Информационные системы

Источники угроз по отношению к АС могут  быть внешними или внутренними (компоненты самой АС - ее аппаратура, программы, персонал).

Защита  информации.

      Для создания эффективной системы противодействия  перечисленным угрозам необходимо обеспечить совокупность программно-технических  средств, организационных (административных) правил, правовых и морально-этичных норм.

      На  первом этапе необходимо реализовать  комплексное управление доступом и  защиту от несанкционированного доступа (НСД) в информационной сети в целом, разработать и утвердить положение  об информационной сети ЦАПК.

      Необходимо  обозначить основные информационные потоки между компонентами ЦАПК. Учитывая организационную структуру предприятия, для сотрудников и служб операционного, расчетного и технического отделов ЦАПК необходимо регламентировать процессы функционирования процессинговых систем, использование информационных ресурсов, деятельность сотрудников, включая доступ к информационным ресурсам.

      В «Положении об информационной сети ЦАПК»  необходимо отразить:

• цели создания и перечень задач, решаемых при помощи информационной сети ЦАПК;

• состав информационной сети ЦАПК;

• перечень нормативных документов, регламентирующих защиту от НСД и управлением доступом в информационную сеть ЦАПК;

• функциональные обязанности подразделений, осуществляющих проектирование, модернизацию, промышленную эксплуатацию и управление информационной сети ЦАПК;

• подразделение  и перечень должностных лиц, на которых  возложена ответственность за осуществление  контроля и управления информационной сетью ЦАПК в целом;

• порядок  регистрации и наделения пользователей  правами доступа к ресурсам информационной сети ЦАПК;

• порядок  учета и хранения эталонного программного обеспечения сетевого оборудования и технической документации.

      На  базе созданного Положения необходимо разработать и утвердить Концепцию  технической защиты информационной сети ЦАПК, при этом отделу защиты информации разработать и внедрить нормативные документы, в которых:

• определить основные интересы ЦАПК, требующие  защиты в связи с наличием информационной сети ЦАПК;

• разработать  модель угроз и провести анализ рисков;

• на основании  модели угроз классифицировать все  информационные потоки и информационные системы по признакам ценности и  конфиденциальности содержащихся в  них сведений;

• обеспечить контроль выполнения требований антивирусной политики;

• разработать  планы внедрения средств защиты для компонентов и служб ЦАПК;

• разработать  планы восстановительных работ  в случае возникновения аварий в  оборудовании;

• разработать  требования по управлению доступом субъектов  к ресурсам информационной сети ЦАПК;

• разработать механизмы фиксации критичных для безопасности работы ЦАПК событий;

• разработать  требования к резервированию оборудования;

• разработать  требования по эксплуатации сетевого оборудования и конфигурации его  программного обеспечения;

• правила  работы пользователей в сети Интернет;

• правила  использования персональных компьютеров;

• правила  использования электронной почты (сети Интернет);

• порядок  действий администратора при нарушениях требований по обеспечению безопасности и возникновении нештатных ситуаций.

Реализация  предложенных мер требует создания комплексной системы защиты ЦАПК.

При этом необходимо использование как штатных:

• криптографические  средства, реализованные в платежных  системах.

• средства разграничения доступа и криптографии, реализованные в OC WINDOWS 2000.

• средства разграничения доступа ОС, реализованные  в операционных системах файловых серверов.

• средства разграничения доступа, реализованные  в системе управления базой данных (СУБД).

• средства разграничения доступа, реализованные  в устройствах коммутации пакетов.

так и  дополнительных средств защиты:

• средства разграничения доступа, обнаружения  сетевых атак и межсетевого экранирования, для устройств коммутации пакетов.

• средства защиты, реализованные для различных  компонентов платежной системы ЦАПК (защищенная электронная почта и т.д.).

• средства защиты, реализованные в различных  приложениях и комплексах ЦАПК.

• средства идентификации и аутентификации доступа к серверам приложений.

• Средства мониторинга и контроля информационной сети ЦАПК.

Основные  этапы создания системы  защиты информации.

      Учитывая  организационную структуру ЦАПК, а также структуру его взаимодействия с внешними компонентами, создание защищенной среды для обработки  информации целесообразно начать с  внедрения защищенной автоматизированной системы единого файлового обмена между информационными службами ЦАПК. Построив его между сотрудниками и службами ЦАПК на базе правовых и морально-этичных норм, в должностные обязанности сотрудников включаются права и ответственность за переданную, принятую информацию. Контролируется обмен между приложениями компонентов ЦАПК, организационными мерами обеспечивается права и ответственность должностных лиц, ответственных за работу приложений. При этом каждый переданный файл имеет владельца (отправителя), ответственного за передаваемую информацию, подтвержденную его цифровой подписью, и механизмы, гарантирующие, что файл будет гарантировано, доставлен и принят только получателем, которому он адресован. На базе такой технологии строятся базовые правовые взаимоотношения между сотрудниками и службами всех подразделений ЦАПК.

      На  втором этапе для каждой рабочей  станции определяются ресурсы, нуждающиеся  в защите, основные угрозы для различных  информационных ресурсов и требования к защите от этих угроз. На рабочих местах и серверах ЦАПК средства защиты от НСД. Для этих целей на все рабочие станции ЦАПК устанавливается ОС WINDOWS 2000/XP, конфигурируются для каждой рабочей станции средства разграничения доступа и средства для аудита и контроля и п.д.

      Для файловых серверов, серверов баз данных, средств маршрутизации выбираются средства для организации разграничения  доступа, аудита и контроля и т.д.

      Со  стороны службы информационной безопасности обеспечивается полный контроль соблюдения требований защиты от НСД, непрерывное выявление и регистрация внешних и внутренних умышленных и неумышленных, прямых и косвенных нарушений политики безопасности, имеющих как объективную, так и субъективную природу, с обеспечением администратору безопасности возможности доступа ко всей необходимой информации из одной точки.

      Для этой цели можно применять различные  системы мониторинга и аудита средств защиты информационной сети.

      Системой  централизованного мониторинга  и аудита "Мираж" (разработчик  ООО «Институт компьютерных технологий» г. Киев) предусматривается такие средства защиты информации:

- для  каждого сотрудника, исходя из  его должностных обязанностей, определяются  правила разграничения доступа  к информационным ресурсам.

- внутренние  нормативные документы ЦАПК, учитывая технологию обработки информации, определяют информационные ресурсы, нуждающиеся в защите, основные угрозы и требования к защите от этих угроз.

      В целом политика безопасности определяется технологией обработки информации, особенностями используемых аппаратных и программных средств, физической средой, в которой эксплуатируется программно-аппаратные средства ЦАПК.

      Как часть политики безопасности выступают  регламентирующие правила доступа  пользователей к информационным ресурсам, которые необходимо определить для каждого пользователя – сотрудника ЦАПК Эффективность выполнения мер безопасности во многом зависит от полноты и четкости предварительно проведенных организационных мероприятий, качества нормативных документов, планирования сроков проведения работ, и т.д.

      Для полного контроля, анализа и управления средствами защиты необходимо создать  централизованную базу информации аудита. Сбор информации со всех установленных  средств защиты осуществляет сервер безопасности путем взаимодействия со своими агентами, установленными на контролируемых объектах, с защищаемыми информационными ресурсами.                         

      Выбор средств защиты информации во многом зависит от технологических возможностей применяемых программно-аппаратных средств. Предложенный подход организации информационной безопасности может быть полезен при планировании поэтапного внедрения средств защиты информации. Эффективность выполнения мер информационной безопасности во многом зависит от полноты и четкости, предварительно проведенных организационных мероприятий, качества нормативных документов, планирования сроков проведения работ, и т.д.

      В связи с необходимостью финансовых затрат для создания эффективных  средств защиты информации предложенные подходы призваны помочь избежать с  одной стороны дополнительных затрат, а с другой выполнить все необходимые меры для защиты информационной сети ЦАПК.

 

Заключение.

      Для принятия эффективных управленческих решений в условиях динамичного  развития рыночной экономики предприятию  требуется целесообразная система  информационного обеспечения, объективно отражающая сложившуюся экономическую ситуацию. Информационное обеспечение управления - это связь информации с системами управления предприятием и управленческим процессом в целом. Оно может рассматриваться не только в целом, охватывая все функции управления, но и по отдельным функциональным управленческим работам, например прогнозированию и планированию, учету и анализу. Это дает возможность оттенить специфические моменты, присущие информационному обеспечению функционального управления, раскрыв в то же самое время его общие свойства, что позволяет направить исследования вглубь.

      Люди  организуют свою деятельность в силу разных причин - чтобы закончить  работу или задание, чтобы сократить  или удалить дублирование действий, чтобы создать центры ответственности, чтобы обеспечить стабильность. Информационные системы должны поддерживать эти цели. Информационные системы обеспечивают определенные преимущества перед конкурентами автоматизируя операции внутри системы и улучшая качество или поставку конечного продукта организации. Преимущества внутри самой фирмы проявляются в поддержке операционного контроля, организации управленческого контроля и в стратегическом планировании. Также информационные системы улучшают качество продукта, расширяя его документальную базу и сервис. Используя глобальную компьютерную сеть Интернет, руководители способны получать и обмениваться оперативной информацией, а также проводить различного рода исследования.

Таким образом, использование технологий, которые входят в понятие информационная система - залог успешной деятельности на рынке.

Литература

"Методика  Финансового анализа"

А.Д. Шеремет, Е.В.Негашев.

г.  Ростов-на-Дону

«ФЕНИКС» 2003г.

"Финансы  на предприятиях"

Г.Д. Бейн

Издательство: Экономическая  Школа

1997 г.

"Бухгалтерский  учет"

Н.П. Кондраков

г.  Ростов-на-Дону

”Феникс”, 2002г.