Характеристика ИС - «безопасность»

Под безопасностью информационной системы понимают: наличие механизмов предотвращения несанкционированного умышленного или неумышленного использования или изменения информации обрабатываемой с использованием АБС.

Информации, как продукт, удовлетворяющий определенным потребностям субъектов, который они получают посредством информационных систем, должна обладать следующими свойствами:

· Доступность информации – возможность за приемлемое время выполнить ту или иную операцию над данными или получить нужную информацию. Заметим, что защита данных от повреждения является лишь частным случаем защиты от нарушения доступности информации.

· Целостность информации - это актуальность и непротиворечивость хранимой информации. Актуальность в данном случае следует понимать как оперативное отражение изменений, происходящих в предметной области, в информационной базе ИС. Непротиворечивость информации это соответствие содержимого информационной базы логике предметной области.

· Конфиденциальность – защищенность информации от несанкционированного доступа.

Замечание

Иногда выделяют и другие свойства, например достоверность информации. Под достоверность информации в информационном хранилище обычно понимают ее адекватность предметной области, которой соответствует данное информационное хранилище. Скорее все же достоверность относиться не столько к предмету информационной безопасности, сколько определяет ценность хранимой информации. Достоверность поддерживается соответствующей организацией работы ИС.

Можно сказать, что безопасность информационных систем это защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нарушить доступность, целостность или конфиденциальность информации.

Определение

Под защитой информации будем понимать комплекс мер, направленных на обеспечение информационной безопасности.

Замечание

Информационная безопасность, строящаяся на защите доступности, целостности и конфиденциальности информации часто называют моделью CIA. Сокращение происходит от английских терминов Confidentiality (конфиденциальность), Integrity (целостность), Availability (доступность).

Далее мы остановимся подробнее на всех трех составляющих информационной безопасности, на угрозах этим составляющим и на способах защиты от этих угроз. По поводу защиты от угроз заметим, что по отношению к информационным системам можно говорить о возможностях самой ИС по защите данных и внешних мерах[1].

Определение

Под угрозой безопасности информации будем понимать действие или событие, которое может привести к нарушению достоверности, целостности или конфиденциальности хранящейся, передаваемой или обрабатываемой информации.

Обратим внимание, что мы говорим о защите не только хранящейся в информационной базе информации, но и информации, которая передается по каналам связи или обрабатывается программным обеспечением.

Дадим определение некоторым понятиям, которые часто используются, при анализе безопасности ИС.

· Атака – попытка реализовать угрозу.

· Злоумышленник – тот, кто осуществляет атаку.

· Источник угрозы – потенциальный злоумышленник.

· Окно опасности - промежуток времени от начала возникновения возможности использовать слабое место в защите до момента, когда это слабое место будет ликвидировано.

 

Основные функции АБС

Прикладные программы автоматизированных банковских систем представляют собой набор программных модулей, функционально и информационно связанных между собой. Функциональные связи модулей обеспечивают необходимую последовательность их выполнения, а информационная связь определяется использованием модулем в своей работе информации, сгенерированной другим модулем. Как правило, обмен информацией между модулями идет через базу данных. Один модуль пишет информацию в базу данных, а другой ее считывает при реализации своих функций. Каждая фирма-разработчик автоматизированных банковских систем самостоятельно решает проблему выделения модулей, но и здесь можно проследить некоторые закономерности. Анализ проектных решений ряда автоматизированных банковских систем показал, что эти модули группируются примерно в одинаковые комплексы.

Внедрение АБС

Для того чтобы программный код превратился в работающее решение, его надо внедрить. Если АБС является тиражным решением, все основные бизнес-процессы уже проработаны и отлажены. Многое зависит от того, новый ли это банк или уже проработавший некоторое время. В первом случае для внедрения нужна начальная настройка, проведение обучения нескольких пользователей и, если в этом есть необходимость, адаптация ряда отчетов и(или) стыковка с внешними системами. Внедрение может осуществляться силами компании-консультанта – тогда банк опирается на богатый опыт сотрудников и гарантии фирмы. Однако при наличии в штате банка высококвалифицированных программистов, имеющих опыт работы с АБС, кредитное учреждение может провести внедрение и самостоятельно. Другое дело – банк, который уже выполняет определенный набор операций, работает с АБС (тиражной или собственной разработки – не важно), накопил определенный объем данных, имеет сложившуюся технологию банковских операций, внутренние формы отчетности, обширный штат сотрудников, которых нужно учить «общению» с новой системой. При этом внедрение проводится в соответствии с отработанной технологией, обеспечивающей максимально эффективную дальнейшую работу АБС. Если необходимо автоматизировать все операции банка, внедрение предполагает: обследование (его цель – понять, что банк хочет получить в итоге, и каким образом это будет достигнуто) и подготовка Технического задания на внедрение; настройку АБС с учетом специфики технологии банка и параллельно адаптацию ряда технологий банка под АБС; конвертацию данных из «старой» системы; обучение ИТ-персонала банка, пользователей (его лучше проводить уже на конвертированной базе данных); адаптацию имеющейся в новой АБС внутрибанковской отчетности под требования банка; создание и настройку шлюзов с другими автоматизированными системами (при необходимости); консультационную помощь со стороны сотрудников компании-консультанта. Перечень необходимых работ весьма обширен, поэтому выполнить внедрение, опираясь только на собственные силы банка, проблематично (но возможно – все зависит от уровня требований, предъявляемых к системе, и квалификации ИТ-персонала кредитного учреждения). При этом, если банк стремится минимизировать затраты на внедрение, он может поручить сотрудникам компании-внедренца отдельные наиболее сложные виды работ (например, обучение ИТ-персонала и конвертацию данных из прежней АБС), а остальное проделать самостоятельно. Исключительно важная роль отводится поэтапному внедрению АБС. Вначале запускается ядро системы, обеспечивающее самые необходимые функции: бухгалтерский учет, расчетно-кассовое обслуживание, начисление процентов. После того как эти участки заработают, настраивается выпуск отчетности. Потом запускается, скажем, RS-Loans – система автоматизации кредитной деятельности банка. Далее происходит внедрение системы класса «клиент–банк». Следующий шаг – автоматизация работы операционистов с вкладами физических лиц, то есть запуск RS-Retail.

Обследование банка

Целями этапа «обследование» являются: изучение документооборота банка, используемых технологий, бизнес-процессов в банке; оценка необходимости доработки функциональности и отчетности по сравнению с тиражными возможностями АБС. В случае необходимости доработки – подробное описание необходимых доработок вместе с анализом технологии выполнения этих доработок в АБС. оценка необходимости конвертирования данных из используемого в банке ПО и возможность проведения этой конвертации; анализ технологии взаимодействия АБС с иными автоматизированными системами (например, с процессинговым центром, аналитическими приложениями, специализированными автоматизированными системами по решению отдельных задач); проверка соответствия установленного в банке аппаратного и системного обеспечения требованиям новой АБС. В результате получается достаточно объемный документ, содержащий подробное, согласованное с сотрудниками банка описание существующих бизнес-процессов, технологий, отчетных форм. Информация об необходимых отчетах сопоставляется с имеющейся отчетностью АБС. Все это составляет первую часть документа. Вторая часть включает подробный перечень работ по настройке или доработке системы, по адаптации существующих отчетных форм или разработке новых, описание осуществления текущих бизнес-процессов в АБС, календарный план внедрения, план проведения обучения (график занятий и объем учебного материала). Т.е. вторая часть документа «результаты обследования банка» содержит перечень всех работ, которые необходимо выполнить при внедрении системы. Эту часть еще называют полным Техническим Заданием на внедрение.

Конвертация данных

Конвертация данных завершает этап предварительной подготовки и является началом этапа реальной работы пользователей в АБС. Задачей этапа конвертации является корректный перенос необходимых данных из ранее использовавшейся системы (или систем) в новую АБС. Объем конвертируемых данных может существенно различаться (в зависимости от набора внедряемых модулей, имеющихся данных в формализованном виде на момент перехода и др.). Как правило, конвертация включает перенос финансовых данных – по проводкам, остаткам на счетах, картотекам и др. Важным элементом процесса конвертации является сверка полученных данных с «контрольными» для того, чтобы проверить корректность проведенной конвертации.

Обучение сотрудников банка

Если говорить об обучении IT -специалистов банка, то в идеальном случае на протяжении всего процесса внедрения необходимо активное ознакомление IT - службы банка с новой АБС – это позволит как обеспечить контроль за процессом внедрения, так и в дальнейшем более квалифицированно сопровождать АБС. Поэтому в первую очередь задачей данного этапа является изучение АБС ее будущими пользователями (а также сотрудниками IT -службы, не включенными в процесс внедрения АБС, которые, тем не менее, будут в дальнейшем принимать участие в ее сопровождении в банке). В этом случае АБС должна максимально соответствовать тому состоянию, в котором она будет реально эксплуатироваться. Поэтому перед началом данного этапа обязательно производят пробную конвертацию данных для получения учебной базы для проведения обучения. Помимо этого, если в рамках внедрение производится адаптация внутрибанковской отчестности, настройка шлюзов с другими информационными системами или производятся иные доработки АБС, оптимально приступать к обучению пользователей после окончания всех этих работ. Аналогично, желательно до начало обучения провести полную настройку АБС. В задачи этапа входит первичное знакомство пользователей с новой АБС. Объем и сроки обучения определяются в документе «Результаты обследования». До начала этапа обучения должен быть проделан ряд работ: Определен состав слушателей из соответствующих подразделений. - отдел бухгалтерского учета и отчетности - отдел корреспондентских отношений - отдел расчетно-кассового обслуживания - валютный сектор - отдел автоматизации Согласован график проведения занятий. Обеспечены условия для проведения обучения персонала: подготовлен учебный класс с необходимым оборудованием или определен порядок обучения на рабочих местах. Обеспечена посещаемость специалистов соответствующих подразделений.

Опытная эксплуатация системы

В задачи этого этапа входит: - Окончательная отладка всех выходных форм. - Оперативное решение возникающих вопросов - Окончательное обучение работников банка методам и особенностям работы в новой АБС. Технология проведения опытной эксплуатации построена таким образом, что всегда сохранятся возможность отката на старую систему. Для этого реальная работа осуществляется в двух системах параллельно. При невозможности организации такой работы в связи с большой нагрузкой на персонал используется технология «тестового дня», когда сотрудники в выходной день дублируют свои действия в новой АБС с выверкой полученных результатов. При успешном завершении «тестового дня» принимается решение о работе банка в режиме опытной эксплуатации, старая система останавливается, актуальность данных в ней не поддерживается. Результатом последнего этапа является промышленная эксплуатация в банке новой АБС.

Сопровождение

Не менее существенным, чем внедрение, является обеспечение бесперебойной работы АБС. Для этого необходимо грамотное администрирование АБС со стороны службы автоматизации банка, настройка и развитие системы, а также предоставление услуг ее поставщиком, то есть сопровождение.