы.

Для обеспечения разработки возникает задача выбора оптимальных программных и информационных средств для реализации функций системы.

При создании программного продукта основными критериями выбора средств разработки являлись:

удобство использования;

скорость разработки приложений и работы программы

Исходя из приведенных требований, выделим следующие характеристики средств разработки программного обеспечения и оценим их важность для рассматриваемого проекта по пятибалльной шкале.

Наличие опыта разработки с использованием данного программного продукта. (Цель - максимизировать показатель, весовой коэффициент 5).

Требования к вычислительным ресурсам (Цель - минимизировать показатель, весовой коэффициент 5).

Предоставляемые возможности работы с базами данных. (Цель - максимизировать показатель, весовой коэффициент 5).

Предоставляемые возможности создания интерфейса. (Цель - максимизировать показатель, весовой коэффициент 5).

Скорость работы разработанного программного обеспечения. (Цель - максимизировать показатель, весовой коэффициент 5). Ограничим выбор программных средств удовлетворяющих этому требованию. Среди современных доступных средств разработки для операционной системы Windows можно выделить наиболее часто используемые:

BorlandDelphi;

Borland C++ Builder;

MicrosoftVisualBasic;

BorlandJbuilder.

Каждое из этих средств содержит весь спектр современных средств разработки. Главное отличие состоит в области использования рассматриваемых средств. Так Borland C++ Builder обычно используется при разработке приложений, выполняющих большое количество вычислений. Основными недостатками этого программного продукта являются высокие требования к системным ресурсам и медленная скорость компиляции исходного кода. Система разработки VisualBasic предъявляет наименьшие требования к системным ресурсам. Основное достоинство Delphi состоит в предоставлении разработчику большого количества визуальных компонентов для разработки интерфейса.Для сравнения этих программных продуктов воспользуемся методом вариантных обоснований. Этот метод предназначен для выбора наилучшего варианта из нескольких предложенных и состоит из следующих этапов:

определение критериев, по которым будет произведено сравнение и степени их важности;

каждый вариант оценивается по полученному перечню критериев. В результате получается значение - количественная оценка показателя;

нахождение общей суммы баллов для каждого из вариантов (можно учитывать важность критериев);

лучшим считается вариант, который набрал максимальное количество баллов.

В результате проведенного исследования получили, что лучшим инструментальным средством для разработки системы является BorlandDevelopmentStudio 2006. Для создания клиентской части ПП использовалось Delphi 2006.

Наряду с традиционными инструментами доступа к данным BorlandDatabaseEngine и ODBC в приложениях Delphi можно применять технологию MicrosoftActiveXDataObjects (ADO), которая основана на возможностях СОМ, а именно интерфейсов OLE DB.

При разработке современного прикладного программного обеспечения наряду с эффективностью на первый план выдвигаются и другие важные характеристики программ такие, как понятность, хорошая документированность, надежность, гибкость, удобство сопровождения и т.п.[9-11].

Проблема разработки программ, обладающих такими качествами, объясняется трудоемкостью процесса программирования и связанным с этим быстрым ростом стоимости программного обеспечения.

Для создания "хорошей" программы появляется необходимость придерживаться определенных принципов или определенной дисциплины программирования. Значительный прогресс в области программирования достигается с использованием, так называемого структурного программирования.

Однако представление о структурном программировании, как о программировании без использования оператора GOTO, является ошибочным.

Например, иногда структурное программирование определяется как "систематическое использование абстракции для управления массой деталей и способ документирования, который помогает проектировать программу".

Структурное программирование можно толковать как "проектирование, написание и тестирование программы в соответствии с заранее определенной дисциплиной".

Структурный подход к программированию как раз и имеет целью снижение трудоемкости всего процесса создания программного обеспечения от технического задания на разработку до завершения эксплуатации. Он означает необходимость единой дисциплины на всех стадиях разработки программы. В понятие структурного подхода к программированию обычно включают нисходящие методы разработки программ (принцип «сверху вниз»), собственно структурное программирование и так называемый сквозной структурный контроль.


Подобные документы

  • Основы безопасности персональных данных. Классификация угроз информационной безопасности персональных данных, характеристика их источников. Базы персональных данных. Контроль и управление доступом. Разработка мер защиты персональных данных в банке.

    дипломная работа [3,2 M], добавлен 23.03.2018

  • Законодательные основы защиты персональных данных. Классификация угроз информационной безопасности. База персональных данных. Устройство и угрозы ЛВС предприятия. Основные программные и аппаратные средства защиты ПЭВМ. Базовая политика безопасности.

    дипломная работа [2,5 M], добавлен 10.06.2011

  • Предпосылки создания системы безопасности персональных данных. Угрозы информационной безопасности. Источники несанкционированного доступа в ИСПДн. Устройство информационных систем персональных данных. Средства защиты информации. Политика безопасности.

    курсовая работа [319,1 K], добавлен 07.10.2016

  • Анализ структуры распределенной информационной системы и обрабатываемых в ней персональных данных. Выбор основных мер и средств для обеспечения безопасности персональных данных от актуальных угроз. Определение затрат на создание и поддержку проекта.

    дипломная работа [5,3 M], добавлен 01.07.2011

  • Система контроля и управления доступом на предприятии. Анализ обрабатываемой информации и классификация ИСПДн. Разработка модели угроз безопасности персональных данных при их обработке в информационной системе персональных данных СКУД ОАО "ММЗ".

    дипломная работа [84,7 K], добавлен 11.04.2012

  • Описание основных технических решений по оснащению информационной системы персональных данных, расположенной в помещении компьютерного класса. Подсистема антивирусной защиты. Мероприятия по подготовке к вводу в действие средств защиты информации.

    курсовая работа [63,4 K], добавлен 30.09.2013

  • Секретность и безопасность документированной информации. Виды персональных данных, используемые в деятельности организации. Развитие законодательства в области обеспечения их защиты. Методы обеспечения информационной безопасности Российской Федерации.

    презентация [2,1 M], добавлен 15.11.2016

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.