−  осуществлять поиск в этом списке.

Перспективы развития автоматизированных систем в страховании в России уже наметились. Заметен рост профессионализма и компетентности менеджмента российских страховых компаний, постепенно расширяется число официальных документов, регулирующих те или иные области деятельности страховых компаний, происходит формирование группы мощных в финансовом отношении страховых компаний, для которых становится доступной прогрессивная аппаратная база. Происходит постепенное развитие самого страхового рынка, сглаживание различий между российским рынком страхования и рынком страхования европейских.

Все большее значение приобретает использование сети Интернет. Интернет рассматривается как инструмент, который позволит скорректировать соотношение частных и корпоративных клиентов страховых компании р. пользу физических лиц. В России рынок интернет-страхования пока развивающийся. Сайты компаний предназначены для описания ситуации на рынке, консалтинга, некоторые дают возможность получить полис. На данный момент основной задачей сайта российской страховой компании является донесение потенциальному клиенту информации о самой компании и предоставляемых ею услугах.

Таким образом, накопленный в России опыт автоматизации страхового дела позволяет сделать вывод, что перевод работ страхования на автоматизированные информационные технологии происходит в основном в крупных страховых компаниях, обладающих серьезными материально-финансовыми ресурсами. Для дальнейшей автоматизации требуется развитие анализа страхового дела для всех видов страхования и уровней управления.

Новая технология требует привлечения высокопроизводительных программных средств разработка автоматизированных информационных систем страхового дела, ориентации на использование архитектуры «клиент-сервер», реализации современного ведения страхового дела в режиме реального времени, обеспечения возможности работы базы данных страховой компании в режиме «клиент-сервер».

В условиях электронного страхования станут иными структура и условия страхования. Страховые компании, специализирующиеся на определенном виде страхования, смогут работать не менее успешно, чем универсальные страховые корпорации, поскольку залогом эффективного бизнеса будет его мощная информационная поддержка.

Основой информационных коммуникаций будущего являются информационные магистрали. Сеть Internet уже представляет собой некоторый прообраз информационной супермагистрали. Перемещение сферы деловой активности человека в так называемое киберпространство приведет к изменению самого назначения персонального компьютера. Из вспомогательного инструмента он превратится в полномочного представителя, клиента страховой компании.

Очевидно, что для успешного формирования единого информационного пространства страховой деятельности необходима совместимость различных супермагистралей. Один из возможных подходов к этому – стандартизация электронного взаимодействия [160].

Для эффективной работы страховых компаний необходимо:

·  Привлечение высокопроизводительных программ средств разработки ЛИС страхового дела, например, Oracle Forts (язык для создания экранных форм) Oracle Reports (позволяет создать отчёты различных форматов с использованием текстовых и графических объектов), Oracle Graphics (позволяет строить приложения класса «Мультимедиа»), эти программы входят в интегрированную систему формы «Oracle»;

·  Ориентация на использование архитектуры «клиент-сервер» к однородных и разнородных компьютерных сетях;

·  Реализация современного ведения страхового дела в режиме реального времени.

Интернет-страхование

Продажи через Интернет составляют, по крайней мере, 10% от общего сбора страховой премии российскими компаниями, открывшими свои интернет-офисы. В качестве факторов, благоприятствующих развитию нового бизнеса, называют снижение издержек страховщиков на поиск и обслуживание клиентов, а также рост конкуренции на рынке страхования, стимулирующий предложение новых услуг [182].

Со временем, все большее число финансовых институтов используют возможности сети Интернет для предоставления своих услуг. Первыми были банки и другие инвестиционные посредники, теперь к ним присоединились страховые компании. На российском рынке Интернет-страхования представлены десятки страховщиков, которые так или иначе оказывают свои услуги через Интернет. Естественно, как и для любой другой формы электронного бизнеса, рынок Интернет-страхования наиболее развит в Америке. В США, наряду с обычными страховыми компаниями, в Сети представлено большое число страховых брокеров (страховые порталы), которые дают возможность клиенту подобрать необходимую компанию и купить у нее полис через Интернет.

Интернет-страхование (в полном смысле этого слова) – это взаимодействие между страховой компанией и клиентом, возникающие при продаже страхового продукта и его обслуживании, но производимые с помощью сети Интернет.

В последнее время и в России стали появляться подобные Web-сайты. Одни из них просто предназначены для описания ситуации на рынке, консалтинга, а другие дают возможность получить полис от выбранной Вами компании, не выходя из дома (например, система «Клиент»).

Поэтому, чтобы Интернет-представительство компании функционировало как виртуальный офис этой страховой компании, оно должно включать в себя следующие возможности:

−  предоставление клиенту полной информации об общем и финансовом состоянии компании;

−  предоставление клиенту информации об услугах компании и возможности детального ознакомления с ними;

−  расчет величины страховой премии и определение условий ее выплаты для каждого вида страхования и в зависимости от конкретных параметров;

−  заполнение формы заявления на страхование;

−  заказ и оплата (в виде единовременной выплаты или периодических выплат) полиса страхования непосредственно через Интернет;

−  передача полиса, заверенного электронно-цифровой подписью страховщика, клиенту непосредственно по сети Интернет;

−  возможность информационного обмена между страхователем и страховщиком во время действия договора (для получения клиентом различных отчетов от страховой компании);

−  информационный обмен между сторонами при наступлении страхового случая;

−  оплата страховой премии страхователю посредством сети Интернет при наступлении страхового случая;

−  предоставление страховщиком клиенту других услуг и информации: консалтинг, словарь страховых терминов и др.

Если всем этим требованиям отвечает Интернет-представительство компании, то его можно назвать полноценным виртуальным офисом.

Факторы экономической эффективности внедрения Интернет-представительства страховой компании представлены в приложении.

Очевидно, что с содержанием виртуального офиса связаны меньшие затраты, чем с содержанием обычного офиса. Транзакционные издержки по сделкам в виртуальном офисе намного ниже тех издержек, которые требуются для обслуживания клиента в обычном офисе. Основным плюсом является то, что открытие Интернет-представительства автоматически приводит к географической диверсификации страховых продуктов компании. Единственной проблемой здесь может стать доставка страхового полиса.

Кроме того, Интернет - представительство способствует новым возможностям продвижения услуг компании на рынке, т. е. применению Интернет-маркетинга.

В настоящее время более 100 российских страховых компаний представлено в Интернет. При этом Web-сайты большинства страховых компаний выполняют лишь информационные функции, размещая на своих страницах в основном только общую информацию о компании и предлагаемых продуктах страхования, иногда описание своей деятельности.

Важна также проблема платежных систем, с помощью которых производятся расчеты между продавцом и покупателем. В России, в силу отсутствия соответствующего доверия со стороны обоих контрагентов к безопасности платежных систем, используемых в Интернет (пластиковые карты, цифровая наличность), лишь некоторые страховые компании предлагают своим клиентам данный вид расчетов. Обычно используется наложенный платеж, или передача денег происходит наличными при передаче полиса.

Таким образом, на данный момент основной задачей сайта российской страховой компании является донесение потенциальному клиенту информации о самой компании и предоставляемых ею услугах Описание компании в лучшем случае включает в себя следующее:

−  историю развития компании;

−  краткое содержание основных финансовых отчетностей (выписка из баланса, отчет о прибылях и убытках);

−  информацию о компаниях-перестраховщиках и о крупных клиентах;

−  информацию о месте нахождения главного офиса и отделений компании, информацию о персонале агентства и др.

К настоящему моменту российские страховые компании осознали, что с помощью своего Web-сайта можно создать позитивное отношение клиента к компании и, соответственно, косвенно повлиять на объем продаж своих услуг. Экономя на поиске и обслуживании клиентов, страховые компании предлагают в Сети полисы, которые на 5-10% дешевле, чем аналогичные продукты, распространяемые страховыми агентами.

В настоящее время развивается рынок электронных продаж с помощью сети Интернет. Для развития электронных продаж страховых услуг существуют естественные ограничения: реализация полисов возможна отнюдь не по всем видам страхования. Оформление онлайновой страховки максимально стандартизировано. Принимаемые на страхование риски должны быть типичными для широкого круга пользователей, чтобы процесс обработки заявок можно было автоматизировать. В качестве объектов страхования пригодны лишь те, которые не нуждаются в непосредственном осмотре страховщиком. А подробные консультации необходимо свести к минимуму. С этой точки зрения подходящими для реализации через Интернет являются максимально стандартизированные полисы страхования медицинских расходов путешествующих, полисы ОСАГО, полисы добровольного медицинского страхования и страхования имущества физических лиц [182].

Чтобы заполнить полис клиент выбирает вид страхования и заполняет Web-форму для определения стоимости этого страхования. Если клиент согласен с суммой, тогда он переходит к следующему этапу.

Ввод информации, необходимой непосредственно для покупки полиса, – личная информация и сведения о страховой программе.

Выбор способа оплаты: кредитной карточкой через Интернет (система CyberPlat или ASSIST); наложенным платежом через Сбербанк (в данном случае клиент может распечатать счет, содержащий сумму платежа, и банковские реквизиты компании); либо оплата происходит наличными в офисе компании. Если оплата полиса производится через Интернет, то оформление всех документов и передача их клиенту происходит сразу же, не дожидаясь зачисления денег на расчетный счет компании.

Доставка полиса происходит курьерской службой компании или полис будет доставлен клиенту по почте срочным заказным письмом.

К сожалению, в большинстве случаев в онлайновом режиме на Web-сайте компании нельзя узнать сумму страховки по страхованию автомобилей, не говоря уже об оформлении покупки данного вида полиса. Возможно только заполнение Web-формы, где клиент описывает основные характеристики своей машины, а затем по оставленной контактной информации персонал страховой группы связывается с клиентом и сообщает ему сумму страховки. Сравнение услуг Интернет-страхования фирм представлено в приложении №13.

В отличие от таких услуг, как доверительное управление активами, пенсионный план или выдача кредита, которые требуют индивидуального подхода и дополнительного обсуждения, стандартизированные услуги можно продавать как обычный товар. В этом случае Интернет выступает очень удобным каналом сбыта. Кроме осуществления по сети валютного обмена, платежей, перевода средств со счета на счет, мониторинга счетов многие банки предлагают спектр брокерских услуг.

Заслуживает пристального внимания такой вид предпринимательской деятельности (и услуга) в Интернет, как виртуальное страхование. Хотя эта форма деятельности близка к розничной торговле через электронные магазины, но у нее есть своя специфика.

В настоящее время в России свои интернет-сайты имеют чуть более 10% работающих на страховом рынке компаний. Однако почти половины страховых взносов приходится на 10 компаний-лидеров, а 86% - на первую сотню. Так что более объективными и полезными будут другие оценки приобщенности страховщиков к "новым технологиям": на компании, имеющие сайты, сейчас приходится более 70% суммарных собираемых на рынке взносов и осуществляемых страховщиками выплат. Свои сайты имеют девять из десяти крупнейших страховых компаний, тридцать – из пятидесяти и шестьдесят пять – из ста [237].

При этом не стоит преувеличивать проникновение страхового бизнеса в Интернет. Дело в том, что лишь небольшое число страховщиков имеют действительно функциональные сайты. Представительство же остальных чисто номинальное, а их сайты, представляющие собой повествующую о компании страничку текста, нельзя даже назвать полноценными интернет-ресурсами.

Изначально сайты компаний выполняют исключительно представительскую функцию: на них представлены контактные данные страховщика, перечислены имеющиеся лицензии, реже даны краткие характеристики продаваемых продуктов. Следующий этап развития интернет-страхования – превращение сайтов в полноценный информационный ресурс.

Некоторые страховщики, имеющие высокую географическую диверсификацию деятельности, стараются развивать не только сайт головной компании, но и сайты региональных филиалов и дочерних компаний. Компании ориентируются на создание единого корпоративного стиля интернет-представительств.

В настоящее время в Сети полноценно представлено около 50 страховых компаний. На их сайтах, помимо контактной информации и информации о страховых продуктах, предлагаемых данной компанией, представлена подробная информация о самой компании, результатах ее деятельности, тарифах и условиях страхования. Там можно ознакомиться с новостями компании и рынка, с наиболее интересными публикациями прессы, проконсультироваться со специалистами компании по интересующим вопросам практически в режиме реального времени и вызвать страхового агента.

На сайте "Ингосстраха" помещена информация специального страхового бизнес-бюро, созданного для установления контактов с потенциальными и существующими партнерами и клиентами – юридическими лицами. Партнеры-страховщики могут здесь сделать заявку на перестрахование рисков, а клиенты - физические лица при помощи страховых калькуляторов рассчитать для себя стоимость конкретных страховых полисов. Наличие страхового калькулятора становится обязательным элементом полноценного страхового сайта, ведь при табличном представлении тарифов указываемый в них диапазон может составлять несколько процентов.

Абсолютное большинство сайтов страховщиков – "живые". На них есть свежие новости и информация о новых страховых продуктах. Они регулярно обновляются, совершенствуются, становятся все более удобными для диалога "клиент - страховая компания".

Однако помимо "универсальных" сайтов есть и специализированные, посвященные одному виду страхования и содержащие большой объем дополнительной информации, на первый взгляд, даже не относящейся к страхованию. Так, медицинскому страхованию в Москве посвящены сайты страховых компаний "Газпроммедстрах" и "Отечество". При этом на сайте "Отечества" особый интерес представляет полный список "качественных" медицинских учреждений Москвы с подробным описанием предоставляемых ими услуг и даже оценкой качества обслуживания [237].

Промышленно-страховая компания, помимо основного интернет-представительства, имеет специализированное – посвященное ипотечному страхованию. На этом сайте представлена полная информация о программе ипотечного кредитования, о стандартах, принятых на Западе и у нас, о возможности взять ипотечный кредит различного размера и необходимых для этого ежемесячных взносов.

Следующим шагом страховщиков стало создание интернет-магазинов. Самые первые ростки интернет-страхования стали пробиваться в 1999 году, когда на сайтах крупных страховщиков появилась возможность вызова агента. Далее ряд компаний усовершенствовал этот процесс, предусмотрев опцию расчета на сайте тарифов по основным видам страхования и заполнения форм-анкет, предназначенных для подготовки страховым агентом необходимых документов для страхования конкретных рисков. На сегодняшний день 18 компаний имеют подобные пункты онлайн-торговли полисами. У большинства из них необходимые для заполнения формы находятся в разделах, соответствующих определенным видам страховой деятельности.

Для клиента механизм работы прост; прочитал информацию о данном виде страхования, внес в формы данные об объекте страхования и послал заявку в компанию. Далее в течение суток с клиентом по почте или по телефону связывается страховой агент, который узнает необходимую дополнительную информацию, подготавливает договор и привозит его клиенту. Аналогичным образом устроены практически все страховое "интернет-магазины". Их задача – упростить процесс заключения договора, освободить человека от посещения офиса компании, привлечь в страхование людей, являющихся завсегдатаями Интернет. Купить страховой полис непосредственно через Интернет (то есть без посещения офиса страховой компании или вызова агента) можно лишь на нескольких сайтах, где после заполнения формы-анкеты и расчета тарифов клиент может заплатить необходимую сумму либо через платежную систему Cyberplat, либо распечатать счет и оплатить его в отделении банка. После подтверждения оплаты клиент получает полис в офисе страховой компании, либо с ним связывается курьер, который доставляет ему полис на дом или на работу.

На первый взгляд страховой интернет-магазин В2С не должен иметь сильных отличий от других интернет-магазинов: и там, и там должна существовать возможность произвести оплату либо через платежные системы, либо через Сбербанк, либо непосредственно прибывшему агенту-курьеру. Однако существует одна основная проблема, определяемая самой сутью страхования и являющаяся естественным тормозом для развития страхования в Сети.

Дело в том, что страховой полис в большинстве случаев является сугубо индивидуальным продуктом и практически не подлежит стандартизации. Так, в большинстве случаев требуется не только заполнение достаточно объемной формы, но и осмотр объекта страхования. Поэтому на всех без исключения сайтах число страховых продуктов, предлагаемых в режиме on-line, очень ограничено: страхование автогражданской ответственности, страхование выезжающих за рубеж, реже – добровольное медицинское страхование. Остальные же полисы, включая страхование дач, квартир, автотранспорта и иного имущества, подразумевают непосредственный осмотр объекта. И здесь "прорыв" вряд ли возможен: слишком велика опасность мошенничества, страхования уже поврежденных объектов.

Через Интернет можно продавать либо два-три стандартных продукта, либо полисы, специально трансформированные под интернет-продажи. В этой связи хотелось бы отметить, что разные страховщики, создавая сайты, ставят перед собой изначально различные задачи, соответствующие этим возможностям: либо открытие дополнительного канала продаж, либо начало нового бизнеса.

Сторонники первого подхода не ожидают большого бизнеса в Интернет и считают, что гораздо больше пользы сегодня можно получить от полноценного информационного интернет-ресурса, чем от электронного магазина. По их мнению, интернет-страхование должно быть лишь дополнительным сервисом для клиентов.

Для приверженцев второго подхода Интернет не только канал продаж и обратной связи с клиентом, но и средство для оптимизации бизнес-процессов, уменьшения трудозатрат на обслуживание клиентов.

Одним из препятствий, стоящих на пути страховых интернет-магазинов, является электронная система оплаты выкупаемого страхового полиса. В числе причин: малое количество владельцев кредитных карт в России и их недоверие к платежам через Интернет.

Говоря об интернет-страховании, необходимо отметить еще несколько проектов/ связанных с продвижением технологий В2В. В настоящее время разрабатываются на идеологическом уровне и создаются перестраховочные интернет-биржи. Кроме того, существуют проекты сотрудничества страховых компаний с туристическими фирмами.

Будучи объединением компьютерных сетей, Интернет является удобным каналом сбыта программного обеспечения (software, софт), которое может переправляться по Сети любому адресату за мизерные промежутки времени. Возможность мгновенной доставки продукта на компьютер покупателя обеспечила высокую популярность программных продуктов в розничной торговле. Однако софтверный бизнес в Интернет этим не ограничивается.

Контрольные вопросы и тесты для проверки знаний по теме *)

1.  Назовите предпосылки и пути автоматизации в страховании.

2.  Какие комплексы задач можно компьютеризировать в АИС страхования?

3.  В чем особенности технического обеспечения АИС страхования?

4.  Какие новые технологии используются в АИС страхования?

5.  Что такое Интернет-страхование?

6.  Как страховать риски электронной коммерции?

12.2 Функциональные подсистемы АИСТО.

12.1 Информационные технологии и системы таможенных органов: понятия и нормативно-правовая база

Таможенное дело, определяемое в Таможенном кодексе РФ (ст. 2) «… представляет собой совокупность методик и средств обеспечения соблюдения мер таможенно–тарифного регулирования и запретов и ограничений, установленных в соответствии с законодательством Российской Федерации о государственном регулировании внешнеторговой деятельности, связанных с перемещением товаров и транспортных средств через таможенную границу...»

На таможенные органы РФ возложены следующие основные функции:

участие в разработке и реализации таможенной политики; защита экономических интересов РФ, обеспечение в пределах своей компетенции экономической безопасности РФ; принятие средств таможенного регулирования торгово-экономических отношений; взимание таможенных пошлин, налогов и иных таможенных платежей; создание условий, способствующих ускорению товарооборота через таможенную границу РФ; осуществление валютного контроля в пределах своей компетенции; участие в разработке мер экономической политики в отношении товаров, перемещаемых через таможенную границу, реализация этих мер; осуществление контроля за вывозом стратегических и других жизненно важных для интересов России материалов; ведение таможенной статистики внешней торговли и специальной таможенной статистики РФ; проведение научно-исследовательских работ, консультирование в области таможенного дела, осуществление подготовки, переподготовки и повышения квалификации специалистов в этой области для государственных органов, предприятий, учреждений.

Для выполнения вышеуказанных функций, а также для ускорения и упрощения их выполнения, таможенными органами Российской Федерации используются информационные технологии и системы.

Согласно ст. 423 ТК РФ, разработка, создание и использование информационных технологий, в том числе основанных на электронных способах обмена информацией, и средств их обеспечения осуществляются таможенными органами в соответствии с таможенным кодексом и другими федеральными законами.

Внедрение информационных систем и информационных технологий с использованием средств вычислительной техники и связи осуществляется в соответствии со стандартами, действующими в Российской Федерации, и международными стандартами.

Информационные системы, информационные технологии и средства их обеспечения, разрабатываемые и производимые таможенными органами или приобретаемые ими, находятся в федеральной собственности.

Использование таможенными органами не находящихся в федеральной собственности информационных систем, информационных технологий и средств их обеспечения осуществляется на договорной основе.

В соответствии со ст. 424 ТК РФ, информационные системы, информационные технологии, а также программно-технические средства защиты информации, применяемые в таможенном деле, подлежат сертификации в случаях и порядке, которые предусмотрены законодательством Российской Федерации.

Информационные ресурсы таможенных органов составляют документы и сведения, представляемые лицами при совершении таможенных операций в соответствии с ТК РФ, а также иные документы и сведения, имеющиеся в распоряжении таможенных органов в соответствии с ТК РФ и другими федеральными законами.

Информационные ресурсы таможенных органов являются федеральной собственностью.

Порядок формирования и использования информационных ресурсов таможенных органов, требования к документированию информации устанавливаются федеральным министерством, уполномоченным в области таможенного дела, в соответствии с законодательством Российской Федерации.

Документы, предусмотренные ТК РФ, в том числе налоговая декларация, могут представляться посредством электронных способов обмена информацией при соблюдении требований к документированию информации, установленных федеральным министерством, уполномоченным в области таможенного дела, а также иных требований, установленных законодательством Российской Федерации.

Порядок получения лицами информации, содержащейся в информационных ресурсах, находящихся в ведении таможенных органов, определяется федеральным министерством, уполномоченным в области таможенного дела, в соответствии с ТК и другими федеральными законами.

Таможенными органами являются:

федеральная служба, уполномоченная в области таможенного дела; региональные таможенные управления; таможни; таможенные посты.

Единая автоматизированная информационная система (ЕАИС) Федеральной таможенной службы (ФТС) России представляет собой автоматизированную систему управления процессами таможенной деятельности.

Основным назначением ЕАИС таможенной службы РФ является повышение эффективности формирования и осуществления единой таможенной политики государства и деятельности таможенных органов.

Основная цель создания ЕАИС заключается в совершенствовании существующих, а также в обеспечении создания и развития новых информационных автоматизированных таможенных технологий, базирующихся на современных программно-технических средствах.

Исходя из этого, назначением ЕАИС ФТС России является:

¾  обеспечение подразделений Федеральной таможенной службы России и правительственных органов, информацией, необходимой для ведения таможенной статистики;

¾  совершенствование системы организационно-экономического управления таможенными органами всех уровнях управления;

¾  автоматизация таможенного оформления документов на товары;

¾  повышение эффективности таможенного контроля за багажом следующих через границу пассажиров;

¾  обеспечение централизованного взимания и контроля начисления таможенных платежей;

¾  информационная поддержка борьбы с контрабандой и нарушениями таможенных правил;

¾  совершенствование методов и средств нетарифного регулирования и контроль исполнения лицензий и квот;

¾  создание информационной технологии контроля внешнеэкономической деятельности с валютного контроля и др.

ЕАИС таможенной службы России за время своего развития превратилась в уникальный инструмент реализации основных таможенных информационных технологий на всех уровнях - от таможенного поста до центрального аппарата ФТС России.

Для организации работ по реализации программы поэтапной разработки ЕАИС при ФТС России создан Главный Научно-информационный вычислительный центр (ГНИВЦ ФТС России) как научно-производственная организация по созданию, внедрению и эксплуатации ЕАИС.

Учитывая сложную многоуровневую структуру системы таможенных органов России, множественность их функций и задач, при создании ЕАИС таможенной службы принимались во внимание информационные потребности ФТС России и ее основных структурных подразделений (I уровень управления), специализированных и территориальных региональных таможенных управлений (II уровень управления), таможни (в том числе базовых - III уровень управления), приграничных и внутренних таможенных постов (IV уровень управления). Это предопределило и сложную структуру ЕАИС, обслуживающую систему таможенных органов и их подразделений.

Особенностью созданной ЕАИС является и то, что она ориентирована на информационное обеспечение различных по документообороту объектов.

Основной объем документооборота и исходной (первичной) информации в таможенных органах России составляют грузовые таможенные декларации (далее ГТД).

Первая очередь ЕАИС ФТС России реализует основные информационные таможенные технологии, обеспечивая функционирование всех уровней таможенных органов (от таможенных постов и отделов таможенного оформления до центрального аппарата ФТС России).

Внедрение компьютерной техники и программного обеспечения первой очереди ЕАИС осуществлялось, прежде всего, для решения проблем, возникающих в центральном аппарате ФТС. Автоматизация внедрялась сверху вниз. В результате в таможенных органах России создан мощный технический потенциал, который позволяет приступить к решению задач комплексной автоматизации, перейти от автоматизации отдельных рабочих мест к интегрированным системам и к автоматизации таможенных информационных технологий.

Вторая очередь ЕАИС является логическим развитием существующей автоматизированной системы на новых программно-технической и технологической платформах.

Под новой программно-технической платформой, наряду с современными мощными средствами вычислительной техники и телекоммуникаций, понимаются и прогрессивные общесистемные программные средства: операционные системы Windows, Unix, сетевые операционные системы Windows, Novell, система управления базами данных ORACLE и системы проектирования, входящие в комплект ORACLE CASE.

Применение новой программно-технической платформы позволит:

расширить круг автоматизируемых задач; повысить надежность функционирования системы; внедрить эффективные элементы защиты от несанкционированного доступа.

В связи с этим одной из основных задач, которая должна решаться при создании второй очереди ЕАИС, является обеспечение преемственности и совместного сосуществования имеющихся и вновь разрабатываемых или модернизируемых (в рамках второй очереди) прикладных и общесистемных программных средств.

Достижение сформулированных выше целей создания и развития ЕАИС ФТС России обеспечивается за счет:

¾  развития и совершенствования аппаратно-программной платформы ЕАИС на базе последних достижений в области компьютерной и телекоммуникационной техники и информационных технологий;

¾  внедрения электронных документов и использования частичной бумажной технологии обработки таможенных документов;

¾  создания единого информационного пространства таможенных органов на основе использования электронной почты, обеспечивающей оперативное взаимодействие между таможенными органами, а также между таможенными органами и сторонними организациями;

¾  формализации и стандартизации таможенных процедур, технологий, нормативной базы и документов;

¾  разработки и внедрения объективных параметров таможенной оценки ситуации и селекции товаров;

¾  разделения процессов оформления и досмотра товаров;

¾  создания систем контроля и слежения за товарами при процедурах, требующих длительных сроков контроля по времени (временный ввоз, вывоз, реэкспорт, бартерные операции, ВТТ и др.)

¾  снижения уровня загрузки персонала рутинными операциями, переориентации работников таможенных органов на углубленный анализ различных аспектов внешнеэкономической деятельности, уменьшение трудоемкости составления отчетно-учетной документации с одновременным повышением ее достоверности;

¾  гарантии непрерывного обслуживания клиентов и повышения удобства контактов клиентов с таможенными органами.

Основными критериями оценки разрабатываемой второй очереди ЕАИС является:

¾  повышение достоверности таможенной статистики;

¾  полнота взимания таможенных платежей в Госбюджет;

¾  повышение эффективности таможенного контроля, снижение затрат на таможенное оформление;

¾  повышение оперативности решения задач таможенной службы;

¾  сокращение временных и финансовых затрат на информационно-поисковые, расчетные и аналитические работы;

¾  адекватная отчетность по финансовым операциям таможенных органов (контроль начисления и взимания таможенных платежей);

¾  обеспечение соответствующего уровня защиты системы и соответственно ограничение доступности данных, включая полный аудит использования (попытки использования) информационных ресурсов системы;

¾  минимизация времени стабилизации системы при изменении нормативно-правовой базы;

¾  обеспечение полного резервирования критических компонентов системы: аппаратной части, программного обеспечения, коммуникаций и целостности данных.

Разработка и внедрение ЕАИС ФТС России резко повысили роль таможенной службы России как инструмента экономической политики государства. Это привело к бурному росту объема решаемых таможенных задач, и обусловило специфические требования к функционированию ЕАИС:

этапность разработок ЕАИС и ее внедрения из-за необходимости первоочередной реализации в информационно-технологической структуре главных направлений деятельности важнейших задач ФТС России; соблюдение принципов построения «открытых систем» для обеспечения гибкости информационно-технологической структуры, возможности ее модификаций и наращивания мощностей в соответствии с потребностями ФТС России и выделяемыми ресурсами.

Дальнейшее развитие таможенной службы России выдвигает новые требования к ЕАИС. К ним относятся:

создание единого информационного пространства таможенных органов на основе использования' современных программных и технических средств, обеспечивающих оперативный обмен информацией; создание эффективного механизма информационного взаимодействия между таможенными органами и органами государственной власти и управления, государственными органами правоохранительного блока (МВД, ФСБ, прокуратура, налоговые органы и т. д.), иными государственными организациями (МИД и т. п.), банками, участниками ВЭД, брокерами/декларантами и другими организациями, действующими на рынке таможенных услуг (склады временного хранения, перевозчики и т. п.); сведение к минимуму рутинных операций в работе сотрудников и за счет этого увеличение доли аналитических функций; сокращение затрат времени и сил на подготовку отчетов, ведение учета и т. п. при повышении качества документирования работы; уменьшение существующего разрыва между высокими современными требованиями к оперативности отчетности по финансовым операциям таможенных органов, таможенной статистики, внутритаможенного транзита и т. д. и ограниченными технологическими возможностями первой очереди ЕАИС; повышение эффективности таможенного оформления и таможенного контроля с одновременным уменьшением временных затрат на его производство; обеспечение стабильного функционирования программно-технического комплекса ЕАИС при постоянно увеличивающихся объемах обрабатываемой информации и сокращении времени на такую обработку.

Проектируемая ЕАИС ФТС России охватывает все четыре уровня организационной структуры таможенной службы:

¾  уровень ФТС России;

¾  уровень регионально таможенного управления;

¾  уровень таможни;

¾  уровень таможенного поста.

Режим работы всей ЕАИС и ее отдельных компонентов определен в соответствии с регламентом работы тех таможенных служб, которые непосредственно используют соответствующие компоненты ЕАИС.

Важнейшим требованием к системе является совместимость всех подсистем и элементов между собой и с аналогичными системами других ведомств, что достигается применением в ней стандартных и унифицированных компонентов.

В части стандартизации и унификации ЕАИС ФТС России выполнены следующие требования:

·  обеспечение типизации и блочности (модульности) структуры компонентов ЕАИС;

·  обеспечение документированного интерфейса компонентов ЕАИС для их комплексирования;

·  для организации информационного обмена ЕАИС с внешними пользователями (их программными системами) используется открытый интерфейс, основанный на четком описании технологии взаимодействия, форматов данных, регламентов приема, передачи и обработки данных и т. п.;

·  обеспечение максимальной интеграции обработки данных, т. е. достижение однократности ввода и про верки информации при обеспечении ее многократного и многопользовательского востребования.

Повышение степени надежности и эффективности функционирования системы производится с использованием:

¾  средств проектирования и разработки, входящих в комплект ORACLE CASE (для баз данных и приложений в среде СУБД ORACLE);

¾  стандартного набора программного обеспечения для разработки баз данных и приложений;

¾  стандартного набора операционных систем, сетевых операционных систем;

¾  совместимых технических средств вычислительной техники;

¾  международных, государственных, межотраслевых и отраслевых классификаторов и справочников.

При создании ЕАИС заказчиком произведена унификация:

¾  схем технологических процессов таможенного оформления и контроля;

¾  систем кодирования классификации объектов;

¾  форм документов, порядка их функционирования и контроля;

¾  терминов, понятий и определений прикладной области.

При создании ЕАИС исполнителем произведена унификация:

¾  механизмов, способов и форматов обмена информации в ЕАИС;

¾  механизмов, способов и форматов обмена информации между ЕАИС и программными системами сторонних организаций;

¾  структур и форматов основных баз данных ЕАИС, систем кодирования и классификации.

12.2 Функциональные подсистемы АИСТО

Одним из ведущих комплексов задач, реализуемых Федеральной таможенной службой, является программный комплекс АИСТ-М [238].

Автоматизированная информационная система «АИСТ-М» создана для осуществления информационной поддержки принятия решений должностными лицами таможенных органов Российской Федерации в ходе осуществления таможенного оформления и таможенного контроля товаров и транспортных средств, перемещаемых через таможенную границу, посредством обработки электронных копий документов (в том числе таможенных).

Система предназначается для:

¾  автоматизации управления процессом документального таможенного оформления и таможенного контроля;

¾  контроля движения документов в процессе таможенного оформления, а также аудита действий должностных лиц таможенных органов;

¾  обеспечения прозрачности процесса таможенного оформления для руководящего звена, а также для участников внешнеэкономической деятельности (ВЭД);

¾  обеспечения форматно-логического контроля электронных копий документов, применяемых в таможенной деятельности;

¾  обеспечения контроля, в том числе вторичного, правильности начисления, и своевременности уплаты таможенных платежей;

¾  обеспечения гибкого подключения различных информационно-справочных баз данных;

¾  обеспечения информационной поддержки участников (ВЭД) в части документального таможенного оформления товаров и транспортных средств.

АС «АИСТ-М» реализует следующие функции:

¾  управление и визуальное представление хода документального таможенного оформления товаров и транспортных средств;

¾  прием и регистрацию электронных копий документов (в том числе таможенных), необходимых для таможенных целей;

¾  форматно-логический контроль электронных копий документов (в том числе таможенных), необходимых для таможенных целей;

¾  автоматизированный контроль соблюдения требований и условий заявленного таможенного режима;

¾  автоматизированный контроль поступлений платежей участников ВЭД;

¾  контроль наличия задолженности уплаты таможенных платежей;

¾  контроль правильности начисления и своевременной уплаты таможенных платежей;

¾  автоматизированный контроль сроков таможенного оформления и сроков хранения грузов на таможенном складе, учрежденном таможенным органом;

¾  автоматическое информирование руководства таможенного органа и участников ВЭД о ходе оформления таможенных деклараций (ТД);

¾  автоматизированный контроль выпуска определенных товаров согласно акту таможенного досмотра;

¾  формирование и актуализация нормативно - справочной информации (НСИ) на уровне таможенного поста и таможни;

¾  формирование произвольных аналитических отчетов;

¾  разграничение доступа к данным и операциям.

Автоматизированная информационная система таможни («АИСТ-М») состоит из трех подсистем:

. АПС «Администрирование»

. АПС «Оперативное информирование»

. АПС « Таможенное оформление»

АПС «Администрирование» предназначается для организации управления процессом документального таможенного оформления и таможенного контроля. Для решения этой задачи в программе должно быть обеспечено выполнение следующих технологических операций:

¾  создание, изменение и управление схемой электронного документооборота между сервисами «АИСТ-М» (автоматизированными рабочими местами должностных лиц таможенного органа) внутри объекта автоматизации;

¾  регистрации, учета и, авторизация пользователей «АИСТ-М»;

¾  разграничение доступа к отдельным сервисам «АИСТ-М»;

¾  организация и управление взаимодействием сервисов «АИСТ-М» (в том числе серверов баз данных) разных уровней таможенной системы.

АПС «Оперативное информирование» предназначается для обеспечения «прозрачности» процесса таможенного оформления и таможенного контроля для руководителей таможенных органов и участников ВЗД. Для решения этой задачи в программе должно быть обеспечено выполнение следующих технологических операций:

¾  обработка сообщений о процессах таможенного оформления, генерируемых компонентами АПС «Таможенное оформление»;

¾  генерация обработка управляющих воздействий, генерируемых компонентами АПС «Таможенное оформление»;

¾  генерация отчетности о процессах таможенного оформления и таможенного контроля как по формам, утвержденным ГТК России, так и разработанным пользователем;

¾  графическое представление информации о ходе таможенного оформления и таможенного контроля, в том числе с возможностью удаленного доступа пользователя к информации.

АПС «Таможенное оформление» предназначается для автоматизации информационной поддержки принятия решений должностными лицами таможенных органов Российской Федерации в ходе осуществления таможенного оформления и таможенного контроля товаров и транспортных средств, перемещаемых через таможенную границу, посредством обработки электронных копий документов (в том числе таможенных), необходимых для таможенных целей, на основе анализа информации, содержащейся в базах данных Единой автоматизированной информационной системы (ЕАИС) ФТС России.

Для решения этой задачи в программе должно быть обеспечено выполнение следующих технологических операций: приема, хранения, обработки, внесения изменений, выгрузки, а также форматно-логического контроля совокупности сведений о таможенном оформлении товаров и транспортных средств.

Совокупность сведений о таможенном оформлении товаров и транспортных средств представляет собой ряд взаимосвязанных таблиц, в том числе электронных копий следующих таможенных документов:

¾  грузовая таможенная декларация (ГТ Д);

¾  декларация таможенной стоимости (ДТС);

¾  корректировка таможенной стоимости (КТС);

¾  документ учета (ДУ) товаров на складе временного хранения (СВХ);

¾  складские свидетельства;

¾  поручения и акты таможенного досмотра;

¾  карточка транспортного средства;

¾  платежное поручение;

¾  документ контроля таможенных платежей.

Администратор должен осуществлять контроль за документами, находящимися в оформлении, выгрузку документов во внешние базы (экспорт) для выполнения отчетов, пересылки в вышестоящие организации. Подключать новые отчеты и настраивать имеющиеся, а также давать право на их выполнение необходимым пользователям.

Так же в обязанности администратора входит проведение различных регламентных мероприятий для поддержания рабочей базы в нормальном состоянии, производить резервное копирование баз данных.

Администратор должен проводить обучение сотрудников таможенного поста работе с системой и функциональными автоматизированными рабочими местами.

В технологической схеме, может быть предусмотрена роль для выполнения администратором внештатных действий над документами, используя которую, он может разрешать конфликтные ситуации.

Помимо навыков работы с средствами комплекса «АИСТ-М», администратор обязан, обладать навыками настройки развертывания операционных систем и сетей.

Администратор обязан вести журналы сбоев системы «АИСТ-М» и операционной системы и сетевых служб, своевременно сообщать об этом в службу поддержки.

«Администратор» (центр управления) - основной административный компонент системы, позволяющий управлять работой клиентов, получать информацию о деятельности операторов рабочих мест, проводить обновление компонентов системы, создавать и редактировать список пользователей, ролей, назначать и отзывать привилегии доступа, осуществлять поиск документов, просматривать историю изменения документов, выгружать и обрабатывать документы во внешнем формате.

Также специально для руководителей организации предусмотрена программа «Руководитель», которая по своей сути является упрощенным вариантом «Администратор» (центр управления), но без функций администрирования.

В «Администратор» предусмотрена возможность удаленного информирования пользователя (посылка сообщения). Сообщения можно посылать как на одно из рабочих мест, так и на несколько выбранных. Эта возможность полезна в тех случаях, когда необходимо оперативно известить пользователей об обновлении баз.

Также с помощью ПЗ «Администратор» администратор имеет возможность управлять пользователями системы, создавать новых, изменять данные существующих и увольнять тех пользователей, которые уже не будет работать в системе (например, если инспектора перевели на другой пост). Также для всех пользователей строго определены их возможности, действия которые им доступны. Это осуществляется путем назначения пользователям ролей. Одному пользователю одновременно может быть доступно несколько ролей.

«Администратор» помогает осуществить доступ к базе обрабатываемых документов. Для того, чтобы найти необходимый документ предусмотрена возможность поиска по различным доступным параметрам и их сочетаниям (название пакета, номер декларации, время последней обработки документа, этап на котором находится документ, по свойствам которые есть у искомого документа). После того как в контекст поиска будет внесена вся известная информация об искомом документе, компьютер отобразит список документов соответствующих запросу. Контекст поиска может быть сохранен для его повторного использования в дальнейшем.

Для найденных документов можно посмотреть историю оформления каждого из них, в которой подробно указано, кто, в какое время, и на каком рабочем месте производил какие либо операции с документом. Также можно просмотреть содержание самого документа на любом из этапов его оформления. Кроме этого администратору предоставляется возможность редактирования свойств найденного документа. Можно как изменять имеющиеся свойства, так и добавлять новые, либо удалять ненужные.

Особенности функциональных связей между элементами АИС представлены на рис. 12.1 и в табл. 12.1.

Рис 12.1 Функциональные и информационные связи между элементами АИСТ-М

Таблица 12.1

ПС «Оперативное информирование» состоит из трех частей:

·  ПЗ «Отчетность» (Программная задача для отправки запросов на выполнение аналитических выборок и вывода результата в виде отчетных форм и графиков);

·  ПЗ «Сервер отчетов» (Программная задача для обслуживания запросов на выполнение аналитических выборок и одновременной работы нескольких сценариев анализа);

·  ПЗ «Менеджер отчетов» (Программная задача для создания, изменения и управления отчетами, в том числе организации доступа отдельных пользователей к определенным отчетам).

Программная задача «Отчетность» используется для отправки запросов на выполнение аналитических выборок и вывода результата в виде отчетных форм и графиков. Программа выполнена на основе технологии клиент-сервер. Это позволяет сосредоточить все механизмы обработки данных на стороне сервера отчетов. При таком подходе клиентские рабочие места, где установлена программа, используются исключительно для отображения результата оформленного по шаблону.

Программная задача «Сервер отчетов» предназначена для обслуживания запросов на выполнение аналитических выборок и одновременной работы нескольких сценариев анализа. При больших объемах работы с отчетами могут быть запущены несколько ПЗ.

Программная задача «Менеджер отчетов» служит для создания, изменения и управления отчетами, в том числе организации доступа отдельных пользователей к определенным отчетам. Готовый для генерации отчет может быть сохранен в отдельный файл, и затем загружен в систему установленную в другом подразделении.

Возможно создание нового отчета, подключение готовых отчетов, изменение параметров отчетов, изменение внешнего вида отчетов.

«Менеджер отчетов» представляет собой один из компонентов системы АИСТ-М, предназначенный для создания и управления отчетами. Программа предоставляет пользователю возможность воспользоваться готовым отчетом, полученным от разработчика системы, либо разработать отчет самостоятельно в виде исполняемого файла.

Все отчеты хранятся в БД системы АИСТ-М, для каждого из них можно назначить пользователя, который в дальнейшем будет иметь права на подготовку этого отчета.

Сам отчет состоит из двух основных частей: библиотеки (или исполняемого файла) и шаблона (формы) отчета. Так же как и отчет в целом библиотека и исполняемый файл могут быть получены от разработчиков или созданы самостоятельно.

Первым этапом создания отчета является создание записи в менеджере отчетов, которая будет содержать название, комментарий, строку вызова библиотеки или исполняемого модуля' со списком параметров. Для этой записи необходимо определить в каком виде будет представлен результат (график, отчетная форма или произвольное оформление, определяемое самим исполняемым модулем).

Вторым этапом может идти создание динамической библиотеки или исполняемого модуля, которые выполняют подготовку отчета, в случае, если они создаются самостоятельно.

У библиотеки может быть свой набор параметров, в числе которых есть такие, которые позволяют пользователю задавать начальные параметры для отчета (например, дату отчетности). В этом случае клиент отчетов отобразит форму в которой пользователю при запросе на формирование отчета, будет предложено ввести значение каждого из этих параметров.

В библиотеках, поставляемых разработчиком системы, встроена помощь с подробным описанием всех параметров, которые она поддерживает.

Третьим этапом идет создание шаблона (формы) отчета. Шаблон отчета отвечает за внешний вид, в котором этот отчет будет представлен пользователю. Отчеты могут подготавливаться в виде таблиц, графиков либо результата работы внешнего модуля.

После того как отчет был создан или подгружен в базу, администратор должен определить список пользователей, которые будут иметь право его подготавливать.

АПС «Таможенное оформление»

АПС «Таможенное оформление» включает в себя два основных программных средства - ПС «Инспектор» и «Контроль таможенных платежей».

ПС «Инспектор» включает в себя обработку:

¾  грузовых таможенных деклараций (ГТД);

¾  деклараций таможенной стоимости (ДТС);

¾  корректировок таможенной стоимости (КТС);

¾  карточки транспортных средств;

¾  базы данных НСИ;

ПС «Инспектор ТО» позволяет осуществлять:

¾  прием электронной копии ГТД от декларанта с занесением в базу таможенного поста;

¾  прием электронной копии КТС от декларанта с занесением в базу таможенного поста;

¾  прием электронной копии ДТС от декларанта с занесением в базу таможенного поста;

¾  прием электронной копии карточки ТС от декларанта с занесением в базу таможенного поста;

¾  просмотр документов, находящихся в базе;

КПС «Контроль таможенных платежей» состоит из двух частей:

¾  Модуль контроля за правильностью начисления и уплатой таможенных платежей инспектором;

¾  Модуль взаимодействия с КПС «Лицевые счета», входящим в состав ИРС «Доход».

Модуль контроля за правильностью начисления и уплатой таможенных платежей инспектором предназначен для установки на рабочее место инспектора таможенного поста. В нем реализуются следующие задачи:

¾  функции приема-передачи-обработки данных с модулем взаимодействия с ПС «Лицевые счета»;

¾  просмотр электронной копии ГТД;

¾  контроль правильности начисления таможенных платежей в ГТД с применением ПЗ «Контроль таможенных платежей»;

¾  регистрация данных об оплате таможенных платежей;

¾  формирование электронного «Документа контроля платежей» и его распечатка;

¾  регистрация сведений о гарантийных обязательствах в «Документе контроля таможенных платежей»;

¾  формирование и печать уведомления о доплате;

¾  подготовка файлов документов контроля, информации о платежных документах;

¾  получение справочной информации по ГТД;

¾  получение справочной информации по платежным документам.

Модуль взаимодействия с КПС «Лицевые счета», входящим в состав ИРС «Доход», предназначен для установки в отдел таможенных платежей. Выполняет функции приема-передачи-обработки данных между КПС «Контроль таможенных платежей» и КПС «Лицевые счета».

Применение информационных технологий, в т. числе АИС «АИСТ-М», в таможенном оформлении позволяет облегчить работу пользователей (таможенных инспекторов, руководящего состава), так как их применение способствует снижению трудоемкости и повышению оперативности работы путём ускорения обработки документооборота.

Программа практически освобождает пользователей от громоздких расчётов, сама обрабатывает документы и тут же предоставляет результаты обработки за более короткие сроки в виде выходной информации.

Модуль «АИСТ-М» не только помогает таможенному инспектору своевременно и максимально точно определить меры тарифного и нетарифного регулирования внешнеэкономической сделки путем проверки таможенной декларации в электронном виде.

Использование программных средств позволяет оперативно реагировать на изменяющееся законодательство путём обновления справочной информации и программных продуктов с целью его правильного применения в таможенном оформлении.

Это особенно важно при тенденции перехода таможенных органов и участников внешнеэкономической деятельности к электронному декларированию. Переход к электронному декларированию, в свою очередь, ускорит процесс таможенного оформления товаров и транспортных средств.

Контрольные вопросы для проверки знаний по теме

1.  Назовите основные функции, возложенные на таможенные органы РФ.

2.  Что входит в состав информационных ресурсов таможенных органов, в чьей собственности они находятся?

3.  Для чего создается единая автоматизированная информационная система Федеральной таможенной службы России?

4.  Сколько уровней управления включает структура системы таможенных органов?

5.  Какие задачи решает программный комплекс «Аист-М»?

Самое большое невезение – всучить фальшивый чек и взамен получить фальшивые деньги.

Закон невезения по
Рамону Гомесу Де Ла Серна

Глава 13 Информационная безопасность экономических систем

13.1 Понятие информационных угроз и их виды.

13.2 Принципы построения системы информационной безопасности.

13.3 Организация системы защиты информации экономических систем.

13.1 Понятие информационных угроз и их виды

В современном мире информация становится стратегическим ресурсом, одним из основных богатств экономически развитого государства. Быстрое совершенствование информатизации в России, проникновение ее во все сферы жизненно важных интересов личности, общества и государства вызвали помимо несомненных преимуществ и появление ряда существенных проблем. Одной из них стала необходимость защиты информации. Учитывая, что в настоящее время экономический потенциал все в большей степени определяется уровнем развития информационной структуры, пропорционально растет потенциальная уязвимость экономики от информационных воздействий.

Каждый сбой работы компьютерной сети это не только "моральный" ущерб для работников предприятия и сетевых администраторов. По мере развития технологий электронных платежей, "безбумажного" документооборота и других, серьезный сбой локальных сетей может просто парализовать работу целых корпораций и банков, что приводит к ощутимым материальным потерям. Не случайно, что защита данных в компьютерных сетях становится одной из самых острых проблем на сегодняшний день.

Под угрозой безопасности информации понимаются события или действия, которые могут привести к искажению, несанкционированному использованию или даже к разрушению информационных ресурсов управляемой системы, а также программных и аппаратных средств.

Человека, пытающегося нарушить работу информационной системы или получить несанкционированный доступ к информации, обычно называют "компьютерным пиратом" (хакером).

В своих противоправных действиях, направленных на овладение чужими секретами, взломщики стремятся найти такие источники конфиденциальной информации, которые бы давали им наиболее достоверную информацию в максимальных объемах с минимальными затратами на ее получение. С помощью различного вида уловок и множества приемов и средств подбираются пути и подходы к таким источникам. В данном случае под источником информации понимается материальный объект, обладающий определенными сведениями, представляющими конкретный интерес для злоумышленников или конкурентов.

Если ценность информации теряется при ее хранении и/или распространении, то реализуется угроза нарушения конфиденциальности информации. Если информация изменяется или уничтожается с потерей ее ценности, то реализуется угроза целостности информации. Если информация вовремя не поступает легальному пользователю, то ценность ее уменьшается и со временем полностью обесценивается, тем самым реализуется угроза оперативности использования или доступности информации.

Итак, реализация угроз информационной безопасности заключается в нарушении конфиденциальности, целостности и доступности информации. Злоумышленник может ознакомиться с конфиденциальной информацией, модифицировать ее, или даже уничтожить, а также ограничить или блокировать доступ легального пользователя к информации. При этом злоумышленником может быть как сотрудник организации, так и постороннее лицо. Но, кроме этого, ценность информации может уменьшиться ввиду случайных, неумышленных ошибок персонала, а также сюрпризов иногда преподносимых самой природой.

Информационные угрозы могут быть обусловлены:

·  естественными факторами (стихийные бедствия – пожар, наводнение, ураган, молния и другие причины);

·  человеческими факторами. Последние, в свою очередь, подразделяются на:

– угрозы, носящие случайный, неумышленный характер. Это угрозы, связанные с ошибками процесса подготовки, обработки и передачи информации (научно-техническая, коммерческая, валютно-финансовая документация); с нецеленаправленной «утечкой умов», знаний, информации (например, в связи с миграцией населения, выездом в другие страны, для воссоединения с семьей и т. п.) Это угрозы, связанные с ошибками процесса проектирования, разработки и изготовления систем и их компонент (здания, сооружения, помещения, компьютеры, средства связи, операционные системы, прикладные программы и др.), с ошибками в работе аппаратуры из-за некачественного ее изготовления; с ошибками процесса подготовки и обработки информации (ошибки программистов и пользователей из-за недостаточной квалификации и некачественного обслуживания, ошибки операторов при подготовке, вводе и выводе данных, корректировке и обработке информации);

– угрозы, обусловленные умышленными, преднамеренными действиями людей. Это угрозы, связанные с передачей, искажением и уничтожением научных открытий, изобретений секретов производства, новых технологий по корыстным и другим антиобщественным мотивам (документация, чертежи, описания открытий и изобретений и другие материалы); подслушиванием и передачей служебных и других научно-технических и коммерческих разговоров; с целенаправленной "утечкой умов", знаний информации (например, в связи с получением другого гражданства по корыстным мотивам). Это угрозы, связанные с несанкционированным доступом к ресурсам автоматизированной информационной системы (внесение технических изменений в средства вычислительной техники и средства связи, подключение к средствам вычислительной техники и каналам связи, хищение носителей информации: дискет, описаний, распечаток и др.).

Умышленные угрозы преследуют цель нанесения ущерба пользователям АИС и, в свою очередь, подразделяются на активные и пассивные.

Пассивные угрозы, как правило, направлены на несанкционированное использование информационных ресурсов, не оказывая при этом влияния на их функционирование. Пассивной угрозой является, например, попытка получения информации, циркулирующей в каналах связи, посредством их прослушивания.

Активные угрозы имеют целью нарушение нормального процесса функционирования системы посредством целенаправленного воздействия на аппаратные, программные и информационные ресурсы. К активным угрозам относятся, например, разрушение или радиоэлектронное подавление линий связи, вывод из строя ПЭВМ или ее операционной системы, искажение сведений в базах данных либо в системной информации и т. д. Источниками активных угроз могут быть непосредственные действия злоумышленников, программные вирусы и т. п.

Умышленные угрозы подразделяются на внутренние, возникающие внутри управляемой организации, и внешние.

Внутренние угрозы чаще всего определяются социальной напряженностью и тяжелым моральным климатом.

Внешние угрозы могут определяться злонамеренными действиями конкурентов, экономическими условиями и другими причинами (например, стихийными бедствиями). По данным зарубежных источников, получил широкое распространение промышленный шпионаж - это наносящие ущерб владельцу коммерческой тайны, незаконный сбор, присвоение и передача сведений, составляющих коммерческую тайну, лицом, не уполномоченным на это ее владельцем.

К основным угрозам безопасности относят:

·  раскрытие конфиденциальной информации;

·  компрометация информации;

·  несанкционированное использование информационных ресурсов;

·  ошибочное использование ресурсов; несанкционированный обмен информацией;

·  отказ от информации;

·  отказ от обслуживания.

Средствами реализации угрозы раскрытия конфиденциальной информации могут быть несанкционированный доступ к базам данных, прослушивание каналов и т. п. В любом случае получение информации, являющейся достоянием некоторого лица (группы лиц), что приводит к уменьшению и даже потере ценности информации.

Реализация угроз является следствием одного из следующих действий и событий: разглашения конфиденциальной информации, утечки конфиденциальной информации и несанкционированный доступ к защищаемой информации [106]. При разглашении или утечке происходит нарушение конфиденциальности информации с ограниченным доступом (рис. 13.1).

Рис. 13.1 Действия и события, нарушающие информационную безопасность

Утечка конфиденциальной информации – это бесконтрольный выход конфиденциальной информации за пределы ИС или круга лиц, которым она была доверена по службе или стала известна в процессе работы. Эта утечка может быть следствием:

·  разглашения конфиденциальной информации;

·  ухода информации по различным, главным образом техническим, каналам;

·  несанкционированного доступа к конфиденциальной информации различными способами.

Разглашение информации ее владельцем или обладателем есть умышленные или неосторожные действия должностных лиц и пользователей, которым соответствующие сведения в установленном порядке были доверены по службе или по работе, приведшие к ознакомлению с ним лиц, не допущенных к этим сведениям.

Возможен бесконтрольный уход конфиденциальной информации по визуально-оптическим, акустическим, электромагнитным и другим каналам.

По физической природе возможны следующие средства переноса информации:

1.  Световые лучи.

2.  Звуковые волны.

3.  Электромагнитные волны.

4.  Материалы и вещества.

Под каналом утечки информации будем понимать физический путь от источника конфиденциальной информации к злоумышленнику, по которому возможна утечка или несанкционированное получение охраняемых сведений. Для возникновения (образования, установления) канала утечки информации необходимы определенные пространственные, энергетические и временные условия, а также соответствующие средства восприятия и фиксации информации на стороне злоумышленника.

Применительно к практике с учетом физической природы образования каналы утечки информации можно разделить на следующие группы:

·  визуально-оптические;

·  акустические (включая и акустико-преобразовательные);

·  электромагнитные (включая магнитные и электрические);

·  материально-вещественные (бумага, фото, магнитные носители, производственные отходы различного вида – твердые, жидкие, газообразные).

К факторам утечки могут, например, относиться:

·  недостаточное знание работниками предприятия правил защиты информации и непонимание (или недопонимание) необходимости их тщательного соблюдения;

·  использование неаттестованных технических средств обработки конфиденциальной информации;

·  слабый контроль за соблюдением правил защиты информации правовыми, организационными и инженерно-техническими мерами.

Основными типовыми путями несанкционированного доступа к информации, являются:

·  перехват электронных излучений;

·  принудительное электромагнитное облучение (подсветка) линий связи с целью получения паразитной модуляции;

·  применение подслушивающих устройств (закладок);

·  дистанционное фотографирование;

·  перехват акустических излучений и восстановление текста принтера;

·  хищение носителей информации и документальных отходов;

·  чтение остаточной информации в памяти системы после выполнения санкционированных запросов;

·  копирование носителей информации с преодолением мер защиты;

·  маскировка под зарегистрированного пользователя;

·  мистификация (маскировка под запросы системы);

·  использование программных ловушек;

·  использование недостатков языков программирования и операционных систем;

·  включение в библиотеки программ специальных блоков типа "Троянский конь";

·  незаконное подключение к аппаратуре и линиям связи;

·  злоумышленный вывод из строя механизмов защиты;

·  внедрение и использование компьютерных вирусов.

Необходимо отметить, что особую опасность в настоящее время представляет проблема компьютерных вирусов, ибо эффективной защиты против них разработать не удалось. Остальные пути несанкционированного доступа поддаются надежной блокировке при правильно разработанной и реализуемой на практике системе обеспечения безопасности

Ниже перечисляются наиболее распространенные технические угрозы и причины, в результате которых они реализуются:

·  несанкционированный доступ к информационной системе – происходит в результате получения нелегальным пользователем доступа к информационной системе;

·  раскрытие данных – наступает в результате получения доступа к информации или ее чтения человеком и возможного раскрытия им информации случайным или намеренным образом;

·  несанкционированная модификация данных и программ – возможна в результате модификации, удаления или разрушения человеком данных и программного обеспечения локальных вычислительных сетей случайным или намеренным образом;

·  раскрытие трафика локальных вычислительных сетей – произойдет в результате доступа к информации или ее чтения человеком и возможного ее разглашения случайным или намеренным образом тогда, когда информация передается через локальные вычислительные сети;

·  подмена трафика локальных вычислительных сетей – это его использование легальным способом, когда появляются сообщения, имеющие такой вид, будто они посланы законным заявленным отправителем, а на самом деле это не так;

·  неработоспособность локальных вычислительных сетей – это следствие осуществления угроз, которые не позволяют ресурсам локальных вычислительных сетей быть своевременно доступными.

Способы воздействия угроз на информационные объекты подразделяются на:

– информационные;

– программно-математические;

– физические;

– радиоэлектронные;

– организационно-правовые.

К информационным способам относятся:

– нарушение адресности и своевременности информационного обмена, противозаконный сбор и использование информации;

– несанкционированный доступ к информационным ресурсам;

– манипулирование информацией (дезинформация, сокрытие или сжатие информации);

– нарушение технологии обработки информации.

Программно-математические способы включают:

– внедрение компьютерных вирусов;

– установка программных и аппаратных закладных устройств;

– уничтожение или модификацию данных в автоматизированных информационных системах.

Физические способы включают:

– уничтожение или разрушение средств обработки информации и связи;

– уничтожение, разрушение или хищение машинных или других носителей информации;

– хищение программных или аппаратных ключей и средств криптографической защиты информации;

– воздействие на персонал;

– перехват, дешифровка и навязывание ложной информации в сетях передачи данных и линиях связи;

– воздействие на парольно-ключевые системы;

– радиоэлектронное подавление линий связи и систем управления.

Радиоэлектронными способами являются:

– перехват информации в технических каналах ее возможной утечки;

– внедрение электронных устройств перехвата информации в технические средства и помещения;

– перехват, дешифровка и навязывание ложной информации в сетях передачи данных и линиях связи;

– воздействие на парольно-ключевые системы;

– радиоэлектронное подавление линий связи и систем управления.

Организационно-правовые способы включают:

– невыполнение требований законодательства о задержке в принятии необходимых нормативно-правовых положений в информационной сфере;

– неправомерное ограничение доступа к документам, содержащим важную для граждан и организаций информацию.

Суть подобных угроз сводится, как правило, к нанесению того или иного ущерба предприятию.

Проявления возможного ущерба могут быть самыми различными:

·  моральный и материальный ущерб деловой репутации организации;

·  моральный, физический или материальный ущерб, связанный с разглашением персональных данных отдельных лиц;

·  материальный (финансовый) ущерб от разглашения защищаемой (конфиденциальной) информации;

·  материальный (финансовый) ущерб от необходимости восстановления нарушенных защищаемых информационных ресурсов;

·  материальный ущерб (потери) от невозможности выполнения взятых на себя обязательств перед третьей стороной;

·  моральный и материальный ущерб от дезорганизации в работе всего предприятия.

Непосредственный вред от реализованной угрозы, называется воздействием угрозы.

Угрозы безопасности можно классифицировать по следующим признакам:

1. По цели реализации угрозы. Реализация той или иной угрозы безопасности может преследовать следующие цели:

– нарушение конфиденциальной информации;

– нарушение целостности информации;

– нарушение (частичное или полное) работоспособности.

2. По принципу воздействия на объект:

– с использованием доступа субъекта системы (пользователя, процесса) к объекту (файлам данных, каналу связи и т. д.);

– с использованием скрытых каналов.

Под скрытым каналом понимается путь передачи информации, позволяющий двум взаимодействующим процессам обмениваться информацией таким способом, который нарушает системную политику безопасности.

3. По характеру воздействия на объект.

По этому критерию различают активное и пассивное воздействие.

Активное воздействие всегда связано с выполнением пользователем каких-либо действий, выходящих за рамки его обязанностей и нарушающих существующую политику безопасности. Это может быть доступ к определенным наборам данных, программам, вскрытие пароля и т. д. Активное воздействие ведет к изменению состояния системы и может осуществляться либо с использованием доступа (например, к наборам данных), либо как с использованием доступа, так и с использованием скрытых каналов.

Пассивное воздействие осуществляется путем наблюдения пользователем каких-либо побочных эффектов (от работы программы, например) и их анализе. На основе такого рода анализа можно иногда получить довольно интересную информацию. Примером пассивного воздействия может служить прослушивание линии связи между двумя узлами сети. Пассивное воздействие всегда связано только с нарушением конфиденциальности информации, так как при нем никаких действий с объектами и субъектами не производится. Пассивное воздействие не ведет к изменению состояния системы.

4. По причине появления используемой ошибки защиты.

Реализация любой угрозы возможна только в том случае, если в данной конкретной системе есть какая-либо ошибка или брешь защиты.

Такая ошибка может быть обусловлена одной из следующих причин:

– неадекватностью политики безопасности реальной системе. Это означает, что разработанная политика безопасности настолько не отражает реальные аспекты обработки информации, что становится возможным использование этого несоответствия для выполнения несанкционированных действий;

– ошибками административного управления, под которыми понимается некорректная реализация или поддержка принятой политики безопасности в данной организации. Например, согласно политике безопасности должен быть запрещен доступ пользователей к определенному набору данных, а на самом деле (по невнимательности администратора безопасности) этот набор данных доступен всем пользователям.

– ошибками в алгоритмах программ, в связях между ними и т. д., которые возникают на этапе проектирования программы или комплекса программ и благодаря которым их можно использовать совсем не так, как описано в документации. Примером такой ошибки может служить ошибка в программе аутентификации пользователя, когда при помощи определенных действий пользователь имеет возможность войти в систему без пароля.

– ошибками реализации алгоритмов программ (ошибки кодирования), связей между ними и т. д., которые возникают на этапе реализации или отладки и которые также могут служить источником недокументированных свойств.

5. По способу воздействия на объект атаки (при активном воздействии):

– непосредственное воздействие на объект атаки (в том числе с использованием привилегий), например, непосредственный доступ к набору данных, программе, службе, каналу связи и т. д., воспользовавшись какой-либо ошибкой. Такие действия обычно легко предотвратить с помощью средств контроля доступа.

– воздействие на систему разрешений (в том числе захват привилегий). При этом способе несанкционированные действия выполняются относительно прав пользователей на объект атаки, а сам доступ к объекту осуществляется потом законным образом. Примером может служить захват привилегий, что позволяет затем беспрепятственно получить доступ к любому набору данных и программе, в частности «маскарад», при котором пользователь присваивает себе каким-либо образом полномочия другого пользователя выдавая себя за него.

6. По объекту атаки. Одной из самых главных составляющих нарушения функционирования АИС является объект атаки, т. е. компонент системы, который подвергается воздействию со стороны злоумышленника. Определение объекта атаки позволяет принять меры по ликвидации последствий нарушения, восстановлению этого компонента, установке контроля по предупреждению повторных нарушений и т. д.

7. По используемым средствам атаки.

Для воздействия на систему злоумышленник может использовать стандартное программное обеспечение или специально разработанные программы. В первом случае результаты воздействия обычно предсказуемы, так как большинство стандартных программ системы хорошо изучены. Использование специально разработанных программ связано с большими трудностями, но может быть более опасным, поэтому в защищенных системах рекомендуется не допускать добавление программ в АИСЭО без разрешения администратора безопасности системы.

8. По состоянию объекта атаки. Состояние объекта в момент атаки может оказать существенное влияние на результаты атаки и на работу по ликвидации ее последствий.

Объект атаки может находиться в одном из трех состояний:

– хранения – на диске, магнитной ленте, в оперативной памяти или любом другом месте в пассивном состоянии. При этом воздействие на объект обычно осуществляется с использованием доступа;

– передачи – по линии связи между узлами сети или внутри узла. Воздействие предполагает либо доступ к фрагментам передаваемой информации (например, перехват пакетов на ретрансляторе сети), либо просто прослушивание с использованием скрытых каналов;

– обработки – в тех ситуациях, когда объектом атаки является процесс пользователя.

Подобная классификация показывает сложность определения возможных угроз и способов их реализации. Это еще раз подтверждает тезис, что определить все множество угроз для АИСЭО и способов их реализации не представляется возможным.

13.2 Принципы построения системы информационной безопасности

Большинство людей не совершают противоправных действий не потому, что это технически невозможно, а потому, что это осуждается или наказывается обществом, что так поступать не принято. В рамках обеспечения информационной безопасности следует рассмотреть на законодательном уровне две группы мер:

·  меры, направленные на создание и поддержание в обществе негативного (в том числе карательного) отношения к нарушениям и нарушителям информационной безопасности;

·  направляющие и координирующие меры, способствующие повышению образованности общества в области информационной безопасности, помогающие в разработке и распространении средств обеспечения информационной безопасности.

К первой группе следует отнести основные законодательные акты по информационной безопасности, являющиеся частью правовой системы Российской Федерации.

В Конституции РФ содержится ряд правовых норм, определяющих основные права и свободы граждан России в области информатизации, в том числе ст. 23 определяет право на неприкосновенность частной жизни, личную и семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений; ст. 42 обеспечивает право на получение достоверной информации о состоянии окружающей среды и др.

В Уголовном кодексе РФ имеются нормы, затрагивающие вопросы информационной безопасности граждан, организаций и государства. В числе таких статей ст. 137 «Нарушение неприкосновенности частной жизни», ст. 138 «Нарушение тайны переписки, телефонных переговоров, почтовых и телеграфных или иных сообщений», ст. 140 «Отказ в предоставлении гражданину информации», ст. 155 «Разглашение тайны усыновления (удочерения)», ст. 183 «Незаконное получение и разглашение сведений, составляющих коммерческую или банковскую тайну», ст. 272 «Неправомерный доступ к компьютерной информации», ст. 273 «Создание, использование или распространение вредоносных программ для ЭВМ», ст. 274 «Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети» и др.

В Налоговом кодексе РФ имеется ст. 102 «налоговая тайна».

В Гражданском кодексе РФ вопросам обеспечения информационной безопасности посвящены ст. 139 «Служебная и коммерческая тайна», ст. 946 «Тайна страхования» и др.

Специальное законодательство в области информатизации и информационной безопасности включает ряд законов, и их представим в календарной последовательности.

С принятием в 1992 г. Закона Российской Федерации «О правовой охране программ для электронных вычислительных машин и баз данных» впервые в России программное обеспечение компьютеров было законодательно защищено от незаконных действий. В том же году был принят Закон РФ «О правовой охране топологий интегральных микросхем».

В 1993 г. принят Закон РФ «Об авторском праве и смежных правах», регулирующий отношения, возникающие в связи с созданием и использованием произведений науки, литературы и искусства, фонограмм, исполнений и пр.

В 1993 г. был также принят Закон РФ «О государственной тайне», регулирующий отношения, возникающие в связи с отнесением сведений к государственной тайне.

В 1995 г. принят закон «О связи», регламентирующий на правовом уровне деятельности в области связи.

Федеральный закон 1995 г. «Об информации, информатизации и защите информации» определяет ряд важных понятий таких, как информация, документ, информационные процессы, ресурсы и пр., а также регулирует отношения, возникающие при формировании и использовании информационных ресурсов, информационных технологий, защите информации и др.

Неуклонный рост компьютерной преступности заставил законодателей России принять адекватные меры по борьбе с этим видом противоправных деяний, в т. ч. и уголовно-правовых. Главным является вступление в законную силу с 1 января 1997 г. нового Уголовного кодекса РФ, в который впервые включена глава «преступления в сфере компьютерной информации».

Преступлениями в сфере компьютерной информации являются: неправомерный доступ к компьютерной информации (ст. 272 УК); создание, использование и распространение вредоносных программ для ЭВМ (ст. 273 УК); нарушение правил эксплуатации ЭВМ, систем ЭВМ или их сети (274 УК).

Доктрина информационной безопасности Российской Федерации (далее – Доктрина) утверждена Президентом РФ 9 сентября 2000 г. Этот документ представляет собой совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности РФ.

К подзаконным нормативным актам в области информатизации относятся соответствующие Указы Президента РФ, Постановления Правительства РФ, Приказы и другие документы, издаваемые федеральными министерствами и ведомствами. Например, Указ Президента РФ об утверждении перечня сведений конфиденциального характера от 6 марта 1997 г. № 000.

Для создания и поддержания необходимого уровня информационной безопасности в фирме разрабатывается система соответствующих правовых норм, представленная в следующих документах:

·  Уставе и/или учредительном договоре;

·  коллективном договоре;

·  правилах внутреннего трудового распорядка;

·  должностных обязанностях сотрудников;

·  специальных нормативных документах по информационной безопасности (приказах, положениях, инструкциях);

·  договорах со сторонними организациями;

·  трудовых договорах с сотрудниками;

·  иных индивидуальных актах.

Под обеспечением безопасности информационных систем понимают меры, предохраняющие информационную систему от случайного или преднамеренного вмешательства в режимы ее функционирования [243].

Методы и средства обеспечения безопасности экономического объекта представлены на рис. 13.2.

Рис. 13.2 Методы и средства информационной безопасности экономического объекта

Организационное обеспечение – это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе таким образом, что разглашение, утечка и несанкционированный доступ к конфиденциальной информации становятся невозможными или существенно затрудняются за счет проведения организационных мероприятий [101].

Организационное обеспечение компьютерной безопасности включает в себя ряд мероприятий:

·  организационно-административные;

·  организационно-технические;

·  организационно-экономические.

В табл. изложены организационные мероприятия, обеспечивающие защиту документальной информации

Таблица 13.1

Обеспечение информационной безопасности организации

Комплекс организационно-технических мероприятий состоит:

·  в ограничении доступа посторонних лиц внутрь корпуса оборудования за счет установки различных запорных устройств и средств контроля;

·  в отключении от ЛВС, Internet тех СКТ, которые не связаны с работой с конфиденциальной информацией, либо в организации межсетевых экранов;

·  в организации передачи такой информации по каналам связи только с использованием специальных инженерно-технических средств;

·  в организации нейтрализации утечки информации по электромагнитным и акустическим каналам;

·  в организации защиты от наводок на электрические цепи узлов и блоков автоматизированных систем обработки информации;

·  в проведении иных организационно-технических мероприятий, направленных на обеспечение компьютерной безопасности.

13.3 Организация системы защиты информации экономических систем

Каждую систему защиты следует разрабатывать индивидуально, учитывая следующие особенности:

- организационную структуру организации;

- объем и характер информационных потоков (внутри объекта в целом, внутри отделов, между отделами, внешних);

- количество и характер выполняемых операций: аналитических и повседневных;

- количество и функциональные обязанности персонала;

- количество и характер клиентов;

- график суточной нагрузки.

Защита должна разрабатываться для каждой системы индивидуально, но в соответствии с общими правилами. Построение защиты предполагает следующие этапы:

- анализ риска, заканчивающийся разработкой проекта системы защиты и планов защиты, непрерывной работы и восстановления;

- реализация системы защиты на основе результатов анализа риска;

- постоянный контроль за работой системы защиты и АИС в целом (программный, системный и административный).

На каждом этапе реализуются определенные требования к защите; их точное соблюдение приводит к созданию безопасной системы.

Для обеспечения непрерывной защиты информации в АИС целесообразно создать из специалистов группу информационной безопасности. На эту группу возлагаются обязанности по сопровождению системы защиты, ведения реквизитов защиты, обнаружения и расследования нарушений политики безопасности и т. д.

Основные этапы построения системы защиты заключаются в следующем:

Анализ -> Разработка системы защиты (планирование) -> Реализация системы защиты -> Сопровождение системы защиты.

Этап анализа возможных угроз АИС необходим для фиксирования на определенный момент времени состояния АИС (конфигурации аппаратных и программных средств, технологии обработки информации) и определения возможных воздействий на каждый компонент системы. Обеспечить защиту АИС от всех воздействий на нее невозможно, хотя бы потому, что невозможно полностью установить перечень угроз и способов их реализации. Поэтому надо выбрать из всего множества возможных воздействий лишь те, которые могут реально произойти и нанести серьезный ущерб владельцам и пользователям системы.

На этапе планирования формируется система защиты как единая совокупность мер противодействия различной природы.

По способам осуществления все меры обеспечения безопасности компьютерных систем подразделяются на: правовые, морально-этические, административные, физические и технические (аппаратные и программные).

Наилучшие результаты достигаются при системном подходе к вопросам обеспечения безопасности АИС и комплексном использовании различных мер защиты на всех этапах жизненного цикла системы, начиная с самых ранних стадий ее проектирования.

Очевидно, что в структурах с низким уровнем правопорядка, дисциплины и этики ставить вопрос о защите информации просто бессмысленно. Прежде всего, надо решить правовые и организационные вопросы.

Результатом этапа планирования является план защиты — документ, содержащий перечень защищаемых компонентов АИС и возможных воздействий на них, цель защиты информации в АИС, правила обработки информации в АИС, обеспечивающие ее защиту от различных воздействий, а также описание разработанной системы защиты информации.

При необходимости, кроме плана защиты на этапе планирования может быть разработан план обеспечения непрерывной работы и восстановления функционирования АИС, предусматривающий деятельность персонала и пользователей системы по восстановлению процесса обработки информации в случае различных стихийных бедствий и других критических ситуаций.

Сущность этапа реализации системы защиты заключается в установке и настройке средств защиты, необходимых для реализации зафиксированных в плане защиты правил обработки информации. Содержание этого этапа зависит от способа реализации механизмов защиты в средствах защиты.

Этап сопровождения заключается в контроле работы системы, регистрации происходящих в ней событий, их анализе с целью обнаружить нарушения безопасности.

В том случае, когда состав системы претерпел существенные изменения (смена вычислительной техники, переезд в другое здание, добавление новых устройств или программных средств), требуется повторение описанной выше последовательности действий.

Стоит отметить тот немаловажный факт, что обеспечение защиты АИС — это итеративный процесс, завершающийся только с завершением жизненного цикла всей системы.

На последнем этапе анализа риска производится оценка реальных затрат и выигрыша от применения предполагаемых мер защиты. Величина выигрыша может иметь как положительное, так и отрицательное значение. В первом случае это означает, что использование системы защиты приносит очевидный выигрыш, а во втором - лишь дополнительные расходы на обеспечение собственной безопасности.

Сущность этого этапа заключается в анализе различных вариантов построения системы защиты и выборе оптимального из них по некоторому критерию (обычно по наилучшему соотношению «эффективность/стоимость»).

Политика безопасности определяется как совокупность документированных управленческих решении, направленных на защиту информации и ассоциированных с ней ресурсов.

При разработке и проведении ее в жизнь целесообразно руководствоваться следующими принципами:

·  невозможность миновать защитные средства;

·  усиление самого слабого звена;

·  невозможность перехода в небезопасное состояние;

·  минимизация привилегий;

·  разделение обязанностей;

·  эшелонированность обороны;

·  разнообразие защитных средств;

·  простота и управляемость информационной системы;

·  обеспечение всеобщей поддержки мер безопасности.

При этом важно ответить на вопрос: как относиться к вложениям в информационную безопасность – как к затратам или как к инвестициям? Если относиться к вложениям в ИБ как к затратам, то сокращение этих затрат является важной для компании проблемой. Однако это заметно отдалит компанию от решения стратегической задачи, связанной с повышением ее адаптивности к рынку, где безопасность в целом и ИБ в частности играет далеко не последнюю роль. Поэтому, если у компании есть долгосрочная стратегия развития, она, как правило, рассматривает вложения в ИБ как инвестиции. Разница в том, что затраты – это, в первую очередь, «осознанная необходимость», инвестиции – это перспектива окупаемости. И в этом случае требуется тщательная оценка эффективности таких инвестиций и экономическое обоснование планируемых затрат.

Не следует забывать и о том, что далеко не весь ущерб от реализации угроз ИБ можно однозначно выразить в денежном исчислении. Например, причинение урона интеллектуальной собственности компании может привести к таким последствиям, как потеря позиций на рынке, потеря постоянных и временных конкурентных преимуществ или снижение стоимости торговой марки.

Кроме того, четкое понимание целей, ради которых создается СЗИ, и непосредственное участие постановщика этих целей в процессе принятия решений также является залогом высокого качества и точности оценки эффективности инвестиций в ИБ. Такой подход гарантирует, что система защиты информации не будет являться искусственным дополнением к уже внедренной системе управления, а будет изначально спроектирована как важнейший элемент, поддерживающий основные бизнес-процессы компании.

Контрольные вопросы и тесты для проверки знаний по теме *)

1.  Какие имеются угрозы безопасности информации?

2.  Чем занимается «компьютерный пират» (хакер)?

3.  Назовите угрозы, обусловленные естественными факторами.

4.  В чем отличие утечки от разглашения?

5.  Назовите основные этапы построения системы защиты.

6.  Какие Вы знаете методы обеспечения безопасности?

7.  Какие Вы знаете средства обеспечения безопасности?

8.  Назовите составные части делопроизводства.

9.  Назовите основные нормативно-правовые акты обеспечения информационной безопасности организации.

Заключение

В материалах учебного пособия изложены исторические и логические аспекты информатизации общества, автоматизированных информационных систем в экономике, их видов, структуры и методики создания и функционирования в комплексных системах управления предприятием, в финансах, в бухгалтерском учете, в коммерческих банках, в налоговых органах, в коммерции, в таможенных органах и других системах.

Внимание читателя акцентируется на общих методологических аспектах создания АИС с учетом потребностей экономистов – пользователей новых информационных технологий.

Предлагаемый материал учебного пособия позволит, используя предложенные здесь базовые понятия, быстрее понять особенности информационных технологий в различных экономических системах и разобраться с реализацией электронных платежей, электронного декларирования, Интернет-банкинга и другими специфическими проблемами.

Список литературы

1.  1С:Предприятие 8.0 Управление торговлей // Нижегородский бухгалтер, №9(11), 2003.

2.  Абрамов в финансовой индустрии: информатизация банковских технологий. – СПБ: Питер, 1997 г.

3.  , , Бочаров планирование, учёт, анализ в условиях применения программных продуктов: Учебное пособие. – Воронеж: ВГУ. – 2003.

4.  Инструмент для анализа финансового состояния предприятия // Экономика и жизнь №, апрель 2002 г.

5.  Автоматизация аудиторской деятельности - Audit Expert. Решение задач финансового анализа предприятия // Материалы интернет-сайта компании «Лаборатория аудита» http://www. *****

6.  Автоматизация банковской деятельности // «Московское Финансовое Объединение», 288с.

7.  Автоматизация коммерческого банка: взгляд из Семин // 1996.-№10

8.  Автоматизированные информационные системы в экономике: Учебник / Под ред. проф. . – М.: Компьютер, ЮНИТИ, 1998.

9.  Автоматизированные информационные технологии в банковской деятельности / , , и др.; Под ред. . - М.: Финстатин - форм, 2003г.

10.  Автоматизированные информационные технологии в экономике: Учебник / Под ред. Проф. . М: Компьютер, ЮНИТИ. 2006.

11.  Новые технологии платежей. // финансовая газета, №9(793), 1 марта 2007.

12.  Автоматизация управления банковским бизнесом; текущее состояние и тенденции//www. *****.

13.  Арсеньев системы и технологии. – М.: ЮНИТИ-ДАА, 2006.

14.  Арсланбеков-Федоров внутреннего контроля коммерческого банка. – М.: ЮНИТИ-ДАНА, 2004.

15.  Арустамов , таможенное и офисное оборудование: Учебник для вузов, колледжей и техникумов. - М.: Информационный центр «Маркетинг», 19

16.  , , Всеволодов, Н. Н. и др. Биотехника – новое направление компьютеризации. – М.: наука, 1990.

17.  Ахметов Программное и аппаратное обеспечение банков/ Журнал Компьютер- пресс, 1998 г, №8

18.  Базаров. Р. Электронные деньги: новые технологии Интернет-банкинга, опубликовано в апреле-мае 2004 года, *****, *****

19.  Балабанов коммерция. – Спб.: Питер, 2001.

20.  , Уткин системы в экономике: Учебник. 2-е изд. – М.: Издательско-торговая корпорация «Дашков и К», 2006.

21.  Финансы под контролем // Бухгалтер и компьютер. № 7 (

22.  , Зверев системы в экономике: учебник. – М.: Экономистъ, 2005.

23.  Банки и банковское дело /Под ред. . - СПб: Питер, 2003.-304 с.

24.  Банки привлекают внимание к пластиковым картам новыми услугами и льготами. Финансовые известия № 37

25.  Банковское дело. Учебник. Под ред. - М.: Финансы и статистика, 2001г.

26.  Банковское дело: Учебник / Под ред. д-ра экон. наук, проф. . - М.: Юристъ, 20с.

27.  и др. Автоматизация управления предприятием. – М.: ИНФА, 2000.–239с.

28.  Недремлющий мозг корпорации // Русский полис, №10, 2003. – С. 54-55.

29.  Baan старается не сдавать позиции в России//PC WEEK/RE, №44, .2001, с. 29.

30.  (руководитель сектора «Внедрение» Отдела поддержки систем компании R-Style Softlab.)/ «Внедрение автоматизированной банковской системы – важнейший этап ее жизненного цикла» / http://bk2ow. *****/bt-10-2html

31.  , (начальник отдела платформенного программного обеспечения компании 1В8), , (эксперт по системам антивирусной защиты)/ «Организация системы антивирусной защиты банковских информационных систем» / http://www. *****/security/virus/bank/

32.  Брага информационные технологии в экономике. МАО финстатинформ, 1999.

33.  Вендров : Финансы и статистика; 2001г.

34.  Эволюционный подход к внедрению ERP-системы. //Intelligent Enterprise/Russian Edition. Корпоративные системы.– №17, 2004.–с.14-26.

35.  «Банковские услуги в период кризиса»//Аналитический банковский журнал.-2004, №4.

36.  Водзинская проведения экспресс – анализа финансового состояния предприятия // Инвестиционная газета № 9, 5 марта 2002 г.

37.  Водинов страховых информационных систем // Страховое дело, №8, 2003.

38.  Платежные карточки - микропроцессорная революция/ Журнал Банковское дело, №10,2002 г.

39.  Гайдамакин. И. А. «Автоматизированные информационные системы, базы и банки данных». Учебное пособие, 2002г.

40.  В, Першия электронных банковских систем. – М: Единая Европа, 1999 г.

41.  (начальник управления банковских технологий Московского муниципального банка - Банка Москвы, канд. техн. наук). Сергей Анатольевич Захаров (заместитель начальника управления банковских технологий Московского муниципального банка - Банка Москвы.) / «Обзор рынка зарубежных АБС» / http://ncmchinovl. narod. Ri/posobic/indcx-2.htm, и на сайте wwvv. bi/*****

42.  Комплексный подход к автоматизации финансового и управленческого учета// «Банки и технологии», 2001, №4.

43.  Управленческий и финансовый учет в Актуальные задачи автоматизации// «Банки и технологи», 2001, №3.

44.  , Россиев сети на персональном компьютере. – Новосибирск: Наука, Сибирская издательская фирма рАН, 2000.

45.  Гражданский Кодекс РФ (Часть Первая), №51-ФЗ от 01.01.2001 (ред. 29.06.2004).

46.  , , Бондаренко технологии управления: Учеб. пособие для вузов. – М.: ЮНИТИ-ДАНА, 2004. – 479 с.

47.  Гусев A. WEB-технология в России. Опыт создания банковского WWW-сервера в России // Банковские технологии, август 1996.

48.  Демин B. C. и др. Автоматизированные банковские системы. – М: Менатеп-Информ, 1997г.

49.  Дик системы в экономике.

50.  Карточный бизнес и отчетность/ «DiasoftlNFO», №9,2003 г.

51.  Секреты корпоративного Хранилища данных/ www. *****.

52.  MassPay - система приема платежей с использованием
устройств самообслуживания.//Плас, 2004, № 3.

53.  Егоршин стратегического управления регионом // Народонаселение. – 2001. – №1. – С. 102-116.

54.  , Шумский и его применение в экономике и бизнесе. – М.: МИФИ, 1998.

55.  Жарковская дело. - 2-е изд., испр. и доп. - М.: Омега-Л, 20с.

56.  Журнал «Банковские технологии». №1 (2004г.), №8,9 (2003г.).

57.  (Заместитель генерального директора компании "ФОРС - банковские системы")/ «АБС для небольшого банка» / vvvvvv. *****/cxpeiVconferencc

58.  Автоматизация финансового управления в группе// «Аналитический банковский журнал», 2005, №3.

59.  В, , Ясенев система управления деятельностью предприятия с использованием программного комплекса «Галактика»: Учебно-практическое пособие / Под общей редакцией . – Н. Новгород: Нижегородский государственный университет, 2002. – 131 с.

60.  Зотов управление: Методология, теория, практика. – М.: ИМ-Информ, 1998.

61.  Интернет-банкинг в России/ Финансовая газета, №33, 2001 г. Финансовая газета (Региональный выпуск) N 010 стр. 15 от 01.01.2001

62.  Информатика для экономистов: Учебник / Под общ. Ред. . – М.: ИНФРА-М, 2006. – 880 с.

63.  Информационные системы в экономике / Под ред. . - М.: финансы и статистика, 2000г.

64.  Информационные технологии //Экономика и жизнь. №

65.  Информационные технологии бухгалтерского учета / Под ред. – СПб: Питер, 20с.

66.  К вопросу о стандартах автоматизированных банковских систем / Сессия ОИВТА РАН по проблеме "Развитие и применение открытых систем", 10-11 апреля 1997, Президиум РАН (Москва) / http://\'ga1aktionorr. *****/articlcs/index_.lun|

67.  Кайа Соркин, Михаэль Суконник. Передача информации в современных банковских сетях. Журнал "Банковские технологии", август 1996 г.

68.  Финансовая информация в сети Internet// "Банковские технологии", июнь 2001 г.

69.  Влияние IT на эффективность бизнес-процессов банка: обработка платежей/ Журнал Банковское дело, №10,2002 г.

70.  , Кошевская финансово-хозяйственной деятельности предприятия: Учебное пособие. – М.: ФОРУМ: ИНФРА-М, 2004.

71.  , Черников системы в экономике. Ч. I. – М.: Финансы и статистика, 2006.

72.  , Черников системы в экономике. Ч. II. – М.: Финансы и статистика, 2006.

73.  Классификация компьютерных систем управления предприятиями//PC WEEK/RE, №4, 10.11.1998, с. 21-22.

74.  , Прохорова и средства автоматизированной оценки финансового состояния предприятий // Экономика и жизнь №за 2002г.

75.  Н, Электронная коммерция: Практическое руководство. – Спб.: ДиаСофтЮП, 2001. – С. 11-40.

76.  Ковалев в финансовый менеджмент. – М.: Финансы и статистика, 2000

77.  Ковалев анализ: методы и процедуры. М.: Финансы и статистика, 2004.

78.  Коммерческие банки в современной России, теория и практика. М.:Финансы и статистика, 1996г.

79.  Компания объединенных кредитных карточек не намерена терять клиентов. Финансовые известия № 65

80.  Косой A. M. «Принципы безналичных расчетов»//Деньги и кредит.- 2003, №6.

81.  Костяев в Интернете: финансы, маркетинг, планирование. – Спб.: БХВ-Петербург, 2002.

82.  , Борисов нейронные сети. Теория и практика. – М.: Горячая линия - Телеком, 2001.

83.  Крысин предпринимательской деятельности. – М:Финансы и статистика, 2001 г.

84.  . Локальные сети персональных компьютеров. Часть II. М., МИФИ, 1994

85.  Линн Хабер. Ставка на будущее. LAN MAGAZINE, октябрь 1996 г.

86.  И, и др. Информационные подразделения в коммерческих структурах: как выжить и преуспеть. – М: НИТ, 1998 г.

87.  , Михайлов в синергетику. – М.: Наука. Гл. ред. физ.-мат. лит., 1990.

88.  , Ланский A. M., , Ковалкин менеджмент: анализ финансовой деятельности предприятия: Учеб. пособие. – Самара: СГАУ., 2004. – 132с

89.  Лямин банкинг: направления банковского регулирования и надзора/ Журнал Деньги и кредит №6,2004 г.

90.  , Система спутниковой связи "Банкир/ Журнал "Конверсия в машиностроении", 1998г., №6

91.  Н (Директор Департамента по работе с клиентами компании "ОТР")/ Суммарная стоимость владения АБС./ vvww. *****/expert/conference

92.  «Коммерческие банки и их операции», учебное пособие, М.: ЮНИТИ, 2003г.

93.  Материалы журнала "Открытые системы" № 1 (21), 1997 г.

94.  Материалы журнала "Электронный офис", ноябрь 1996 г.

95.  Материалы интернет-сайта журнала «Корпоративный менеджмент» – http://www. *****

96.  Материалы интернет-сайта компании «BecTOHa» http://www. *****/

97.  Материалы интернет-сайта компании «HH3K» http://www. *****/

98.  Материалы интернет-сайта компании «Альт» http://www. alt. *****/

99.  Вершины треугольника. //Intelligent Enterprise/Russian Edition. Корпоративные системы. – 2002, №22, с. 38-41.

100.  Мишутина декларации в электронном виде: решения и перспективы // российский налоговый курьер, 2004. №4

101.  Моисеев проектирование информаицонных систем управления муниципальными образованиями. «PC Week», №2, январь 2002.

102.  'Коммерческие банки в современной России, теория и практика, М.: Финансы и статистика, 2002г.

103.  Мсхалая экономических информационных систем.

104.  Муниципальный менеджмент: Справочное пособие / , – М.: ИНФРА-М, 2002. – 718 с.

105.  МФД - Инфоцентр / «Защита банков - дело общее» / www. *****

Из за большого объема эта статья размещена на нескольких страницах: 1 2 3 4 5 6 7 8 9 10 11 12