Научная статья на тему 'Метод формирования профиля защиты автоматизированной банковской системы'

Метод формирования профиля защиты автоматизированной банковской системы Текст научной статьи по специальности «Экономика и бизнес»

CC BY
151
28
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
ПРОФИЛЬ ЗАЩИТЫ / PROTECTION PROFILE / ОЦЕНКА РИСКА / RISK ANALYSIS / БАНКОВСКИЕ СИСТЕМЫ / BANKING SYSTEMS

Аннотация научной статьи по экономике и бизнесу, автор научной работы — Шубин Юрий Михайлович, Сидоров Алексей Олегович, Осовецкий Леонид Георгиевич

Рассматривается формирование профиля защиты применительно к автоматизированным банковским системам.

i Надоели баннеры? Вы всегда можете отключить рекламу.

Похожие темы научных работ по экономике и бизнесу , автор научной работы — Шубин Юрий Михайлович, Сидоров Алексей Олегович, Осовецкий Леонид Георгиевич

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

METHOD OF PROTECTION PROFILE DEVELOPMENT FOR AUTOMATED BANKING SYSTEM

The method of protection profile development for automated banking systems is considered.

Текст научной работы на тему «Метод формирования профиля защиты автоматизированной банковской системы»

Для осуществления последнего действия необходимо выбрать минимальную ставку по кредиту. Рассмотрим ситуацию, когда выбор происходит из трех вариантов - А, В и С -параллельно другим процессам (структура проверки условий должна быть последовательной, чтобы это не повлияло на другие действия). Пусть А: х1 < х2, В: х2 < х3, а С: х1 < х3. Тогда при их последовательной проверке мы придем к тому, что в некоторых случаях существуют такие пути, прохождение которых невозможно в силу несогласованности условий (рис. 2).

Заключение

Таким образом, одной из серьезнейших проблем при разработке современного ПО является обеспечение безопасности преобразований моделей при проектировании и преобразовании кода программы во время непосредственной разработки. Следовательно, на передний план выходят средства, способные адекватно оценить соответствие конечного продукта (или законченной модели любого этапа проектирования) изначально определенным и заявленным в технической документации требованиям.

Литература

1. IBM Rational Software. Обзор продуктов и решений-2007. - М., 2007. - 92 с.

2. Торшенко Ю.А. Угроза появления вирусов и НДВ в приложениях, разработанных программно // Сб. трудов н.-т. конф. «День антивирусной безопасности». - СПб: СПбГУ ИТМО, 2007.

3. Торшенко Ю.А. Методика поиска мертвого кода в приложениях, разработанных программно // Сб. трудов н.-пр. конф. «Теория и технология программирования и защиты информации». - СПб: СПбГУ ИТМО, 2008.

Торшенко Юлия Александровна

Шубин Юрий Михайлович

Осовецкий Леонид Георгиевич

— Санкт-Петербургский государственный университет информационных технологий, механики и оптики, аспирант, [email protected]

— Санкт-Петербургский государственный университет информационных технологий, механики и оптики, аспирант, [email protected]

— Санкт-Петербургский государственный университет информационных технологий, механики и оптики, доктор технических наук, профессор, [email protected]

УДК 004.056.4

МЕТОД ФОРМИРОВАНИЯ ПРОФИЛЯ ЗАЩИТЫ АВТОМАТИЗИРОВАННОЙ БАНКОВСКОЙ СИСТЕМЫ

Ю.М. Шубин, А.О. Сидоров, Л.Г. Осовецкий

Рассматривается формирование профиля защиты применительно к автоматизированным банковским системам.

Ключевые слова: профиль защиты, оценка риска, банковские системы.

Введение

Становление и развитие банка - процесс длительный и сложный, и по мере того, как банк растет, меняются его цели и задачи, клиентура и перечень услуг, организационная структура, квалификация персонала и применяемые технологии. Автоматизиро-

ванная банковская система (АБС) - информационная основа всей деятельности банка. Она должна быть и мощной, и гибкой, чтобы расти вместе с банком и на каждом этапе развития придавать ему дополнительную устойчивость (а не быть источником дополнительного риска).

АБС является инструментом управления бизнесом. Среди функций, присущих современным комплексным АБС, можно выделить следующие:

- операционный день;

- операции на фондовом рынке, работа банка с ценными бумагами;

- внутрихозяйственная деятельность;

- розничные банковские услуги;

- дистанционное банковское обслуживание;

- электронные банковские услуги;

- расчетный центр и платежная система (карточные продукты);

- интеграция бэк-офиса банка с его внешними операциями;

- управление деятельностью банка, реализация бизнес-логики, контроль, учет, в том числе налоговый, и отчетность;

- управление рисками и стратегическое планирование;

- маркетинговая, рекламная и РЯ-службы.

Интегрированная система автоматизации подавляющего большинства российских банков в настоящее время представляет собой «лоскутное одеяло». Возможно, ни один банк не сможет с уверенностью сказать, что абсолютно все бизнес-процессы его активных и пассивных подразделений, обеспечивающих служб, управляющих и регулирующих структур, филиалов, дочерних банков и зависимых компаний автоматизированы на основе программных продуктов от одного поставщика программного обеспечения [1].

Последовательность формирования профиля защиты

Разработка профиля защиты (ПЗ) осуществляется в следующей (нисходящей) последовательности:

- идентификация аспектов среды безопасности;

- определение целей безопасности, учитывающих идентифицированные аспекты среды безопасности;

- формирование требований безопасности ИТ, направленных на удовлетворение целей безопасности.

Последовательность формирования ПЗ в соответствии с ГОСТ Р ИСО/МЭК 15408 представлена на рисунке. Применительно к АБС схему формирования ПЗ можно разделить на два основных этапа по источнику исходной информации об объекте охраны (ОО):

1 этап - идентификация аспектов среды безопасности и определение целей безопасности;

2 этап - определение требований безопасности.

Определение среды и целей безопасности следует проводить, опираясь на отраслевые стандарты, которые в настоящее время активно разрабатываются заинтересованными организациями и вводятся в действие. Так, Банк России с 2002 г. разрабатывает банковский стандарт обеспечения информационной безопасности организаций банковской системы Российской Федерации (БС РФ) [2].

Преимущество такого подхода состоит в наличии описания среды и целей безопасности, характерных для определенной отраслевой принадлежности. В этом случае более точно учитывается специфика функционирования системы. Вторым немаловажным фактором является наличие документального обоснования о соответствии принимаемых целей и среды безопасности отраслевому назначению ОО.

Физическая среди 00

Преднизначение 00

Предположения

Политика безопасности организации

Каталог требованиии ОК

Функциональные требования

Требования к среде

Рисунок. Последовательность формирования ПЗ Обоснование ПЗ

1 «

§ §

I

I

1 §

Назначение обоснования ПЗ заключается в том, чтобы показать, что соответствующий профиль защиты ОО обеспечивает эффективный набор контрмер безопасности ИТ в пределах среды безопасности. В частности, оно показывает, что требования безопасности ИТ удовлетворяют целям безопасности, которые, в свою очередь, учитывают

все аспекты среды безопасности ОО [3]. Подобное обоснование (т.е. отсутствие противоречий) представляется необходимым условием выполнения при формировании ПЗ, но не более того. Для оценки качества, а также сравнения ПЗ необходимо внедрять обоснованную модель оценки ПЗ. Такая модель должна опираться не только на техническую, но и на экономическую составляющую. Только экономические методы оценки и сравнения ПЗ способны отражать конкурентоспособность ОО и его ПЗ в условиях рыночной экономики.

Заключение

В условиях рыночной экономики необходимы конкурентоспособные автоматизированные банковские системы. Это, в свою очередь, ведет к разработке и обоснованию отраслевых профилей защиты, которые были бы не только технически непротиворечивыми, но и опирались на экономические показатели функционирования ОО.

Литература

1. Оценка безопасности автоматизированных систем. Обзор и анализ предлагаемого проекта технического доклада КОЛЕС РБКТ19791 // Информационный бюллетень МШо. - 2005. - №7(146).

2. Стандарт Банка России СТО БР ИББС-1.0-2006 «Обеспечение информационной безопасности организаций банковской системы РФ».

3. Государственный стандарт РФ ГОСТ Р ИСО/МЭК 15408-1-2002 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель».

Шубин Юрий Михайлович

Сидоров Алексей Олегович

Осовецкий Леонид Георгиевич

— Санкт-Петербургский государственный университет информационных технологий, механики и оптики, аспирант, [email protected]

— Санкт-Петербургский государственный университет информационных технологий, механики и оптики, аспирант, [email protected]

— Санкт-Петербургский государственный университет информационных технологий, механики и оптики, доктор технических наук, профессор, [email protected]

i Надоели баннеры? Вы всегда можете отключить рекламу.