Удосконалення механізму здійснення кредитних операцій

Об'єднання в єдину інформаційну систему новітніх методів формування первинних інформаційних ресурсів на основі використання цифрової техніки, сучасних методів доступу до мультимедійних даних, застосовуючи принципово нові способи і алгоритми їх обробки на основі Іnternet і Wеb технологій, є на сьогоднішній день найбільш перспективним напрямом розвитку інформаційних технологій.

На сучасному етапі розвитку суспільства основним капіталом будь-якої організації або установи є їх інтелектуальна та інформаційна власність. Створення і використання інформаційних систем управління корпоративними інформаційними ресурсами дозволить не тільки підтримувати рівень інформаційного капіталу на належному рівні, але і розвивати його на абсолютно нових принципах. Цінність таких систем не лише в удосконаленні засобів зв'язку, методів доступу до даних, впровадженні мультимедійних інтерактивних систем використання інформації, збільшенні продуктивності праці та поширенні безпаперових технологій. Такі системи здатні повністю поміняти структуру виробничих взаємовідносин в такій установі, як сучасний банк.

При створенні автоматизованих банківських систем технології організації мультимедійних інтерактивних систем використання інформації, які побудовані на використанні переваг Іnternet-технологій, набувають все більшої популярності та значущості. У міру того, як переваги технології сховищ даних ставали все очевиднішими, збільшилося число їх версій і об'ємів даних, що містяться в них. Найголовнішою вимогою клієнта до сховища є можливість для кінцевих користувачів вести роботу в діалозі з повним набором бізнес даних і отримувати відповіді в прийнятні часові проміжки. Об'єм даних повинен бути таким, який необхідний для підтримки бізнесу. У міру зростання обсягу інформації сховище повинно відповідати вимогам стійкої продуктивності. Для забезпечення продуктивності й керованості сховища можуть використовуватися різні програмні продукти та інструменти, що автоматизують обробку інформації різного формату і вигляду, а також надають можливість розглядати банківський бізнес в різних аспектах, що виправдовує будь-які витрати, пов'язані з розробкою подібної системи. Багато з цього реалізовано в інформаційних системах ПриватБанку і найшло своє відображення на сайті банку за адресою: www.privatbank.ua.

4.3 Основні задачі та вимоги до комплексних систем захисту банківських інформаційних технологій

В останні роки в банківській діяльності значно загострилася проблема забезпечення безпеки різного роду інформації. Стосовно інформаційних систем термін безпека – можливість протистояти спробам нанесення збитків власникам або користувачам інформаційних систем при різних впливах на неї. Перш за все це наявність ресурсів, стійкість системи до помилок при передачі даних і до технічних неполадок або надійність різних елементів системи. Останнім часом значення цього терміну значно поширилось, і нині він також означає захист програм, файлів, апаратних засобів від підробки та зловживань, пов'язаних із спробами несанкціонованого доступу до інформаційних сховищ.

Створення комплексу заходів інформаційної безпеки – досить складне завдання. Для запобігання створення «надмірного захисту» автоматизованих банківських систем й отримання можливості реалізації ефективних заходів інформаційного захисту спочатку визначають основні фактори загроз і втрат, які вони завдають.

Система інформаційного захисту - єдина сукупність правових і морально-етичних норм, організаційних (адміністративних) заходів та програмно-технічних засобів, які спрямовані на протидію загрозам для інформаційної системи і метою яких є мінімізація можливих збитків користувачів і власників системи.

Створення надійної системи захисту інформації можна розділити на чотири основних етапи:

– аналіз можливих загроз;

– розробка і планування системи захисту інформації;

– реалізація системи захисту;

– супроводження системи захисту під час експлуатації інформаційної системи.

На етапі аналізу можливих загроз необхідно зробити вибір із усієї безлічі можливих впливів на систему лише таких, які можуть реально виникати і наносити значні збитки.

Усі загрози можна розподілити, згідно з їхніми характеристиками, на класи:

– за цілями реалізації загрози:

1) порушення конфіденційності інформації;

2) порушення цілісності (повна або часткова компрометація інформації, дезінформація, несанкціоноване знищення або модифікація інформації чи програмного забезпечення);

3) порушення (часткове або повне) працездатності системи.

– за принципом впливу на систему:

1) за допомогою доступу до об'єктів системи (файлів, даних, каналів зв'язку);

2) за допомогою прихованих каналів (у тому числі, через роботу з пам'яттю).

– за характером впливу на систему:

1) активний вплив – виконання користувачами деяких дій поза межами своїх обов'язків, які порушують систему захисту та змінюють стан системи;

2) пасивний вплив – спостереження побічних ефектів роботи системи та їх аналіз, які не змінюють стан системи, але дають можливість отримання конфіденційної інформації.

– за причинами появи помилок у системі захисту:

1) некоректність системи захисту, що призведе до дій, які можна розглядати як несанкціоновані, але система захисту не розрахована на їх припинення або недопущення;

2) помилки адміністрування системи;

3) помилки в алгоритмах програм, зв'язках між ними тощо, які виникають на етапі проектування;

4) помилки реалізації алгоритмів, тобто помилки програмування, які виникають на етапі реалізації або тестування програмного забезпечення.

– за способом впливу на об'єкт атаки:

1) безпосередній вплив на об'єкт атаки (у тому числі, за допомогою використання привілеїв);

2) вплив на систему привілеїв (у тому числі, захоплення привілеїв) і потім доступ до системи, який система вважатиме санкціонованим;

3) опосередкований вплив через інших користувачів.

– за способом впливу на систему:

1) під час роботи в інтерактивному режимі;

2) під час роботи у пакетному режимі,

– за об'єктом атаки:

1) на систему в цілому;

2) на об'єкти системи з порушенням конфіденційності, цілісності або функціонування об'єктів системи (дані, програми, устаткування системи, канали передачі даних);

3) на суб'єкти системи (процеси користувачів);

4) на канали передачі даних, причому як на пакети даних, що передаються, так і на самі канали передачі даних.

– за засобами атаки, що використовуються:

1) за допомогою штатного програмного забезпечення;

2) за допомогою спеціально розробленого програмного забезпечення.

– за станом об'єкта атаки:

1) під час зберігання об'єкта (на диску, в оперативній пам'яті тощо) у пасивному стані;

2) під час передачі;

3) під час обробки, тобто об'єктом атаки є сам процес користувача або системи.

Найбільш розповсюдженою загрозою для безпеки є несанкціонований доступ (НСД), тобто отримання користувачем доступу до об'єкта, на який він не має дозволу. За характером впливу НСД є активним впливом, в якому може бути використані деякі помилки системі захисту. Це може бути здійснено за допомогою стандартного (штатного) або спеціально розробленого програмного забезпечення. Для реалізації НСД використовуються два способи: подолання системи захисту або спостереження за процесами та аналіз інформації.

Незаконне використання привілеїв – теж загроза безпеці, яка досить часто зустрічається. Найбільш часто для цього використовується штатне програмне забезпечення, яке функціонує у позаштатному режимі. Деякі захищені системи мають засоби, які можуть функціонувати з порушенням системи безпеки. Такі засоби необхідні для вирішення питань у надзвичайних ситуаціях і використовуються системними адміністраторами, системними програмістами тощо, які мають для цього свої певні набори привілеїв. Незаконне захоплення привілеїв можливе при наявності помилок у самій системі або при недбалому ставленні до керування системою в цілому і розподілом привілеїв зокрема.

Інша загроза безпеки має назву «маскарад», тобто виконання будьяких дій одним користувачем від імені іншого користувача, якому ці дії дозволені. «Маскарадом» також називають передачу повідомлень від імені іншого користувача. Часто «маскараду» передує перехоплення пароля або порушення системи захисту.

Досить суворою загрозою є вірусні атаки будьякого типу. Вони можуть призводити до повної зупинки системи, повної або часткової модифікації програмного забезпечення системи, модифікації або порушення даних, викрадення інформації.

Таким чином, при створенні системи захисту необхідно уважно проаналізувати типи загроз, найбільш уразливі місця у системі та збитки, які можуть виникати під час порушення системи захисту.

На етапі розробки і планування система захисту інформації формується у вигляді єдиної сукупності заходів різного плану для протидії можливим загрозам. Вони включають:

– правові заходи - закони, укази та Інші нормативні документи, які регламентують правила роботи з банківською інформацією, та відповідальність за порушення цих правил;

– морально-етичні заходи - норми поведінки користувачів системи та обслуговуючого персоналу;

– адміністративні заходи - заходи організаційного характеру, які регламентують процес функціонування системи, використання її ресурсів, діяльність персоналу тощо;

– фізичні заходи - заходи захисту, які включають охорону приміщень, техніки та персоналу інформаційної системи;

– технічні - апаратно-програмні та програмні засоби захисту, які самостійно або в комплексі з іншими засобами забезпечують функції захисту інформації.

На етапі реалізації системи захисту інформації виготовляються, обладнуються та настроюються засоби захисту, які були заплановані на попередньому етапі.

З точки зору можливостей самої системи на попередніх етапах первинної обробки інформації захист даних від загрози руйнування або спотворення повинен досягатися шляхом розробки в рамках системи гнучкої системи захисту даних. Вона включає в себе декілька аспектів.

По-перше, це гнучка, багаторівнева і надійна регламентація повноважень користувачів. Цінність банківської інформації пред'являє особливі вимоги до захисту даних від несанкціонованого доступу, в тому числі щодо контролю управління процесами, що змінюють стан даних.

По-друге, наявність засобів для підтримки цілісності та несуперечності даних. Подібні засоби мають на увазі можливість здійснення контролю даних, що вводяться, підтримки і контролю зв'язків між даними, а також введення і модифікації даних в режимі трансакцій – набір операцій, що забезпечують підтримання узгодженості даних.

По-третє, присутність в системі багатофункціональних процедур архівації, відновлення і моніторингу даних при програмних та апаратних збоях.

Реалізація повного переліку заходів щодо захисту інформації, яка циркулює в автоматизованій банківській системі, дозволить отримати комплексну систему захисту конфіденційної інформації від стороннього втручання. Це особливо актуально в наш час, коли загальний рівень конкуренції в банківській сфері й рівень криміналізації суспільства не дозволяють допустити витоки комерційної та іншої закритої інформації з інформаційного простору банку.

Розділ 5. Правові, соціальноекономічні, організаційнотехнічні питання охорони праці в банківській установі

5.1 Аналіз санітарно-гігієнічних умов праці в установі банку

З розвитком науково-технічного прогресу важливе значення відіграє можливість безпечного виконання працівниками своїх трудових зобов’язань. На робочому місці повинні бути передбачені засоби захисту від можливої дії шкідливих факторів. Рівень цих факторів не повинен перевищувати граничні значення, які зазначені правовими, технічними та санітарно-гігієнічними нормами. Загальними документами України, які визначають основні положення охорони праці, виступають Конституція України, Кодекс законів про працю України [10] і Закон України «Про охорону праці» [11].

Дослідницька робота з оцінки умов праці співробітників проводилася в Департаменті обслуговування VIP клієнтів ПриватБанку.

Умови праці – це сукупність факторів виробничого середовища і трудового процесу, які впливають на здоров'я і працездатність людини. Всі умови праці підрозділяються на 4 класи – оптимальні, припустимі, шкідливі і небезпечні (екстремальні). У ПриватБанку умови праці відповідають першому і другому класу умов праці:

а) 1 клас – оптимальні умови праці – це такі умови, при яких зберігається не тільки здоров'я, але і створюються передумови для підтримки високого рівня працездатності;

б) 2 клас – припустимі умови праці – характеризуються такими рівнями факторів виробничого середовища і трудового процесу, що не перевищують установлених нормативів, а можливі зміни функціонального стану організму відновлюються за час регламентованого відпочинку чи до початку наступної зміни і не роблять несприятливого впливу на стан здоров'я працюючих і їхнє потомство в найближчому і віддаленому періоді.

Департамент обслуговування VIP-клієнтів ПриватБанку (надалі Департамент) розташовано в одноповерховій цегляній будівлі, яка була споруджена в 1970 року Стіни, стелі, підлога виготовлені з матеріалів, дозволених для оформлення приміщень органами державного санітарно-епідеміологічного нагляду згідно зі БНіП ІІ9081, СН 51278, ДСанПіН 3.3.2.00798.

Загальна площа приміщення складає приблизно 400 кв.м., допоміжні (санітарно-побутові) приміщення складають приблизно 60 кв.м. , висота приміщення – 3,20 м. В приміщенні Департаменту розташовано 44 робочих місця. Площа на 1 працюючого припадає приблизно 7,7 кв.м., а об’єм – 24,7 куб.м. Стіни приміщення забарвлені в світло-сірий колір, стеля виконана з підвісних конструкцій з вмонтованими пристроями протипожежної безпеки, вентиляції, штучного освітлення і має світло-сірий колір, підлога вкрита кахельною плиткою сірого кольору з антистатичними властивостями. Гарним доповненням інтер’єра приміщення є велика кількість живих квітів. Оформлення інтер’єра виконано згідно рекомендацій по створенню сприятливих умов для здорового відчуття і гарного настрою у працівників.

Аналіз метереологічних умов праці в Департаменті на робочих місцях дозволяє констатувати:

а) температура складає 21–240С у холодний період року, 23–250С у теплий період року;

б) відносна вологість – 40–60%;

в) швидкість руху повітря – до 0,1 м/сек (холодний період року); 0,15 м/сек (теплий період року).

Приміщення Департаменту обладнані системою приточно-витяжної вентиляції. Зовнішнє повітря, очищене від пилу, подається у приміщення приточною вентиляцією.

Вікна приміщень мають регулювальні пристрої для забезпечення можливості провітрювання приміщення.

Норми подачі свіжого повітря в приміщення з комп’ютерною технікою складають від 20 до 40 м³ на одного працівника на годину.

Система опалення розроблена згідно з діючими будівельними нормами та правилами БНіП 2.04.0591, БНіП 2.08.0289. Джерело теплопостачання – водяні теплові мережі. Як нагрівальний пристрій використовуються чавунні секційні радіатори МС14098.

Приміщення мають природне і штучне освітлення, що відповідає встановленим санітарно-гігієнічним нормам згідно БніП ІІ–4–79. Природне світло забезпечує коефіцієнт природної освітленості (КПО) не нижче 1,5%

Штучне освітлення обладнане системою загального рівномірного освітлення. У приміщеннях, де переважають роботи з документами, допускається застосування системи комбінованого освітлення (установка додатково до загального освітлення світильників місцевого освітлення).

Рівень освітленості на робочому столі в зоні розміщення документів знаходиться в межах 300–500 лк, іноді допускається застосування світильників місцевого освітлення. Як джерело світла при штучному освітленні застосовуються люмінесцентні лампи типу ЛБ. Для забезпечення нормативних значень освітленості очищаються шибки і світильники не рідше 2 разів у рік і вчасно заміняються перегорілі лампи. Для зниження перепадів яскравості застосовують засоби – сонцезахисні щити, регульовані штори-жалюзі.

Рівні шуму в приміщеннях на робочих місцях не перевищують:

– 50 дбл для працівників, що виконують найбільш відповідальні функції;

– 65 дбл для працівників, що виконують відповідальні функції;

– 75 дбл в приміщеннях, де розміщається гучне устаткування (принтери, кондиціонери та ін.).

Для забезпечення нормованих рівнів шуму застосовуються шумо-поглинаючі засоби (негорючі спеціальні перфоровані плити, панелі, мінеральна вата, підвісні стелі), дозволені органами санітарно-епідеміологічного нагляду

Забезпечення припустимих рівнів (напруженості) електромагнітного випромінювання досягається застосуванням сертифікованого устаткування, захисних екранів (фільтрів) і розміщенням устаткування відповідно до вимог безпеки згідно з нормативними величинами СН 3223–85, ДсанПіН 3.3.2.007–98.

Рівень іонізації повітря приміщень при роботі комп'ютерного й іншого устаткування (кількість негативних і позитивних іонів у 1м³) відповідають санітарно-гігієнічним нормам.

Підтримка припустимих значень концентрації позитивних і негативних іонів у повітрі робочої зони досягається необхідним рівнем подачі свіжого повітря, а також за допомогою установки приладів зволоження, штучної іонізації, кондиціонування повітря.

Рівні електромагнітного, інфрачервоного, ультрафіолетового випромінювання, магнітних полів, напруженість електростатичного поля, потужність експозиційної дози рентгенівського випромінювання на робочих місцях, вмісту озону в повітрі робочої зони – не перевищують припустимих значень.

Санітарно-побутові приміщення банку відповідають нормам БНіП 2.09.04–87 і БіП 2.0.02–89. Загальна площа санітарно-побутових приміщень складає 60 кв.м., що складає 1,36 кв.м. на людину. Віддаленість санітарних приміщень від робочих місць не перевищує 20 м. Проект не передбачає зміну чисельності робітників, і згідно з цим порушення санітарно-побутових умов.

Значення параметрів, що характеризують санітарно-гігієнічні умови праці в Департаменті, відображені в табл. 5.1

Таблиця 5.1 Параметри санітарно-гігієнічних умов праці

Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13