Реферат: Безопасность информационных систем

Кафедраэкономической кибернетики

Контрольнаяработа

подисциплине:

Информационныесистемы и технологиив банковском деле

Сумы2008

Введение

Задача защиты информациив компьютерных информационных системах с целью предупреждения преступлений вэтой сфере является на сегодня весьма актуальной. Для решения этой задачииспользуется целый комплекс средств, включающий в себя технические,программно-аппаратные средства и административные меры защиты информации.

Под компьютернымпреступлением понимают все противозаконные действия, орудием или объектом совершениякоторых была электронная обработка информации. Таким образом, в круг этихпроблем попадают не только преступления, непосредственно связанные скомпьютерами, но и мошенничество с кредитными магнитными карточками,преступления в сфере коммуникации и т.д.

Компьютерные преступленияможно разделить на две большие группы:

1. Преступления, объектомсовершения которых является компьютер или компьютерная система, такие как:

– уничтожение илизамена данных, программного обеспечения и оборудования;

– экономический шпионажи разглашение информации, составляющей государственную или коммерческую тайну.

2. Противозаконныедействия, для совершения которых компьютер используется как орудие, такие как:

– компьютерныйсаботаж;

– вымогательство ишантаж;

– растрата;

– хищение денежныхсредств.

Повсеместный переход кэлектронной обработке информации в экономике, управлении и кредитно-финансовойсфере обусловил возникновение компьютерной преступности и в Украине.

Одними из первых с этимвидом преступлений столкнулись сотрудники управления по борьбе с организованнойпреступностью УВД Днепропетровской области. В июне 1994 года ими былапредотвращена попытка хищения 864 млн. крб. путем несанкционированногопроникновения в банковскую электронную систему платежей.

Ведущий инженер – компьютерщикрегионального управления Проминвестбанка г. Днепропетровска, имея доступ кохранной системе компьютерной сети банка, скопировал на свою дискету программуохранной системы и при помощи личного компьютера, установленного в квартире,вошел в локальную компьютерную сеть банка. Оформив фиктивный платеж на 864 млн.крб., он вложил его в почтовый ящик компьютера банка для отправки на ранееоговоренный счет одной из днепропетровских фирм. После зачисления указаннойсуммы на расчетный счет фирмы злоумышленник был задержан.

Подобные факты имелиместо в Донецкой области и Республике Крым. Так, Управлением по борьбе сорганизованной преступностью УМВД Украины в Республике Крым была изобличенагруппа расхитителей в составе инженера по финансовой безопасности филиала АКБ«Украина» в г. Симферополе и трех нигде не работающих лиц.Инженер-компьютерщик, имея доступ к компьютеру, входящему в компьютерную сетьэлектронных платежей, оформил фиктивный электронный платеж, по которомуперечислил свыше 450 млн. крб. на счет одной из фирм в г. Севастополе,реквизиты которой были предоставлены ему сообщниками. В дальнейшем сумма былапереведена для конвертации в отделение Невиконбанка. Через два дня по фиктивнойзаявке один из сообщников получил в этом банке почти 11 тыс. долл. США, которыебыли поделены между членами преступной группы. В целях сокрытия кражи инженерстер из памяти компьютера фиктивную операцию, заменив ее на реальносуществующую. Через неделю после кражи все члены преступной группы былиарестованы.

События последних летприводят к необходимости серьезно задуматься над проблемой компьютернойпреступности. Приведу совершенно свежий факт из этой области:

Попытка хищения 80 млн. грн.была совершена путем несанкционированного доступа в компьютерную сеть Винницкойобластной дирекции Национального банка. С резервного счета деньги былипереведены сначала на счет одного из местных предприятий, а потом – латвийскойкоммерческой фирмы. Руководство Национального банка обнаружило еще одну попыткухищения значительной суммы. По выявленным фактам возбуждено уголовное дело.

Число компьютерныхпреступлений растет – также увеличиваются масштабы компьютерныхзлоупотреблений. По оценке специалистов США, ущерб от компьютерных преступленийувеличивается на 35 процентов в год и составляет около 3,5 миллиардов долларов.Одной из причин является сумма денег, получаемая в результате преступления: вто время как ущерб от среднего компьютерного преступления составляет 560 тысячдолларов, при ограблении банка – всего лишь 19 тысяч долларов.

1. Анализ возможных угрозбезопасности системы

Построение надежнойзащиты компьютерной системы невозможно без предварительного анализа возможныхугроз безопасности системы. Этот анализ должен включать в себя:

– оценку ценностиинформации, хранящейся в системе;

– оценку затратвремени и средств на вскрытие системы, допустимых для злоумышленников;

– оценку характерахранящейся в системе информации, выделение наиболее опасных угроз (несанкционированное чтение,несанкционированное изменение и т.д.);

– построение моделизлоумышленника – другими словами, оценка того, от кого нужно защищаться – отпостороннего лица, пользователя системы, администратора и т.д.;

– оценку допустимыхзатрат времени, средств и ресурсов системы на организацию ее защиты.

При проведении такогоанализа защищенной системы эксперт фактически ставит себя на место хакера,пытающегося преодолеть ее защиту. Но для того, чтобы представить себя на местехакера, нужно ответить на следующие вопросы:

– насколько высокпрофессиональный уровень хакера;

– насколько полнойинформацией об атакуемой системе обладает хакер;

– имеет ли хакерлегальный доступ к атакуемой системе, если да, каковы его полномочия;

– какие методы атакихакер будет применять с наибольшей вероятностью.

Мы не будем касаться нравственно-этических,исторических и социальных аспектов деятельности хакеров, и будем понимать подхакером лицо, которое пытается преодолеть защиту компьютерной системы, неважно,в каких целях.

В отношении атакуемойсистемы хакер может выступать в одной из следующих ролей:

– постороннее лицо,не имеющее легального доступа к системе. Хакер может атаковать систему только сиспользованием общедоступных глобальных сетей;

– сотрудник организации,не имеющий легального доступа к атакуемой системе. Более вероятна ситуация,когда в такой роли выступает не сам хакер, а его агент (уборщица, охранник ит.д.). Хакер может внедрять в атакуемую систему программные закладки. Еслихакер сумеет подсмотреть или подобрать пароль легального пользователя, он можетперейти в роль пользователя или администратора;

– пользователь системы,обладающий минимальными полномочиями. Хакер может атаковать систему, используяошибки в программном обеспечении и в администрировании системы;

– администратор системы.Хакер имеет легально полученные полномочия, достаточные для того, чтобы успешноатаковать систему. Для нейтрализации этой угрозы в системе должны бытьпредусмотрены средства противодействия несанкционированным действиямадминистраторов;

-       разработчиксистемы. Хакер может встраивать в код системы «люки» (недокументированныевозможности), которые в дальнейшем позволят ему осуществлятьнесанкционированный доступ (НСД) к ресурсам системы.

2. Возможные атакиавтоматизированной банковской системы

В общем случаеавтоматизированная банковская система включает в себя три основных уровня:

– одна или несколькосистем управления базами данных (СУБД);

– одна или несколькооперационных систем (ОС), обслуживающих СУБД и системы документооборота;

– сетевое программноеобеспечение, обеспечивающее информационное взаимодействие рабочих станций исерверов банковской сети.

Атака АБС можетосуществляться на любом из перечисленных уровней. Пусть, например, хакерутребуется прочитать определенные записи из базы данных (БД). Хакер можетпопытаться:

– прочитать эти записисредствами СУБД (атака на уровне СУБД);

– прочитать файлы БД(атака на уровне ОС);

– отправить в сеть пакетыопределенного вида, получив которые, сервер БД предоставит хакеру требуемуюинформацию (атака на уровне сети).

Поскольку методы осуществленияНСД к ресурсам АБС существенно различаются в зависимости от того, на какомуровне происходит атака АБС, эти методы для разных уровней целесообразнорассмотреть отдельно.

2.1 Возможные атаки науровне СУБД

Защита базы данныхявляется одной из наиболее простых задач защиты информации. Это обусловленотем, что базы данных имеют четко определенную внутреннюю структуру, и операциинад элементами баз данных также четко определены. Обычно над элементами базданных определены всего четыре основные операции: поиск, вставка, замена иудаление. Другие операции носят вспомогательный характер и используютсяотносительно редко. Такая простая структура системы защиты упрощает ееадминистрирование и сильно усложняет задачу преодоления защиты СУБД. Вбольшинстве случаев хакеры даже не пытаются атаковать СУБД, посколькупреодолеть защиту АБС на уровнях операционной системы и сети гораздо проще. Темне менее, в отдельных случаях преодоление хакером защиты, реализуемой СУБД,вполне возможно. Такая ситуация имеет место в следующих случаях:

если в АБС используетсяСУБД, защита которой недостаточно надежна;

если используетсянедостаточно хорошо протестированная версия СУБД, содержащая ошибки впрограммном обеспечении;

если администраторы базыданных допускают грубые ошибки при определении политики безопасности.

Кроме того, известны двеатаки СУБД, для защиты, от которых требуются специальные меры. К ним относятся:

«атака салями», когдарезультаты округления результатов арифметических операций прибавляются кзначению некоторого элемента базы данных (например, к сумме, хранящейся наличном счету хакера);

– статистическаяидентификация. Эта атака позволяет получать конкретные значения тех полей базыданных, для которых доступна только статистическая информация. Основная идея заключаетсяв том, чтобы так задать параметры запроса, что множество записей, по которымсобирается статистика, включает в себя только одну запись. Для реализации атакина СУБД хакер должен как минимум являться пользователем СУБД.

2.2 Возможные атаки на уровнеОС

Защитить операционнуюсистему гораздо сложнее, чем СУБД. Это обусловлено тем, что число различныхтипов защищаемых объектов в современных ОС может достигать нескольких десятков,а число различных типов защищаемых информационных потоков – нескольких сотен.ОС имеет очень сложную внутреннюю структуру и поэтому задача построенияадекватной политики безопасности для ОС решается значительно сложнее, чем дляСУБД.

Распространено мнение,что наиболее эффективные и опасные атаки ОС организуются с помощью сложнейшихпрограммных средств, использующих последние достижения науки и техники.Считается, что хакер обязательно должен быть программистом высочайшейквалификации. На самом деле для преодоления защиты ОС вовсе не обязательнописать сложную программу. Искусство хакера заключается не в том, чтобы суметьнаписать программу, которая взламывает любую защиту, а в том, чтобы найтиуязвимое место в конкретной системе защиты и суметь им воспользоваться. Приэтом наилучшие результаты достигаются при использовании самых простейшихметодов «влезания» в выявленные «дыры» в защите ОС. Чем проще алгоритм атаки,тем больше вероятность того, что атака пройдет успешно – возможности хакера попредварительному тестированию алгоритма атаки обычно сильно ограниченны.

Возможность практическойреализации той или иной атаки на ОС в значительной мере определяетсяархитектурой и конфигурацией ОС. Тем не менее, существуют атаки, которые могутбыть применены практически к любым операционным системам. К ним относятсяследующие атаки:

Кража ключевой информации. Может реализовываться сиспользованием следующих методов:

– подсматриваниепароля при вводе пользователем. Существуют люди, которые могут подсмотретьвводимый пароль, глядя только на движения рук по клавиатуре. Поэтому то, чтообычно при вводе пароль не высвечивается на экране, не гарантируетневозможность компрометации пароля;

– получение пароляиз командного файла. Некоторые ОС при сетевой аутентификации (подключении ксерверу) допускают ввод пароля из командной строки. Если аутентификацияпроисходит с использованием командного файла, пароль пользователя присутствуетв этом файле в явном виде;

– некоторыепользователи, чтобы не забыть свой пароль, записывают его в записные книжки, набумажки, которые затем приклеивают к нижней части клавиатуры, и т.д. Длязлоумышленника узнать такой пароль не составляет никакого труда. Особенно частотакая ситуация имеет место, если администраторы заставляют пользователейиспользовать длинные, труднозапоминаемые пароли;

– кража внешнегоносителя ключевой информации. Некоторые ОС допускают использование вместопаролей внешних носителей информации (ключевые дискеты. Touch Memory, Smart Card и т.д.). Использованиевнешних носителей повышает надежность защиты ОС, но в этом случае появляетсяугроза кражи носителя с ключевой информацией;

– перехват пароляпрограммной закладкой.

Подбор пароля. Могут использоватьсяследующие методы:

– неоптимизированныйперебор;

– перебор,оптимизированный по статистике встречаемости символов и биграмм;

– перебор,оптимизированный с использованием словарей вероятных паролей;

– перебор,оптимизированный с использованием знаний о пользователе. В этом случае в первуюочередь опробуются пароли, использование которых пользователем представляетсянаиболее вероятным (имя, фамилия, дата рождения, номер телефона и т.д.);

– перебор,оптимизированный с использованием знаний о подсистеме аутентификации ОС. Если ключеваясистема ОС допускает существование эквивалентных паролей, при переборе изкаждого класса эквивалентности опробуется всего один пароль.

Все эти методы могутприменяться в совокупности. Если хакер не имеет доступа к списку пользователейОС, подбор пароля пользователя представляет серьезную опасность только в томслучае, когда пользователь использует тривиальный, легко угадываемый пароль.Если же хакер получает доступ к списку пользователей, хакер может осуществлятьперебор, не имея прямого доступа к атакуемому компьютеру или сети (например,хакер может унести список пользователей ОС домой и запустить программу переборапаролей на своем домашнем компьютере). В этом случае за приемлемое время можетбыть подобран пароль длиной до 8–10 символов.

Сканирование жесткихдисков компьютера. Хакер последовательно считывает файлы, хранящиеся на жесткихдисках компьютера. Если при обращении к некоторому файлу или каталогу хакерполучает отказ, он просто продолжает сканирование дальше. Если объем жесткого диска компьютерадостаточно велик, можно быть уверенным, что при описании прав доступа к файлами каталогам этого диска администратордопустил хотя бы одну ошибку. При применении этой атаки все файлы, для которыхбыли допущены такие ошибки, будут прочитаны хакером. Несмотря на примитивностьданной атаки, она во многих случаях оказывается весьма эффективной. Для ее реализации хакердолжен быть легальным пользователемОС. Если в ОС поддерживается адекватная (или близкая к адекватной) политикааудита, данная атака будет быстро выявлена, но если хакер организует атаку подчужим именем (именем пользователя, пароль которого известен хакеру), выявлениеэтой атаки ничем ему не грозит. Данный метод можно применять не только длясканирования дисков локального компьютера, но и для сканирования разделяемыхресурсов локальной сети.

«Сборка мусора». Если в ОС допускаетсявосстановление ранее удаленных объектов, хакер может воспользоваться этойвозможностью для восстановления объектов, удаленных другими пользователями. Впростейшем случае хакеру достаточно просмотреть чужую «мусорную корзину». Еслихакер использует для сборки мусора программную закладку, он может «собиратьмусор» не только на дисках компьютера, но и в оперативной памяти.

Превышение полномочий. Используя ошибки впрограммном обеспечении или администрировании ОС, хакер получает в системе полномочия,превышающие предоставленные ему согласно текущей политике безопасности.Превышение полномочий может быть достигнуто следующими способами:

-       запускпрограммы отимени пользователя, обладающегонеобходимыми полномочиями;

– запуск программы вкачестве системной программы (драйвера, сервиса, демона и т.д.), выполняющейсяот имени ОС;

– подменадинамически подгружаемой библиотеки, используемой системными программами, илинесанкционированное изменение переменных среды, описывающих путь к такойбиблиотеке;

– модификация данныхподсистемы защиты ОС.

Атаки класса «отказ вобслуживании». Эти атаки нацелены на полный или частичный вывод ОС из строя.Существуют следующие атаки данного класса:

– захват ресурсов – программазахватывает все ресурсы компьютера, которые может получить. Например, программаприсваивает себе наивысший приоритет и уходит в вечный цикл;

– бомбардировкатрудновыполнимыми запросами – программа в вечном цикле направляет операционнойсистеме запросы, выполнение которых требует больших затрат ресурсов компьютера;

– бомбардировказаведомо бессмысленными запросами – программа в вечном цикле направляет операционнойсистеме заведомо бессмысленные (обычно случайно генерируемые) запросы. Рано или поздно в ОСпроисходит фатальная ошибка;

– использованиеизвестных ошибок в программном обеспечении или администрировании ОС.

3. Возможные атаки науровне сети

На уровне сетевогопрограммного обеспечения возможны следующие атаки на АБС:

Прослушивание канала (возможно только всегменте локальной сети). Практически все сетевые карты поддерживаютвозможность перехвата пакетов, передаваемых по общему каналу локальной сети.При этом рабочая станция может принимать пакеты, адресованные другимкомпьютерам того же сегмента сети. Таким образом, весь информационный обмен всегменте сети становится доступным хакеру. Для успешной реализации этой атакикомпьютер хакера должен располагаться в том же сегменте локальной сети, что иатакуемый компьютер.

Перехват пакетов намаршрутизаторе Сетевое программное обеспечение маршрутизатора имеет доступ ковсем сетевым пакетам, передаваемым через данный маршрутизатор, что позволяетосуществлять перехват пакетов. Для реализации этой атаки хакер должен иметьпривилегированный доступ хотя бы к одному маршрутизатору сети. Поскольку черезмаршрутизатор обычно передается очень много пакетов, тотальный их перехватпрактически невозможен. Однако отдельные пакеты вполне могут быть перехвачены исохранены для последующего анализа хакером. Наиболее эффективен перехватпакетов FTP, содержащих пароли пользователей, а также электронной почты.

Создание ложногомаршрутизатораХакер отправляет в сеть пакеты определенного вида, врезультате чего компьютер хакера становится маршрутизатором и получаетвозможность осуществлять предыдущую угрозу. Ложный маршрутизатор необязательнозаметен всем компьютерам сети – можно создавать ложные маршрутизаторы дляотдельных компьютеров сети и даже для отдельных соединений.

Навязывание пакетов Хакер отправляет в сетьпакеты с ложным обратным адресом. С помощью этой атаки хакер может переключатьна свой компьютер соединения, установленные между другими компьютерами. Приэтом права доступа хакера становятся равными правам того пользователя, чьесоединение с сервером было переключено на компьютер хакера.

Атаки класса «отказ вобслуживании» Хакер отправляет в сеть пакеты определенного вида, в результатечего один или несколько компьютеров сети полностью или частично выходят изстроя.

Сетевой уровень АБСобычно наиболее уязвим для атак хакеров. Это обусловлено тем, что канал связи,по которому передаются сетевые пакеты, является открытым – каждый, кто имеетфизический доступ к этому каналу, может отправлять в канал пакеты произвольногосодержания. Для обеспечения надежной защиты сетевого уровня АБС необходимодобиться максимальной «закрытое™» сетевых каналов связи, другими словами,максимально затруднить несанкционированный информационный обмен в защищаемойсети.

3.1 Меры попредупреждению несанкционированного доступа и безопасного функционированияинформационной банковской системы

Подводя итогивышеизложенному, можно сформулировать перечень основных задач, которые должнырешаться по всей банковской системе

• управление доступом (разграничениеполномочий) пользователей к ресурсам локальной и корпоративной банковскимкомпьютерным сетям с целью их защиты от неправомерного случайного илиумышленного вмешательства в работу системы и несанкционированного (с превышениемпредоставленных полномочий) доступа к ее информационным, программным иаппаратным ресурсам со стороны посторонних лиц, а также лиц из числа персоналаорганизации и пользователей; должен быть четко определенный порядок получениядоступа к ресурсам сети в соответствии с функциональными обязанностямиконкретного работника (набор полномочий должен быть минимально необходимый длявыполнения им своих прямых обязанностей);

• защита рабочих станций – применение паролей навключение, программ защиты экрана, отключение дисководов, опечатываниекорпусов; использование дискет только в случае технологической необходимости;дискеты должны быть промаркированы;

• охрана серверных иобеспечение их бесперебойной работы – ограниченный доступ, средства сигнализации, соблюдениетребований НБУ к помещениям, где находится аппаратура СЕП; обязательноеиспользование источников бесперебойного питания, качественных системпожаротушения;

• защита данных, передаваемых по каналамсвязи – в первую очередь это касается системы Клиент-банк (всего по системеработает 2877 клиентов), где некоторые дирекции и филиалы (Кировоград, Днепропетровск)продолжают осуществлять клиентские платежи вообще без защиты или с использованиемнесертифицированных средств защиты; нельзя допускать передачи информации воткрытом виде за пределами охраняемых территорий;

• контроль за действиямипользователей в сети – регистрация, сбор, хранение, обработка и выдача сведений обовсех событиях, происходящих в системе и имеющих отношение к ее безопасности;необходимо научиться работать с системными журналами и знать их возможности длявосстановления хронологии происшедших в сети событий; оперативное оповещениеслужбы безопасности о попытках несанкционированного доступа к ресурсам системы;недопущение фактов работы в сети под чужим именем или с групповыми паролями;

• резервное копирование – создание архиварезервных копии, который будет надежно защищен от уничтожения в случаестихийных бедствий, неумышленных или умышленных действий; использование дляхранения несгораемых сейфов;

• использование нарабочих станциях только проверенного программного обеспечения с целью защиты отбесконтрольного внедрения в систему потенциально опасных программ (в которыхмогут содержаться вредоносные закладки или опасные ошибки) и средствпреодоления системы защиты, а также от внедрения и распространения компьютерныхвирусов; нельзя допускать самовольной установки на рабочих местах программногообеспечения, в том числе компьютерных игр;

• контроль заподключениями к сети Интернет – разрешение на подключение к сети Интернет должнодаваться только в исключительных случаях, если это необходимо для осуществленияработником прямых функциональных обязанностей; в общих случаях такиеподключения должны быть запрещены; в идеале подключение к Интернет должноосуществляться с отдельно стоящей машины, которая не работает в локальной сети;

• обучение пользователей – пользователи должнызнать азы компьютерной безопасности и нести определенную ответственность, какза свои действия (например, работа без пароля или с легко угадываемым паролем)так и за сохранение в тайне своего пароля;

Выполнение этих задачвозможно при использовании существующих многочисленных видов защиты информации,которые условно можно объединить в три основные группы;

• средства физическойзащиты(защита кабельной системы, телекоммуникационной аппаратуры, антенн, средстваархивации и т.д.)

Физические меры защитыоснованы на применении разного рода механических, электро- илиэлектронно-механических устройств и сооружений, специально предназначенных длясоздания физических препятствий на возможных путях проникновения и доступапотенциальных нарушителей к компонентам системы и защищаемой информации, атакже технических средств визуального наблюдения, связи и охраннойсигнализации.

• программные средствазащиты (антивирусныепрограммы, системы разграничения полномочий, программные средства контролядоступа, криптографическая защита информации)

Программные (аппаратно-программные)меры защиты основаны на использовании различных электронных устройств испециальных программ, входящих в состав АС и выполняющих (самостоятельно или вкомплексе с другими средствами) функции защиты (идентификацию и аутентификациюпользователей, разграничение доступа к ресурсам, регистрацию событий,криптографическое закрытие информации и т.д.).

• административные мерызащиты (контрольдоступа в помещения, разработка стратегии безопасности, планов действия вчрезвычайных ситуациях, профилактические работы.

Организационные(административные) меры защиты – это меры организационного характера, регламентирующие процессыфункционирования системы обработки данных, использование ее ресурсов,деятельность персонала, а также порядок взаимодействия пользователей с системойтаким образом, чтобы в наибольшей степени затруднить или исключить возможностьреализации угроз безопасности. Они включают:

• мероприятия,осуществляемые при проектировании, строительстве и оборудовании серверных идругих объектов систем обработки данных;

• мероприятия поразработке правил доступа пользователей к ресурсам системы (разработка политикибезопасности);

• мероприятия,осуществляемые при подборе и подготовке персонала системы; в подавляющем случаесовершения компьютерного преступления невозможно без участия инсайдера;

• организацию охраны инадежного пропускного режима;

• организацию учета,хранения, использования и уничтожения документов и носителей с информацией;

• распределениереквизитов разграничения доступа (паролей, ключей шифрования и т.п.);

• организацию явного искрытого контроля за работой пользователей;

мероприятия,осуществляемые при проектировании, разработке, ремонте и модификациях оборудованияи программного обеспечения и т.п.

4. Проект техническогозадания автоматизации функции сбора и обработки информации для центральногоофиса банка о деятельности его филиалов

4.1 Назначение построенияинформационной системы в банке

Главной целью созданияинформационной системы на уровне Центрального офиса коммерческого банкаявляется объединение в единое информационное пространство всех структурныхединиц (филиалов) банка.

Эта информационнаясистема позволит решить следующие задачи:

ü   автоматизировать учетпоступлений платежей клиентов по системе банка;

ü   вести автоматический учетклиентов;

ü   учет движений по счетам;

ü   учет, проводимых работ сдругими банками;

ü   информационный обмен, втом числе обмен электронной почтой, файлами и т.п. между структурнымиподразделениями банка;

ü   информационное обеспечениеруководящего персонала необходимой информацией для принятия управленческихрешений;

ü   обеспечение сбора, обработкии надежного хранения корпоративной информации;

ü   автоматизация системыдокументооборота;

ü   реализацияконтролируемого доступа к внутренним ресурсам информационной системы.

Единое информационноепространство предполагает, что все пользователи будут работать с реальнымиданными, которые могут быть только что созданы, внесены или откорректированы ихколлегами из других отделов, даже если эти отделы находятся в разных местах.

Для выполнениявышеперечисленных задач информационная система должна выполнять:

ü   сбор первичной информациио поступлении платежей в установленном порядке и их автоматическую регистрацию;

ü   передача информациипользователю системы или ее рассылка по локальной сети;

ü   хранение и поддержку врабочем состоянии коллективно используемой информации в центральной базеданных.

4.2 Переченьавтоматических рабочих мест и предъявляемых к ним требовании

Уполномоченный сотрудникЦентрального офиса банка нуждается в информационной поддержке для выполнениясвоих служебных обязанностей (к примеру, о состоянии кредитно – инвестиционногопортфеля филиала банка, доходов и затрат за отчетный период и т.п.)

Данная информационнаясистема требует создания следующих автоматизированных рабочих мест (АРМ):

1. АРМ руководителейкредитного департамента, бухгалтерского учета и отчетности, планирования иконтролинга;

2. АРМ администраторасети;

3. АРМ начальника отделаконтроля деятельности филиалов;

4. АРМ начальникапланового отела

5. АРМ начальникаметодологии и анализа

6. Начальника отделакредитных рисков

Руководству Центральногоофиса банка требуется обобщенная, достоверная и полная информация, позволяющаяпринимать правильные управленческие решения. Ему также необходимы данные дляанализа и планирования различных финансово – экономических показателейдеятельности структурных подразделений банка.

4.3 Требования каппаратной части

Данная информационная системадолжна соответствовать следующим требованиям:

1.        Относительнодешевая при максимальном спектре возможностей;

2.        Постепени территориальной распределённости – локально-вычислительная сеть срежимом работы «Клиент–сервер»;

3.        Поспособу управления – централизованная с выделением центрального уровня.

4.        Похарактеру передачи данных – с маршрутизацией и коммуникацией информации;

5.        Похарактеру реализации функции – информационно – вычислительная;

6.        Потопологии – широковещательная с типом коонфигурации «звезда с пассивнымцентром»

Каждый АРМ должен:

-           обеспечиватьдиалоговый режим работы;

-           обеспечиватьпечать всех выходных форм на бумажном носителе информации с требуемымколичеством экземпляров;

– создавать копииотчетов распоряжений, а так же другой документации на магнитных носителях

Сервисные функцииаппаратной части информационной системы:

-             возможностьнастройки АРМ;

-             возможностьархивации данных;

-             использованиефункций счетной машины и календаря;

-             электроннаяпочта;

-             возможностьоперативной обработки табличной, графической, текстовой информации.

Заключение

Бурное развитиеинформационных технологий имеет и свой негативный аспект: это открыло дорогудля новых форм антисоциальной и преступной деятельности, которые ранее были невозможны.Компьютерные системы содержат в себе новые уникальные возможности длясовершения ранее неизвестных правонарушений, а также для совершениятрадиционных преступлений, однако, более эффективными способами.

С развитием международныхглобальных компьютерных и телекоммуникационных сетей возникли новые сферы длясовершения преступлений:

1. Международнаяэлектронная система банковских расчетов.

2. Система платежей сприменением кредитных карточек.

3. Система международныхтелекоммуникаций.

4. Использованиеавтоматизированных банков данных.

Широкое использованиекомпьютеров поставили некоторые сферы современной жизни в прямую зависимость отних. Коммерческая деятельность и банковская система, транспорт, атомныеэлектростанции и автоматизированные производственные процессы – вот некоторыепримеры жизненно важных областей, где компьютерные системы много значат.

Информационно-технологическаяреволюция привела к драматическим изменениям в способе выполнения своихобязанностей для большого числа профессий. Теперь нетехнический специалистсреднего уровня может выполнять работу, которую раньше делалвысококвалифицированный программист. Служащий имеет в своем распоряжениистолько точной и оперативной информации, сколько никогда не имел.

Но использованиекомпьютеров и автоматизированных технологий приводит к появлению ряда проблемдля руководства организацией. Компьютеры, часто объединенные в сети, могутпредоставлять доступ к колоссальному количеству самых разнообразных данных.Поэтому люди беспокоятся о безопасности информации и наличии рисков, связанныхс автоматизацией и предоставлением гораздо большего доступа к конфиденциальным,персональным или другим критическим данным. Все увеличивается числокомпьютерных преступлений, что может привести, в конечном счете, к подрывуэкономики. И поэтому должно быть ясно, что информация – это ресурс, которыйнадо защищать.

Использованная литература

1.        Ананьєв,О.М. Інформаційні системи і технології в комерційній діяльності [Текст]:підручник / О.М. Ананьєв, В.М. Білик, Я.А. Гончарук. – Львів: Новий Світ‑2000,2006. – 584 с.

2.        Антонов,В.М. Фінансовий менеджмент: сучасні інформаційні технології [Текст]: навчальнийпосібник / В.М. Антонов, Г.К. Яловий; ред. В.М. Антонов; Мін-воосвіти і науки України, КНУ ім. Т.Г. Шевченка. – К.: ЦНЛ, 2005. – 432 с.

3.        Гужва,В.М. Інформаційні системи і технології на підприємствах [Текст]: навчальнийпосібник / В.М. Гужва; Мін-во освіти і науки України, КНЕУ. – К.: КНЕУ,2001. – 400 с.

4.        Гуржій,А.М. Інформатика та інформаційні технології [Текст]: підручник / А.М. Гуржій,Н.І. Поворознюк, В.В. Самсонов. – Х.: Компанія СМІТ, 2003. – 352 с.

5.        Информационныесистемы и технологии: приложения в экономике и управлении: Кн. 6 [Текст]:учебное пособие / Мин-во образования и науки Украины, Донецкий нац. ун‑т;ред. Ю.Г. Лысенко. – Донецк: Юго-Восток, 2004. – 377 с.

6.        Маслов,В.П. Інформаційні системи і технології в економіці [Текст]: навчальний посібник/ В.П. Маслов; Мін-во освіти і науки України. – К.: Слово, 2003. – 264 с.

7.        Олійник,А.В. Інформаційні системи і технології у фінансових установах [Текст]: навчальнийпосібник / А.В. Олійник, В.М. Шацька. – Львів: Новий Світ‑2000,2006. – 436 с.

8.        Румянцев,М.И. Информационные системы и технологии финансово-кредитных учреждений[Текст]: учебное пособие для вузов / М.И. Румянцев; Западнодонбасский ин‑тэкономики и управления. – Днепропетровск: ИМА-пресс, 2006. – 482 с. –

9.        Черняк,О.І. Системи обробки економічної інформації [Текст]: підручник / О.І. Черняк, А.В. Ставицький,Г.О. Чорноус. – К.: Знання, 2006. – 447 с.