Разработка защищенной автоматизированной системы отдела повышения квалификации коммерческого банка

ПЕРЕЧЕНЬ СОКРАЩЕНИЙ И ОБОЗНАЧЕНИЙ 7
1 Анализ предметной области и разработка требований к автоматизированной системе отдела повышения квалификации коммерческого банка 11
1.1 Анализ предметной области 11
1.1.1 Общая характеристика отдела повышения квалификации коммерческого банка 11
1.1.2 Анализ организационной структуры коммерческого банка 12
1.1.3 Моделирование информационных потоков отдела повышения квалификации коммерческого банка 14
1.1.4 Моделирование процесса деятельности отдела повышения квалификации (модель «AS IS») 15
1.2 Разработка требований к защищенной автоматизированной системе отдела повышения квалификации коммерческого банка 23
1.2.1 Функциональные требования 23
1.2.2 Нефункциональные требования 24
1.2.3 Требования по информационной безопасности 24
1.3 Разработка модели функционирования отдела повышения квалификации (модель «TO BE») 26
Выводы по разделу 32
2 Разработка и защита базы данных отдела повышения квалификации коммерческого банка 33
2.1 Проектирование и реализация модели данных отдела повышения квалификации коммерческого банка 33
2.1.1 Подмодели логического уровня представления данных 33
2.1.2 Подмодель физического уровня представления данных 39
2.1.3 Передача трансформационной модели базы данных методом прямого проектирования 42
2.2 Построение системы защиты базы данных отдела повышения квалификации коммерческого банка 44
2.2.1 Создание регистрационных имен и ролей. Разграничение доступа 45
2.2.2 Шифрование на уровне ячеек 50
2.2.3 Шифрование на уровне базы данных 54
Вывод по разделу 56
3 Разработка клиентского приложения для отдела повышения квалификации коммерческого банка 57
Вывод по разделу 66
4 Техническая защита автоматизированной системы отдела повышения квалификации коммерческого банка 67
4.1 Средства инженерной укрепленности 68
4.2 Система контроля и управления доступом 69
4.3 Межсетевой экран 70
4.4 Источник бесперебойного питания 71
4.5 Антивирусное программное обеспечение 71
4.6 USB-токен 72
4.7 Охранно-пожарная сигнализация 72
4.8 Построение модели защиты 73
Вывод по разделу 76
5 Экономическая оценка проекта 77
5.1 Расчет экономической эффективности 77
5.2 Оценка социальной эффективности 82
Вывод по разделу 83
ЗАКЛЮЧЕНИЕ 84
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ 85
ПРИЛОЖЕНИЕ А 89
Сертификат участника научно-технической конференции 89
ПРИЛОЖЕНИЕ Б 90
Техническое задание на создание защищенной автоматизированной системы отдела повышения квалификации коммерческого банка 90
ПРИЛОЖЕНИЕ В 117
Программный код клиентского приложения 117

Весь текст будет доступен после покупки

Актуальность темы ВКР. В условиях непрерывного развития экономики повышение квалификации персонала коммерческого банка определяет место данной кредитной организации в сфере банковской конкуренции. Кроме того, не стоит забывать, что ЦБ РФ регулирует различные сферы деятельности банков. Это касается и обязательного обучения персонала, о чем говорится в Федеральном законе от 07.08.01 N 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма)», Приказе Федеральной службы по финансовому мониторингу от 03.08.2010 № 203 и других нормативно-правовых актах.
В рассматриваемом коммерческом банке деятельность отдела повышения квалификации не автоматизирована. Однако работа с бумажными носителями не редко приводит к нарушению основных свойств информационной безопасности. Так сотрудник отдела может неверно ввести данные – что является нарушением целостности, или потерять документы, содержащие информацию ограниченного доступа – что является нарушением доступности и конфиденциальности.

Весь текст будет доступен после покупки

ОСНОВНАЯ ЧАСТЬ

1 Анализ предметной области и разработка требований к автоматизированной системе отдела повышения квалификации коммерческого банка

1.1 Анализ предметной области

1.1.1 Общая характеристика отдела повышения квалификации коммерческого банка

Отдел повышения квалификации является структурным подразделением коммерческого банка.
Цель деятельности отдела повышения квалификации – организация и осуществление дополнительной образовательной деятельности по подготовке и переподготовке персонала коммерческого банка в соответствии с планом реализации программы обучения.
Основными функциями отдела повышения квалификации являются:
1) разработка и реализация дополнительных образовательных программ для персонала коммерческого банка;
2) корректировка и утверждение программ дополнительного образования в соответствии с учетом новых нормативно-правовых актов ЦБ РФ в коммерческой сфере;
3) создание условий для обучения персонала коммерческого банка (с отрывом от работы, без отрыва от работы, по индивидуальному плану);
4) анализ результатов аттестаций по итогам обучения.
В своей деятельности отдел повышения квалификации руководствуется Указаниями ЦБ РФ, Уставом коммерческого банка и другими нормативно-правовыми актами.

1.1.2 Анализ организационной структуры коммерческого банка

В процессе изучения деятельности коммерческого банка был проанализирован состав управлений и подразделений, играющих важную роль в работе организации. Распределение ответственности и полномочий внутри коммерческого банка определяет организационно-штатная структура, которая представлена на рисунке 1.


Рисунок 1 – Организационно-штатная структура коммерческого банка

В коммерческом банке, как видно из рисунка 1, общее Собрание акционеров является высшим органом управления. На Собрании акционеров назначают Совет директоров, который, в свою очередь, осуществляет стратегическое управление и контроль за менеджментом. Совет директоров назначает Генерального директора, который осуществляет общее руководство коммерческим банком. У Генерального директора в подчинении находится ряд заместителей:
- директор по персоналу,
- финансовый директор,
- коммерческий директор,
- директор кредитно-депозитных операций,
- технический директор,
- директор по хозяйственной работе,
- директор службы безопасности.
В банке отдел ИТ находится в ведении технического директора и отделен от отдела информационной безопасности и службы охраны, которые подчиняются директору службы безопасности.
В данной ВКР нас интересует отдел повышения квалификации, организационно-штатная структура которого представлена на рисунке 2.


Рисунок 2 – Организационно-штатная структура отдела
повышения квалификации коммерческого банка

Отдел повышения квалификации подчинен директору по персоналу. В самом отделе повышения квалификации главой является начальник отдела. В его распоряжении находятся:
- офис-менеджер, выполняющий функции секретаря;
- специалисты по учебно-методической работе, регулирующие учебную деятельность;
- научно-педагогические работники, осуществляющие образовательный процесс.

1.1.3 Моделирование информационных потоков отдела повышения квалификации коммерческого банка

Модель информационных потоков отдела повышения квалификации коммерческого банка представлена на рисунке 3.


Рисунок 3 – Модель информационных потоков отдела
повышения квалификации коммерческого банка
На рисунке 3 показано, что отдел повышения квалификации взаимодействует с директором по персоналу, а также с отделом кадров и бухгалтерией. Кроме того, он напрямую взаимодействует с приглашенными преподавателями и персоналом коммерческого банка, который собирается проходить либо проходит повышение квалификации. Обрабатываемые в отделе персональные данные на рисунке 3 выделены красным цветом.
Директор по персоналу утверждает и подписывает такие документы, как приказ о направлении на повышение квалификации и другие.
Отдел кадров направляет заявку на прохождение повышения квалификации, а также необходимые персональные данные. Также отдел кадров может сделать запрос на предоставление ПДн.
Бухгалтерия делает запросы на предоставление необходимых данных, в том числе для акта прохождения повышения квалификации.
Приглашенные преподаватели направляют свои ПДн и заключают договоры об оказании образовательных услуг.
Персонал заключает соглашение на прохождение повышения квалификации, получает расписание и по итогам обучения получает сертификат о прохождении повышения квалификации.
Внутри отдела передаются отчеты, локальные акты, ведомости, списки обучающихся, расписания, а также персональные данные обучающихся и приглашенных преподавателей.

1.1.4 Моделирование процесса деятельности отдела повышения квалификации (модель «AS IS»)

Модель процесса деятельности отдела повышения квалификации или модель «КАК ЕСТЬ» (модель «AS IS») построена с использованием инструментального средства моделирования CA ERwin Process Modeler 7.3.3.1773 (ранее BPwin), которое поддерживает моделирование:
- процессов (нотация IDEF0),
- потоков данных (нотация DFD)
- моделирование технологических процессов (нотация IDEF3).
Моделирование в нотации IDEF0 позволяет строить функциональные модели исследуемой системы с описанием всех необходимых процессов с необходимой точностью для однозначного моделирования деятельности системы.
На рисунке 4 представлена контекстная диаграмма верхнего уровня в нотации IDEF0 или, как ее еще называют, диаграмма A-0 – диаграмма «А минус 0».


Рисунок 4 – Контекстная диаграмма верхнего уровня (нотация IDEF0)

Контекстная диаграмма верхнего уровня, представленная на рисунке 4, отображает процесс разработки ЗАС отдела повышения квалификации коммерческого банка.
Цель модели: изучить существующие процессы, связанные с деятельностью сотрудников отдела повышения квалификации.
Точка зрения: инженер информационной безопасности.
Рассмотрим информационные потоки, представленные на контекстной диаграмме верхнего уровня.
Входные стрелки отображают материальные или информационные объекты, которые используются для достижения результата.
На рисунке 4 представлены следующие входные стрелки:
- заявки,
- приказы,
- ПДн проходящих обучение,
- ПДн приглашенных преподавателей,
- списки приглашенных преподавателей,
- списки аудиторий,
- учебные планы.
Выходные стрелки отображают материальный или информационный объекты, которые создаются в результате процесса деятельности.
На рисунке 4 представлены следующие выходные стрелки:
- приказы,
- соглашения о прохождении обучения,
- списки обучающихся,
- расписание,
- текущие отчеты,
- списки допущенных к аттестации,
- сводные ведомости,
- отчеты о результатах прохождения обучения,
- сертификаты о прохождении повышения квалификации.
Управляющие стрелки отображают стандарты, процедуры и т.п., которые влияют на работу, но не преобразуются в процессе деятельности.
На рисунке 4 представлены следующие управляющие стрелки: 152-ФЗ, локальные нормативные акты коммерческого банка, законы и подзаконные акты РФ, БДУ ИБ ФСТЭК, нормативные акты Банка России.
Стрелки механизмов отображают ресурсы, которые выполняют работу (персонал, устройства и т.п.).
На рисунке 4 представлены следующие стрелки механизмов: директор по персоналу, сотрудники бухгалтерии, персонал коммерческого банка, сотрудники отдела кадров, сотрудники отдела повышения квалификации, приглашенные преподаватели, сотрудники отдела ИБ.
Декомпозиция – это разбиение сложного процесса на составляющие его функции, что позволяет постепенно представлять модель системы в виде иерархической структуры отдельных диаграмм для более полного и легкого восприятия процесса деятельности. Каждую декомпозицию можно детализировать до необходимого уровня.
На рисунке 5 представлена декомпозиция контекстной диаграммы верхнего уровня в нотации IDEF0.


Рисунок 5 – Декомпозиция контекстной диаграммы верхнего уровня
(нотация IDEF0)
Как видно по рисунку 5 блок «Разработать защищенную АС отдела повышения квалификации коммерческого банка» разбивается на следующие четыре функциональных блока:
1) оценить потребность в обучении и развитии персонала коммерческого банка;
2) разработать концепцию программы обучения персонала;
3) организовать процесс обучения;
4) провести аттестацию обучающихся и оформить отчетность.
Методология IDEF3 представляет собой стандарт документирования технологических процессов, позволяющий использовать инструментарии? моделирования последовательности изменений свойств объекта в рамках описываемого процесса.
Рассмотрим декомпозицию каждого функционального блока в нотации IDEF3. Декомпозиция функционального блока «оценить потребность в обучении и развитии персонала коммерческого банка» в нотации IDEF3 представлена на рисунке 6.


Рисунок 6 – Декомпозиция функционального блока «Оценить потребность в обучении и развитии персонала коммерческого банка» (нотация IDEF3)

Из рисунка 6 видно, что на вход поступают заявки на прохождение повышения квалификации, приказы и персональные данные проходящих обучение. Далее рассматривается полученная заявка, проводится аудит личного дела и результатов анкетирования, на основании чего подготавливается приказ о направлении на повышение квалификации. Затем на основании этого приказа подготавливается соглашение о прохождении повышения квалификации с конкретным сотрудником коммерческого банка.
Таким образом, на выход поступают приказ о направлении на повышение квалификации и подготавливается соглашение о прохождении повышения квалификации с конкретным сотрудником коммерческого банка.
Декомпозиция функционального блока «разработать концепцию программы обучения» в нотации IDEF3 представлена на рисунке 7.


Рисунок 7 – Декомпозиция функционального блока «Разработать концепцию программы обучения» (нотация IDEF3)

Как видно из рисунка 7, на вход поступают приказы о направлении на повышение квалификации и соглашения о прохождения обучения. На основании этой информации составляются списки обучающихся. Основываясь на этих списках и учебных планах, определяется перечень курсов, после чего разрабатывается теоретический, практический и аттестационный модули курса. После чего на основании полученных данных, а также списка аудиторий и списка преподавателей, разрабатываются расписание и ведомости.
Таким образом, на выход поступают списки обучающихся, расписание и ведомости.
Декомпозиция функционального блока «организовать процесс обучения» в нотации IDEF3 представлена на рисунке 8.


Рисунок 8 – Декомпозиция функционального блока «Организовать процесс обучения» (нотация IDEF3)

На рисунке 8 показано, что на вход поступают список обучающихся и расписание. На основании проведения текущего контроля успеваемости формируются текущие отчеты, после чего формируются списки допущенных к аттестации.
Таким образом, на выход поступают текущие отчеты и списки допущенных к аттестации.
Декомпозиция функционального блока «Провести аттестацию и оформить отчетность» в нотации IDEF3 представлена на рисунке 9.


Рисунок 9 – Декомпозиция функционального блока «Провести аттестацию и оформить отчетность» (нотация IDEF3)

На рисунке 9 можно увидеть, что на вход подаются списки допущенных к аттестации, затем расписание и ведомости, на основании чего проводится аттестация, в результате которой формируется отчетность: сводные ведомости и отчеты о результатах прохождения обучения, а также формируется список сдавших, которым выдается сертификат о прохождении повышения квалификации.
Таким образом, на выход поступают сводные ведомости, отчеты о результатах прохождения обучения и сертификат о прохождении повышения квалификации.

Весь текст будет доступен после покупки

1) Федеральный закон от 27 июля 2006 г. №152-ФЗ «О персональных данных»;
2) Требования к защите персональных данных при их обработке в информационных системах персональных данных, утвержденные постановлением Правительства Российской Федерации от 1 ноября 2012 года №1119;
3) Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (утверждены приказом ФСТЭК России №21 от 18 февраля 2013 года).
4) РД 50-34.698-90 «Методические указания. Информационная технология. Комплекс Стандартов и руководящих документов на автоматизированные системы. Автоматизированные системы. Требования к содержанию документов».
5) ГОСТ Р 51624-2000 «Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования».

Весь текст будет доступен после покупки