CC BY
27
Для осуществления последнего действия необходимо выбрать минимальную ставку по кредиту. Рассмотрим ситуацию, когда выбор происходит из трех вариантов - А, В и С -параллельно другим процессам (структура проверки условий должна быть последовательной, чтобы это не повлияло на другие действия). Пусть А: х1 < х2, В: х2 < х3, а С: х1 < х3. Тогда при их последовательной проверке мы придем к тому, что в некоторых случаях существуют такие пути, прохождение которых невозможно в силу несогласованности условий (рис. 2).
Заключение
Таким образом, одной из серьезнейших проблем при разработке современного ПО является обеспечение безопасности преобразований моделей при проектировании и преобразовании кода программы во время непосредственной разработки. Следовательно, на передний план выходят средства, способные адекватно оценить соответствие конечного продукта (или законченной модели любого этапа проектирования) изначально определенным и заявленным в технической документации требованиям.
Литература
1. IBM Rational Software. Обзор продуктов и решений-2007. - М., 2007. - 92 с.
2. Торшенко Ю.А. Угроза появления вирусов и НДВ в приложениях, разработанных программно // Сб. трудов н.-т. конф. «День антивирусной безопасности». - СПб: СПбГУ ИТМО, 2007.
3. Торшенко Ю.А. Методика поиска мертвого кода в приложениях, разработанных программно // Сб. трудов н.-пр. конф. «Теория и технология программирования и защиты информации». - СПб: СПбГУ ИТМО, 2008.
Торшенко Юлия Александровна
Шубин Юрий Михайлович
Осовецкий Леонид Георгиевич
— Санкт-Петербургский государственный университет информационных технологий, механики и оптики, аспирант, [email protected]
— Санкт-Петербургский государственный университет информационных технологий, механики и оптики, аспирант, [email protected]
— Санкт-Петербургский государственный университет информационных технологий, механики и оптики, доктор технических наук, профессор, [email protected]
УДК 004.056.4
МЕТОД ФОРМИРОВАНИЯ ПРОФИЛЯ ЗАЩИТЫ АВТОМАТИЗИРОВАННОЙ БАНКОВСКОЙ СИСТЕМЫ
Ю.М. Шубин, А.О. Сидоров, Л.Г. Осовецкий
Рассматривается формирование профиля защиты применительно к автоматизированным банковским системам.
Ключевые слова: профиль защиты, оценка риска, банковские системы.
Введение
Становление и развитие банка - процесс длительный и сложный, и по мере того, как банк растет, меняются его цели и задачи, клиентура и перечень услуг, организационная структура, квалификация персонала и применяемые технологии. Автоматизиро-
ванная банковская система (АБС) - информационная основа всей деятельности банка. Она должна быть и мощной, и гибкой, чтобы расти вместе с банком и на каждом этапе развития придавать ему дополнительную устойчивость (а не быть источником дополнительного риска).
АБС является инструментом управления бизнесом. Среди функций, присущих современным комплексным АБС, можно выделить следующие:
- операционный день;
- операции на фондовом рынке, работа банка с ценными бумагами;
- внутрихозяйственная деятельность;
- розничные банковские услуги;
- дистанционное банковское обслуживание;
- электронные банковские услуги;
- расчетный центр и платежная система (карточные продукты);
- интеграция бэк-офиса банка с его внешними операциями;
- управление деятельностью банка, реализация бизнес-логики, контроль, учет, в том числе налоговый, и отчетность;
- управление рисками и стратегическое планирование;
- маркетинговая, рекламная и РЯ-службы.
Интегрированная система автоматизации подавляющего большинства российских банков в настоящее время представляет собой «лоскутное одеяло». Возможно, ни один банк не сможет с уверенностью сказать, что абсолютно все бизнес-процессы его активных и пассивных подразделений, обеспечивающих служб, управляющих и регулирующих структур, филиалов, дочерних банков и зависимых компаний автоматизированы на основе программных продуктов от одного поставщика программного обеспечения [1].
Последовательность формирования профиля защиты
Разработка профиля защиты (ПЗ) осуществляется в следующей (нисходящей) последовательности:
- идентификация аспектов среды безопасности;
- определение целей безопасности, учитывающих идентифицированные аспекты среды безопасности;
- формирование требований безопасности ИТ, направленных на удовлетворение целей безопасности.
Последовательность формирования ПЗ в соответствии с ГОСТ Р ИСО/МЭК 15408 представлена на рисунке. Применительно к АБС схему формирования ПЗ можно разделить на два основных этапа по источнику исходной информации об объекте охраны (ОО):
1 этап - идентификация аспектов среды безопасности и определение целей безопасности;
2 этап - определение требований безопасности.
Определение среды и целей безопасности следует проводить, опираясь на отраслевые стандарты, которые в настоящее время активно разрабатываются заинтересованными организациями и вводятся в действие. Так, Банк России с 2002 г. разрабатывает банковский стандарт обеспечения информационной безопасности организаций банковской системы Российской Федерации (БС РФ) [2].
Преимущество такого подхода состоит в наличии описания среды и целей безопасности, характерных для определенной отраслевой принадлежности. В этом случае более точно учитывается специфика функционирования системы. Вторым немаловажным фактором является наличие документального обоснования о соответствии принимаемых целей и среды безопасности отраслевому назначению ОО.
Физическая среди 00
Преднизначение 00
Предположения
Политика безопасности организации
Каталог требованиии ОК
Функциональные требования
Требования к среде
Рисунок. Последовательность формирования ПЗ Обоснование ПЗ
1 «
§ §
I
I
1 §
Назначение обоснования ПЗ заключается в том, чтобы показать, что соответствующий профиль защиты ОО обеспечивает эффективный набор контрмер безопасности ИТ в пределах среды безопасности. В частности, оно показывает, что требования безопасности ИТ удовлетворяют целям безопасности, которые, в свою очередь, учитывают
все аспекты среды безопасности ОО [3]. Подобное обоснование (т.е. отсутствие противоречий) представляется необходимым условием выполнения при формировании ПЗ, но не более того. Для оценки качества, а также сравнения ПЗ необходимо внедрять обоснованную модель оценки ПЗ. Такая модель должна опираться не только на техническую, но и на экономическую составляющую. Только экономические методы оценки и сравнения ПЗ способны отражать конкурентоспособность ОО и его ПЗ в условиях рыночной экономики.
Заключение
В условиях рыночной экономики необходимы конкурентоспособные автоматизированные банковские системы. Это, в свою очередь, ведет к разработке и обоснованию отраслевых профилей защиты, которые были бы не только технически непротиворечивыми, но и опирались на экономические показатели функционирования ОО.
Литература
1. Оценка безопасности автоматизированных систем. Обзор и анализ предлагаемого проекта технического доклада КОЛЕС РБКТ19791 // Информационный бюллетень МШо. - 2005. - №7(146).
2. Стандарт Банка России СТО БР ИББС-1.0-2006 «Обеспечение информационной безопасности организаций банковской системы РФ».
3. Государственный стандарт РФ ГОСТ Р ИСО/МЭК 15408-1-2002 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель».
Шубин Юрий Михайлович
Сидоров Алексей Олегович
Осовецкий Леонид Георгиевич
— Санкт-Петербургский государственный университет информационных технологий, механики и оптики, аспирант, [email protected]
— Санкт-Петербургский государственный университет информационных технологий, механики и оптики, аспирант, [email protected]
— Санкт-Петербургский государственный университет информационных технологий, механики и оптики, доктор технических наук, профессор, [email protected]
