· на подпись документов подписью директора;
· на вызов транспортного модуля для отправки/приема документов;
· на выполнение административных функций.
Защита АРМа Банка.
Защита базы данных документов.
База данных документов защищена стандартными средствами используемой Системой промышленной СУБД (Oracle, InterBase, MS SQL Server, Progress, Sybase и др.), исключающими возможность просмотра и модификации базы не из АРМа Банка.
Защита на уровне выполнения операций.
Для работы в АРМе Клиента необходимо знать пароля на доступ в АРМ и пароль на выполнение административных функций.
Защита на этапе передачи документов между АРМами Банка и Клиента.
Авторизация АРМа на Сервере Обмена Документами.
При обращении транспортного модуля АРМа Банка или Клиента Сервер Обмена Документами проверяет его имя и пароль. Эти имена берутся из конфигурации АРМа, где они хранятся в зашифрованном виде.
Шифрация документов.
Документы передаются в зашифрованном виде. Механизм шифрации, основанный на паре симметричных ключей реализует функции криптозащиты документов (шифрование по ГОСТ 28147-89) и аутентификации отправителя документа (электронная подпись по ОСТ ЦБ РФ). Кроме того возможно подключение системы защиты Верба-О.
Протоколирование
Все компоненты системы ведут протоколы своей работы, позволяющие, в случае спорных вопросов, восстановить реальную картину действий. Поскольку протоколы работы ведутся в 3 точках, даже уничтожение их злоумышленником, не сможет скрыть истинную картину.
АРМ Клиента ведет следующие протоколы:
· протокол смены ключей шифрации;
· протокол работы транспортного модуля;
· протокол операций по обмену документами.
АРМ Банка ведет следующие протоколы:
· протокол работы транспортного модуля;
· протокол операций по обмену документами;
· реестр проведенных документов.
Сервер Обмена Документами ведет протоколы, включающие в себя все процедуры обмена сообщениями.
АРМ Банка и АРМ Клиента ведут архивы всех документов. Архив документов синхронизируется с протоколами работы всех компонент системы по уникальным идентификаторам документов.
Технология контроля программно-компьютерных комплексов банка включает ряд контрольных процедур, которые должны выполняться на регулярной основе [14]:
1. Процедура администрирования вычислительной сети банка.
В рамках указанной процедуры проверяется наличие официально утвержденного администратора сети, топологической схемы вычислительной сети, а также расположение и наличие сетевого оборудования и разграничение прав доступа в вычислительную сеть банка.
2. Процедура контроля за соблюдением порядка предоставления сотрудникам прав доступа и его документальное оформление, а также наличие парольной защиты и соблюдение прав пользователей сети.
Указанная процедура заключается в проверке отсутствия в вычислительной системе возможности прямого доступа к различным ее компонентам, наличия необходимых документов, определяющих порядок разрешения доступа и принципы безопасности, наличия реального разграничения прав пользователей вычислительной сетью банка.
3. Процедура контроля обеспечения бесперебойной работы компьютерных и сетевых систем банка.
Контроль должен вестись на предмет наличия плана обеспечения бесперебойной работы банка, в том числе с учетом необходимости эвакуации персонала и оборудования в случае возникновения чрезвычайной ситуации.
4. Процедура контроля конфигурации и эксплуатации рабочих станций и серверов банка, а также разграничения доступа к ним сотрудников банка.
В рамках указанной процедуры проверяется наличие необходимой документации, невозможность проникновения (в том числе и на физическом уровне) в рабочие станции и серверы, а также оборудование серверных помещений герметичными зонами.
5. Процедура контроля за эксплуатацией автоматизированных банковских систем и обеспечения надежности их функционирования.
Контроль предполагает выяснение наличия соответствующей эксплуатационной поддержки со стороны разработчиков данных программных систем, а также полноту использования указанных систем в деятельности банка.
6. Процедура контроля администрирования системы операционного дня банка.
В рамках данной процедуры контролируется наличие порядка доступа к системе операционного дня банка и разграничения прав доступа, функционирование системы безопасности данной системы, наличие контрольных программных средств, исключающих ручную корректировку базы данных операционного дня. Должны также проверяться механизмы резервирования и восстановления системы.
7. Процедура контроля модуля парольной защиты и подключения локальной банковской сети к Интернету.
В этом случае следует контролировать, как модуль парольной защиты выполняет функции адекватной защиты от несанкционированного доступа к вычислительной сети банка, в том числе через Интернет. Для этого необходимо обследовать организацию рабочих мест, с которых имеется доступ к сети Интернет, а также использование специальных программ, контролирующих доступ из внешних сетей в режиме он-лайн.
8. Процедура контроля администрирования подготовки СВИФТ-сообщений, системы «клиент-банк» и работы в аналогичных системах удаленного обслуживания.
Проверяется соблюдение установленного порядка обмена сообщениями, соблюдение прав пользователей в указанных системах, правил обмена ключами, наличие и эффективность средств криптографической защиты.
9. Процедура контроля организации работы с банковскими картами.
В рамках данной процедуры исследуется организация электронного документооборота между пользователями карт и банком, механизмы выполнения проводок, порядок работы банкоматов.
10. Процедура контроля работы антивирусных программ, а также соблюдения порядка закупки необходимого оборудования и программного обеспечения.
Контроль необходимо вести за наличием необходимого антивирусного программного обеспечения, а также за соблюдением обязательных процедур при покупке аппаратуры и программного обеспечения (порядок выбора контрагента, у которого закупается оборудование, наличие проверки его деловой репутации, проведение тендеров при значительных суммах покупки и т.д.).
Контрольные вопросы и тесты для проверки знаний по теме*)
1. Какие особенности у каждого поколения АБС?
2. Назовите основные принципы построения современных АБС.
3. Что относится к функциональным подсистемам АБС?
4. Назовите этапы жизненного цикла АБС.
5. Какие программные средства используются в АБС?
6. Что входит в состав информационного обеспечения АБС?
7. Назовите составляющие технического обеспечения АБС.
8. В чем назначение системы «клиент-банк»?
9. Что такое интернет-банкинг?
10. По каким признакам классифицируются банковские карты?
11. Какие угрозы существуют для коммерческого банка?
12. Назовите принципы построения системы безопасности АБС.
| Т7 – В1. Первые серийные АБС работали | |
| А | на основе локальных сетей; |
| Б | на автономных персональных компьютерах; |
| В | с использованием профессиональных СУБД. |
| Т7 – В2. Клиентская часть системы обеспечивает? | |
| А | взаимодействие пользователя с системой; |
| Б | Функционирование системы безопасности управления доступом; |
| В | хранение процедур, выполняемых сервером данных. |
| Т7 – В3. Наиболее дешевые пластиковые кредитные карты – это..? | |
| А | с памятью на микросхемах; |
| Б | с магнитными полосками; |
| В | с микропроцессором. |
| Т7 – В4. Самые дешевые транзакции в системе? | |
| А | Интернет-банкинга; |
| Б | Клиент-банк; |
| В | банкоматов. |
| Т7 – В5. “Виртуальный” банк создается на базе? | |
| А | использования Интернет-банкинга; |
| Б | помещений, расположенных в центральных городах страны; |
| В | системы клиент-банк. |
| Т7 – В6. Банкомат может работать в режиме: | |
| А | либо off-line, либо on-line; |
| Б | пакетном; |
| В | разделения времени. |
| Т7 – В7.Обслуживание счетов клиента через Интернет относится к: | |
| А | Подсистеме «Клиент-Банк»; |
| Б | Технологии компьютерной телефонии; |
| В | Подсистеме «Интернет-Клиент». |
| Т7 – В8. Антивирусная защита банковской информационной системы строится по: | |
| А | Иерархическому принципу; |
| Б | Принципу демократического централизма; |
| В | Принципу «опоры на собственные силы». |
Одними разговорами не обойтись,
надо вкладывать деньги…
В.В. Путин
Глава 8 Автоматизированные информационные технологии (АИТ) в финансовом менеджменте
8.1 Цели и предпосылки организации финансового менеджмента, его составляющие.
8.2 Программные средства финансового анализа.
8.3 Автоматизация бюджетирования на предприятии.
8.4 Технология решения задач финансового менеджмента (на примере реализации программы Project Expert).
8.1 Цели и предпосылки организации финансового менеджмента, его составляющие