Состав, структура и основные направления деятельности специальных федеральных органов защиты информации в современной России

Автор работы: Пользователь скрыл имя, 30 Мая 2013 в 23:14, реферат

Описание работы

Информационные технологии в рамках функциональных биржевых подсистем применяются на различных биржах по-разному. Биржи могут иметь неодинаковый уровень автоматизации. Так, на Франкфуртской фондовой бирже компьютер применяется только для ввода информации о заключенных сделках, т.е. в рамках информационной подсистемы. Наряду с такой технологией известна и "электронная" биржа. ИС рынка ценных бумаг можно разделить на ряд подсистем, решающих определенные задачи по организации и проведению торгов. Рассмотрим применение информационных систем в деятельности бирж.

Содержание работы

ВВЕДЕНИЕ
ГЛАВА I Теоретические и практические основы применения современных информационных технологий в биржевой деятельности
1.1 Понятие, классификация и функции биржи ……………………………….4
1.2 Сущность биржевой деятельности…………………………………………5
1.3 Безопасность информационной системы биржи ………………………………….....8
ГЛАВА II Способы защиты информации в процессе биржевой деятельности
2.1 Система защиты информации в ЗАО «Санкт-Петербургской Международной Товарно-сырьевой Биржи» …………………………………………………….13
2.2 Защита от манипулирования курсами и прочих злоупотреблений на рынке валютных бирж …………………………………………………………………15
2.3 Порядок хранения и защиты информации на Московской фондовой
Бирже …………………………………………………………………………….18
ЗАКЛЮЧЕНИЕ
СПИСОК ЛИТЕРАТУРЫ

Файлы: 1 файл

РЕФЕРАТ 2.doc

— 159.00 Кб (Скачать файл)

 

2.3  Порядок хранения и защиты информации на Московской фондовой бирже

 

Правила доступа и обработки информации, подлежащей защите

Информация, подлежащая защите, храниться на Бирже в электронном  виде (в т.ч. в компьютерных сетях, на магнитных носителях), а также  в форме печатных документов.

Доступ третьих  лиц на Биржу осуществляется только по пропускам в сопровождении сотрудников Биржи. Доступ сотрудников Биржи, а также третьих лиц в Биржевую компьютерную (торговую) систему осуществляется исключительно посредством индивидуальных имени и пароля доступа. Доступ в компьютерную сеть Биржи предоставляется только сотрудникам Биржи на основании ежемесячно изменяемых индивидуальных паролей доступа. Отдел информационных технологий с использованием технических средств осуществляет:

  • в режиме реального времени мониторинг доступа в Биржевую компьютерную (торговую) систему, компьютерную сеть Биржи, а также предупреждение и пресечение несанкционированного доступа;
  • мониторинг исходящих/входящих почтовых e-mail сообщений;
  • совместно с отделом внутреннего контроля разграничение прав доступа сотрудников Биржи к ресурсам компьютерной сети Биржи в соответствии с должностными обязанностями сотрудников.

Сотрудники  Биржи, в ведении которых находятся  материальные носители служебной информации (дискеты, магнитные диски, печатные материалы и т.п.), должны осуществлять их хранение в местах, исключающих возможность несанкционированного доступа к носителям третьих лиц: сейфы или запирающиеся шкафы. Биржа осуществляет раскрытие информации о ходе торгов на Бирже в соответствии с Положением о порядке раскрытия информации НП «Московская фондовая биржа». Доступ к информации о ходе торгов в режиме реального времени имеют Президент, Вице-президент по торгам, Администратор торгов, сотрудники отдела торгов, руководитель отдела внутреннего контроля (Контролер), сотрудник службы внутреннего контроля, осуществляющий мониторинг биржевых торгов.

Остальные сотрудники имеют право доступа к информации о ходе торгов в режиме реального  времени только на основании распоряжения Президента. Доступ уполномоченных сотрудников  Биржи к информации о ходе торгов в режиме реального времени осуществляется через компьютерную сеть Биржи под индивидуальными именами и паролями. Текущий контроль за выполнением требований настоящего Порядка осуществляют руководители подразделений, сотрудники отдела Информационных технологий, Отдел внутреннего контроля. Отдел внутреннего контроля Биржи осуществляет предварительный, текущий и последующий контроль за всеми сотрудниками Биржи в отношении соблюдения ими требований использования служебной информации. Отдел внутреннего контроля осуществляет комплексную проверку всех случаев неправомерного использования служебной информации.

По результатам  проверки отдел внутреннего контроля сообщает Президенту о фактических  обстоятельствах дела и дает Президенту рекомендации:

В отношении  взыскания с сотрудника Биржи, совершившего неправомерное использование служебной  информации, причиненных убытков, привлечение  его к дисциплинарной или иной ответственности;

По устранению причин, способствовавших неправомерному использованию служебной информации. [16]

Сотрудники  Биржи, нарушившие правила использования  служебной информации, установленные  настоящим Порядком и действующими правовыми актами, несут дисциплинарную, гражданскую, административную и иную ответственность в установленном законодательством порядке.

 

Системы защиты баз данных от ошибок и несанкционированного доступа

Определение объектов и субъектов несанкционированного доступа 

Несанкционированный доступ может касаться следующих  систем:

  • сервера баз данных;
  • участники торгов, расположенные в торговом зале;
  • удаленные участники торгов;
  • персонал торговой системы и расчетной палаты;

Угрозы безопасности информации на этапах ее обработки, передачи и хранения в торговой системе  включают в себя:

  • нарушение конфиденциальности информации;
  • нарушение целостности информации;
  • нарушение доступности информации.

По отношению  к торговой системе нарушители могут  быть внутренними (из числа сотрудников) или внешними (посторонними лицами).

Внутренним  нарушителем может быть лицо из следующих категорий сотрудников:

  • пользователи (операторы) системы;
  • персонал, обслуживающий технические средства (инженеры, техники);
  • прикладные и системные программисты;
  • технический персонал, обслуживающий здания;
  • сотрудники службы безопасности торговой системы;
  • руководители различных уровней.

Посторонние лица, которые могут быть нарушителями:

  • участники торгов (уполномоченные трейдеры и их помощники);
  • посетители торгового зала;
  • лица, атакующие торговую систему по каналам удаленного доступа;
  • представители организаций, взаимодействующих с торговой системой по вопросам обеспечения ее жизнедеятельности;
  • представители конкурирующих организаций;
  • лица, случайно или умышленно нарушившие пропускной режим (без цели нарушить безопасность торговой системы);
  • любые лица за пределами Биржи.

Доступ посторонних  лиц к информации, подлежащей защите, исключается мерами:

  • по охране помещений Биржи и организации пропускного режима;
  • по подбору кадров и специальных мероприятий, исключающих возможность создания коалиций нарушителей, т.е. объединения целенаправленных действий по преодолению подсистемы защиты двух и более нарушителей;

Классификация угроз безопасности информации в  торговой системе и требования к  системе защите. Угрозы безопасности информации на этапах ее обработки, передачи и хранения в любой информационно-телекоммуникационной системе, в том числе и в торговой системе, включают в себя:

  • нарушение конфиденциальности информации;
  • нарушение целостности информации;
  • нарушение доступности информации.

Градацию требований к защищенности документов, обрабатываемых в торговой системе в ходе выполнения различных операций:

  1. нет требований;
  2. низкие;
  3. средние;
  4. высокие.

В качестве объекта  нападения в данном случае может  выступать оператор рабочей станции, обслуживающий персонал, рабочая станция, локальная сеть, база данных. Воздействие на объекты, в соответствии с принятой моделью нарушителя, может быть непосредственным (несанкционированное чтение документа, кража носителя и т.п.) и опосредованным (например, из внешний сети с целью нарушения целостности создаваемого документа или внедрение программной закладки). Программная закладка может быть внедрена лицом из обслуживающего персонала.

Система защиты информации должна отвечать следующим  требованиям:

  • управление доступом пользователей к ресурсам торговой системы с целью ее защиты от неправомерного случайного или умышленного вмешательства в работу системы и несанкционированного (с превышением предоставленных полномочий) доступа к ее информационным, программным и аппаратным ресурсам со стороны посторонних лиц, а также лиц из числа персонала организации и пользователей;
  • защита данных, передаваемых по каналам связи;
  • регистрация, сбор, хранение, обработка и выдача сведений обо всех событиях, происходящих в системе и имеющих отношение к ее безопасности;
  • контроль работы пользователей системы со стороны администрации и оперативное оповещение администратора безопасности о попытках несанкционированного доступа к ресурсам системы;
  • контроль и поддержание целостности критичных ресурсов системы защиты и среды исполнения прикладных программ;
  • обеспечение замкнутой среды проверенного программного обеспечения с целью защиты от бесконтрольного внедрения в систему потенциально опасных программ (в которых могут содержаться вредоносные закладки или опасные ошибки) и средств преодоления системы защиты, а также от внедрения и распространения компьютерных вирусов;
  • управление средствами системы защиты. [16]

 

Меры  по защите баз данных от несанкционированного доступа 

Проводится  идентификация пользователя в торговой системе путем ввода в систему имени пользователя и пароля. Права, которые получит пользователь в системе определяются следующими правилами. - каждому имени пользователя, зарегистрированному в системе, соответствует пользователь SQL сервера с тем же именем. При попытке пользователя войти в систему, система передает введенные имя и пароль на SQL сервер для идентификации. Если идентификация в SQL сервере не проходит, то пользователь не допускается к работе в системе. Если SQL сервер подтверждает права пользователя, то проводится поиск пользователя в таблице пользователей системы. В этой таблице указывается:

  • интервал времени в течении которого пользователю разрешена работа в системе;
  • дополнительные полномочия пользователя.

- на основе  имени и пароля пользователя SQL сервер относит пользователя к одной из групп пользователей в базе данных (в терминологии Microsoft SQL Server). Принадлежность к конкретной группе определяет физические права на доступ к объектам (данным и процедурам) на уровне сервера. В настоящее время в системе реализованы следующие группы пользователей:

  • системный администратор,
  • начальник смены,
  • бухгалтер,
  • администратор торгов,
  • контролер,
  • трейдер в торговом зале,
  • трейдер на удаленном терминале.

- независимо  от дополнительных полномочий пользователя, если его группе запрещен доступ к некоторым объектам, таблицам (информации) SQL сервера - операция, выполняемая пользователем, будет блокирована.

Прикладное  программное обеспечение, используемое участниками торгов, не имеет права на непосредственное изменение баз данных. Все операции изменения данных, производимые трейдерами, осуществляется через хранимые процедуры. При каждом обращении хранимая процедура проверяет на основе имени трейдера (параметров соединения) права трейдера на производимые изменения. Система записывает в специальные файлы (таблицы) все попытки пользователей соединиться с ней. При этом при обработке каждого запроса на соединение система фиксирует:

  • время события
  • тип события (зарос на соединение - рассоединение)
  • имя пользователя
  • номер станции с которой поступил запрос

Сотрудники  группы контроля постоянно наблюдают  за этим процессом, сверяя поступающие  запросы с реальным заполнением  рабочих мест. Попытки подбора  паролей фиксируются как программным, так и визуальным способом. Сотрудники отдела информационных технологий ведут ежедневный мониторинг всех программных средств, установленных на всех станциях локальной сети. Для каждой станции определяется список программ, которые могут быть на ней установлены и запущены. Для большей части станций (в частности, для всех станций трейдеров) запрещается пользование гибким магнитным диском путем его удаления из процессорного блока. Процессорные блоки опечатываются. [16]

Прикладное  программное обеспечение, используемое на Бирже, не позволяет ввести внутренне противоречивые данные. Весь ввод информации должен быть оформлен отдельными поручениями. При вводе поручения система автоматически проверяет его на внутреннюю непротиворечивость. В случае обнаружения противоречий поручение не вводится и пользователь извещается о возникшей проблеме. Первый уровень защиты от ошибок пользователя закладывается непосредственно в систему. Для каждого вводимого поручения существует отдельная команда на его выполнение. При выполнении поручения система автоматически проверяет возможность этой операции (например, при выставлении заявки на продажу по депонированным ЦБ система автоматически проверяет наличие этих бумаг в депозитарии и выполняет проводку с регистра “бумаги к продаже” на регистр учета “бумаги выставлены в заявках”.

Информация о работе Состав, структура и основные направления деятельности специальных федеральных органов защиты информации в современной России