Готовая работа: Автоматизация рисков информационной безопасности в банке

Содержание

ВВЕДЕНИЕ 4

1. АНАЛИЗ И ОЦЕНКА СИСТЕМЫ БИЗНЕС-ПРОЦЕССОВ ОАО КБ «    » 7

1.1. Характеристика банка 7
1.2. Особенности описания бизнес-процесса (бизнес-модели) Банка 11
1.3. Стратегическое планирование и модель функциональных 26
подразделений 26

2. ПРОЕКТНАЯ ЧАСТЬ ПО АВТОМАТИЗАЦИИ РИСКОВ БАНКОВСКОЙ ДЕЯТЕЛЬНОСТИ ОАО КБ «    » 32

2.1. Разработка алгоритма автоматизации банковской деятельности 32
2.2. Исследованию задачи анализа информационных рисков 44
2.2. Алгоритм методики автоматизации деятельности подразделений банка 49

3. ОБОСНОВАНИЕ ЭКОНОМИЧЕСКОЙ ЭФФЕКТИВНОСТИ ПРОЕКТА 78

3.1. Сервисно-ориентированная архитектура как система информационного управления рисками 78
3.2. Единое информационное пространство  как условие эффективного использования новых технологий в управлении процессами взаимодействия банка клиентами 88

ЗАКЛЮЧЕНИЕ 96

СПИСОК ЛИТЕРАТУРЫ 101

ВВЕДЕНИЕ


Одним из сдерживающих факторов в процессе совершенствования управления рисками на основе информационно-технологических инноваций является масштабное возникновение угроз информационной безопасности. Для решения задач защиты информации в коммерческих банках формируются специальные подразделения, деятельность которых направлена на минимизацию рисков нарушения конфиденциальности, целостности и доступности информации.
Основные организационные и технические требования к обеспечению информационной безопасности заложены в Федеральном законе «Об информации, информационных технологиях и о защите информации» от 27.07.2006 № 149-ФЗ, ГОСТе Р ИСО/МЭК 15408-2002 и руководящих документах ФСТЭК России. В них определены механизмы учета защищаемых информационных ресурсов, порядок аттестации объектов информатизации, процедуры сертификации средств защиты и др. Нормативные правовые документы, регулируют ключевые аспекты деятельности по обеспечению информационной безопасности, акцентируя внимание на необходимости проведения отдельных мероприятий. Однако это не решает всего комплекса практических задач, связанных с защитой информации в конкретных ситуациях с учетом специфики деятельности коммерческих банков.
В работах отечественных исследователей проблематики информационной безопасности А.А. Грушо, П.Д. Зегжда, А.А. Малюк, А.А. Стрельцов, А.А. Шелупанов отмечается необходимость и актуальность системного подхода к защите информации, обеспечивающего обоснованность, целостность и последовательность реализуемых мер, их максимальную эффективность. Такой подход позволяет систематизировать нормативно-правовые требования к информационной безопасности и раскрыть на их основе практико-ориентированные методики, технологии и программы оптимизации деятельности по защите информации.
Ключевым аспектом создания эффективной системы деятельности по защите информации является определение информационных активов и инфраструктуры, и выбор необходимых мер по обеспечению информационной безопасности. Это возможно на основе анализа информационных рисков.
Другим аспектом оптимизации деятельности по защите информации является определение информационных потоков и алгоритмов, построение модели деятельности по обеспечению информационной безопасности. Таким образом, создаются условия для автоматизации ряда функциональных элементов деятельности по защите информации, т.е. реализации требований к информационной безопасности в виде программного комплекса, позволяющего специалистам подразделений по защите информации эффективно управлять задачами поддержания режима конфиденциальности (секретности), вести мониторинг состояния информационных ресурсов, их целостности и доступности, а также осуществлять контрольные мероприятия.
Достижение целей безопасности в банковской сфере сопряжено со значительными материальными затратами и в условиях ограниченности ресурсов возможно только путем научно-обоснованной разработки и осуществления комплекса взаимоувязанных организационно-технических мер. Их сложность и многоаспектность, недопустимость действий методом "проб и ошибок" обусловили необходимость научной проработки комплексного, системного подхода к обеспечению безопасности на уровне отдельно взятой кредитной организации.
Высокая значимость проблемы обеспечения безопасности кредитных организаций как для банковской сферы, так и для экономики страны в целом и недостаточный уровень её теоретической разработки, прежде всего, с точки зрения комплексного подхода обусловили актуальность темы дипломной работы.
Объект дипломной работы – деятельность подразделений по защите информации коммерческого банка.
Предмет дипломной работы – методики и программные средства повышения эффективности деятельности подразделений по защите информации.
Цель дипломной работы заключается в разработке методики и программного обеспечения автоматизации рисков информационной деятельности коммерческого банка.
Достижение цели потребовало решения следующих задач:
1.    Проанализировать и теоретически обосновать информационные риски;
2.    Раскрыть программный комплекс автоматизации деятельности подразделений по защите информации;
3.    Рассмотреть систему показателей и произвести оценку эффективности деятельности подразделений по защите информации органов государственного управления.
Для решения поставленных задач использовались методы системного анализа, теории вероятностей и теории множеств. При разработке программного комплекса использовались методы объектно-ориентированного программирования.

ВВЕДЕНИЕ


Одним из сдерживающих факторов в процессе совершенствования управления рисками на основе информационно-технологических инноваций является масштабное возникновение угроз информационной безопасности. Для решения задач защиты информации в коммерческих банках формируются специальные подразделения, деятельность которых направлена на минимизацию рисков нарушения конфиденциальности, целостности и доступности информации.
Основные организационные и технические требования к обеспечению информационной безопасности заложены в Федеральном законе «Об информации, информационных технологиях и о защите информации» от 27.07.2006 № 149-ФЗ, ГОСТе Р ИСО/МЭК 15408-2002 и руководящих документах ФСТЭК России. В них определены механизмы учета защищаемых информационных ресурсов, порядок аттестации объектов информатизации, процедуры сертификации средств защиты и др. Нормативные правовые документы, регулируют ключевые аспекты деятельности по обеспечению информационной безопасности, акцентируя внимание на необходимости проведения отдельных мероприятий. Однако это не решает всего комплекса практических задач, связанных с защитой информации в конкретных ситуациях с учетом специфики деятельности коммерческих банков.
В работах отечественных исследователей проблематики информационной безопасности А.А. Грушо, П.Д. Зегжда, А.А. Малюк, А.А. Стрельцов, А.А. Шелупанов отмечается необходимость и актуальность системного подхода к защите информации, обеспечивающего обоснованность, целостность и последовательность реализуемых мер, их максимальную эффективность. Такой подход позволяет систематизировать нормативно-правовые требования к информационной безопасности и раскрыть на их основе практико-ориентированные методики, технологии и программы оптимизации деятельности по защите информации.
Ключевым аспектом создания эффективной системы деятельности по защите информации является определение информационных активов и инфраструктуры, и выбор необходимых мер по обеспечению информационной безопасности. Это возможно на основе анализа информационных рисков.
Другим аспектом оптимизации деятельности по защите информации является определение информационных потоков и алгоритмов, построение модели деятельности по обеспечению информационной безопасности. Таким образом, создаются условия для автоматизации ряда функциональных элементов деятельности по защите информации, т.е. реализации требований к информационной безопасности в виде программного комплекса, позволяющего специалистам подразделений по защите информации эффективно управлять задачами поддержания режима конфиденциальности (секретности), вести мониторинг состояния информационных ресурсов, их целостности и доступности, а также осуществлять контрольные мероприятия.
Достижение целей безопасности в банковской сфере сопряжено со значительными материальными затратами и в условиях ограниченности ресурсов возможно только путем научно-обоснованной разработки и осуществления комплекса взаимоувязанных организационно-технических мер. Их сложность и многоаспектность, недопустимость действий методом "проб и ошибок" обусловили необходимость научной проработки комплексного, системного подхода к обеспечению безопасности на уровне отдельно взятой кредитной организации.
Высокая значимость проблемы обеспечения безопасности кредитных организаций как для банковской сферы, так и для экономики страны в целом и недостаточный уровень её теоретической разработки, прежде всего, с точки зрения комплексного подхода обусловили актуальность темы дипломной работы.
Объект дипломной работы – деятельность подразделений по защите информации коммерческого банка.
Предмет дипломной работы – методики и программные средства повышения эффективности деятельности подразделений по защите информации.
Цель дипломной работы заключается в разработке методики и программного обеспечения автоматизации рисков информационной деятельности коммерческого банка.
Достижение цели потребовало решения следующих задач:
1.    Проанализировать и теоретически обосновать информационные риски;
2.    Раскрыть программный комплекс автоматизации деятельности подразделений по защите информации;
3.    Рассмотреть систему показателей и произвести оценку эффективности деятельности подразделений по защите информации органов государственного управления.
Для решения поставленных задач использовались методы системного анализа, теории вероятностей и теории множеств. При разработке программного комплекса использовались методы объектно-ориентированного программирования.