Проектирование информационной системы поддержки мероприятий защиты информации банка

 

 

Балтийский  Государственный Технический Университет "ВОЕНМЕХ"

 

Проектирование информационных систем \ Отчет по лабораторной работе \ Милушкова В.И.

Версия 2.7

 

 

 

 

 

 

 

 

 

Проектирование информационных систем

Отчет по лабораторной работе

 

Тема <Проектирование информационной системы поддержки мероприятий защиты информации банка>

 

 

 

 

 

 

 

 

 

 

 

 

Отметка о зачете «__________________» Ст. преподаватель кафедры И3 __________________ Н. В. Смирнов «___» _________________ 2008 г.

Выполнил студент  гр. И 343   _________________ В.И. Милушков «___» _________________ 2008 г.

 

 

  Содержание

1 Введение 3

2 Описание предметной области 4

3 Концептуальная модель предметной области 9

4 Проблемы предметной области и концепция информационной системы 11

4.1 Проблемы предметной области 11

4.2 Концепция информационно системы 11

5 Концептуальная модель информационной системы 14

6 Логическая модель информационной системы 17

6.1 Модель поведения 17

6.2 Модель структуры 19

7 Реализация модели в среде CASE-средства 21

7.1 Начало работы над проектом 21

7.2 Разработка модели поведения 21

7.3 Разработка модели структуры 22

8 Заключение 23

 

 

1. Введение

Вопросы обеспечения информационной безопасности (ИБ) для современного банка являются жизненно важными.

Современный банк предоставляет большое число сервисов, связанных с удаленным доступом к информационной системе банка. Это и персональный интернет-банкинг, и система интернет-доступа к финансовым рынкам, и система электронного документооборота, и многое другое. С этих позиций банк – «точка пересечения» публичных сетей (Интернет) и коммерческих финансовых сетей (Western Union, VisaNet, SWIFT и др.).

На сегодняшний день банки обладают сложными информационными системами, которые включают большой набор «бэк-офисных» и «фронт-офисных» приложений, нередко гетерогенных. А управление этими системами осложняется территориальной распределенностью компаний, наличием многочисленных филиалов и офисов. При этом информационная система современного банка является основой функционирования почти всех основных бизнес-процессов. Наконец, банк хранит персональные данные граждан и конфиденциальную информацию своих клиентов - юридических лиц.

Все это предъявляет жесткие  требования к системе защиты корпоративной  информационной системы современного банка, основными из которых являются комплексность, интегрируемость, адекватность финансовым затратам, легитимность, управляемость, масштабируемость и отказоустойчивость.

Цель данной работы будет  создание информационной системы поддержки  мероприятий защиты информации банка, использование которой будет  способствовать решению производственных целей:

- повышение эффективности  проведения мероприятий по защите  информации банка;

- построение максимально  интегрированной системы для  обеспечения высокой управляемости  системы информационной безопасности  и отслеживания событий информационной  безопасности;

- повышение безопасности  банка за счет увеличение реакции  и своевременного выявления угроз  и анализа причин;

- использование ИС как  часть системы обеспечения безопасности.

 

2. Описание предметной области

Данная лабораторная работа выполнялся в соответствии с ГОСТ Р ИСО/МЭК 17799—2005 «Практические правила управления информационной безопасностью» и международным стандартом ISO/IEC 17799:2000 «Information technology — Code of practice for information security management».

Настоящий стандарт устанавливает  рекомендации по управлению информационной безопасностью лицам, ответственным  за планирование, реализацию или поддержку  решений безопасности в организации. Он предназначен для обеспечения  общих основ для разработки стандартов безопасности и выбора практических мероприятий по управлению безопасностью  в организации, а также в интересах  обеспечения доверия в деловых  отношениях между организациями. Рекомендации настоящего стандарта следует выбирать и использовать в соответствии с  действующим законодательством.

Информация

Информация — это актив, который, подобно другим активам  организации, имеет ценность и, следовательно, должен быть защищен надлежащим образом. Информационная безопасность защищает информацию от широкого диапазона угроз с целью обеспечения уверенности в непрерывности бизнеса, минимизации ущерба, получения максимальной отдачи от инвестиций, а также реализации потенциальных возможностей бизнеса.

Информация может существовать в различных формах. Она может  быть напечатана или написана на бумаге, храниться в электронном виде, передаваться по почте или с использованием электронных средств связи, демонстрироваться  на пленке или быть выражена устно. Безотносительно формы выражения информации, средств ее распространения или хранения она должна всегда быть адекватно защищена.

Информационная система  (по законодательству РФ и www.glossary.ru) - организационно упорядоченная совокупность документов (массивов документов) и информационных технологий, в том числе с использованием средств вычислительной техники и связи, реализующих информационные процессы.

Информационная безопасность

Информационная безопасность — механизм защиты, обеспечивающий:

• конфиденциальность: доступ к информации только авторизованных пользователей;
• целостность: достоверность и полноту информации и методов ее обработки;
• доступность: доступ к информации связанным с ней активам авторизованных пользователей по мере необходимости.

Мероприятие (Согласно толковому  словарю русского языка Ушакова) - действие, направленное на осуществление  чего-н., для осуществления какой-н. цели.

Информационная безопасность достигается путем реализации соответствующего комплекса мероприятий по управлению информационной безопасностью, которые  могут быть представлены политиками, методами, процедурами, организационными структурами функциями программного обеспечения. Указанные мероприятия  должны обеспечить достижение целей  информационной безопасности организации.

Организационная структура мероприятий  банка

Организационная структура  управления мероприятиями - упорядоченная  совокупность служб, управляющих деятельностью  мероприятиями, взаимосвязями между  ними. Принцип формирования структуры  управления - организация и закрепление  тех или иных функций управления за подразделениями (службами) аппарата управления.

Все мероприятия выполняет  службы безопасности банка. Её структурная  схема приведена на рис. 1.1.

Рассмотрим организационную  структуру службы безопасности. Условно  ее можно разделить на несколько  подразделений, выполняющих различные  мероприятия по защите различными способами. Это отдел режима и охраны, сектор режима, сектор охраны, специальный  отдел, сектор обработки документов с грифом «коммерческая тайна», группа инженерно-технической защиты, группа безопасности к внешней деятельности. Подробное описание каждого из этих подразделений, со списком мероприятий, я приведу ниже.

Рисунок 1.1 - Структура службы безопасности

Отдел режима и охраны

Отдел режима и охраны является самостоятельным структурным подразделением службы безопасности и подчиняется  начальнику службы безопасности.

В соответствии с вышеперечисленными задачами, этот отдел выполняет следующие  мероприятия по защите банка:

1. Организует работу по выполнению решений, приказов и распоряжений руководства предприятия по обеспечению защиты коммерческих секретов и обеспечению безопасности деятельности.
2. Определяет единство действий и организует защиту, безопасность, сохранность документов и ценностей в обычных и особых условиях.
3. Разрабатывает, обновляет и дополняет инструкции, положения и иные нормативные материалы по режиму и охране.
4. Осуществляет руководство работой по установлению степени конфиденциальности сведений, содержащихся в документах. Совместно с основными подразделениями проводит работу по анализу практики применения «Перечня сведений, составляющих коммерческую тайну», по подготовке и внесению в него в установленном порядке необходимых изменений и дополнений, а также организует его переработку и переиздание.
5. Организует разработку и контроль за эффективностью действующей разрешительной системы допуска сотрудников, компаньонов и клиентов к ознакомлению и работе с документами конфиденциального характера, с целью исключения возможности ознакомления со сведениями, не относящимися к выполняемой ими работе.
6. Разрабатывает и рассматривает совместно со специальным отделом и подразделениями предложения по совершенствованию делопроизводства с грифом «Коммерческая тайна», предотвращению факторов включения в документы секретного и несекретного характера излишнего объема сведений, являющихся коммерческой тайной, сокращению издаваемых и разрабатываемых документов конфиденциального характера, неоправданной из рассылки.
7. Организует и обеспечивает систему контролируемого доступа и специального пропускного режима в здания и помещения.
8. Организует, обеспечивает и контролирует выполнение требований внутри объектного режима.
9. Определяет систему охраны и участвует в ее организации и обеспечении работы выделенных помещений.
10. Организует разработку тактических принципов использования средств автоматизации, сигнализации, связи и охраны.
11. Организует охрану, пропускной, допускной и внутри объектный режим и осуществляет оперативно-методическое руководство работами по защите выделенных помещений и информации, обрабатываемой и передаваемой с использованием технических средств.
12. Осуществляет руководство и режим защиты коммерческих сведений в работе по отбору, хранению и использованию архивных материалов.
13. Осуществляет методическое руководство и принимает непосредственное участие в проведении предупредительно-профилактической работы с исполнителями работ и документов конфиденциального характера.
14. Организует проведение служебных расследований по фактам утраты документов конфиденциального характера, разглашения охраняемых сведений, нарушения охраны и пропускного режима, необоснованного ознакомления сотрудников и командированных лиц со сведениями, составляющими государственную и коммерческую тайну и по другим фактам, которые привели или создавали условия, способствующие утечке конфиденциальной информации.
15. Обеспечивает личную охрану руководства и сотрудников.

Специальный отдел

Специальный отдел является самостоятельным структурным подразделением службы безопасности и подчиняется  непосредственно начальнику службы.

Специальный отдел занимается организацией и руководством делопроизводства секретных документов и документов с грифом «Коммерческая тайна».

Приведу основные мероприятия, которыми должен заниматься специальный  отдел:

1. Обработка поступающей и отправляемой корреспонденции, доставка ее по назначению.
2. Осуществление контроля за сроками исполнения документов.
3. Организация работы по регистрации, учету и хранению документальных материалов текущего пользования.
4. Разработка номенклатуры дел, осуществление контроля за правильным формированием дел в подразделениях и подготовкой материалов к своевременной сдаче в архив.
5. Разработка и внедрение предложений по совершенствованию системы делопроизводства.
6. Печатание и размножение секретных документов и документов с грифом «Коммерческая тайна».
7. Участие в подготовке созываемых и проводимых руководством закрытых совещаний и организация их технического обслуживания.
8. Специальный отдел в части обеспечения обработки секретных документов руководствуется соответствующими документами, в части ведения делопроизводства с грифом «Коммерческая тайна» выполняет требование «Инструкции по защите коммерческой тайны».

Группа инженерно-технической защиты

Группа инженерно-технической защиты выполняет следующие мероприятия:

1. Определение границ охраняемой (контролируемой) территории (зоны) с учетом возможностей технических средств, наблюдения злоумышленников.
2. Определение технических средств, используемых для передачи, приема и обработки конфиденциальной информации в пределах охраняемой (контролируемой) территории (зоны).
3. Определение опасных, с точки зрения возможности образования каналов утечки, технических средств.
4. Локализация возможных каналов утечки информационно-организационными, организационно-техническими или техническими средствами и мероприятиями.
5. Организация наблюдения за возможным неконтролируемым излучением за счет ПЭМИН (побочных электромагнитных излучений и наводок).
6. Организация контроля наличия, проноса каких-либо предметов (устройств, средств, механизмов) в контролируемую зону, способных представлять собой технические средства несанкционированного получения конфиденциальной информации.

Группа безопасности внешней деятельности

Группа безопасности внешней деятельности выполняет следующие мероприятиями:

1. Изучение торгово-конъюнктурных ситуаций в пространстве деятельности учредителей, партнеров, клиентов и потенциально возможных конкурентов.
2. Ситуационный анализ текущего состояния финансово-торговой деятельности с точки зрения прогнозирования возможных последствий, могущих привести к неправомерным действиям со стороны конкурирующих организаций и предприятий.
3. Выявление платежеспособности юридических и физических лиц, их возможности по своевременному выполнению платежных обязательств.
4. Установление антагонистических конкурентов, выявление их методов ведения конкурентной борьбы и способов достижения своих целей.
5. Определение возможных направлений и характера злоумышленных действий со стороны специальных служб промышленного шпионажа против предприятия, его партнеров и клиентов.

 

3. Концептуальная  модель предметной области

Диаграмма вариантов использования, моделирующих функциональную (процессную) структуру  предметной области посредством  вариантов использования и отношений  между ними (Рисунок 3).

Сотрудники  группы безопасности внешней деятельности

Мероприятия безопасности внешней деятельности

проводят 

Сотрудники группы инженерно-технической  защиты

проводят 

Мероприятия инженерно-технической  защиты

 

проводят 

Сотрудники специального отдела

Мероприятия по работе с секретными документами

Начальник службы безопасности

Сотрудники сектора режима

Сотрудники сектора охраны

Мероприятий по защите

Руководство и контроль

Анализ данных

проводят 

проводят 

Анализирует

Поступление новых данных

Мероприятия по доступу к информации

Поступление новых данных

Поступление новых данных

Поступление новых данных

Поступление новых данных

выполняет

управление 

управление 

управление 

управление 

управление 

анализирует

 

Рисунок 3 – Диаграмма вариантов использования