Вы находитесь на странице: 1из 41

МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ

ФЕДЕРАЦИИ
Федеральное государственное бюджетное образовательное учреждение
высшего профессионального образования
«Тихоокеанский государственный университет»
Факультет компьютерных и фундаментальных наук
Кафедра Высшей математики

ОТЧЕТ
по производственной практике

Студент Фамилия, Имя, Отчество


ФКФН
Курс: 3 Группа: КБ-11
Кафедра: Высшей математики
Предприятие: Дополнительный офис ОАО СКБ
Приморья «Примсоцбанк» в г. Большой Камень
Срок практики: с 16.06.14 по 13.07.14
Руководитель от кафедры: Бидерман В.И.
Руководитель от предприятия: _________

Оценка ___________________

Подпись руководителя от кафедры ___________

Хабаровск, 2014 г.
2

Содержание
Введение....................................................................................................................................................2
1Анализ предприятия................................................................................................................................4
1.1Общая характеристика предприятия и направления деятельности.................................................4
1.2Организационная структура предприятия и структура управления..................................................4
1.3Отдел автоматизации систем управления..........................................................................................6
2Техника безопасности..............................................................................................................................8
2.1Требования электробезопасности.......................................................................................................8
2.2Правила безопасности при работе с информацией...........................................................................9
3Анализ информационной безопасности..............................................................................................10
4.Сведения об информационных системах и технологиях предприятия............................................11
4.1Построение безопасных сетей на основе VPN..................................................................................11
4.2Active Directory....................................................................................................................................11
4.2.1Структура..................................................................................................................................12
4.2.2Настройка политики безопасности с помощью Active Directory...........................................13
4.3Банковские интегрированные системы............................................................................................14
4.4Технология защиты компьютеров. System Center.............................................................................17
4.5Общие сведения о системе «iBank 2»...............................................................................................19
4.5.1Назначение и функциональные возможности системы...............................................................19
4.5.2Структура и функционирование «iBank 2».....................................................................................20
4.5.3Обеспечение информационной безопасности в «iBank2»...........................................................21
4.5.4Регистрация нового клиента - юридического лица.......................................................................22
5Настройка механизмов безопасности ОС Microsoft Windows 7.........................................................26
5.1Подготовка СВТ............................................................................................................................26
5.2Настройка механизмов безопасности ОС.................................................................................27
5.3Выполнение процедуры шифрования информации................................................................28
6Работа в системе электронного документооборота. Общие правила...............................................30
6.1Назначение прав доступа к папке..............................................................................................30
6.2Правила использования электронной цифровой подписи (ЭЦП)............................................30
6.3Правила работы с задачами и заданиями. Назначение прав доступа к задаче.....................31
Заключение..............................................................................................................................................32
Список литературы..................................................................................................................................33
Приложения......................................................................................................................................34
3

Введение
Производственная практика является необходимым этапом в учебном процессе,
предоставляя возможность практического применения знаний, накопленных за время
учебы и получения необходимой информации. Производственная практика служит, в
первую очередь, для получения студентами опыта работы на реальном предприятии,
изучения его структуры, информационных потоков и документооборота.
Цель производственной практики: ознакомление с реальной практической работой
предприятия, использование полученных знаний на практике, приобретение опыта работы
на предприятии по выбранной специальности.
Для прохождения практики был выбран ДО ОАО СКБ Приморья «Примсоцбанк» в
г. Большой Камень. Продолжительность производственной практики составляет четыре
недели. В течение первой недели произошло знакомство со структурой предприятия, его
основными подразделениями. В течение второй недели была изучена политика
информационной безопасности банка. Третья и четвертая недели были посвящены
исследованию программного обеспечения, существующего на предприятии.
Структура отчета определена в соответствии с целью и задачами практики, и
включает в себя: введение; основную часть, состоящую из двух глав; заключение; список
использованных источников, приложения.
При проведении учебно-ознакомительной работы в ДО ОАО СКБ Приморья
«Примсоцбанк» в г. Большой Камень была проанализирована и подробно изучена
документация, регламентирующая деятельность предприятия; правила и нормы охраны
труда; организационная структура предприятия; особенности информационной системы,
политика информационной безопасности предприятия.
Задачами производственной практики (по профилю специальности) являются:
1. Ознакомиться с:
 историей, организационной структурой предприятия, функциональным
назначением его основных подразделений;
 организацией систем научно-технического и эксплуатационного обеспечения;
организацией системы компьютерной и информационной безопасности
подразделения;
 формами организации производственного процесса и его технологическим
обеспечением;
 составом и особенностями эксплуатации технических, программных, аппаратных
средств защиты информации;
 с методами проектирования и эксплуатации сложных компьютерных систем
передачи и обработки информации;
 с подходами по разработке нормативно-методических документов по
организационной защите информации;
2. Изучить:
 особенности имеющихся на предприятии информационных систем, политику
системной безопасности;
 основные обязанности должностных лиц подразделения по защите информации;
основные характеристики и возможности, используемых в подразделении
технических, программных, аппаратных и криптографических средств защиты
информации;
 принципы построения современных систем защиты информации, используемых
подразделением;
3. Приобрести практические навыки:
4

 проверки, настройки и использования технических и программных средств


подразделения по защите информации;
 работы с технической и эксплуатационной документацией.
5

1 Анализ предприятия

1.1 Общая характеристика предприятия и направления


деятельности
30 июня 1993 года на собрании акционеров было принято решение об учреждении
Социального коммерческого банка Приморья «Примсоцбанк» в форме открытого
акционерного общества. Право осуществления банковской деятельности было
подтверждено лицензией № 2733 Центрального Банка Российской Федерации 4 марта
1994 года.
На сегодняшний день Примсоцбанк имеет 54 точки присутствия в 24 населенных
пунктах. В банке работает более 1700 квалифицированных сотрудников, число которых
России растет по мере развития филиальной сети.
Характеристика предприятия:
 Уставный капитал ОАО СКБ Приморья «Примсоцбанк» — 203 200 008 рублей.
 Размер собственных средств банка на 1 марта 2013 г. составляет 3 531 454 тыс.
рублей.
ОАО СКБ Приморья «Примсоцбанк» – один из лидеров банковской сферы
Дальнего Востока. Лицензия № 2733 Банка России выдана 4 марта 1994 г. В состав
акционеров входит Европейский банк реконструкции и развития. Услугами банка
пользуются свыше 330 000 клиентов в Приморском, Хабаровском, Камчатском краях,
Омской, Челябинской, Иркутской, Свердловской областях, Москве и Санкт-Петербурге.
Корреспондентские отношения установлены с крупнейшими банками мира в США,
Германии, Австрии, Японии, Корее, Китае, Вьетнаме. В 2005 г. Российский банк
реконструкции и развития (РосБР) присвоил ОАО СКБ Приморья «Примсоцбанк» статус
уполномоченного регионального банка по правительственной программе финансирования
предприятий малого и среднего бизнеса. Стратегия развития Примсоцбанка включает в
себя рост объемов розничного и корпоративного кредитования, расширение границ
присутствия на Урале и в западной части России, а также внедрение новейших
технологий, которые сделают работу банка еще комфортнее для клиентов.
Банк имеет следующие лицензии:
 генеральная лицензия на осуществление банковских операций № 2733 от 23.10.97 г.
- наиболее общая форма лицензии на совершение банковских операций в России;
 лицензия профессионального участника рынка ценных бумаг на осуществление
брокерской деятельности от 27.11.00 г. № 125-02965-100000;
 лицензия профессионального участника рынка ценных бумаг на осуществление
дилерской деятельности от 27.11.00 г. № 125-03069-010000;
 лицензия профессионального участника рынка ценных бумаг на осуществление
деятельности по управлению ценными бумагами от 27.11.00 г. № 125-03139-
001000;
"Примсоцбанк" является членом SWIFT`а, Азиатско-тихоокеанской межбанковской
валютной биржи (АТМВБ), Московской межбанковской валютной биржи (ММВБ),
Ассоциации Региональных Банков России (Ассоциация "Россия").
Банк позиционирует себя как универсальный банк для мелкого, среднего бизнеса и
населения. Банк предоставляет следующие виды банковских услуг: расчетно-кассовые
услуги; кредитные услуги; депозитные услуги; брокерские услуги на рынке ценных бумаг;
услуги по доверительному управлению; депозитарные услуги; услуги по операциям с
наличной валютой; обслуживание валютных контрактов; услуги по электронному
банковскому обслуживанию через Интернет; сдача в аренду индивидуальных сейфов;
консультационно-методические услуги. В области международных операций банк
6
предоставляет услуги по международным расчетам через систему SWIFT, Western Union,
расчеты по клиринговым валютам, услуги по торговому финансированию.

1.2 Организационная структура предприятия и структура


управления
Организационную структуру компании определяют как логическое соотношение
функциональных областей и уровней управления, используемое для достижения целей
организации.
В соответствии с уставом, высшим органом управления СКБ Приморья
Примсоцбанка является общее собрание акционеров. Банк обязан ежегодно проводить
годовое общее собрание акционеров.
Совет директоров Примсоцбанка осуществляет общее руководство деятельностью
Банка, за исключением решения вопросов, отнесенных настоящим Уставом и
Федеральным законом Российской Федерации «Об акционерных обществах» к
компетенции годового общего собрания акционеров. По решению общего собрания
акционеров членам Совета директоров в период исполнения ими своих обязанностей
могут выплачиваться вознаграждение и (или) компенсироваться расходы, связанные с
исполнением ими функций членов Совета директоров.
Руководство текущей деятельностью Примсоцбанка осуществляется единоличным
исполнительным органом - Председателем Правления Банка и коллегиальным
исполнительным органом - Правлением Банка в соответствии с их компетенцией.
Назначение Председателя Правления и членов Правления осуществляется Советом
директоров Банка. Персональный состав Правления Банка утверждается Советом
директоров Банка по представлению Председателя Правления.
К компетенции Председателя Правления Банка относятся следующие вопросы:
1. представление интересов Банка, совершение сделок от имени Банка;
2. издание приказов и дача указаний, обязательных для исполнения всеми
работниками Банка;
3. организация работы Правления Банка, организация ведения протоколов заседаний
Правления;
4. распределение обязанностей между членами Правления Банка;
5. формирование рабочих органов Банка по отдельным вопросам его деятельности
(кредитного, ресурсного и др.), и определение порядка их работы;
6. утверждение штатного расписания Банка, в том числе его филиалов,
представительств и дополнительных офисов (отделений);
7. прием на работу и увольнение работников Банка в установленном порядке,
применение к работникам мер поощрения и наложения взысканий;
8. утверждение тарифов на услуги Банка;
9. утверждение положений о структурных подразделениях Банка (кроме положений о
филиалах и представительствах Банка);
10. выдача доверенностей (в том числе с правом передоверия) на право представления
интересов Банка и совершения сделок от имени Банка.
Правление действует на основании настоящего Устава и утверждаемого годовым
общим собранием акционеров Положения «О Правлении ОАО СКБ Приморья
«Примсоцбанк», в котором устанавливаются сроки, порядок созыва и проведения
заседаний Правления, а также порядок принятия решений.
Наиболее приемлемой организационной структурой банка является линейно-
функциональная структура. Дело в том, что банк выполняет огромное количество
функций: от приемов платежей населения до инкассации и работы с ценными бумагами. И
привлечение специалистов широкого профиля в данном случае не совсем целесообразно.
7
Данная структура предполагает наличие в банке квалифицированных специалистов в
определенной сфере деятельности, объединённых в отделы, которые должны быть в
какой-то степени автономны, но в тоже время иметь непосредственного руководителя.
Структуру Дополнительного офиса ОАО СКБ Приморья «Примсоцбанк» в г.
Большой Камень составляют следующие отделы (Приложение Б).
1. Отдел кассовых операций. К функциям данного отдела следует отнести: прием и
выдачу наличных денежных средств, обмен валюты, все операции с наличностью, в
том числе снятие денежных средств с пластиковых карт. Ежедневно старшим
кассиром Примсоцбанка проводится ревизия и сверка кассы.
Управление розничных продаж (далее - Управление) является самостоятельным
структурным подразделением Филиала ОАО СКБ Приморья «Примсоцбанк» в г. Большой
Камень. В структуру Управления входят следующие внутренние структурные
подразделения Филиала: отдел кредитования физических лиц; отдел ипотечного
бизнеса; отдел обслуживания физических лиц.
2. Отдел по обслуживанию физических лиц.
А) Сотрудники данного отдела осуществляют денежные переводы (как с
открытием, так и без открытия счета).
Б) Принятие денежных средств во вклады.
В) Выпуск пластиковых карт.
3. Отдел кредитования физических лиц. К функциям данного отдела относят
оформление потребительских кредитов населению, автокредитование и
оформление револьверных кредитов.
4. Отдел ипотечного кредитования.
5. Отдел кредитования юридических лиц. Отдел занимается кредитно–расчетным
обслуживанием предприятий и организаций.
6. Отдел по работе с клиентами (ОРК). Отдел занимается привлечением в банк
новых клиентов и удержанием определенных групп клиентов, консультирование
клиентов по всем видам услуг банка, обеспечивает организацию комплексного
обслуживания юридических лиц.
7. Отдел Банковского надзора (служба безопасности Примсоцбанка). Обеспечивает
безопасность деятельности банка и его сотрудников, осуществляет проверку
крупных вкладчиков и заемщиков.
8. Отдел валютного контроля (отдел занимается текущими валютными
операциями).
9. Отдел АСУ (Автоматизация систем управления). Отдел организует компьютерные
системы банка и выполнение электронных расчетов, разрабатывает и организует
программы оснащения банка электронно-вычислительной и оргтехникой,
разрабатывает программное обеспечение для отделов и управлений банка.
10. Отдел АХО (административно-хозяйственный отдел). Занимается приобретением,
ремонтом и продажей зданий, сооружений и оборудования банка.
11. Бухгалтерия: внешняя (осуществляет работу по зачислению и списанию
денежных средств со счетов клиента); внутренняя (осуществляет организацию
бухгалтерского учета хозяйственно-финансовой деятельности и контроля за
экономичным использованием материальных, трудовых и финансовых ресурсов,
организует своевременное проведение расчетов по заработной плате сотрудников,
правильное перечисление денежных средств в бюджет).
12. Юридический отдел. Сотрудниками данного отдела Примсоцбанка являются
юрист и кадровик. В их обязанности входит подбор и расстановка персонала,
организация обучения персонала, повышение квалификации, разработка и внесение
8
изменений в нормативные документы, составление договоров, ведение дел банка в
судебных и административных учреждениях.

1.3 Отдел автоматизации систем управления


Мое место в структуре предприятия - Отдел автоматизации. Во время
производственной практики я выполняла обязанности помощника системного
администратора. Изучив должностную инструкцию системного администратора (см.
Приложение А), были сделаны следующие выводы. Системный администратор выполняет
обязанности:
 Установка, настройка, обновление операционных систем и программного
обеспечения.
 Диагностика и лечение вирусов.
 Ремонт компьютеров и периферийного оборудования.
 Сборка и подключение компьютеров и периферийного оборудования.
 Резервное копирование и защита информации.
 Восстановление данных.
 Модернизация и оптимизация работы компьютеров и периферийного
оборудования.
 Администрирование и настройка сервера.
 Проектирование, монтаж сетей (проводные, беспроводные).
 Разграничение доступа к ресурсам компьютера и Интернета, контроль трафика.
 Подключение, настройка и обслуживание офисной техники.
Системный администратор обязан:
 Соблюдать установленные сроки исполнения заданий и поручений.
 Честно и добросовестно выполнять возложенные на него обязанности.
 Содержать находящееся в пользовании имущество в целости и сохранности.
 Соблюдать правила внутреннего трудового распорядка, охраны труда, техники
безопасности, производственной санитарии и противопожарной защиты.
Основные задачи и функции отдела автоматизации:
1. разработка и реализация мероприятия по автоматизации производства,
актуализация имеющихся средств автоматизации;
2. организация работы по приобретению лицензионных программных средств и
осуществление их сопровождения;
3. разработка и сопровождение собственных программных средств по автоматизации
производства;
4. осуществление технического обслуживания оборудования.
9

2 Техника безопасности
Техника безопасности - это комплекс средств и мероприятий, внедряемых в
производство с целью создания здоровых и безопасных условий труда. Обучение и
инструктаж по безопасности труда носит непрерывный многоуровневый характер и
проводится на предприятиях в целях обеспечение безопасности, сохранения здоровья и
работоспособности работников в процессе труда.
Обучение безопасным приёмам труда для работников проводится на основании
государственного стандарта - "ГОСТ 12.0.004-90 ССБТ. Организация обучения по
безопасности труда. Общие положения". Необходимость обучения и инструктирования
работников законодательно закреплена в ТК РФ. В частности, ТК РФ обязывает
администрацию (работодателя) организовывать для работников проведение инструктажа
по охране труда и технике безопасности, производственной санитарии, противопожарной
безопасности и другим правилам.

2.1 Требования электробезопасности


При пользовании средствами вычислительной техники и периферийным
оборудованием каждый работник должен внимательно и осторожно обращаться с
электропроводкой, приборами и аппаратами и всегда помнить, что пренебрежение
правилами безопасности угрожает и здоровью, и жизни человека.
Во избежание поражения электрическим током необходимо твердо знать и
выполнять следующие правила безопасного пользования электроэнергией:
1. Необходимо постоянно следить на своем рабочем месте за исправным
состоянием электропроводки, выключателей, штепсельных розеток, при помощи которых
оборудование включается в сеть, и заземления. При обнаружении неисправности
немедленно обесточить электрооборудование, оповестить администрацию. Продолжение
работы возможно только после устранения неисправности.
2. Во избежание повреждения изоляции проводов и возникновения коротких
замыканий не разрешается:
а) вешать что-либо на провода;
б) закрашивать и белить шнуры и провода;
в) закладывать провода и шнуры за газовые и водопроводные трубы, за батареи
отопительной системы;
г) выдергивать штепсельную вилку из розетки за шнур, усилие должно быть
приложено к корпусу вилки.
3. Для исключения поражения электрическим током запрещается:
а) часто включать и выключать компьютер без необходимости;
б) прикасаться к экрану и к тыльной стороне блоков компьютера;
в) работать на средствах вычислительной техники и периферийном оборудовании
мокрыми руками;
г) работать на средствах вычислительной техники и периферийном
оборудовании, имеющих нарушения целостности корпуса, нарушения изоляции проводов,
неисправную индикацию включения питания, с признаками электрического напряжения
на корпусе
д) класть на средства вычислительной техники и периферийное оборудование
посторонние предметы.
4. Запрещается под напряжением очищать от пыли и загрязнения
электроооборудование.
5. Запрещается проверять работоспособность электрооборудования в
неприспособленных для эксплуатации помещениях с токопроводящими полами, сырых, не
позволяющих заземлить доступные металлические части.
10
6. Ремонт электроаппаратуры производится только специалистами-техниками с
соблюдением необходимых технических требований.
7. Недопустимо под напряжением проводить ремонт средств вычислительной
техники и периферийного оборудования.
8. Во избежание поражения электрическим током, при пользовании
электроприборами нельзя касаться одновременно каких-либо трубопроводов, батарей
отопления, металлических конструкций, соединенных с землей.
9. При пользовании электроэнергией в сырых помещениях соблюдать особую
осторожность.
10. При обнаружении оборвавшегося провода необходимо немедленно сообщить
об этом администрации, принять меры по исключению контакта с ним людей.
Прикосновение к проводу опасно для жизни.
11. Спасение пострадавшего при поражении электрическим током главным
образом зависит от быстроты освобождения его от действия током.
Требования по обеспечению пожарной безопасности:
На рабочем месте запрещается иметь огнеопасные вещества.
В помещениях запрещается:
а) зажигать огонь;
б) включать электрооборудование, если в помещении пахнет газом;
в) курить;
г) сушить что-либо на отопительных приборах;
д) закрывать вентиляционные отверстия в электроаппаратуре.
При возникновении пожароопасной ситуации или пожара персонал должен
немедленно принять необходимые меры для его ликвидации, одновременно оповестить о
пожаре администрацию.
Помещения с электрооборудованием должны быть оснащены огнетушителями
типа ОУ-2 или ОУБ-3.

2.2 Правила безопасности при работе с информацией


1. Все новые файлы, поступающие на носителях (например, дискетах) или по
почте необходимо проверить на наличие вирусов.
2. Следует помнить, что в почтовых сообщениях (как правило, от неизвестных
адресатов) могут содержаться «вредоносные» программы, способные нарушить
нормальное функционирование вашего компьютерного оборудования или программного
обеспечения, либо с помощью которых может быть осуществлен несанкционированный
доступ к сети или к вашему компьютеру. Соблюдайте правила ведения переписки по
электронной почте: указывайте тему сообщения, в теме сообщения - обращение к
получателю, сообщение о количестве и содержании высылаемых файлов, подпись - в
конце сообщения. Не открывайте присоединенные файлы, если вы не уверены в его
происхождении. Самый безопасный способ – это удаление такого сообщения.
3. Храните свой пароль для входа в сеть в тайне, регулярно меняйте его.
4. Не оставляйте свой компьютер подключенным к сети, если вы не уверены,
что им в ваше отсутствие не может воспользоваться посторонний человек (совершите
процедуру выхода из сети).
11

3 Анализ информационной безопасности


На предприятии используются следующие средства защиты информации:
 средства разграничения доступа к данным;
 средства реагирования на обнаруженный несанкционированный доступ;
 защита от проникновения компьютерных вирусов, сетевых атак и разрушительного
воздействия вредоносных программ – антивирусный контроль.
Согласно ФЗ «Об информации, информационных технологиях и о защите
информации»: информация, составляющая коммерческую тайну - сведения любого
характера (производственные, технические, экономические, организационные и другие), в
том числе о результатах интеллектуальной деятельности в научно-технической сфере, а
также сведения о способах осуществления профессиональной деятельности, которые
имеют действительную или потенциальную коммерческую ценность в силу неизвестности
их третьим лицам, к которым у третьих лиц нет свободного доступа на законном
основании и в отношении которых обладателем таких сведений введен режим
коммерческой тайны.
Информационная безопасность любой автоматизированной системы обработки
информации (в том числе и рабочих станций под управлением любой ОС) – это состояние,
в котором она способна противостоять угрозам (как внешним, так и внутренним) на
обрабатываемую информацию; не является источником угроз для собственных элементов
и окружающей среды.
Соответственно угрозой информационной безопасности считается возможность
реализации воздействия на информацию, обрабатываемую в компьютерной системе,
приводящего к искажению, уничтожению, копированию, блокированию доступа к
информации, а также возможность воздействия на компоненты системы, приводящего к
утрате, уничтожению или сбою функционирования носителя информации, средства
взаимодействия с носителем или средства его управления. В настоящее время
рассматривается достаточно обширный перечень угроз информационной безопасности,
насчитывающий сотни пунктов. Для удобства их группируют в зависимости от свойств
информации, которые могут быть нарушены в результате их реализации.
Необходимость классификации угроз информационной безопасности АС
обусловлена тем, что архитектура современных средств автоматизированной обработки
информации, организационное, структурное и функциональное построение
информационно-вычислительных систем и сетей, технологии и условия
автоматизированной обработки информации такие, что накапливаемая, хранимая и
обрабатываемая информация подвержена случайным влияниям чрезвычайно большого
числа факторов, в силу чего становится невозможным формализовать задачу описания
полного множества угроз. Как следствие, для защищаемой системы определяют не полный
перечень угроз, а перечень классов угроз.
Конфиденциальность информации – субъективно определяемая (приписываемая)
характеристика (свойство) информации, указывающая на необходимость введения
ограничений на круг субъектов, имеющих доступ к данной информации, и обеспечиваемая
способностью системы (среды) сохранять указанную информацию в тайне от субъектов,
не имеющих полномочий доступа к ней. Объективные предпосылки подобного
ограничения доступности информации для одних субъектов заключены в необходимости
защиты их законных интересов от других субъектов информационных отношений.
Целостность информации – существование информации в неискаженном виде
(неизменном по отношению к некоторому фиксированному ее состоянию). Точнее говоря,
субъектов интересует обеспечение более широкого свойства – достоверности информации,
которое складывается из адекватности (полноты и точности) отображения состояния
предметной области и непосредственно целостности информации, т.е. ее неискаженности.
12
Доступность информации – свойство системы (среды, средств и технологии
обработки), в которой циркулирует информация, характеризующееся способностью
обеспечивать своевременный беспрепятственный доступ субъектов к интересующей их
информации и готовность соответствующих автоматизированных служб к обслуживанию
поступающих от субъектов запросов всегда, когда в обращении к ним возникает
необходимость.
Таким образом, в соответствии с существующими подходами, принято считать, что
информационная безопасность АС обеспечена в случае, если для любых информационных
ресурсов в системе поддерживается определенный уровень конфиденциальности
(невозможности несанкционированного получения какой-либо информации), целостности
(невозможности несанкционированной или случайной ее модификации) и доступности
(возможности за разумное время получить требуемую информацию). Соответственно для
автоматизированных систем было предложено рассматривать три основных вида угроз.
Угроза нарушения конфиденциальности. Заключается в том, что информация
становится известной тому, кто не располагает полномочиями доступа к ней, т.е. угроза
нарушения конфиденциальности имеет место всякий раз, когда получен доступ к
некоторой секретной информации, хранящейся в вычислительной системе или
передаваемой от одной системы к другой. Иногда, в связи с угрозой нарушения
конфиденциальности, используется термин «утечка».
Угроза нарушения целостности. Предполагает любое незапланированное и
несанкционированное изменение информации, хранящейся в системе или передаваемой из
одной системы в другую. Целостность может быть нарушена в результате
преднамеренных действий человека, а также – в результате возникновения случайной
ошибки программного или аппаратного обеспечения.
Угроза нарушения доступности (или угроза отказа служб). Возникает всякий раз,
когда в результате некоторых событий (преднамеренных действий или ошибки)
блокируется доступ к некоторому ресурсу вычислительной системы. Блокирование может
быть постоянным – запрашиваемый ресурс никогда не будет получен, или оно может
вызывать только задержку выдачи ресурса, достаточно долгую для того, чтобы он стал
бесполезным.
Политика безопасности – совокупность норм и правил, регламентирующих процесс
обработки информации, обеспечивающих эффективную защиту системы обработки
информации от заданного множества угроз. Политика безопасности составляет
необходимое, а иногда и достаточное условие безопасности системы. Формальное
выражение политики безопасности, называется моделью безопасности.
Типичные атаки на банковские системы
Атаки на системы «front-end» – это атаки, направленные на манипулирование с
транзакциями, в т.ч. и с финансовыми. Это могут быть, например, атаки на терминалы
(POS терминалы или банкоматы), терминалы SWIFT и др. Данные атаки не получили
широкого распространения, т.к. обеспечение ИБ транзакционных систем основано на
использовании стойких криптографических алгоритмов, как для шифрования, так и для
электронной подписи. Единственное, чему стоит уделить внимание – это надежной
системе распределения ключей и физической безопасности терминалов.
Атаки на системы «back-office». Это наиболее популярный вид атак, и совершаются
они как «внешними» злоумышленниками, так и внутренними («инсайдерами»). Атаки
направлены на манипуляции с базами данных, которые осуществляются как через
приложения, так и напрямую. Типов атак очень много. Например, одна из самых
популярных - округление счета в «нужную» сторону. Для противодействия можно
использовать широкий спектр контрмер. Это мониторинг и аудит, управление доступом,
физическая безопасность, организационные меры, разделение среды разработчиков и
операционной среды и др.
13

4. Сведения об информационных системах и технологиях


предприятия

4.1 Построение безопасных сетей на основе VPN


Виртуальная частная сеть или просто VPN (Virtual Private Network) – это
технология, при которой происходит обмен информацией с удаленной локальной сетью по
виртуальному каналу через сеть общего пользования с имитацией частного подключения
«точка-точка». Под сетью общего пользования можно подразумевать как Интернет, так и
другую интрасеть.
История зарождения VPN уходит своими корнями далеко в 60-е годы прошлого
столетия, когда специалисты инженерно-технического отдела нью-йоркской телефонной
компании разработали систему автоматического установления соединений абонентов АТС
– Centrex (Central Exchange). В настоящее время данная услуга заменяется более
продвинутым ее аналогом – IP-Centrex. Соблюдение конфиденциальности было важным
аспектом при передаче информации уже достаточно длительное время, в XV веке нашей
эры математиком Леоном Батистом Альберти была создана первая криптографическая
модель. В наше время именно виртуальная частная сеть может обеспечить достаточную
надежность передаваемой информации вместе с гибкостью системы.
Intranet VPN - способ связи в одну общую сеть территориально распределенных
филиалов фирмы. Связь между подразделениями ОАО СКБ Приморья «Примсоцбанк»
осуществляется посредством организации виртуальных каналов в сети «Интернет» при
помощи маршрутизаторов производства Cisco Systems. На следующем рисунке изображен
схематический рисунок организации сети ОАО СКБ Приморья «Примсоцбанк» с
филиалами с использованием виртуальных частных сетей. При организации такой схемы
подключения требуется наличие VPN серверов равное количеству связываемых офисов.

Рисунок 1 «Intranet VPN»

Наиболее очевидные преимуществами VPN:


 масштабируемость системы. При открытии нового филиала или добавления
сотрудника, которому позволено пользоваться удаленным доступом не нужно
никаких дополнительных затрат на коммуникации;
 гибкость системы. Для VPN не важно, откуда вы осуществляете доступ. Отдельно
взятый сотрудник может работать из дома, а может во время чтения почты из
корпоративного почтового ящика фирмы пребывать в командировке в абсолютно
другом государстве. Также стало возможным использовать так называемые
мобильные офисы, где нет привязки к определенной местности.
Поскольку данные в виртуальных частных сетях передаются через общедоступную
сеть, следовательно, они должны быть надежно защищены от посторонних глаз. Для
реализации защиты передаваемой информации существует множество протоколов,
которые защищают VPN, но все они подразделяются на два вида и работают в паре:
 протоколы, инкапсулирующие данные и формирующие VPN соединение;
 протоколы, шифрующие данные внутри созданного туннеля.
Первый тип протоколов устанавливает туннелированное соединение, а второй тип
отвечает непосредственно за шифрование данных. Рассмотрим некоторые стандартные,
предлагаемые всемирно признанным мировым лидером в области разработки
операционных систем, решения.
L2TP (Layer Two Tunneling Protocol) – протокол, родившийся в результате
объединения протоколов PPTP (от Microsoft) и L2F (от Cisco), вобравший в себя все
лучшее из этих двух протоколов. Предоставляет более защищенное соединение, нежели
14
первый вариант, шифрование происходит средствами протокола IPSec (IP-security). L2TP
является также встроенным в клиент удаленного доступа Windows XP, более того при
автоматическом определении типа подключения клиент сначала пытается соединиться с
сервером именно по этому протоколу, как являющимся более предпочтительным в плане
безопасности.
Инкапсуляция данных происходит путем добавления заголовков L2TP и IPSec к
данным обработанным протоколом PPP. Шифрование данных достигается путем
применения алгоритма DES (Data Encryption Standard) или 3DES. Именно в последнем
случае достигается наибольшая безопасность передаваемых данных, однако в этом случае
придется расплачиваться скоростью соединения, а также ресурсами центрального
процессора.
В вопросе применения протоколов компания Microsoft и Cisco образуют некий
симбиоз, протокол L2TP – гибрид, вобравший в себя все лучшее PPTP (от Microsoft) и L2F,
разработанный Cisco. Возможно именно поэтому VPN, при правильном подходе в
организации, считается надежным способом передачи конфиденциальных данных.

4.2 Active Directory


Авторизация и аутентификация пользователей, а также настройки политик
безопасности на рабочих станциях ДО ОАО СКБ Приморья «Примсоцбанк» в г. Большой
Камень осуществляется посредством ПО Active Directory от Microsoft.
Active Directory («Активный каталог», AD) — реализация службы каталогов
корпорации Microsoft для операционных систем семейства Windows NT. Active Directory
позволяет администраторам использовать групповые политики для обеспечения
единообразия настройки пользовательской рабочей среды, разворачивать программное
обеспечение на множестве компьютеров через групповые политики или посредством
System Center Configuration Manager, устанавливать обновления операционной системы,
прикладного и серверного программного обеспечения на всех компьютерах в сети,
используя Службу обновления Windows Server. Active Directory хранит данные и
настройки среды в централизованной базе данных.
Преимущества Active Directory:
 единая база регистрации пользователей, которая хранится централизованно на
одном либо нескольких серверах; таким образом, при появлении нового сотрудника
в офисе вам нужно будет всего лишь завести ему учетную запись на сервере и
указать, на какие рабочие станции он сможет получать доступ;
 поскольку все ресурсы домена индексируются, это дает возможность простого и
быстрого поиска для пользователей (например, если нужно найти цветной принтер
в отделе);
 совокупность применения разрешений NTFS, групповых политик и делегирования
управления позволит вам тонко настроить и распределить права между
участниками домена;
 перемещаемые профили пользователей дают возможность хранить важную
информацию и настройки конфигурации на сервере (фактически, если
пользователь, обладающий перемещаемым профилем в домене, сядет работать за
другой компьютер и введет свои имя пользователя и пароль, он увидит свой
рабочий стол с привычными ему настройками);
 с помощью групповых политик вы можете изменять настройки операционных
систем пользователей, от разрешения пользователю устанавливать обои на рабочем
столе до настроек безопасности, а также распространять по сети программное
обеспечение;
 использование Remote Installation Services облегчает установку систем на рабочие
места.
15

Структура
Домены - это основная логическая единица построения. В сравнении с рабочими
группами домены AD – это группы безопасности, имеющие единую базу регистрации,
тогда как рабочие группы – это всего лишь логическое объединение машин. Домены
идентифицируются своими структурами имён DNS — пространствами имён. Таким
образом, имена компьютеров в домене имеют вид, например, buh.work.com, где buh – имя
компьютера в домене work.com.
Дерево содержит один или несколько доменов, связанных в иерархию
транзитивными отношениями доверия. Корнем такой структуры является главный домен,
для которого вы создаете дочерние. Деревья как логические построение используются,
когда вам нужно разделить филиалы компании, например, по географическим признакам.
Верхним уровнем структуры является лес — совокупность всех объектов,
атрибутов и правил (синтаксиса атрибутов) в AD. Лес – это объединение деревьев,
имеющих разные корневые домены.

Рисунок 2 Структура леса

Предположим, вы решили иметь несколько доменов с именами work.com и home.net


и создать для них дочерние домены, но из-за того, что tld (top level domain) не в вашем
управлении, в этом случае вы можете организовать лес, выбрав один из доменов первого
уровня корневым.
Корпорация Microsoft рекомендует использовать как можно меньше доменов в
Active Directory, а для структурирования и политик использовать подразделения. Причина
этому – децентрализация администрирования при создании дополнительного домена, так
как администраторы каждого такого домена получают неограниченный контроль.
Другим способом деления Active Directory являются сайты, которые являются
способом физической (а не логической) группировки на основе сегментов сети. Сайты
подразделяются на имеющие подключения по низкоскоростным каналам (например по
каналам глобальных сетей, с помощью виртуальных частных сетей). Сайт может
содержать один или несколько доменов, а домен может содержать один или несколько
сайтов.
Ключевым решением при проектировании Active Directory является решение о
разделении информационной инфраструктуры на иерархические домены и подразделения
верхнего уровня. Типичными моделями, используемыми для такого разделения, являются
модели разделения по функциональным подразделениям компании, по географическому
положению и по ролям в информационной инфраструктуре компании. Часто используются
комбинации этих моделей.
Организационные единицы - позволяют группировать в домене учетные записи
пользователей, группы пользователей, компьютеры, разделяемые ресурсы, принтеры и
другие OU (Organization unit). Практическая польза от их применения состоит в
возможности делегирования прав для администрирования этих единиц.
Можно назначить администратора в домене, который сможет управлять OU, но не
иметь прав для администрирования всего домена. Политики, в которых определены
настройки паролей и блокировки учетных записей могут применяться только для доменов.
Для OU эти настройки политик игнорируются.
Группы пользователей и компьютеров - используются для административных
целей и имеют такой же смысл, как и при использовании на локальных машинах в сети. В
отличие от OU, к группам нельзя применять групповые политики, но для них можно
делегировать управление. В рамках схемы Active Directory выделяют два вида групп:
группы безопасности (применяются для разграничения прав доступа к объектам сети) и
16
группы распространения (применяются в основном для рассылки почтовых сообщений,
например, в сервере Microsoft Exchange Server).
Они подразделяются по области действия:
 универсальные группы могут включать в себя пользователей в рамках леса, а
также другие универсальные группы или глобальные группы любого домена в лесу;
 глобальные группы домена могут включать в себя пользователей домена и другие
глобальные группы этого же домена;
 локальные группы домена используются для разграничения прав доступа, могут
включать в себя пользователей домена, а также универсальные группы и
глобальные группы любого домена в лесу.

Настройка политики безопасности с помощью Active Directory


Создание административной учетной записи для администратора
После установки Active Directory вы должны создать новую учетную запись
пользователя, которая будет использоваться вами для администрирования всего, что
связано с Active Directory. После того, как создана новая учетная запись пользователя, вы
должны добавить ее в группу администраторов домена (Domain Admins).
Установка надежного пароля для учетной записи администратора
Вы должны сделать пароль для этой учетной записи длинным (желательно 15 - 20
символов) и использовать по крайней мере три типа символов.
Переименование учетной записи администратора в первом домене AD
Вы не сможете изменить SID для учетной записи, но по крайней мере быстрый
просмотр списка пользователей не позволит ее обнаружить слишком просто.
Установка политики паролей по умолчанию (Default Domain Policy)
В доменной политике по умолчанию настройки политики для паролей должны
быть заданы так, как изображено на рисунке 3.

Рисунок 3 (Default Domain Policy)

Таблица 1 - Пояснения для настройки политик

Policy Setting Minimum Value Secure value


(настройка политики) (минимальное значение) (безопасное значение)
Min Password Age 1 1
(минимальный возраст
пароля)
Max Password Age 180 45
(максимальный возраст
пароля)
Min Password Length 8 14+
(минимальная длина
пароля)
Password Complexity Enabled (включено) Enabled (включено)
(сложность пароля)
Установка политики блокировки учетной записи (Account Lockout Policy) в
политике домена по умолчанию
Настройки политики блокировки учетной записи в течение долгого времени
являлись предметом дебатов. Возникли две противоборствующие стороны. Первая
сторона заявляла, что пароль должен быть заблокирован после трех неудачных попыток
ввода. Вторая сторона заявляла, что пользователю необходимо предоставить
неограниченное количество попыток ввода паролей. Минусы есть в каждом подходе: если
17
блокировать учетную запись после нескольких неудачных попыток ввода пароля, то
злоумышленник может заблокировать другие важные учетные записи, включая учетные
записи сотрудников IT, начальников и т.п. Во втором случае, злоумышленник может
подобрать пароли методом перебора.
На рисунке 4 показаны параметры для настройки политики блокировки учетной
записи (Account Lockout Policy).

Рисунок 4 Account Lockout Policy

Создание организационных единиц (Organizational Unit) для учетных записей


пользователей
Для того, чтобы контролировать учетные записи пользователей и их настройки на
компьютере, необходимо создать организационную единицу (OU) для учетных записей
пользователей. Учетные записи пользователей по умолчанию размещаются в контейнере
под названием 'Users (пользователи), с которым нельзя связать никакие объекты политики
группы (GPO).
Обычно понадобится не только создать единую OU для учетных записей
пользователей, а создать целую иерархию логически структурированных OU для учетных
записей пользователей. Это позволит контролировать то, какие настройки GPO влияют на
какие учетные записи пользователей. Например, логическими структурами OU для
учетных записей пользователей могут быть OU для:
 Управлений, таких как HR, IT, финансовое управление.
 Регионов.
 Рабочих ролей, таких как менеджеры, начальники, сотрудники отдела поддержки.
Создание GPO и его привязка к новой OU для учетной записи компьютера
Чтобы убедиться, что компьютеры в безопасности, когда они попадают в домен,
необходимо иметь набор настроек для безопасности. Для этого необходимо создать GPO и
связать его с OU(s) для учетной записи компьютера, которую только что создали. Такими
настройками в GPO могут быть: включение UAC, сброс пароля локального
администратора, контроль членства в группе администраторов, контроль анонимных
подключений, контроль поддерживаемых протоколов аутентификации
Настройка DNS
Для большинства компаний нужна данная установка, но не для всех. Однако,
большинству компаний необходимо немедленно настроить свой DNS, чтобы разрешить
доступ в Интернет, но также защитить DNS, который поддерживает AD. Для этого
необходимо настроить DNS, который поддерживает среду Active Directory таким образом,
чтобы он передавал все запросы к Интернет на сервер DNS, который поддерживает
интернет. Для этого нужны следующие настройки: настроить всех клиентов домена на
использование DNS AD, настроить сервера DNS AD на передачу запросов на внешние
сервера DNS.
Переименование всех учетных записей администраторов во всех доменах
Необходимо переименовать учетную запись администратора в локальном
менеджере Security Accounts Manager (SAM) каждого компьютера (сервера и рабочей
станции) в домене, а также для каждого нового домена, который добавляете в лес. Можно
сделать это с помощью GPO, изображенной на рисунке 5, который сделает конфигурацию
простой и эффективной.

Рисунок 5 GPO
18

4.3 Банковские интегрированные системы


Для своевременной и качественной переработки все возрастающих объемов
поступающей в банки информации требуется применение все более совершенных
технических и программных средств. Компьютеризация банков сопровождается
совершенствование технологии банковских операции и повышением уровня
управляемости. Современные информационные технологии позволяют координировать
деятельность подразделений банков, расширить межбанковские связи, действовать
одновременно на финансовых рынках ряда стран.
Задача, стоящая перед всеми финансовыми организациями, одинакова: интеграция
унаследованных систем в распределенную архитектуру локальных сетей. Банковские
компьютерные системы на сегодняшний день являются одной из самых быстро
развивающихся областей прикладного сетевого программного обеспечения. В качестве
примеров передовых технологий, используемых в банковской деятельности, можно
назвать базы данных на основе модели "клиент-сервер"; средства межсетевого
взаимодействия для межбанковских расчетов; службы расчетов, целиком
ориентированных на Internet, или, так называемые, виртуальные банки; банковские
экспертно-аналитические системы, использующие принципы искусственного интеллекта и
многое другое.
В настоящее время БИС позволяют автоматизировать практически все стороны
банковской деятельности. Среди основных возможностей современной БИС, основанных
на использовании сегодняшних сетевых технологий, следует упомянуть:
 системы электронной почты,
 базы данных на основе модели "клиент-сервер",
 ПО межсетевого взаимодействия для организации межбанковских расчетов,
 средства удаленного доступа к сетевым ресурсам для работы с сетями банкоматов и
многое другое.
IBSO, RBS
IBSO, RBS – интегрированные банковские системы информационной поддержки
банковских операций. Запуск и работа в программных продуктах IBSO и RBS в ДО ОАО
СКБ Приморья «Примсоцбанк» в г. Большой Камень осуществляется посредством
терминального ПО Citrix Metaframe.
Используют все достоинства профессиональной реляционной СУБД Oracle, широко
применяемой для создания сложных высоконадежных прикладных систем корпоративного
уровня в архитектуре клиент/сервер или хост/терминал.
Характеристика систем:
 Масштабируемость и оптимальность. Модульное построение, возможность
эксплуатации на различных аппаратных платформах в средах UNIX (Sun Solaris,
HP-UX, SCO UnixWare, Digital UNIX, IBM AIX, Linux, и др.), MS-Windows,
Windows NT открывают широкие возможности для оперативного изменения
конфигурации системы.
 Надежность и безопасность. Целостность и непротиворечивость данных и
предотвращение несанкционированного доступа к ним обеспечиваются
многоуровневой защитой, которую предоставляют:
1. Операционная система. Используются все возможности применяемой ОС в части
разделения прав пользователей и защиты информации от несанкционированного
доступа;
2. Система управления базами данных Oracle. Контроль за целостностью и
непротиворечивостью данных, который автоматически осуществляет на уровне
ядра СУБД активный словарь данных;
3. Прикладные решения системы. Гибкое разграничение прав доступа пользователей
к различным объектам базы данных (счетам, клиентам, документам, проводкам и
19
т.д.) раздельно по чтению, записи, корректировке или удалению индивидуально для
каждого пользователя или группы пользователей;
4. Средства криптозащиты. Интерфейс обмена данными с внешними абонентами
позволяет просто подключать различные программно-аппаратные средства
криптозащиты и ЭЦП по выбору пользователя.
 Многовалютность. Мультивалютное ядро позволяет в качестве базовой выбрать
любую национальную валюту.
 Интеграция по данным. Работа всех входящих в систему функциональных модулей
основывается на единой информационной базе. Внесение изменений в любую из
составных частей базы данных при выполнении операции одним из модулей
автоматически вносит изменения во все взаимосвязанные части базы.
 Интерактивность. Унифицированный подход к построению интерфейса
обеспечивает простоту освоения системы, предоставляет пользователю, в пределах
его полномочий, легкий интерактивный доступ ко всей необходимой информации,
хранящейся в базе данных. Организация пользовательского интерфейса системы
базируется на следующих принципах:
1. Объектно-ориентированный подход. Каждому объекту системы (клиент, договор,
сделка, счет, документ, проводка, финансовый инструмент и т.д.) соответствует
экранная форма, позволяющая производить набор стандартных (создание,
редактирование и удаление объекта, поиск нужного объекта и т.д.) и нестандартных
(закрытие счета и пр.) операций. Для выполнения однотипных действий над
разными объектами используются одинаковые клавиши, таким образом,
пользователь, освоивший работу с одной экранной формой, может работать с
любой другой.
2. Рекурсивная навигация связанных данных. Не выходя из режима обработки
документов, пользователь может просмотреть реквизиты клиента, данные обо всех
открытых клиентом счетах и остатках на них.
3. Реальный масштаб времени выполнения операций. Вся введенная информация, в
том числе изменения состояния лицевых счетов, становится доступной всем
пользователям системы сразу же по завершении транзакции.
4. Модульность. Модульная структура дает возможность банку нести только
обоснованные в данный момент сферой его деятельности и объемом
документооборота затраты на программное обеспечение, легко наращивая
функциональные возможности системы по мере расширения круга выполняемых
операций.
5. Простота освоения и сопровождения. Используя средства, доступные
администратору, можно сконструировать АРМы необходимой функциональной
структуры, санкционировать доступ к ним сотрудников банка, описать
документопотоки, и, таким образом, организовать бизнес-процессы с учетом самых
разнообразных факторов.
Система «ЦФТ-Ритейл банк (на базе Oracle)»
Основные функциональные характеристики Банка-эмитента.
Функциональные возможности АРМ
Исполняемый модуль ADMIN_II.exe.
Предназначен для настройки и управления технологией работы Системы и реализует
следующие возможности:
 определение настроек системы,
 формирование видов вкладов и схем начисления процентов,
 настройка объектов системы, определение тарифов и скидок по операциям с
конкретной валютой,
 настройка кодов операций в Системе,
20
 редактирование автоматически формируемых сообщений (назначений платежа,
почтовых сообщений),
 работа со справочниками,
 регистрация терминалов,
 настройка работы с картами
Исполняемый модуль ADMIN_I.exe.
Предназначен для управления и контроля за действиями в Системе и реализует
следующие возможности:
 регистрация пользователей
 регламентация доступа пользователя (групп пользователей) к финансовой
информации с помощью определения:
o фактических прав на АРМы,
o дополнительных прав на совершение конкретных действий в АРМах,
o допустимых операций (открытие, просмотр, дебетование, кредитование) для
счетов, открытых в разрезе определенного балансового счета, в определенной
валюте, с определенным видом вклада.
Существующий механизм назначения прав пользователю на определенный период
времени позволяет планировать изменение прав в будущем. Приоритетом
обладает более позднее изменение прав.
 контроль над всеми событиями, происходящими в Системе.

4.4 Технология защиты компьютеров. System Center


System Center – это набор продуктов, с помощью которого ИТ-специалистам проще
настраивать приложения, службы, компьютеры и виртуальные машины в средних и
крупных компаниях, а также управлять ими.
System Center 2012 состоит из следующих продуктов:
 Operations Manager;
 Configuration Manager;
 Endpoint Protection;
 Data Protection Manager.
Все компоненты System Center 2012 можно установить из унифицированного
установщика. Можно развертывать компоненты и традиционным способом.
21

Operations Manager
Operations Manager представляет собой решение мониторинга в составе System
Center. Operations Manager можно использовать для контроля производительности и
диагностических данных, поступающих от приложений, служб, серверов, клиентов и
сетевых устройств.
Operations Manager 2012 обеспечивает следующие возможности:
 контроль доступности служб, приложений, серверов и сетевых устройств;
 контроль производительности серверов, выдача предупреждений, когда счетчики
производительности выходят за верхний или нижний порог допустимых значений;
 контроль диагностической информации о службах, приложениях, серверах и
сетевых устройствах;
 контроль служб и приложений, развернутых как традиционным способом, так и в
частных и общедоступных «облаках»;
 просмотр информации о зависимостях служб и приложений в различных местах, в
том числе в частных и общедоступных «облаках».
Configuration Manager
Microsoft System Center Configuration Manager (SCCM), в прошлом известный как
Microsoft Systems Management Server (SMS), — еще один продукт System Center. С
помощью нового Configuration Manager можно управлять развертыванием и настройкой
серверов, клиентов и устройств в сети компании.
Configuration Manager можно применять для следующих целей:
 развертывания настроенных на конкретное применение серверных и клиентских
операционных систем;
 развертывания приложений Microsoft и других компаний на клиентах Configuration
Manager;
 развертывания обновлений для операционных систем и приложений Microsoft, а
также обновлений для приложений других компаний;развертывания и управления
защитой конечных точек, в том числе настройки антивирусных программ и
брандмауэра, через System Center
Endpoint Protection 2012;
Endpoint Protection
В System Center 2012 программа
Microsoft Forefront Endpoint Protection стала
компонентом Configuration Manager,
предназначенным для управления
обновлением программных продуктов,
развертыванием антивирусных программ и
настройки антивирусных программ и
брандмауэра из единой консоли.
С помощью политик Endpoint
Protection для борьбы с вредоносными программами можно настроить следующие
параметры:
 тип сканирования, выполняемого по расписанию; время; проверка в период
бездействия; принудительное обновление определений перед сканированием;
ограничение ресурсов процессора, выделяемых для сканирования;
 сканирование целевых объектов, в том числе сообщений и вложенных файлов,
съемных USB-носителей, сетевых дисков и архивных файлов;
 защита в реальном времени, в том числе загруженных файлов, защита от
поражений сети, мониторинга поведения и сканирования сценариев;
 исключение файлов, папок, типов файлов и процессов;
22

 создание точек восстановления перед дезинфекцией компьютера и определение


времени ожидания перед удалением отправленных в карантин файлов;
 частота обновления определений и получение обновлений из других источников
при невозможности обратиться к серверу Configuration Manager.
Data Protection Manager
Data Protection Manager (DPM) — решение компании Microsoft для резервного
копирования на уровне предприятия. DPM обеспечивает надежную архивацию и
восстановление рабочих нагрузок Microsoft, таких как клиенты и серверы Exchange Server,
SQL Server, Dynamics CRM, SharePoint и Windows, управление несколькими серверами
DPM 2012 из одной консоли, оптимизированное восстановление на уровне элемента
SharePoint, усовершенствованные отчеты и углубленную детализацию полномочий через
управление доступом на основе ролей (RBAC).

4.5 Общие сведения о системе «iBank 2»


В данной главе используются следующие термины:
 Firewall (брандмауэр) — программный и/или аппаратный барьер между двумя
сетями, позволяющий устанавливать только авторизованные межсетевые
соединения. Firewall защищает соединяемую с Интернет корпоративную сеть от
проникновения извне и исключает возможность доступа к конфиденциальной
информации.
 Java-апплет — программа, написанная на языке Java, которая встраивается в Web-
сайт и выполняется в среде Web-браузера.
 SWIFT (Society for Worldwide Interbank Financial Telecommunication) —
автоматизированная система осуществления международных денежных расчетов и
платежей с использованием компьютеров и межбанковских телекоммуникаций.
Создана в 1973 г. в Брюсселе представителями 240 банков 15 стран с целью
упрощения и унификации международных расчетов. Функционирует с 1977 г.
 USB-токен «iBank 2 Key» — это аппаратное USB-устройство, состоящее из PC/SC-
совме- стимого USB-кардридера и SIM-карты, в которой реализованы все
российские криптоалгоритмы и имеется защищенная область памяти, позволяющая
хранить до 64-х секретных ключей ЭЦП.
 Сертификат — в криптографии — электронный документ, содержащий некий набор
информации, включая данные о пользователе и открытый ключ.
 Протокол SSL (Secure Sockets Layer) — защищенный протокол, предназначенный
для обеспечения конфиденциальности работы пользователя Интернет с Web-
сервером.

4.5.1 Назначение и функциональные возможности системы


Система «iBank 2» предназначена для предоставления клиентам банка
(юридическим и физическим лицам) полного спектра банковских услуг по удаленному
управлению счетами.
В рамках системы iBank2 доступны следующие сервисы (таблица 2):

Таблица 2 - Сервисы Системы «iBank 2»

Сервис Преимущества Недостатки


Интернет-Банкинг.  на компьютере  оплата
Позволяет отправлять рублевые и Клиента не требуется времени,
валютные документы, формировать установка никаких программ проведенного в
23

реестры документов, получать  управление счетом Интернет.


выписку по счетам, работать с возможно из любой точки
почтовыми сообщениями, мира
используя соединение с  круглосуточная работа
Интернетом.  простота
использования
 не требует
регулярного обновления
справочников и версий
Phone-Банкинг. Позволяет получать  для использования нужен  нельзя
информацию о состоянии счета в только телефон или факс отправлять
речевом и факсимильном виде.  круглосуточная работа платежные
документы
PC-Банкинг. Позволяет отправлять  круглосуточная работа  не удобно
рублевые и валютные документы,  простота установки работать в
формировать реестры документов,  простота использования многопользова
получать выписку по счетам,  комфортная работа при тельском
работать с почтовыми низкокачественном режиме
сообщениями, в режиме "офф- доступе в Интернет
лайн". Связь с банком  обновления справочников
осуществляется посредством и версий происходят
кратковременного соединения (15- автоматически, без
30 сек) с Интернетом. вмешательства Клиента

Функциональные возможности «iBank 2»:


1. «iBank 2» предоставляет клиентам услуги по удаленному управлению счетами и
картами. Клиент получает возможность:
• отправлять в банк различные финансовые документы с целью поручить банку
выполнить определенные действия в соответствии с документом;
• получать выписки по счетам за произвольный период времени;
• осуществлять отзыв финансовых документов;
• обмениваться информационными сообщениями с банком;
• осуществлять обмен документами (импорт/экспорт) с бухгалтерскими
программами.
В рамках системы «iBank 2» могут работать юридические лица с произвольным
числом сотрудников и ключей ЭЦП.
2. «iBank 2» обеспечивает необходимую информационную безопасность с помощью
следующих механизмов:
• механизм электронной цифровой подписи (ЭЦП) под финансовыми документами
для обеспечения целостности и аутентичности (доказательство авторства) передаваемой
информации;
•криптографическиеалгоритмышифрованияданныхприпередачеинформациимежду
банком и клиентами для конфиденциальности передаваемых данных; • механизм
криптографической аутентификации сторон при защищенном взаимодействии через
Интернет.
3. «iBank 2» позволяет в рамках одного экземпляра системы обслуживать несколько
банков и их филиалов.
24

4.5.2 Структура и функционирование «iBank 2»


Пользователями «iBank 2» являются клиенты банка (физические и юридические
лица) и банковские служащие (администратор системы, администратор банка и
операционист).
Клиенты банка используют при работе с системой АРМ «Регистратор для
корпоративных клиентов» и АРМ «Internet-Банкинг для корпоративных клиентов»,
представляющие собой Java-апплеты. АРМ «Регистратор для корпоративных клиентов»
предназначен для предварительной регистрации клиента в системе, а также для
управления ключами ЭЦП клиента. В АРМ «Internet-Банкинг для корпоративных
клиентов» осуществляется текущая работа клиентов банка.
Взаимодействие клиента с «iBank 2» состоит из следующих стадий:
Регистрация клиента. Процедура регистрации состоит из двух этапов:
предварительная регистрация и окончательная регистрация. В процессе предварительной
регистрации клиент с помощью АРМ «Регистратор для корпоративных клиентов»
добавляет информацию о себе в систему и создает себе пару ключей ЭЦП, используемых в
процессе работы. На этапе окончательной регистрации клиент лично прибывает в банк с
необходимыми документами и заключает с банком договор на обслуживание с помощью
«iBank 2», после чего администратор добавляет информацию о клиенте в «iBank 2»
(администратор банка регистрирует клиентов своего филиала, администратор системы
регистрирует клиентов головного банка и клиентов, имеющих счета в нескольких
филиалах). После окончательной регистрации в офисе банка клиент может работать в
«iBank 2».
Работа зарегистрированного клиента в системе. Зарегистрированный клиент
имеет возможность работать с различными финансовыми документами «iBank 2». Список
документов, с которыми клиент может работать, определяется договором на обслуживание
с помощью «iBank 2», заключаемым между клиентом и банком.
Хранение информации о клиенте и его документов в архиве. В случае
прекращения работы клиента в «iBank 2» (например, если клиент не возобновил договор,
заключенный с банком на обслуживание с помощью «iBank 2», по истечении срока
действия) он теряет статус зарегистрированного. Информация о клиенте, все документы
клиента и данные о совершенных им финансовых операциях перемещаются в архив.
Вышеперечисленная информация сохраняется в архиве в течение срока, определенного
договором на обслуживание клиента. После истечения данного срока сведения о клиенте и
его финансовых документах безвозвратно удаляются из системы. При возобновлении
клиентом, информация о котором хранится в архиве, работы в «iBank 2» он вновь
получает статус зарегистрированного клиента.

4.5.3 Обеспечение информационной безопасности в «iBank2»


Для обеспечения информационной безопасности в «iBank 2» используются
следующие механизмы:
Электронная цифровая подпись (ЭЦП) под электронными документами — для
обеспечения целостности и аутентичности (доказательство авторства) информации. ЭЦП
клиента используется в качестве аналога личной подписи. Для формирования ЭЦП
клиента используются следующие криптографические алгоритмы:
• ГОСТ Р34.10-2001 — процедура формирования ЭЦП клиента.
• ГОСТ Р34.11-94 — процедура вычисления хэш-функции.
В процессе предварительной регистрации генерируется пара ключей ЭЦП клиента
(секретный и открытый ключи). Генерация ключей происходит с использованием
криптографического генератора псевдослучайных чисел SecureRandom.
Секретный ключ ЭЦП клиента используется для формирования ЭЦП клиента под
финансовым документами и другими исходящими от клиента распоряжениями. Длина
секретного ключа ЭЦП клиента равна 32 байтам, что обеспечивает 2256 комбинаций.
25

Вероятность подбора секретного ключа ЭЦП клиента равна ∼ 10−78. Секретный ключ
ЭЦП клиента хранится в файле в зашифрованном на пароле виде.
Открытый ключ ЭЦП клиента используется банком для аутентификации клиента и
для проверки ЭЦП клиента под финансовым документом. Проверка ЭЦП клиента
осуществляется Сервером Приложения «iBank2» в момент подписи клиентом документов,
а также Шлюзом при выгрузке документов в АБС банка. Открытые ключи ЭЦП клиентов
хранятся в банке, в Сервере БД «iBank 2» в виде Сертификатов открытых ключей ЭЦП
клиентов, заверенных банковским администратором. Клиент может иметь необходимое
ему количество пар ключей ЭЦП. Каждому секретному ключу ЭЦП клиента пользователь
присваивает наименование.
Механизм криптографической аутентификации сторон — для обеспечения
защищенного взаимодействия через Интернет. Обеспечение криптографической
аутентификации сторон достигается применением защищенного протокола SSL в процессе
установления соединения между Web-сервером банка и клиентом. Для подтверждения
подлинности Web-сервера осуществляется сравнение доменного имени загружаемого
сайта банка с указанным в сертификате Web-сервера. Протокол SSL используется в форме
протокола https (прикладной протокол http поверх криптографического протокола SSL).
Шифрование данных — для обеспечения конфиденциальности передаваемой через
Интернет информации. Шифрование информации осуществляется с помощью сессионных
ключей, генерируемых на этапе установления соединения между клиентом и Сервером
Приложения «iBank 2». Для использования функций криптографической защиты в «iBank
2» встроена поддержка трех криптобиблиотек, сертифицированных ФСБ:
• ПБЗИ «Агава-С 5.0» компании «Р-Альфа» (сертификат соответствия рег. №
СФ/114-0805 от 1 сентября 2005 года, действителен до 1 августа 2008 года);
• СКЗИ «Крипто-КОМ 3.1» компании «Сигнал-КОМ» (сертификат соответствия рег.
№ СФ/114-1074 от 16 декабря 2007 года, действительны до 31 декабря 2008 года);
• СКЗИ «Крипто-КОМ 3.2» компании «Сигнал-КОМ» (сертификаты соответствия
рег. № СФ/114-1068, рег. № СФ/114-1069, рег. № СФ/124-1070, рег. № СФ/124-1071 от 7
ноября 2007 года для вариантов исполнения 1, 5, 12 и 16, действительны до 7 ноября 2010
года); В «iBank 2» ведутся контрольные архивы, в которых хранятся все электронные
документы с ЭЦП для разрешения конфликтных ситуаций. В системе ведется история
документов — кем и когда документ был создан, отредактирован, подписан, исполнен или
отвернут. В «iBank 2» также ведутся журналы учета доступа клиентов по всем сервисам. В
журналах хранится информация об IP-адресе клиента, времени доступа, идентификаторе
используемого ключа ЭЦП, проводимых операциях.
26

4.5.4 Регистрация нового клиента - юридического лица

Рис. 8. Главная страница системы «iBank 2»

Рис. 9. Окно выбора варианта действия

Данное окно позволяет выбрать один из следующих вариантов:


• Новый клиент — предварительная регистрация в системе нового клиента;
• Новые ключи ЭЦП — генерация новой пары ключей ЭЦП клиента;
• Администрирование ключей ЭЦП — управление существующими ключами ЭЦП.
• Администрирование USB-токенов — управление существующими ключами ЭЦП,
хранящихся в памяти USB-токенов «iBank 2 Key».
Шаг 1. Ввод реквизитов организации

Рис. 10. Предварительная регистрация. Шаг 1 из 11


27
Шаг 2. Ввод рублевых и валютных счетов организации

Рис. 11. Предварительная регистрация. Шаг 2 из 11


Шаг 3. Ввод информации о контактном лице организации

Рис. 12. Предварительная регистрация. Шаг 3 из 11


28
Шаг 4. Ввод «блокировочного слова»

Рис. 13. Предварительная регистрация. Шаг 4 из 11


«Блокировочное слово» предназначено для аутентификации клиента при
телефонном звонке в банк с целью временно блокировать работу клиента в системе «iBank
2». Блокирование клиента может потребоваться в случае потери дискеты с ключом ЭЦП
клиента.
Электронные подписи, входящие в одну группу, взаимозаменяемы при подписи
документов. Например, если генеральный директор и заместитель генерального директора
имеют право первой подписи под финансовыми документами, то они будут в одной,
первой группе.
Шаг 5. Проверка введенной информации

Рис. 14. Предварительная регистрация. Шаг 5 из 11

Шаг 6. Ввод информации о владельце ключа ЭЦП

Рис. 15. Предварительная регистрация. Шаг 6 из 1


Шаг 7. Создание новой пары ключей ЭЦП

Рис. 16. Предварительная регистрация. Шаг 7 из 11

Рис. 17. Предварительная регистрация. Шаг 7 из 11. Используется криптобиблиотека «КриптоКом-3.1» или
«КриптоКом-3.2»

Если используется криптографическая библиотека «КриптоКом-3.1» или


«КриптоКом-3.2», для генерации новой пары ключей ЭЦП в окне, соответствующем
данному шагу, требуется вводить символы с клавиатуры (см. рис. 3.13). В поле Вводимый
символ вводится символ, указанный в поле Требуемый символ (цифры и латинские буквы
с учетом регистра). При каждом правильно набранном символе полоса индикатора
частично заполняется. Для генерации новой пары ключей ЭЦП необходимо набрать
правильно 16 символов.
Шаг 8. Добавление нового секретного ключа в Хранилище ключе

Рис. 18. Предварительная регистрация. Шаг 8 из 11

Выберите из списка тип хранилища ключей ЭЦП: • USB-токен; • Ключ на диске.


Если Хранилище ключей расположено на диске, введите путь к файлу, который будет
содержать Хранилище ключей, указав имя файла в формате «имя_файла.dat». Если в
качестве Хранилища ключей используется USB-токен «iBank 2 Key», в соседнем поле
отобразится серийный номер USB-токена (при этом USB-токен должен быть подключен к
USB-порту компьютера).
Шаг 9. Ввод имени и пароля секретного ключа

Рис. 19. Предварительная регистрация. Шаг 9 из 11


Шаг 10. Тестирование новой пары ключей ЭЦП

Рис. 20. Предварительная регистрация. Шаг 10 из 11


Шаг 11. Печать сертификата открытого ключа ЭЦП
29

5 Настройка механизмов безопасности ОС Microsoft Windows 7


Сокращения.
СВТ- Средство вычислительной техники (локальная рабочая станция, ноутбук)
ОС- Операционная система
ПО- Программное обеспечение
БД- База данных

Подготовка СВТ
5.1.1 Файловая система жесткого диска СВТ должна быть формата NTFS/NTFS5.
5.1.2 При установке операционной системы (Только для Windows 7) должны быть
отключены следующие компоненты:
- Telnet-сервер;
- Клиент Telnet;
- Клиент TFTP;
- Службы для NFS.
5.1.3 Устанавливается набор последних пакетов обновлений Service Pack.
5.1.4 Устанавливается антивирусное программное обеспечение, подключенное к
централизованной системе обновления антивирусной БД.
5.1.5 Физически отключаются приводы CD-ROM, DVD, за исключением
устройств, согласно /3/ п.5.8.
5.1.6 Посредством SETUP BIOS производится отключение неиспользуемых
устройств (FDD) и портов (COM, LPT, USB), за исключением устройств,
согласно /3/ п.5.8.
В случае, если используются периферийные устройства
(клавиатура/мышь/принтер) с USB интерфейсом необходимо выполнить действия
п.5.8.
5.1.7 Посредством SETUP BIOS в качестве первого устройства для загрузки ОС
выбирается жесткий диск СВТ. При наличии возможности, остальные
устройства из списка альтернативных вариантов загрузки должны быть
исключены.
5.1.8 Устанавливается административный пароль на SETUP BIOS. Допускается
установка одного пароля на группу СВТ за исключением ноутбуков.
Данный пароль резервируется согласно /2/ п.7.8.2, и хранится у начальника
Управления автоматизации в сейфе.
5.1.9 Корпус системного блока опечатывается защитной голографической
наклейкой. При необходимости СВТ оснащается средствами
криптографической защиты информации.

Настройка механизмов безопасности ОС


5.1.10 Установить хранитель экрана, защищенный паролем с задержкой в 5 минут
(при необходимости временной интервал может быть увеличен по
согласованию с отделом информационной безопасности до 15 минут)
следующим методом:
Меню: Пуск -> Выполнить
1. Запустить приложение Microsoft Management Console набрав в строке команду:
mmc.
2. Выбрать меню: «Файл»  «Добавить или удалить оснастку», в открывшемся
окне нажать [Добавить] и выбрать оснастку «Редактор объектов групповой политики».
30
3. Раскрыть ветвь: Конфигурация пользователя  Административные шаблоны 
Панель управления  Персонализация
4. Изменить состояния следующих свойств:

Имя свойства Описание Новое


значение
Включить заставку Запрещает Включить
пользователю изменять
параметры хранителя
экрана
Применить указанную Имя файла ssText3d.scr
заставку заставки
Парольная защита Признак защиты Включить
заставки заставки паролем
Таймаут заставки Время 300
бездействия в секундах
после которого,
экранная заставка
активизируется

5.1.11 Перевести в состояние “отключено” следующие службы:


Имя службы Описание
Маршрутизация и Предлагает услуги маршрутизации
удаленный доступ организациям в локальной и глобальной сетях.
Вторичный вход в Позволяет запускать процессы от
систему имени другого пользователя.

5.1.12 Настроить политики безопасности следующим образом:


Имя политики Описание Новое
значение
Доступ к компьютеру из Обеспечивает Domain
сети доступ к компьютеру из Admins
сети.

5.1.13 Отключить возможность автозапуска с внешних носителей (CD-ROM, flash-


накопителей и т.д.):
 В редакторе реестра Windows выбрать ветвь:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies;
 Проверить наличие и создать, в случае необходимости, раздел «Explorer»;
 В этом разделе создать параметр «NoDriveTypeAutoRun» типа DWORD;
 Присвоить ему значение «0xFF».
5.1.14 В случае использования порта USB для подключения
клавиатуры/мыши/принтера необходимо отключить возможность
использования USB flash накопителей следующим способом:
 Установить службу «USB Mass Storage Driver» для чего подключить любой
flash накопитель;
 В редакторе реестра Windows выбрать ветвь:
HKLM\SYSTEM\CurrentControlSet\Services\USBSTOR;
 Присвоить параметру «Start» значение «4».
31

 Переименовать в папке \%windir%\INF файлы UsbStor.inf, UsbStor.pnf в


UsbStor.inf.disable, UsbStor.pnf.disable соответственно.

Выполнение процедуры шифрования информации


В случае если в качестве СВТ выступает ноутбук, выполняется процедура
шифрования информации, состоящая из следующих этапов:
5.1.15 Управление автоматизации создает полную резервную копию всех жестких
дисков ноутбука.
5.1.16 Отдел информационной безопасности выполняет технологическую
операцию по шифрованию информации на всех жестких дисках ноутбука,
дополнительно при этом:
- выполняет запись загрузочного диска восстановления информации в случае
сбоя;
- резервирует пароль, используемый перед загрузкой ОС в двух экземплярах;
- хранит загрузочный диск восстановления и второй экземпляр
зарезервированного пароля.
5.1.17 Управление автоматизации выполняет непосредственную передачу ноутбука
и первый экземпляр зарезервированного пароля владельцу.
5.1.18 В случае отсутствия сбоев в работе механизмов шифрования информации
Управление автоматизации уничтожает резервную копию жестких дисков
ноутбука по истечению 30 (тридцати) дней с момента ввода ноутбука в
эксплуатацию.
Все выполняемые этапы процедуры шифрования в обязательном порядке
отражаются в акте, оригинал которого храниться в отделе информационной
безопасности.
32

6 Работа в системе электронного документооборота. Общие правила


Основными функциями систем электронного документооборота (СЭД) являются:
обеспечение управляемости и прозрачности деятельности предприятия, а также
накопление знаний и управление знаниями. В современном мире эти две задачи
становятся все более критическими. Также СЭД должна:
 обеспечивать надежное хранение документов и их описаний;
 обеспечивать жизненный цикл документа (его создание, хранение версий,
публикация, блокировка доступа к изъятому документу, передача документа для
хранения в архиве);
 допускать задание пользователем различных типов документов;
 поддерживать иерархию категорий для эффективного поиска документа;
 осуществлять поиск документов;
 обеспечивать разделение доступа к документам на уровне отдельных
пользователей, по ролевому принципу, и на основе иерархической структуры
организации;
 протоколировать все события, связанные с работой пользователей и самой системы;
 поддерживать удаленный доступ к информации.

Назначение прав доступа к папке


Права доступа пользователей к папке следует делать менее жесткими, чем к
документам, т.к. папки носят общий характер (а документ – конкретный), и могут
потребоваться большему числу пользователей. Отсутствие доступа к папке затруднит
поиск, но не повысит конфиденциальность, поскольку на документы права задаются
отдельно.
За каждую папку всегда должен быть назначен один ответственный.
При назначении прав доступа к папке необходимо придерживаться следующих
правил:
 права на просмотр папки необходимо давать всем пользователям, которым может
потребоваться информация по данной теме (в большинстве случаев – всем
пользователям системы);
 права на изменение папки необходимо давать тем пользователям, которые могут
пополнять ее содержимое;
 полный доступ к папке рекомендуется оставлять только автору папки.

Правила использования электронной цифровой подписи (ЭЦП)


Основное назначение ЭЦП – защитить от изменения утвержденное (согласованное)
содержание электронного документа и подтвердить факт правомочности данного
документа. Соответственно, наличие ЭЦП не позволяет изменять подписанную версию
документа никому из пользователей (включая администратора и автора документа),
независимо от прав доступа. Поэтому подписываться должны только согласованные
документы, которые больше не должны изменяться.
При необходимости внесения изменений в подписанный ЭЦП документ, нужно
создать новую версию документа (поскольку снять ЭЦП невозможно).
Право подписания каждого вида документа регламентируется соответствующим
нормативным документам Банка (Положение об ЭЦП).
ЭЦП может ставить либо лицо, имеющее право подписания документа, либо лицо,
имеющее полномочия для проставления ЭЦП, соответствующей подписи на бумажном
документе (например, ЭЦП руководителя может ставить секретарь-референт при наличии
подписи руководителя на бумажном документе).
33
Сертификаты ключей ЭЦП могут генерироваться удостоверяющим центром для
каждого пользователя в соответствии с установленным в Банке порядком выдачи
сертификатов ключей подписей.
Для повышения безопасности закрытый ключ устанавливается только на
компьютере, закрепленном за пользователем, являющимся владельцем сертификата ключа
подписи. Соответственно все документы пользователем могут быть подписаны только с
данного компьютера.
Открытый ключ ЭПЦ хранится в системе DIRECTUM и доступен всем
пользователям системы.

Правила работы с задачами и заданиями. Назначение прав доступа к


задаче
Задачи используются для выдачи и контроля исполнения поручений, а также для
согласований и обсуждений отдельных документов и вопросов.
На основании задач можно сократить время на выдачу заданий, сохранить историю
и описание выполнения, обеспечить гарантированное выполнение необходимых работ и
оценить загрузку персонала.
Маршруты движения заданий могут быть самыми различными и отражать как
вертикальные, так и горизонтальные связи внутри Банка: от начальника – подчиненному;
от начальника одного подразделения – начальнику другого подразделения; от сотрудника
одного подразделения – сотруднику другого подразделения (с уведомлением начальника
подразделения исполнителя); от руководителя одного филиала – руководителю другого
филиала или головного управления Банка (и обратно); от подчиненного – начальнику
подразделения; и т.д.
Результаты выполнения заданий могут быть любыми, но должны быть
контролируемыми: подготовка документа или проекта документа; выполнение конкретных
физических действий (ремонт компьютера, проведение ревизии и т.п.); высказывание
замечаний к рецензируемому документу; отметка согласования или ознакомления с
документом; и т.д.
Права доступа определяют круг пользователей, которые имеют доступ к задаче.
Они задаются в карточке задачи в поле *Тип прав.
Существуют следующие предопределенные способы назначения прав к задаче:
Тип прав доступа «Всем» дает права доступа всем пользователям системы.
Данный способ запрещает ручную корректировку списка пользователей, имеющих доступ
к задаче.
Тип прав доступа «Всем участникам» ограничивает доступ к задаче только
участникам. В него входят: инициаторы, исполнители и наблюдатели всего семейства
задач, то есть доступ к задаче будут иметь все участники данной задачи, ее подзадач и
ведущих задач. Данный способ запрещает ручную корректировку списка пользователей,
имеющих доступ к задаче.
Тип прав доступа «Ручной» позволяет инициатору самому назначить права на
задачу. При назначении этого типа прав доступа нужно помнить, что при создании
подзадачи ее инициатор не сможет указать в качестве исполнителя или наблюдателя кого-
то из пользователей, не наделенных правами в ведущей задаче.
Если требуется в рамках задачи создать конфиденциальную часть, то следует
оформить отдельную задачу с ограниченными правами доступа отправить ее на
выполнение, указав в качестве вложения исходную задачу либо зашифровать содержимое
задачи выбрав тип прав «Ручной».
34

Заключение

В ходе практики был сделан следующий вывод: вопросы обеспечения


информационной безопасности (ИБ) для современного банка являются жизненно
важными. При этом автоматизированная банковская система (АБС), неотъемлемая
составляющая корпоративной информационной системы банка, поддерживает процессы
проведения выплат, предоставления кредитов, перевода средств и др., и очевидно, что
незаконное манипулирование такой информацией может привести к серьезным убыткам.
Во-вторых, современный банк предоставляет большое число сервисов, связанных с
удаленным доступом к информационной системе банка. Это и персональный интернет-
банкинг, и система интернет-доступа к финансовым рынкам, и система электронного
документооборота, и многое другое. В-третьих, на сегодняшний день банки обладают
сложными информационными системами. Управление этими системами осложняется
территориальной распределенностью компаний, наличием многочисленных филиалов и
офисов. При этом информационная система современного банка является основой
функционирования почти всех основных бизнес-процессов. Наконец, банк хранит
персональные данные граждан и конфиденциальную информацию своих клиентов -
юридических лиц.
Все это предъявляет жесткие требования к системе защиты корпоративной
информационной системы современного банка, основными из которых являются
комплексность, интегрируемость, адекватность финансовым затратам, легитимность,
управляемость, масштабируемость и отказоустойчивость.
К основным элементам системы ИБ Банка, которые должны соответствовать
требованиям регулирующих органов и стандартов, относятся:
 авторизация и аутентификация;
 защита от несанкционированного доступа (НСД) к системам, в том числе и
внутренняя защита от НСД сотрудников банка;
 защита каналов передачи данных, обеспечение целостности и актуальности
данных при обмене информацией с клиентами;
 обеспечение юридической значимости электронных документов;
 управление инцидентами ИБ;
 управление непрерывностью ведения бизнеса;
 внутренний и внешний аудит системы ИБ.
По итогам прохождения производственной практики был достигнута основная
цель: закреплены теоретические знания и получены практические навыки работы по
дисциплинам: основы информационной безопасности, криптографические методы защиты
информации, организационно-правовое обеспечение информационной безопасности, сети
и системы передачи информации, дискретная математика, информационные технологии,
системы управления базами данных.
Была исследована существующая компьютерная сеть на предприятии и методы
информационной безопасности. Мной был сделан вывод о том, что защита информации в
ДО ОАО СКБ Приморья «Примсоцбанк» в г. Большой Камень организована на достаточно
высоком уровне.
35

Список литературы

1. Об информации, информационных технологиях и о защите информации:


федеральный закон № 149-ФЗ от 27.07.06 г. // Собрание законодательства РФ. –
2006. - № 31 (1 ч.). - Ст. 3448.
2. Аверченков В. И. Аудит информационной безопасности: учебное пособие для вузов
[Электронный ресурс] / В. И. Аверченков. - М.: Флинта, 2011. - 269 с.
3. ГОСТ 7.32–2001 «Система стандартов по информации, библиотечному и
издательскому делу. Отчет о научно-исследовательской работе. Правила
оформления» [Электронный ресурс] / СПС Консультант Плюс
4. Креопалов В.В. Технические средства и методы защиты информации. Учебное
пособие для вузов [Электронный ресурс]: практическое пособие / В. В. Креопалов.
- М.: Евразийский открытый институт, 2011. - 278 с.
5. Малюк А.А. Информационная безопасность: концептуальные и методологические
основы защиты информации / А.А. Малюк. - М.: Горячая линия – Телеком, 2012. –
384 с.
6. Официальный сайт ОАО СКБ Приморья «Примсоцбанк» [Электронный ресурс]/
Режим доступа: http://www.pskb.com./
7. Разработка системы технической защиты информации [Электронный ресурс]:
учебное пособие / В. И. Аверченков и др. - М.: Флинта, 2011. - 187 с.
8. Садердинов А.А., Трайнев В.А. Информационная безопасность предприятия: учеб.
для вузов / А.А. Садердинов, В.А. Трайнев. - М.: Дашков и К, 2014. – 274 с.
9. Системы защиты информации в ведущих зарубежных странах: учебное пособие
для вузов [Электронный ресурс] / В. И. Аверченков, М. Ю. Рытов. - М.: Флинта,
2011. - 224 с.
10. Титоренко Г.А. Автоматизированные информационные технологии в экономике:
Учебник / под ред. Г.А. Титоренко. - М.: Компьютер, ЮНИТИ, 2008. – 269 с.
11. Тютюнник А.В. Информационные технологии в банке / А.В. Тютюнник, А.С.
Шевелев. – Издательская группа БДЦ-пресс, 2008.- 368с.
12. Ярочкин В.И. Информационная безопасность. Учебник для вузов [Электронный
ресурс] / В. И. Ярочкин. - М.: Академический проект, 2008. - 544 с.
13. Политика информационной безопасности ОАО СКБ Приморья «Примсоцбанк» /
ОАО СКБ Приморья «Примсоцбанк», 2013.
14. Положение об администраторе информационной безопасности ОАО СКБ Приморья
«Примсоцбанк» (редакция 2) / ОАО СКБ Приморья «Примсоцбанк», 2012.
15. Требования по обеспечению информационной безопасности для сотрудников ОАО
СКБ Приморья «Примсоцбанк» (редакция 2) / ОАО СКБ Приморья
«Примсоцбанк», 2012.
16. Устав ОАО СКБ Приморья Примсоцбанк, утвержденный общим собранием
акционеров. Протокол № 17 от 24 мая 2003 г. / ОАО СКБ Приморья
«Примсоцбанк», 2003.
36

Приложения
Приложение А
(обязательное)
Должностная инструкция системного администратора ДО ОАО СКБ
Приморья «Примсоцбанк» в г. Большой Камень
I. Общие положения
1. Системный администратор относится к категории специалистов.
2. На должность системного администратора назначается лицо, имеющее
профессиональное образование, опыт работы с персональными компьютерами, а также
практику по созданию и обслуживанию сетей.
3. Системный администратор должен знать:
3.1. Постановления, распоряжения, приказы, другие руководящие и нормативные
документы вышестоящих и других органов, касающиеся методов программирования
и использования вычислительной техники при обработке информации.
3.2. Технико-эксплуатационные характеристики, конструктивные особенности,
назначение и режимы работы оборудования, правила его технической эксплуатации.
3.3. Аппаратное и программное обеспечение сетей.
3.4. Принципы простейшего ремонта аппаратного обеспечения.
3.5. Нормализованные языки программирования.
3.6. Действующие стандарты, системы счислений, шифров и кодов.
3.7. Методы программирования.
3.8. Системы организации комплексной защиты информации, способы
предупреждения несанкционированного доступа к информации.
3.9. Порядок оформления технической документации.
3.10. Правила внутреннего трудового распорядка.
3.11. Основы трудового законодательства.
3.12. Правила и нормы охраны труда, техники безопасности, производственной
санитарии и противопожарной защиты.
4. Назначение на должность системного администратора и освобождение
от должности производится приказом директором института по представлению зам.
директора по общим вопроса
5. Системный администратор подчиняется непосредственно зам. директора
по общим вопросам.
6. На время отсутствия системного администратора (отпуск, болезнь, пр.)
его обязанности выполняет лицо, назначенное в установленном порядке. Данное лицо
приобретает соответствующие права и несет ответственность за надлежащее исполнение
возложенных на него обязанностей.
II. Должностные обязанности
Системный администратор:
1. Устанавливает на серверы и рабочие станции сетевое программное обеспечение.
2. Конфигурирует систему на сервере.
3. Обеспечивает интегрирование программного обеспечения на файл-серверах,
серверах систем управления базами данных и на рабочих станциях.
4. Поддерживает рабочее состояние программного обеспечения сервера и рабочих
станций, производит обслуживание серверов.
5. Регистрирует пользователей, назначает идентификаторы и пароли.
6. Обучает пользователей работе в сети, ведению архивов; отвечает на вопросы
пользователей, связанные с работой в сети; составляет инструкции по работе с сетевым
программным обеспечением и доводит их до сведения пользователей.
7. Контролирует использование сетевых ресурсов.
8. Организует доступ к локальной и глобальной сетям.
37
9. Устанавливает ограничения для пользователей по:
— использованию рабочей станции или сервера;
— времени;
— степени использования ресурсов.
10. Обеспечивает своевременное копирование и резервирование данных.
11. Обращается к техническому персоналу при выявлении неисправностей сетевого
оборудования.
12. Участвует в восстановлении работоспособности системы при сбоях и выходе
из строя сетевого оборудования.
13. Выявляет ошибки пользователей и сетевого программного обеспечения
и восстанавливает работоспособность системы.
14. Проводит мониторинг сети, разрабатывает предложения по развитию
инфраструктуры сети.
15. Обеспечивает:
— сетевую безопасность (защиту от несанкционированного доступа к информации,
просмотра или изменения системных файлов и данных);
— безопасность межсетевого взаимодействия.
16. Готовит предложения по модернизации и приобретению сетевого оборудования.
17. Осуществляет контроль за монтажом оборудования специалистами сторонних
организаций.
18. Сообщает своему непосредственному руководителю о случаях злоупотребления
сетью и принятых мерах.
19. Ведет журнал системной информации, иную техническую документацию.
III. Права
Системный администратор имеет право:
1. Устанавливать и изменять правила пользования сетью.
2. Запрашивать от руководителей и специалистов подразделений института
необходимые документы и информацию.
3. Знакомиться с документами, определяющими его права и обязанности
по занимаемой должности, критерии оценки качества исполнения должностных
обязанностей.
4. Вносить на рассмотрение руководства института предложения
по совершенствованию работы, связанной с предусмотренными настоящей должностной
инструкцией обязанностями.
5. Требовать от руководства института обеспечения организационно-технических
условий, необходимых для исполнения должностных обязанностей.
IV. Ответственность
1. Системный администратор несет ответственность за:
1.1. Нарушение функционирования сети вследствие некорректного управления
маршрутизацией и некорректного администрирования базовыми сетевыми сервисами.
1.2. Несвоевременное уведомление руководства об изменениях в маршрутизации.
1.3. Несвоевременную регистрацию выделенных IP-адресов.
1.4. Несвоевременное уведомление руководства о случаях злоупотреблений сетью.
2. Системный администратор привлекается к ответственности:
2.1. За ненадлежащее исполнение или неисполнение своих должностных
обязанностей, предусмотренных настоящей должностной инструкцией, — в пределах,
установленных действующим трудовым законодательством Российской Федерации.
2.2. За правонарушения, совершенные в процессе своей деятельности, —
в пределах, установленных действующим административным, уголовным и гражданским
законодательством Российской Федерации.
2.3. За причинение материального ущерба института — в пределах, установленных
действующим трудовым и гражданским законодательством Российской Федерации.
38

Приложение Б
(обязательное)

Организационная структура ДО ОАО СКБ Приморья


«Примсоцбанк» в г. Большой Камень

Рисунок Б.1 – Организационная структура ДО ОАО СКБ Приморья «Примсоцбанк»


39

Приложение В
(рекомендуемое)

Ген.лицензия №2733

Анкета кандидата на работу в ДО ОАО СКБ Приморья «Примсоцбанк»


в г. Большой Камень
А Н К Е Т А

1. Фамилия ______________________________________________________

Имя ____________________ Отчество _______________________________

2. Кем Вы бы хотели работать? ______________________________________

_________________________________________________________________
ФОТО

3. Дата рождения _________________________________________________ 3х4

4. Место рождения ________________________________________________


5. Семейное положение_______________________________________________

Если изменяли фамилию/имя/отчество, укажите их и причину изменения

________________________________________________________________________________________

6. Адрес по прописке _____________________________________________________________________

Фактический адрес________________________________________________________________________

7. Контактные данные: Домашний тел. _______________________ Сотовый_______________________

Рабочий ___________________________________e-mail ________________________________________

8. Паспорт: серия __________ № _______________, выдан ___________________________________

____________________________________________ «______»_______________________ 20 _____ года

9. Образование _________________________________________________________________________

Полное название Факультет, отделение, Годы учебы Квалификация по


диплому, серия, №
учебного заведения специальность
диплома

10. Повышение квалификации, семинары, тренинги, курсы, стажировки:


40
Год, период времени Учебное заведение Тема, направление Наличие лицензий,
аттестатов,
сертификатов

11. Владение иностранными языками (какими, степень владения: свободно, чтение и перевод со
словарем, могу объясняться) ______________________________________________________________

12. Уровень владения ПК: не владею, владею на уровне пользователя, отлично владею, разбираюсь в
программировании (нужное подчеркнуть)

13. Выполняемая работа с начала трудовой деятельности, включая работу по совместительству и


военную службу:

Дата Учреждение, Должность


организация,
пост.-Дата Основные функции Причина ухода
предприятие, его
ухода местонахождение,
телефон

14. Доход (в месяц) ______________________________________________________________________

Желаемый уровень дохода _________________________________________________________________

15. Почему Вы хотите получить эту работу? __________________________________________________

________________________________________________________________________________________

16. Почему нам стоит Вас нанять? __________________________________________________________

________________________________________________________________________________________

17. С чего бы Вы начали работу в данной должности? _________________________________________

________________________________________________________________________________________

18. Что Вы боитесь обнаружить на этой работе (желательно назвать не менее трех моментов) _______

_________________________________________________________________________________________
19. Что Вы больше любите: составлять планы или выполнять их? ________________________________

________________________________________________________________________________________

20. Каковы Ваши сильные стороны? _________________________________________________________


41
________________________________________________________________________________________

21. Каковы Ваши слабые стороны? __________________________________________________________

________________________________________________________________________________________
22. Ваше хобби (интересы) ________________________________________________________________

23. Другие практические навыки, которые помогут Вам успешно работать в нашем банке ( наличие
водительских прав, личного автомобиля, умение пользоваться оргтехникой, навыки руководства
коллективом людей и т.д.) ________________________________________________________________

_________________________________________________________________________________________

24. Близкие родственники (мать, отец; родные братья, сестры; муж/жена, в том числе бывшие и
гражданские; дети)

Степень ФИО Дата и место Место работы, Место проживания


родства рождения должность

25. Привлекались ли Вы или Ваши ближайшие родственники к уголовной ответственности? _______

________________________________________________________________________________________

26. Кто может дать Вам рекомендации?______________________________________________________

________________________________________________________________________________________

27. Кто из сотрудников ОАО СКБ «ПримСоцБанк» может Вас рекомендовать?____________________

________________________________________________________________________________________

Я предоставляю Работодателю право на проверку всех представленных мною сведений и получение дополнительной информации обо
мне, если это необходимо для предложенной работы. Настоящим я освобождаю Работодателя и его представителей от ответственности

за поиск такой информации, а также всех других частных лиц или организаций за предоставление такой информации .

Личная подпись ________________________________ «_______»____________________200____ года.

СПАСИБО ЗА РАБОТУ!

Оценить