госы / 10

Экзаменационный билет № 10

Кафедра бизнес-информатики

Итоговый междисциплинарный экзамен по специальности «Прикладная информатика в экономике». Специализации «Информационные системы в банковском деле»

1. Принципы обеспечения информационной безопасности по Стандарту Банка России.

Зачем нужен стандарт?

Банк работает с деньгами других экономических и финансовых субъектов. В случае возникновения у него серьезных трудностей, о которых непременно и очень быстро станет известно, другие кредитные учреждения будут вынуждены закрыть ему линии рефинансирования, клиентов же это побудит забрать либо не возобновлять свои вклады – а это неизбежно приведет к кризису ликвидности. Дестабилизация работы даже одного из ее компонентов может привести к системному обвалу, что уже создает угрозу государству.

Основные принципы обеспечения ИБ Cтандарта.

Общие принципы безопасного функционирования организации, отражают суть понятия «информационная безопасность организации банковской системы РФ», которое в стандарте определено как «состояние защищенности интересов (целей) организации банковской системы (БС) РФ в условиях угроз в информационной сфере».

В частности они ориентированы на то, чтобы не допустить таких ситуаций, когда в системе собственника устанавливается сверхмощная, дорогая и сертифицированная по высочайшему уровню система управления доступом, а на поверке через месяц оказывается, что в системе всем и все разрешено. При этом собственник остается уверенным, что он, вложив значительные средства, имеет надежную систему безопасности, а на практике все обстоит иначе. Таким образом, в систему должны устанавливаться только те защитные меры, правильность работы которых может быть проверена.

Модели угроз и нарушителей ИБ стандарта.

Деятельность организации БС РФ поддерживается входящей в ее состав информационной инфраструктурой, которая обеспечивает реализацию банковских технологий и может быть представлена в виде иерархии следующих основных уровней:

– физического (линии связи, аппаратные средства и пр.);

– сетевого (сетевые аппаратные средства: маршрутизаторы, коммутаторы, концентраторы и пр.);

– сетевых приложений и сервисов;

– операционных систем (ОС);

– систем управления базами данных (СУБД);

– банковских технологических процессов и приложений;

– бизнес–процессов организации.

При этом на каждом из перечисленных уровней угрозы и их источники (в том числе злоумышленники), методы и средства защиты и подходы к оценке эффективности являются различными. Организация должна определить конкретные объекты защиты на каждом из уровней информационной инфраструктуры.

Также положениями стандарта определено, возможна разработка моделей угроз и нарушителей ИБ для данной организации. Требования к модели угроз ИБ, включающие описание источников угрозы, уязвимостей, используемых угрозами, методов и объектов нападений, пригодных для реализации угрозы, типов возможной потери, масштабов потенциального ущерба, основываются на соответствующих требованиях стандартов международных стандартов.

Для источников угроз – людей может быть разработана модель злоумышленников (нарушителей), включающая описание опыта, знаний, доступных ресурсов, необходимых для реализации угрозы, и возможной мотивации их действий.

Политика ИБ стандарта.

В стандарт включены общие требования (правила) ИБ по следующим восьми областям, которые должны найти отражение в политике ИБ организации:

1. назначение и распределение ролей и обеспечение доверия к персоналу;

2. ИБ автоматизированных банковских систем на стадиях жизненного цикла;

3. обеспечение ИБ при управлении доступом и регистрация;

4. обеспечение ИБ средствами антивирусной защиты;

5. обеспечение ИБ при использовании ресурсов сети Интернет;

6. обеспечение ИБ при использовании средств криптографической защиты информации;

7. обеспечение ИБ банковских платежных технологических процессов;

8. обеспечение ИБ банковских информационных технологических процессов.

В то же время в политике ИБ организации могут быть рассмотрены и другие области обеспечения ИБ, которые отвечают ее бизнес–целям.

2. Распределенная обработка информации, модели «клиент-сервер» в системах баз данных.

Вычислительная модель «клиент–сервер» исходно связана с парадигмой открытых систем, которая появилась в 90-х гг. и быстро эволюционировала. Сам термин «клиент–сервер» изначально применялся к архитектуре программного обеспечения, которое описывало распределение процесса выполнения по принципу взаимодействия двух программных процессов, один из которых в этой модели назывался клиентом, а другой — сервером. Клиентский процесс запрашивал некоторые услуги, а серверный процесс обеспечивал их выполнение. При этом предполагалось, что один серверный процесс может обслужить множество клиентских процессов.

Основной принцип технологии «клиент–сервер» применительно к технологии баз данных заключается в разделении функций стандартного интерактивного приложения на 5 групп, имеющих различную природу:

• функции ввода и отображения данных — презентационная логика (Presentation Logic);

• прикладные функции, определяющие основные алгоритмы решения задач приложения — бизнес-логика, или логика собственно приложения (Business Logic);

• функции обработки данных внутри приложения (Database Logic);

• функции управления информационными ресурсами (Database Manager System);

• служебные функции, играющие роль связок между функциями первых четырех групп.

Презентационная логика (Presentation Logic) как часть приложения определяется тем, что пользователь видит на своем экране, когда работает приложение. Сюда относятся все интерфейсные экранные формы, которые пользователь видит или заполняет в ходе работы приложения, к этой же части относится все то, что выводится пользователю на экран как результаты решения некоторых промежуточных задач либо как справочная информация. Поэтому основными задачами презентационной логики являются:

• формирование экранных изображений;

• чтение и запись в экранные формы информации;

• управление экраном;

• обработка движений мыши и нажатие клавиш клавиатуры.

Бизнес-логика, или логика собственно приложений (Business processing Logic), — это часть кода приложения, которая определяет собственно алгоритмы решения конкретных задач приложения. Обычно этот код пишется с использованием раз личных языков программирования, таких как C, C++, Cobol, SmallTalk, VisualBasic.

Логика обработки данных (Data manipulation Logic) — это часть кода приложения, которая связана с обработкой данных внутри приложения. Данными управляет собственно СУБД (DBMS). Для обеспечения доступа к данным используются язык запросов и средства манипулирования данными стандартного языка SQL. Обычно операторы языка SQL встраиваются в языки 3-го или 4-го поколения (3GL, 4GL), которые используются для написания кода приложения.

Процессор управления данными (Database Manager System Processing) — это собственно СУБД, которая обеспечивает хранение и управление базами данных. В идеале функции СУБД должны быть скрыты от бизнес-логики приложения, однако для рассмотрения архитектуры приложения нам надо их выделить в отдельную часть приложения.

В централизованной архитектуре (Host-based processing) эти части приложения располагаются в единой среде и комбинируются внутри одной исполняемой про граммы.

В децентрализованной архитектуре эти задачи могут быть по-разному распределены между серверным и клиентским процессами. В зависимости от характера распределения можно выделить следующие модели распределений:

• распределенная презентация (Distribution presentation, DP);

• удаленная презентация (Remote Presentation, RP);

• распределенная бизнес-логика (Remote business logic, RBL);

• распределенное управление данными (Distributed data management, DDM);

• удаленное управление данными (Remote data management, RDA).

Эта условная классификация показывает, как могут быть распределены отдельные задачи между серверным и клиентскими процессами. В этой классификации отсутствует реализация удаленной бизнес-логики. Действительно, считается, что она не может быть удалена сама по себе полностью. Считается, что она может быть распределена между разными процессами, которые в общем-то могут выполняться на разных платформах, но должны корректно кооперироваться (взаимодействовать) друг с другом.

3. Создать на контроллере домена новое подразделение и сформировать на нем новую групповую политику безопасности, запрещающую пользователям изменять параметры экрана. Продемонстрировать на рабочей станции.

На сервере зайти в Администрирование – пользователи и компьютеры. Нужно создать новое подразделение. Добавить в него пользователя.

Далее зайти в свойства подразделения и новую политику создать.

Затем зайти в эту политику и включить

Потом проверить от этого пользователя