Автоматизированные банковские системы. Система «Клиент-Банк»

Рисунок 4. Страница налоговых полей (рублевое платежное  поручение)

 

Страницы Служебные  и Состояние содержат общий для всех типов документов набор полей. Эти поля недоступны для редактирования, а только для просмотра, так как являются информационными по своему назначению.

Работа  со списками объектов

Структура списка

 

В АРМ «Клиент» имеется  возможность работы со списками следующих  объектов:

- документ;

- запись в справочнике;

- входящий/исходящий файл;

- событие в системе.

Список объектов расположен в центральной части окна и  имеет вид таблицы. Строка таблицы представляет собой запись об объекте. Запись состоит из полей, в которых хранятся значения параметров объекта. Значения одинаковых параметров объектов (поля таблицы) сгруппированы по столбцам. В процессе работы со списками объектов пользователь выполняет следующие действия:

- выбор объекта (документа, записи справочника и т.д.) в списке;

- добавление нового объекта;

- просмотр объекта;

- редактирование объекта;

- удаление объекта и т.д.

Изменение состава  видимых полей в списке

Каждая запись (строка) в  списке состоит из набора полей, в  которых содержится информация об объекте. Поля, в свою очередь, принадлежат тем или иным столбцам списка. В заголовке столбца отображается название поля. Если поле (столбец) отображается в списке, то оно называется видимым. Но в некоторых случаях удобно сделать часть полей невидимыми, чтобы скрыть ненужную в текущий момент времени информацию.

Чтобы сделать  видимое поле невидимым:

1) Наведите курсор на  строку текущей подсистемы и  щелкните правой клавишей

мыши. Откроется контекстное  меню, изображенное на рисунке 5.

Рисунок 5. Контекстное  меню строки индикатора текущей подсистемы

2) Выберите пункт Выбрать поля. Откроется окно Настройка вида (рис. 6).

 

Рисунок 6. Окно для  изменения состава видимых/невидимых  полей

 

3) В списке объектов  наведите курсор мыши на заголовок  поля (столбца), которое необходимо сделать невидимым, нажмите левую клавишу мыши и, удерживая ее нажатой, перетащите поле в область окна Настройка вида, после этого отпустите левую клавишу мыши. Название поля появится в списке окна Настройка вида, а само поле (столбец) «исчезнет» из списка объектов.

 

 

Создание, редактирование и удаление  нового документа

Чтобы создать  новый документ:

1) В подсистеме Документы откройте папку, в который необходимо создать новый документ. В центральной части окна отобразится список документов папки.

2) На панели инструментов  нажмите кнопку (Новая запись). Откроется  окно редактора документа в режиме создания нового документа. (см. рис. 3)

3) Заполните необходимые  поля формы документа

4) После заполнения полей,  сохраните документ с помощью  кнопки Сохранить. В списке документов появится запись о созданном документе.

Чтобы отредактировать  документ:

1) В подсистеме Документы откройте папку, в который находится нужный документ. В центральной части окна отобразится список документов папки.

2) В списке документов  выберите документ, который необходимо  отредактировать, и на панели инструментов нажмите кнопку (Редакция записи). Откроется окно редактора документа в режиме правки (рис. 7).

Рисунок 7. Редактирование документа

 

3) Внесите необходимые  изменения в документ, а затем  сохраните его с помощью кнопки Сохранить.

 

Чтобы удалить  документ:

1) В подсистеме Документы откройте папку, в который находится нужный документ. В центральной части окна отобразится список документов папки.

2) В списке документов  выберите документ, который необходимо  удалить.

3) В главном меню выберите  пункт Правка > Удалить запись или нажмите клавишу

Delete. Появится сообщение подтверждения удаления (рис. 8).

 

 

Рисунок 8. Удаление документа

 

 

Создание контрольной  точки

 

Работа с программой подразумевает  создание контрольной точки системным  администратором для последующего восстановления системы с предыдущими  настройками, в случае неудачной  установке или сбоя аппаратного  обеспечения. Контрольные точки  создаются в программе автоматически  при внесении любых существенных изменений, при входе в систему, при работе с ЭЦП (регистрация, удаление, прием ЭЦП).

Для создания контрольной точки вручную необходимо запустить «Мастер сохранения/восстановления системы» через пункт меню Файл > Сохранение и восстановление.

 

Рисунок 9. Мастер сохранения/восстановления

 

Для создания контрольной  точки выберите соответствующую  задачу и нажмите кнопку (рис. 10).

 

Рисунок 10 Параметры контрольной точки

 

Далее необходимо выбрать, что  сохранять. В случае сохранения настроек сохраняются только пользовательские настройки системы. Для того чтобы сохранить и данные выберите тип «настройки и все данные». После указания параметров нажмите соответствующую кнопку для запуска сохранения.

 

ЧАСТЬ 3

Информационная  безопасность

 

Понятие коммерческой тайны  введено Гражданским кодексом Российской Федерации, где сказано, что «информация составляет… коммерческую тайну в случае, когда имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа, на законном основании, и обладатель информации принимает меры к охране ее конфиденциальности». Исходя из этого определения, информационная безопасность банка базируется на достоверной информации о рынке и конкурентах и надежной защите своей коммерческой тайны. Главными источниками угроз для ценной коммерческой информации являются:

- противоправные посягательства  со стороны недобросовестных и несостоятельных партнеров или клиентов;

- ущемление прав и законных  интересов со стороны государственных органов и должностных лиц;

- криминальное насилие,  промышленный шпионаж, посягательства на коммерческую тайну и интеллектуальную собственность;

- недобросовестность или  низкая квалификация сотрудников банка.

Защита банка должна рассматриваться  совместно с бизнесом и обеспечивать приемлемый уровень риска. Если уровень риска больше требуемого, то защита недостаточна, а если меньше, то затраты на защиту излишни. Чтобы определить требования к средствам защиты банковской тайны, необходимо, прежде всего, выявить слабые стороны системы, оценить их в терминах вероятности либо в иной числовой или функциональной форме и просчитать последствия, к которым может привести уязвимость системы.

Если исходить из 4–уровневой схемы секретности, то коммерческую информацию можно классифицировать следующим образом: жизненно важная информация, важная информация, «чувствительная» информация, общедоступная информация. Объем жизненно важной информации незначителен, к ней имеет доступ ограниченный круг людей (руководство банка, доверенные лица аппарата, ведущие кадровые сотрудники и т.п.), но меры по ее защите — наиболее серьезные. Важная информация — информация, последствия потери которой связаны с большими моральными и материальными затратами. Это основная часть конфиденциальной информации, находящейся в обороте основного кадрового состава, —  информационный ресурс, требующий защиты. Объем ее в общем потоке невелик — порядка 5%. Для жизненно важной и важной информации наиболее надежными являются средства криптографической защиты. В системе защиты должны быть учтены возможные неисправности, паразитные электромагнитные, акустические и иные каналы утечки, ошибки операторов и другие опасные события. От утечки информации должны быть защищены также помещения и технические средства, в которых обрабатывается жизненно важная информация. «Чувствительная» информация — это информация, потеря которой наносит ущерб, при наличии которого банк может эффективно функционировать. Однако накопление и систематизация «чувствительной» информации может привести к опасным и нежелательным последствиям. Фактически, это основной объем служебной информации коммерческого банка, доступ к которой должен быть ограничен. И, наконец, общедоступная информация, не требующая защиты.

 

Защита  банковской информации.

 

 Банковская информация всегда была объектом пристального интереса всякого рода злоумышленников. Любое банковское преступление начинается с утечки информации. Автоматизированные банковские системы являются каналами для таких утечек. С самого начала внедрения АБС они стали объектом преступных посягательств. В США сумма ежегодных убытков банковских учреждений от незаконного использования компьютерной информации составляет, по оценкам экспертов, от 0,3 до 5 млрд. долларов. Информация – это аспект общей проблемы обеспечения безопасности банковской деятельности. Но даже предельно жесткие организационные меры по упорядочению работы с конфиденциальной информацией не защитят от ее утечки по физическим каналам. Поэтому системный подход к защите информации требует, чтобы средства и действия, используемые банком для обеспечения информационной безопасности – организационные, физические и программно–технические – рассматривались как единый комплекс взаимосвязанных, взаимодополняющих и взаимодействующих мер. Такой комплекс должен быть нацелен не только на защиту информации от несанкционированного доступа, но и на предотвращение случайного уничтожения, изменения или разглашения информации, в том числе в результате пожара, наводнения, стихийных бедствий, аварий и других нарушений нормальной работы банка.

 

Зарубежный  опыт.

 

Западная АБС, так и  типичные платформы (СУБД, операционная система), на которых она базируется, уже содержат настроенные средства предотвращения несанкционированного доступа. Однако этих средств недостаточно для обеспечения безопасности информационной системы банка, и они должны быть в обязательном порядке дополнены следующими мерами:

– организационными мероприятиями, в том числе оперативными и негласными; по контролю за персоналом, имеющим высокий уровень полномочий на действия в АБС: программистами, системными администраторами, организационными и техническими мероприятиями по резервированию критически важной информации;

– организационными мероприятиями  по обеспечению восстановления работоспособности АБС в случае возникновения нестандартных ситуаций;

– организационными и техническими мероприятиями по управлению доступом в помещения, в которых находятся вычислительная техника и носители данных.

Контроль доступа в  АБС осуществляется на основе трех принципов:

- ограничения доступа;

- разграничения доступа;

- регистрации доступа.

Принцип ограничения доступа: субъект системы должен иметь  не больше и не меньше прав доступа, чем ему необходимо для нормальной работы.

Принцип разграничения доступа: объект системы должен быть доступен только тем субъектам, которые имеют определенные для данного объекта права доступа.

Принцип регистрации доступа: каждый факт доступа субъекта системы к объекту системы должен быть зарегистрирован в специальном системном журнале.

Совокупность этих трех принципов  может быть определена как контроль доступа, а средства для их осуществления – как средства контроля доступа. Выполнение этих принципов выполняет администратор системы и администратор безопасности.

 

Системы защиты информации

 

Системы защиты информации отражают традиционный подход к вычислительной сети как к потенциально ненадежной среде передачи данных. Существует несколько основных способов обеспечения безопасности программно–технической среды, реализуемых различными методами:

1.Идентификация (аутентификация) и авторизация при помощи паролей.

1.1.Создание профилей пользователей.  На каждом из узлов создается база данных пользователей, их паролей и профилей доступа к локальным ресурсам вычислительной системы.

1.2.Создание профилей процессов. Задачу аутентификации выполняет независимый (third–party) сервер, который содержит пароли, как для пользователей, так и для конечных серверов (в случае группы серверов, базу данных паролей также содержит только один (master) сервер аутентификации; остальные – лишь периодически обновляемые копии). Таким образом, использование сетевых услуг требует двух паролей (хотя пользователь должен знать только один – второй предоставляется ему сервером «прозрачным» образом). Очевидно, что сервер становится узким местом всей системы, а его взлом может нарушить безопасность всей вычислительной сети.

2.Инкапсуляция передаваемой  информации в специальных протоколах обмена. Использование подобных методов в коммуникациях основано на алгоритмах шифрования с открытым ключом. На этапе инициализации происходит создание пары ключей – открытого, и закрытого, имеющегося только у того, кто публикует открытый ключ. Суть алгоритмов шифрования с открытым ключом заключается в том, что операции шифрования и дешифрования производятся разными ключами (открытым и закрытым соответственно). Это позволяет конфиденциально общаться известному реципиенту, (кто эмитирует открытые ключи) и частному отправителю информации. Построенным на шифровании системам присущ риск компрометации путем подбора ключей шифрования.

3.Ограничение информационных  потоков.

3.1. Firewalls (брандмауэры). Метод подразумевает создание между локальной и глобальной сетями специальных промежуточных серверов, которые инспектируют и фильтруют весь проходящий через них трафик сетевого/транспортного уровней. Это позволяет резко снизить угрозу несанкционированного доступа извне в корпоративные сети, но не устраняет эту опасность совсем. Более защищенная разновидность метода – это способ маскарада (masquerading), когда весь исходящий из локальной сети трафик посылается от имени firewall–сервера, делая локальную сеть практически невидимой.