Бездействие к добру и действие ко злу - равны. © Александр Дьяков 990 - | 730 - или читать все...
Обратная связь Пожаловаться на материал

Внесение оперативных изменений в систему


⇐ ПредыдущаяСтр 19 из 47Следующая ⇒

 

Конкуренция и изменения внешних условий требуют от организации постоянного движения в развитии бизнес-процедур и непрерывной модификации информационной системы. При этом часто бюджет организации не позволяет создавать новый проект на каждое новое изменение в системе, что делает их частью ежедневной оперативной работы, в которую входят:

- разработка новых отчетов и печатных форм;

- изменения в документопотоке системы;

- администрирование пользователей системы и их обучение;

- изменение отдельных функций системы.

 

Обеспечение актуальной справочной информации

Под внешними справочниками информационной системы подразумеваются таблицы данных, формируемые внешними источниками. К ним относятся:

* справочники финансовых инструментов:

- справочник валют;

- справочник ценных бумаг сторонних эмитентов;

* справочники участников рынка:

- справочники банков;

- справочники юридических лиц;

* справочники законодательных актов.

Список может быть дополнен и другими справочниками в зависимости от деятельности организации. Особенностью работы по обеспечению актуальной информации является то, что роль ИТ-подразделения состоит в техническом обеспечении своевременной загрузки данных. За полноту данных и поиск источников обычно отвечают потребители этой информации. Однако дополнительной задачей для ИТ-подразделения при выполнении этой работы является обобщение требований и предлагаемых источников от различных потребителей и построение единой справочной системы организации вместо разрозненных баз данных.

Информационная безопасность

 

Наряду с преимуществами информационные системы таят в себе и опасности, среди которых возможность несанкционированного доступа к информации и даже осуществления операций. Информационная безопасность является важнейшим аспектом информационных технологий и направлена на защиту как клиентской, так и внутренней информации от несанкционированных действий.

Стремительное развитие информационных систем в российских банках делает проблему защиты информации еще более актуальной. Несмотря на то что по сравнению с западными банками доля автоматизированных бизнес-процессов в нашей стране все же ниже, случаи нарушений деятельности банков в результате информационных сбоев, как умышленных, так и неумышленных, становятся все более частыми.

Развитие информационных технологий в кредитных организациях привело к тому, что в настоящее время информационные системы стали частью организации в целом, ее кровеносной и нервной системой. Любой сбой в движении информационных потоков или нарушение правил доступа к ним приводят к проблемам в работе всей организации и, как следствие, к дополнительным расходам или упущенной выгоде. Сохранение информационной системы в рабочем состоянии и полный контроль ее использования - главная задача ИТ-департамента организации. Для этого создаются системы информационной безопасности. Их цель - предотвращение и устранение исключительных ситуаций в работе информационных систем.

Сам термин "информационная безопасность" первоначально использовался для определения комплекса мер по защите информации от несанкционированных действий. Однако практика показала, что общий объем ущерба, наносимый информационным системам осознанно, в результате противоправных действий, ниже ущерба, возникающего в результате ошибок и сбоев. Поэтому в настоящий момент понятие информационной безопасности включает в себя весь комплекс мер по предотвращению и устранению сбоев в работе информационных систем, по организации и защите информационных потоков от несанкционированного доступа и использования.

Рассматривая информационную безопасность, следует иметь в виду именно единую систему, включающую в себя на только комплекс мер по предотвращению и выявлению нарушений, но и механизмы восстановления работоспособности и снижения ущерба, полученного в результате исключительного события. Данная глава рассматривает основные правила построения такой системы. В ней обсуждаются причины различных сбоев и нарушений в системе, методы защиты и восстановления, а также предлагается методика оценки затрат на создание системы информационной безопасности.

Информационная система рассматривается нами как единое целое программно-аппаратного комплекса и человеческих ресурсов. Под нарушением будет пониматься любое нерегламентированное событие в информационной системе, способное привести к нежелательным для организации последствиям.

Остановимся на основных группах таких событий более подробно. В нашей классификации их три: нарушения конфиденциальности, изменения в системе, утрата работоспособности.

 

Нарушения конфиденциальности

 

Причиной возникновения проблем данной группы является нарушение движения информационных потоков или ошибки в системе доступа. Из-за того, что данные виды нарушений никак не влияют на состояние системы, выявить их очень сложно. Только небольшое число подобных нарушений можно вычислить в результате анализа файлов протокола доступа к отдельным объектам системы.

Для иллюстрации рассмотрим наиболее часто встречающиеся примеры нарушения доступа к информации:

* ошибки администрирования:

- неправильное формирование групп пользователей и определение прав их доступа;

- отсутствие политики формирования паролей пользователей. При этом до 50% пользователей используют простые, легко подбираемые пароли, такие, как "123456", "qwerty" или собственное имя;

- ошибки в формировании итоговых и агрегированных отчетов и доступа к ним. Примером может являться отчет по выпискам из счетов банка или сводный бухгалтерский журнал, которые хранят всю информацию по операциям кредитной организации и формируются в бухгалтерии, где за доступом к данным отчетам часто не ведется контроль;

- наличие открытого доступа для представителей сторонней организации, выполняющей какие-либо подрядные работы;

* ошибки проектирования информационной системы:

- использование недостаточно защищенной среды для разработки информационной системы. Очень часто, особенно для систем, располагаемых на локальных компьютерах, доступ к информации можно получить не через интерфейс программы, который требует пароля, а напрямую читая из таблиц базы данных;

- ошибки алгоритмов доступа к данным. Особенно это касается разработки систем криптозащиты, где часто вместо дорогостоящих систем в целях экономии используются собственные разработки, только эмитирующие систему защиты;

- небрежность в разработке системы защиты. Один из примеров данной небрежности - забытая разработчиками точка доступа в систему, такая, как универсальный пароль;

* небрежность пользователей в вопросах информационной безопасности:

- нарушение хранения паролей для доступа в информационную систему. Иногда пользователи просто пишут пароль на бумаге и оставляют ее около компьютера. Особенно это распространено в организациях, где администратор системы требует сложных паролей, которые легко забыть. Также часто встречается абсолютно недопустимая практика передачи паролей сотрудниками друг другу;

- сохранение закрытого соединения после окончания работы. Уходя на обед или домой, пользователь не выключает компьютер и не выходит из банковской системы. Если система не имеет механизма временного отключения неактивных пользователей, данное нарушение делает бессмысленным большинство других требований системы безопасности;

- нерегламентированное обсуждение зарытой информации. При рассмотрении данного нарушения особенно следует обращать внимание на сотрудников информационных служб;

* умышленный взлом системы:

- через внешние точки доступа в информационную систему, например через Интернет. Самый опасный вид взлома, так как нарушитель недоступен или почти недоступен для службы безопасности и, чувствуя свою безнаказанность, может нанести максимальный вред организации;

- нерегламентированное подключение к собственной сети (информационным коммуникациям) банка. С развитием сетевых технологий данный вид нарушений встречается достаточно редко. Однако остается возможным, особенно если банк имеет развитую систему коммуникаций, выходящих за пределы одного здания;

- анализ неуничтоженных черновых документов системы. Данный вариант утечки информации практически не рассматривается службами безопасности, появляется самым легким методом получения информации для злоумышленников. В первую очередь это относится к черновым распечаткам из отдела информационных технологий.

 

Изменения в системе

 

Нарушение целостности или нерегламентированные изменения в информационной системе приводят к более серьезным последствиям, чем нарушения конфиденциальности. Однако при правильном построении информационной безопасности нерегламентированные изменения могут быть зарегистрированы и выявлены в процессе работы. Кроме того, существуют дополнительные механизмы защиты от них, такие, как электронная подпись, благодаря чему общее количество данных нарушений меньше, чем нарушений доступа на просмотр информации, хотя их последствия более серьезны.

Причины, приводящие к нарушениям записи информации в системе, можно сгруппировать следующим образом:

* ошибки программирования:

- ошибка кодирования системы. Данного типа нарушений невозможно избежать в случае развития системы. Безусловно, качественное тестирование, опытная эксплуатация снижают их количество, и при достаточно тщательном тестировании потери от них сводятся к нулю, однако при этом часто страдает оперативность предлагаемого решения, что приводит к потере того преимущества, которое должна была дать данная разработка. К тому же стоимость тестирования может превысить ожидаемый эффект;

- ошибки в обновлении версий. Современные механизмы обновления версий, как правило, позволяют избежать сбоев при установке новой версии. Однако полностью избежать такой опасности невозможно, особенно когда речь идет о сложной многомодульной системе. Разработчики в принципе не могут смоделировать все ситуации взаимодействия различных модулей различных версий. Поэтому типичной рекомендацией при установке новой версии является сохранение возможности вернуться на старую версию и предварительное тестирование;

* ошибки ввода:

- ошибка ручного ввода - самая распространенная. Рост ошибок ручного ввода наблюдается в случаях обновления системы, изменения технологической цепочки, роста загруженности персонала или при смене сотрудника. Отсутствие этих факторов обычно приводит к снижению вероятности данной ошибки;

* технические сбои:

- сбой в работе системы, нарушение транзакции. Особенно подвержены данному виду сбои системы, базирующиеся на нетранзакционных базах данных. Промышленные СУБД, такие, как ORACLE, MS SQL, Sybase, как правило, обеспечивают целостность данных при любом виде сбоев, хотя и не дают абсолютных гарантий;

- нарушения передачи данных в каналах связи. Крайне редки случаи, когда данный вид сбоя системы приводит к изменению данных. Это связано с наличием механизма учета контрольных сумм, применяемого во всех имеющихся на сегодняшний день протоколах связи;

* умышленные нарушения в системе:

- несанкционированный умышленный ввод данных через пользовательский интерфейс;

- несанкционированные изменения в системе, минуя пользовательский интерфейс;

- подмена отдельных компонентов системы. Достаточно просто выявляемый, путем проверки контрольных сумм, тип нарушений;

- отдельной разновидностью данного вида нарушений являются вирусы. Они часто встречаются, и поэтому в каждой организации осуществляется мониторинг на их наличие. Вирусы и другие "зловредные" программы, как правило, распространяются случайным образом, и их ущерб ограничивается потерей работоспособности системы. Поэтому они могут быть отнесены и к следующей группе.

 

Дата добавления: 2019-01-14; просмотров: 200; Мы поможем в написании вашей работы!

Поделиться с друзьями:


⇐ Предыдущая14151617181920212223Следующая ⇒


Мы поможем в написании ваших работ!
.
.
© 2014-2024 — Студопедия.Нет — Информационный студенческий ресурс. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав (0.017)