Совершенствование системы защиты персональных данных ОАО 'Альфа Банк'

ДИПЛОМНЫЙ ПРОЕКТ

На тему

Совершенствование системы защиты персональных данных ОАО "Альфа Банк"

Содержание

Введение

. Аналитическая часть

.1 Описание деятельности предприятия

.1.1 Характеристика предприятия и его деятельности

.1.2 Организационно-функциональная структура предприятия

.2 Характеристика комплекса задач, задачи и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии

.2.1 Выбор комплекса задач обеспечения информационной безопасности

.2.2 Определение места проектируемого комплекса задач в комплексе задач предприятия, детализация задач информационной безопасности и защиты информации

.2.3 Сущность задачи и предметная технология её решения

.3 Развёрнутая постановка целей, задачи и подзадач СУБД

.3.1 Цели и назначение автоматизированного варианта решения задачи

.3.2 Подзадачи автоматизации и функциональная ИТ их решения

.4 Обоснование проектных решений

.4.1 Обоснование проектных решений по техническому обеспечению

.4.2 Обоснование проектных решений по программному обеспечению

. Проектная часть

.1 Разработка проекта применения СУБД, информационной безопасности и защиты информации в проектируемой СУБД

.2 Информационное обеспечение задачи

.2.1 Информационная модель и её описание

.2.2 Характеристика нормативно-справочной и входной оперативной информации

.2.3 Характеристика базы данных и средств информационной безопасности и защиты информации СУБД

.2.4 Характеристика результатной информации

.3 Программное и технологическое обеспечение задачи

.3.1 Общие положения

.3.2 Схемы технологического процесса сбора, передачи, обработки и выдачи информации

.4 Контрольный пример реализации проекта и его описание

3. Обоснование экономической эффективности проекта

Заключение

Литература

Введение

Современная компьютерная система является по своему назначению и содержательной сущности информационной системой, представляющей собой взаимосвязанную совокупность средств, методов и персонала, обеспечивающих сбор, хранение, обработку, передачу и отображение информации в интересах достижения поставленной цели.

Функциональной основой любой ИС являются протекающие в ней информационные процессы. Характер этих процессов определяется соответствующей информационной технологией. Информационная технология - это совокупность средств и методов сбора, обработки, передачи данных (первичной информации) для получения информации нового качества (информационного продукта) о состоянии объекта, процесса или явления. Иначе говоря, информационная технология представляет собой процесс, реализуемый в среде информационной системы.

Для обеспечения безопасности информации в компьютерных системах (КС) требуется защита не только аппаратных, но и программных средств таких систем[11]. Программные средства сами по себе являются частью информационного ресурса компьютерной системы, а, кроме того, от их безопасности существенно зависит безопасность любой другой информации, которая хранится, передается или обрабатывается в КС. Таким образом, для защиты информации в КС необходимо защищать технические и программные средства, а также машинные носители от несанкционированных (неразрешенных) воздействий на них.

Однако такое рассмотрение компьютерных систем как объектов защиты информации является неполным. Дело в том, что компьютерные системы относятся к классу человеко-машинных информационных систем. Такие системы разрабатываются, обслуживаются и эксплуатируются соответствующими специалистами, которые являются также носителями информации, имеющими самый непосредственный доступ к системе. Вот почему от несанкционированных воздействий необходимо защищать не только программно-технические средства компьютерных систем, но также обслуживающий персонал и пользователей.

При решении проблемы защиты информации в КС необходимо учитывать еще и противоречивость человеческого фактора. Обслуживающий персонал и пользователи могут быть как объектом, так и источником несанкционированного воздействия на информацию.

Таким образом, компьютерная система как объект защиты представляет собой совокупность следующих взаимосвязанных компонентов[1]:

-  информационных массивов, представленных на различных машинных носителях;

-       технических средств обработки и передачи данных (компьютерных и телекоммуникационных средств);

-       программных средств, реализующих соответствующие методы, алгоритмы и технологию обработки информации;

-       обслуживающего персонала и пользователей системы, объединенных по организационному, предметно-тематическому, технологическому и другим принципам для выполнения автоматизированной обработки информации (данных) с целью удовлетворения информационных потребностей субъектов информационных отношений.

Программное обеспечение для работы с базами данных используется на персональных компьютерах уже довольно давно. К сожалению, эти программы либо были элементарными диспетчерами хранения данных и не имели средств разработки приложений, либо были настолько сложны и трудны, что даже хорошо разбирающиеся в компьютерах люди избегали работать с ними до тех пор, пока не получали полных, ориентированных на пользователя приложений.

Дипломный проект посвящен автоматизации защиты персональных данных на примере Альфа Банк, которое является крупнейшим предприятием обладающем современной информационной системой и для которого крайне актуальны вопросы безопасности компьютерных информационных систем.

 

1. Аналитическая часть

 

.1       Описание деятельности предприятия

1.1.1 Характеристика предприятия и его деятельности

Альфа-Банк основан в 1990 году. Альфа-Банк является универсальным банком, осуществляющим все основные виды банковских операций, представленных на рынке финансовых услуг, включая обслуживание частных и корпоративных клиентов, инвестиционный банковский бизнес, торговое финансирование и управление активами.

Головной офис Альфа-Банка располагается в Москве, всего в регионах России и за рубежом открыто 444 отделений и филиалов банка, в том числе дочерний банк в Нидерландах и финансовые дочерние компании в США, Великобритании и на Кипре. В Альфа-Банке работает около 17 тысяч сотрудников. Прямыми акционерами Альфа-Банка являются российская компания ОАО «АБ Холдинг», которая владеет более 99% акций банка, и кипрская компания «ALFA CAPITAL HOLDINGS (CYPRUS) LIMITED», в распоряжении которой менее 1% акций банка. Бенефициарными акционерами Альфа-Банка в составе Консорциума «Альфа-Групп» являются 6 физических лиц.

Альфа-Банк является крупнейшим российским частным банком по размеру совокупных активов, совокупному капиталу и размеру депозитов. По состоянию на конец третьего квартала 2011 года клиентская база Альфа-Банка составила около 49 тысяч корпоративных клиентов и 5,8 миллионов физических лиц. В 2011 году Альфа-Банк продолжил свое развитие как универсальный банк по основным направлениям: корпоративный и инвестиционный бизнес (включая малый и средний бизнес (МСБ), торговое и структурное финансирование, лизинг и факторинг), розничный бизнес (включая систему банковских филиалов, автокредитование и ипотеку). Особое внимание оказывается развитию банковских продуктов корпоративного бизнеса в массовом и МСБ сегментах, а также развитию удаленных каналов самообслуживания и интернет-эквайринга. Стратегическими приоритетами Альфа-Банка являются поддержание статуса лидирующего частного банка в России, укрепление стабильности, повышение прибыльности, установление отраслевых стандартов технологичности, эффективности, качества обслуживания клиентов и слаженности работы.

Альфа-Банк является одним из самых активных российских банков на мировых рынках капитала. В сентябре 2010 года Альфа-Банк разместил среднесрочные еврооблигации участия в займе на сумму 1 миллиард долларов США с погашением в 2017 году, став первым российским частным банком, разместившим эти бумаги в таком объеме. В феврале 2011 года Альфа-Банк выпустил рублевые облигации номиналом 5 миллиардов рублей, сроком обращения 5 лет с офертой через 3 года. В апреле 2011 года Альфа-Банк стал первым российским частным банком, разместившим десятилетние еврооблигации, сумма выпуска составила 1 миллиард долларов США.

Ведущие международные рейтинговые агентства присваивают Альфа-Банку одни из самых высоких рейтингов среди российских частных банков. В марте 2011 года агентство Standard &Poor’s повысило кредитный рейтинг Альфа-Банка с «B+» до «ВВ-», прогноз стабильный. В ноябре 2010 года агентство Moody’s подтвердило свой рейтинг на уровне «Ва1» и изменило прогноз с негативного до стабильного. В июле 2011 г. агентство Fitch повысило свой кредитный рейтинг до «ВВ+», прогноз стабильный.

В течение 2011 года Альфа-Банк подтверждает лидирующие позиции в банковском секторе России. В четвертый раз подряд он занял первое место в по результатам исследования «Индекс впечатления клиента - 2010. Сектор розничных банковских услуг после финансового кризиса», проведенного компанией Senteo совместно с PricewaterhouseCoopers. Также в прошлом году Альфа-Банк был признан лучшим интернет банком по версии журнала GlobalFinance, награжден за лучшую аналитику Национальной Ассоциацией Участников Фондового Рынка (НАУФОР), стал лучшим российским частным банком по индексу доверия, рассчитанным исследовательским холдингом Ромир.

Сегодня Банк располагает сетью федерального масштаба, включающей 83 точки продаж. Альфа Банк обладает одной из самых крупных сетей среди коммерческих банков, состоящей из 55 офисов и охватывающей 23 города. В результате увеличения сети у Банка появились дополнительные возможности по увеличению клиентской базы, расширению спектра и качества банковских продуктов, реализации межрегиональных программ, комплексному обслуживанию системообразующих клиентов из числа крупнейших предприятий.

Таблица 1.1

Динамика показателей банка (млн. руб.)

Параметр	2010, год	2011
Итог баланса	26906	21752
Ценные бумаги	4220	2423
кредиты	8825	5159
имущество	195	241
Нетто-активы	16072	9798
Срочные средства	8300	4136
Суммарные обязательства	14035	7945
Капитал	1687	1729
Уставной капитал	810	810

Благодаря увеличению капитала, расширению географии присутствия, росту розничного бизнеса, сохранению позитивных изменений в корпоративном управлении Банк существенно укрепил свои позиции на рынке кредитных организаций.

Наиболее наглядно иллюстрируют положительную динамику развития Банка валюта баланса. В течение 2007 год этот показатель увеличился в 1,7 раза и составил 35,8 млрд. руб. (рисунок 1).

Рис. 1.1 Динамика валюты баланса Банка, млрд. руб.

За три года работы банка валюта баланса увеличилась в 5,5 раза с 6,5 до 35,8 млрд. рублей, что является следствием успешной работы Банка как надежного партнера на рынке финансовых услуг.

Далее рассмотрим один из филиалов ОАО «Альфа Банк - офис, находящийся в городе Москва.

1.1.2 Организационно-функциональная структура предприятия

Организационная структура банка представлена на рис.1.2. Во главе филиала банка стоит управляющий, которому подчиняются все структурные подразделения филиала банка. Организационная структура банка включает департамент по административным вопросам и управлению персоналом; дирекцию по развитию бизнеса; финансовую дирекцию; бухгалтерию; коммерческая дирекция, отдел развития розничного бизнеса, сектор информирования населения, сектор кредитования населения, отделы кредитования корпоративных клиентов, кредитования малого и среднего бизнеса и др. подразделения.

Организация ОАО «Альфа Банк» разделяется на отделы.

Рис. 1.2 Организационная структура ОАО «Альфа Банк»

Анализ схемы управления предприятием позволяет сделать вывод о ее строго централизованном виде. Все управленческие решения замыкаются на одного руководителя высшего звена управляющего филиалом ОАО «Альфа Банк, который формирует управляющие воздействия, используя руководителей среднего звена и руководителей подразделений. Такое управление не лишено ряда недостатков, например, при реализации неправильных решений по управлению предприятий.

Разрабатываемая автоматизированная система предназначена для автоматизации работы специалистов сектора кредитования населения.

Организационная структура сектора кредитования дополнительного офиса ОАО «Альфа Банк» представлена на рис. 1.3.

В секторе кредитования филиала банка работает 6 человек. Из которых один человек занимается вопросами ипотечного кредитования и пять человек занимаются вопросами потребительского кредитования. В их задачи входит консультирование клиентов об условиях предоставляемых кредитных продуктов, сбор заявлений и необходимых документов для рассмотрения заявки от потенциальных заемщиков.

Таким образом, рассматриваемая организационная структура подразделения компании является линейной. В этой структуре каждый руководитель обеспечивает руководство нижестоящими подразделениями по всем видам деятельности.

Рис. 1.3 Организационная структура сектора кредитования дополнительного офиса ОАО «Альфа Банк»

Она основывается на принципе единства распределения поручений, согласно которому право отдавать распоряжения имеет только вышестоящая инстанция. Соблюдение этого принципа должно обеспечивать единство управления. Такая организационная структура образуется в результате построения аппарата управления из взаимоподчинённых органов в виде иерархической лестницы, т.е. каждый подчинённый имеет одного руководителя, а руководитель имеет несколько подчинённых. Два руководителя не могут непосредственно связываться друг с другом, они должны это сделать через ближайшую вышестоящую инстанцию. Такую структуру часто называют однолинейной.

Преимуществами такой структуры можно назвать:

Простое построение

- Однозначное ограничение задач, компетенции, ответственности

Жесткое руководство органами управления

Оперативность и точность управленческих решений

Недостатками такой системы являются:

Затруднительные связи между инстанциями;

Концентрация управления в одном месте;

Сильная загрузка средних уровней управления.

1.2 Характеристика комплекса задач, задачи и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии

.2.1 Выбор комплекса задач обеспечения информационной безопасности

Одной из основных функций филиала банка является функция выдачи ссуды и кредитования населения. Рассмотрим подробно механизм выдачи ссуды. Данный механизм можно представить в виде следующих этапов:

I.       Начальный этап. На данном этапе человек в офисе банка беседует с сотрудником кредитного отдела, узнает условия кредита, после чего клиента спрашивают о необходимой ему сумме, о сроке, на который он хотел бы взять кредит и т.д., то есть узнают первичную информацию, которую заносят в кредитный калькулятор, где рассчитывается максимально возможная сумма кредита. Если требуемая сумма не превосходит рассчитанную, то начинается либо следующий этап, либо человеку предлагают другой кредитный продукт или просят изменить срок либо требуемую сумму.

II.      Сбор необходимых документов. Здесь заемщик заполняет заявление и анкету банка, если требуется, то анкету заполняет поручитель. Кроме того, от заемщика требуют дополнительный пакет документов, таких как паспорт гражданина Российской Федерации заемщика и поручителя, второй документ, подтверждающий личность (загранпаспорт, водительское удостоверение и др.).         Заполнение заявки сотрудником банка, которая отправляется в Департамент потребительского кредитования для рассмотрения.. Извещение заемщика о принятии либо отклонении заявки. На данном этапе в офис, откуда пришла заявка, из департамента потребительского кредитования приходит электронное письмо, содержащее либо согласие, либо не согласие на предоставление ссуды. И что самое интересное в случае отказа, в этом письме не указывается причина отклонения заявки..         Получение ссуды. Заемщик получает деньги либо через кассу, либо сумма кредита зачисляется на пластиковую карточку.

Одной из основных функции при кредитовании населения является обеспечение необходимости защиты персональных данных. В настоящее время эти функции не автоматизированы, и срочно нуждаются в проведении автоматизации.

Обобщенную схему автоматизации ОАО «Альфа Банк» представлено на рис.1.6. Входные документы в виде двух информационных потоков:

потока персональной информации, коды защиты информации;

запрос на получение информации о защите персональных данных.

Деятельность специалиста отдела защиты информации включает в себя выполнение следующих мероприятий:

заполнение регистрационных форм;

оформление отчетов по защите информации;

контроль безопасности информационной системы;

регистрация информации о компьютерах, используемой в банке и используемых в системе банка;

регистрация информации о запросах на получение кодов безопасности;

- учет персональной информации о клиентах банка.

Рис. 1.6 Процесс автоматизированного учета

В настоящем дипломном проекте для автоматизации выбраны следующие функции:

регистрация информации о клиентах банка;

регистрация информации о запросах на получение персональной информации и кодов защиты;

- учет информации о кодах защите и доступе к персональным данным.

.2.2 Определение места проектируемого комплекса задач в комплексе задач предприятия, детализация задач информационной безопасности и защиты информации

Учет персональных данных и кодов защиты осуществляется по мере поступления запросов и данных в информационную систему банка. Защита персональных данных осуществляется в соответствии со схемой, представленной на рис.1.6:

Рассмотрим информационные потоки отдела безопасности (рис. 1.7). Заказчик (физическое лицо) делает заявку у специалиста отдела на получение необходимой информации.

Рис. 1.7 Схема информационных потоков предприятия

В качестве входных информационных потоков для задачи рассматриваются:

поток запросов на получение информации о защите данных;

поток персональных данных и коды доступа к ним.

В качестве выходных информационных потоков для задачи можно выделить:

информационный поток учетной информации о наличии кодов доступа к информации, а так же регистрации запросов на доступ к информации.

Рассматриваемая задача в дипломном проекте тесно связана с задачами информационного учета и поиска информации в базах данных.

Рассматриваемая задача имеет особо важное значение для ОАО «Альфа Банк». Решение задачи автоматизации защиты персональных данных позволит существенно повысить производительность труда специалистов отдела кредитования. Участок отдела кредитования населения является критическим для банка, следовательно повышение эффективности работы сотрудников на этом участке приведет к увеличению эффективности работы всего банка, в вопросах уменьшения временных затрат на обслуживание клиентов, увеличения количества обслуживаемых клиентов, а следовательно увеличение прибыли банка и улучшение его финансово-экономических показателей.

Для реализации основных функций возлагаемых на информационную систему для обеспечения работы специалиста отдела кредитования необходимо выполнение следующих действий табл.1.2

Таблица 1.2

Основные действия для реализации функций системы

Основные функции	Основные действия
Учитывать информацию о персональных данных клиента	1. Создание необходимых таблиц базы данных, для хранения информации. 2. Разработка программных процедур для регистрации продукции.
Вести учет кодов защиты информации, и кодов доступа к данным	Создание необходимых таблиц и полей базы данных, для хранения информации о кодах защиты.
Вести учет запросов на получение персональной информации	1. Создание необходимых полей базы данных. 2. Разработка необходимых программных процедур для реализации функций.
Контролировать правильность доступа к персональной информации клиентов.	Создание необходимых программных процедур
Контролировать отсутствие несанкционированного доступа к персональным данным.	Создание необходимых программных процедур

1.2.3 Сущность задачи и предметная технология её решения

Под политикой безопасности, будем понимать набор норм, правил и практических рекомендаций, на которых строится управление, защита и распределение информации в компьютерной системе[8].

В ОАО «Альфа Банк» реализована политика безопасности, основанная на избирательном способе управления доступом. Такое управление в ОАО «Альфа Банк» характеризуется заданным администратором множеством разрешенных отношений доступа. Матрица доступа заполняется непосредственно системным администратором компании. Применение избирательной политики информационной безопасности соответствует требованиям руководства и требований по безопасности информации и разграничению доступа, подотчетности, а также имеет приемлемую стоимость ее организации. Реализацию политики информационной безопасности полностью возложено на системного администратора ОАО «Альфа Банк».

Наряду с существующей политикой безопасности в компании ОАО «Альфа Банк», используется специализированные аппаратные и программные средства обеспечения безопасности.

В качестве аппаратного средства обеспечения безопасности используется средство зашиты - Cisco 1605. Маршрутизатор снабжен двумя интерфейсами Ethernet (один имеет интерфейсы TP и AUI, второй - только TP) для локальной сети и одним слотом расширения для установки одного из модулей для маршрутизаторов серии Cisco 1600 <#"577815.files/image006.gif">

Рис.1.8 Схема документооборота Заявки на получение доступ к персональным данным

Таблица 1.3

Показатели затрат на задачу без автоматизации

Аспект деятельности предприятия	Временные затраты	Частота появления (за 6 месяцев)	Количество занятых сотрудников
Количество заявок на доступ к персональной информации	-	1200-2000	2
Количество заявок на изменение персональных данных кодов защиты	-	500	2
Создание запроса возможность доступа к персональным данным	20 мин	2000-3000	1
Проверка возможности осуществления доступа	От 2 часов до 2 дней	2000-3000	1-3
Создание отчета о безопасности информации в банке	от 20 мин.	300	1
Время на формирования запроса	10 мин	2000-3000	1
Количество работников, выполняющих информационный запрос в службе безопасности	20 мин	90-100	2
Процент обработанных запросов	-	100	2

Необходимо отметить, что внедрение разрабатываемой системы, позволит снизить, а в идеале, полностью исключить ошибки учета персональной и информации и кодов защиты. Таким образом, внедрение автоматизированного рабочего места менеджера приведет к значительному экономическому эффекту, сокращению штата сотрудников на 1/3, экономии фонда заработанной платы, повышению производительности труда. Необходимо отметить, что увеличение производительности приведет к возможности увеличения прибыли банка порядка 20%, т.е. составит 13200 руб.

Предположим, что чистая прибыль банка будет пропорциональна увеличению объема продаж кредитных услуг и составит 20% от имеющегося объема и будет увеличено на 850 тыс. руб.[16].

1.3.2 Подзадачи автоматизации и функциональная ИТ их решения

Разработка стратегии реализации проекта автоматизации ОАО «Альфа Банк» предполагает наличие ряда взаимосвязанных между собой последовательных действий

анализ бизнеса;

- анализ стратегии развития бизнеса;

определение стратегических свойств ИС;

определение функциональности ИС в целом;

выбор стратегии автоматизации;

определение архитектуры;

формирование бизнес-плана;

Различают следующие виды стратегий автоматизации:

полная, с внутренней интеграцией;

полная, с внешней интеграцией;

по направлениям;

по участкам;

хаотичная.

Автоматизация предприятия «по участкам» предусматривает внедрения небольших автоматизированных систем для прикрытия узких мест. Таким образом, через некоторое время предприятие будет представлять собой ряд разрозненных небольших автоматизированных систем, не согласованных друг с другом. Обычно такой вид автоматизации вызван непониманием руководства предприятия преимуществ комплексной автоматизации в долгосрочной перспективе, которое приведет к экономии средств на внедрение автоматизированных и информационных систем. В итоге приобретаются самые необходимые системы, которые опять же нагромождаются в набор несвязанных друг с другом элементов.

При полном (комплексном) подходе предприятие рассматривается как сложная система взаимосвязанных компонентов, все «узкие» места которой необходимо автоматизировать для повышения общей эффективности системы.

Деятельность предприятия автоматизируется при помощи построения интегрированной автоматизированной системы общего делового процесса предприятия, который может состоять из множества взаимосвязанных сложным образом технологических, производственных и управленческих процессов.

Деятельность предприятия ОАО «Альфа банк» автоматизируется при помощи построения автоматизированной системы позволяющей обеспечивать защиту персональных данных. В связи с отсутствием достаточного количества средств для проведения комплексной автоматизации, автоматизация на фирме ОАО «Альфа банк» будет состоять из проведения отдельных этапов по разработке автоматизированных систем различных подразделений фирмы:

автоматизация деятельности отдела кредитования;

автоматизация деятельности службы безопасности банка;

автоматизации бухгалтерии;

автоматизации отдела по работе с корпоративными клиентами.

Таким образом, в качестве стратегии автоматизации на предприятии ОАО «Альфа банк» выбран проект автоматизации по участкам.

1.4 Обоснование совершенствования систем

1.4.1 Обоснование проектных решений по техническому обеспечению

Данный проектвключает в себя разработку автоматизированного информационной системы, ориентированной на применение в коммерческом банке. Данная программа может быть использована в качестве дополнительного программного продукта в составе АРМ.При проектировании принимались во внимание следующие требования:

- система будет нормально функционировать на стандартных персональных компьютерах клона IBM с процессором IntelPentium III (минимальные требования, подсоединенных к офисной локальной вычислительной сети в режиме невыделенных серверов;

1 система не должна иметь привязки к аппаратной части для возможности переноса ее на новую платформу из-за неизбежного морального старения компьютерной техники;

2 оборудование размещается в пределах нескольких офисных помещений управления и отделов;

- архитектура системы должна быть выбрана таким образом, чтобы минимизировать вероятность нарушения штатного режима работы системы (выход системы из строя, разрушение информационной базы данных, потеряли искажение информации) при случайных или сознательных некорректных действиях пользователей;

система будет обеспечивать защиту информационной базы данных от несанкционированного доступа;

основная программная оболочка системы будет устанавливаться на рабочие места начальника отдела и инспектора с любого компьютера, подсоединенного к локальной офисной вычислительной сети;

- установка программной оболочки будет производиться в режиме диалога Пользователь-ЭВМ специальной программой инсталляции;

основная программная оболочка будет иметь возможность изменять по желанию заказчика генерируемые формы отчетов и порядок заполнения исходных форм;

система будет иметь возможность наращивания как программной, так и аппаратной части.

Пользователи могут применять различные конфигурации, входящие в комплексную поставку, как по отдельности, так и совместно, подобрав для себя подходящий вариант работы с системой. Выбор конфигурации зависит, прежде всего, от решаемых задач, от типа деятельности и структуры конкретного учреждения, уровня сложности ведения учета и других условий. Пользователи могут вести учет в комплексной конфигурации или решать разные задачи учета в отдельных конфигурациях, пользуясь средствами обмена данных, или же начать с автоматизации одного из направлений учета, используя отдельную конфигурацию.

Технические средства системы учета можно рассмотреть отдельно для серверной и клиентской станции. Типичная сеть организации, для которой разрабатывается программное обеспечение представлено на рис.1.7.

Для нормальной работы системы необходима два варианта конфигурации оборудования - серверной станции и клиентской станции.

Сервер, устанавливаемый в одном из офисных помещения организации. Состав серверного решения представлен в таблице 1.4, стоимость серверного решения составляет 57 630 руб.

Рис. 1.9 - Типичная компьютерная сеть организации, для которой разрабатывалось ПО

Таблица 1.4

Состав серверного решения

Узел	Характеристика	Количество
Процессор BX80574E5405A	IntelXeon E5405 (4-ядерный, тактовая частота 2 ГГц, 12 МБ кэш-памяти второго уровня, частота системной шины 1333МГц, активная система охлаждения)	2
Системная плата S5000VSASATAR	Intel S5000VSASATAR (до 16ГБ оперативной памяти, до 6 разъемов SATA).	1
Корпус SC5299DP	Intel SC5299DP (напольное исполнение с возможностью монтажа в стойку высотой 6U, поддержка системных плат расширенного форм-фактора ATX, 2 порта USB 2.0, источник питания мощностью 550 Вт)	1
Жесткий диск	WD 500 ГБ WD5002ABYS SATA II 16Mb	2
Оперативная память	1ГБ DDR-2 PC2-5300 FB	4
Привод	DVD RW	1

Рабочая станция - рабочее место менеджера, конфигурация приводится в таблице 1.5. Стоимость решения составляет 12958,31.

Таблица 1.5

Состав рабочей станции

Узел	Характеристика	цена
Процессор	Процессор AMD Athlon 64 X2 3800+ (2.00ГГц, 2x512КБ, HT1000МГц, 65Вт) SocketAM2	1378,13
Вентилятор	Вентилятор для Socket754/939/940 TITAN TTC-NK32TZ	423,68
Плата	Мат. плата SocketAM2 ASUS "M2N-X" (nForce 520, 2xDDR2, U133, SATA II-RAID, PCI-E, SB, LAN, USB2.0, ATX)	1718,06
Память	Модуль памяти 2x1ГБ DDR2 SDRAM Corsair XMS2 TWIN2X2048-6400C4DHX G (PC6400, 800МГц, CL4)	2033,06
HDD	Жесткий диск (HDD) 250ГБ SamsungSpinPoint S250 HD250HJ 7200об./мин., 8МБ (SATA II)	1617,79
Видео	Видеокарта PCI-E 256МБPalit GeForce 8600 GT Sonic (GeForce 8600 GT, DDR3, D-Sub, DVI, HDMI)	2974,65
CD/DVD	Привод DVD-RW 18xW/8xRW/16xR/48xW/32xRW/48xR LG GSA-H62N, черный (SATA)	751,54
Корпус	КорпусMiditower IN-WIN "IW-S508U" ATX 2.03, черно-серебр. (450Вт, ATX12V V2.0)	1915,20
Вентилятор	Вентилятор для корпуса ScytheKaze-Jyu SY1025SL12L d100/d90мм (питание от мат.платы и БП)	146,21

1.4.2 Обоснование проектных решений по программному обеспечению

Классификацию баз данных по модели данных иллюстрирует рис. 1.9.

Рис.1.9 Классификация баз данных по модели

Иерархические базы данных основаны на иерархической модели данных, в которой связь между объектами базы данных образует перевернутое дерево. При такой модели каждый нижележащий элемент иерархии соединен только с одним расположенным выше элементом

Сетевые базы данных основаны на сетевой модели данных, в которой связи между объектами данных могут быть установлены в произвольном порядке.

Реляционные базы данных основаны на реляционной модели данных, в которой каждая единица данных в базе данных однозначно определяется именем таблицы (называемой отношением), идентификатором записи (кортежа) и именем поля.

Объектно-реляционные базы данных содержат объектно-ориентированные механизмы построения структур данных (как минимум, механизмы наследования и поддержки методов) в виде расширений языка и программных надстроек над ядром СУБД.

Объектно-ориентированные базы данных определяют как новое поколение баз данных, основанное на сочетании трех принципов: реляционной модели, стандартов на описание объектов и принципов объектно-ориентированного программирования.

Классификацию баз данных по способу доступа иллюстрирует рис. 1.10.

Рис. 1.10. Классификация баз данных по способу доступа

В мэйнфреймовых базах данных пользовательское рабочее место представляет собой текстовый или графический терминал, а вся информация обрабатывается на том же компьютере, где находится СУБД.

В файл-серверных СУБД файлы данных располагаются централизованно на файл-сервере, а ядро СУБД находится на каждом клиентском компьютере. Доступ к данным осуществляется через локальную сеть. Синхронизация чтений и обновлений осуществляется посредством файловых блокировок. Преимуществом этой архитектуры является низкая нагрузка на ЦП сервера, а недостатком - высокая загрузка локальной сети.

Клиент-серверные СУБД состоят из клиентской части (которая входит в состав прикладной программы) и сервера. Клиент-серверные СУБД, в отличие от файл-серверных, обеспечивают разграничение доступа между пользователями и мало загружают сеть и клиентские машины. Сервер является внешней по отношению к клиенту программой, и при необходимости его можно заменить другим. Недостаток клиент-серверных СУБД состоит в самом факте существования сервера (что плохо для локальных программ - в них удобнее встраиваемые СУБД) и больших вычислительных ресурсах, потребляемых сервером.

Встраиваемая СУБД представляет собой программную библиотеку, которая позволяет унифицированным образом хранить большие объемы данных на локальной машине. Доступ к данным может происходить посредством запросов на языке SQL либо путем вызова функций библиотеки из приложения пользователя.

Встраиваемые СУБД быстрее обычных клиент-серверных и не требуют развертывания сервера.

Серверные СУБД. Для крупных организаций ситуация принципиально меняется. Там использование файл-серверных технологий является неудовлетворительным по описанным выше причинам.

Поэтому на передний край борьбы за автоматизацию выходят так называемые серверные СУБД.

Основными производителями таких систем обработки и хранения данных являются 3 корпорации: Oracle, Microsoft и IBM. Наиболее распространенными клиент-серверными системами здесь соответственно являются системы Oracle (разработчик компания Oracle), MS SQL Server (разработчик компания Microsoft), DB2, InformixDynamicServer (компания IBM).

Дадим краткую характеристику этим системам. SQL Server. К настоящему времени разработано несколько версий систем: MS SQL Server-2000, MS SQL Server -2005, MS SQL Server-2008. Приведем информацию о системе MS SQL Server-2005.® SQL Server™ 2005 - это законченное предложение в области баз данных и анализа данных для быстрого создания масштабируемых решений электронной коммерции, бизнес-приложений и хранилищ данных. Это решение позволяет значительно сократить время выхода этих решений на рынок, одновременно обеспечивая масштабируемость, отвечающую самым высоким требованиям. В SQL Server включена поддержка языка XML и протокола HTTP, средства повышения быстродействия и доступности, позволяющие распределить нагрузку и обеспечить бесперебойную работу, функции для улучшения управления и настройки, снижающие совокупную стоимость владения

Платформа бизнес-анализа SQL Server 2008, тесно интегрированная с MicrosoftOffice, предоставляет развитую маштабируемую инфраструктуру для внедрения мощных возможностей бизнес-анализа в рабочий процесс всех бизнес-подразделений вашей компании, открывая доступ к нужной бизнес-информации через знакомый интерфейс MS Excel и MS Word. SQL Server-2008 поддерживает создание и работу с корпоративным хранилищем данных, объединяющим информацию со всех систем и приложений, позволяющим получить единую комплексную картину бизнеса вашей компании. MS SQL Server-2005 предоставляет масштабируемый и высокопроизводительный «процессор данных» - для самых ответственных и требовательных бизнес-приложений, тем, кому необходим высочайший уровень надежности и защиты, позволяя при этом снизить совокупную стоимость владения за счет расширенных возможностей по управлению серверной инфраструктурой. SQL Server-2008 предлагает разработчикам развитую, удобную и функциональную среду программирования, включая средства работы с WEB-службами, инновационные технологии Oracle.

К настоящему времени разработано несколько версий систем, каждая из которых включает целую линейку продуктов, например Oracle 8, Oracle 9i, Oracle 10g.

Соответствующие линейки продуктов включают как собственно СУБД (например, OracleDatabase 10g, OracleDatabase 11g), так и средства разработки и анализа данных. Oracle предлагает комплексные, открытые, доступные и удобные в использовании технологические решения. Готовые пакетируемые решения автоматически включают в свою стоимость базу данных, сервер приложений, интеграционную платформу, инструменты аналитики и управления неструктурированными данными. Масштабируемые бизнес-приложения Oracle могут быть легко интегрированы с ИТ-инфраструктурой предприятия без потери уже вложенных в IT инвестиций.

СУБД OracleDatabase 11g обеспечивает улучшенные характеристики за счет автоматизации задач администрирования и обеспечения, лучших в отрасли возможностей по безопасности и соответствию нормативно-правовым актам в области защиты информации. Появилось больше функций автоматизации, самодиагностики и управления. Среди характеристик системы можно отметить управление большими объемами данных с использованием распределенных таблиц и компрессии, эффективную защиту данных, возможность полного восстановления, возможность интеграции геофизических данных медиа-контента в бизнес-процесс и т.д.

Учитывая достоинства, функциональные возможности в качестве средства обработки баз данных выбрана платформа MS SQL Server 2008.

Данная СУБД является промышленной и больше всех других средств удовлетворяет критерию надежности и эффективности функционирования в среде Windows.

Обязательная схема жестче, по сравнению с избирательными схемами секретности, и применяется к базам данных, структура которых редко меняется. Классическим примером могут служить базы данных военных или правительственных организаций. Так, согласно требованиям Министерства обороны США, все используемые в этом ведомстве системы (в том числе базы данных, и программные системы) должны поддерживать обязательное управление доступом.

Основная идея обязательной схемы состоит в том, что каждому объекту данных приписывается некоторый уровень допуска (например, «секретно», «совершенно секретно», и т.д.), а каждому пользователю назначается один уровень допуска, с теми же значениями, что и для объектов данных.

Тогда правила безопасности формулируются так:

. Пользователь имеет доступ к объекту (просмотр), если его уровень допуска больше или равен уровню допуска объекта.

. Пользователь может модифицировать объект, только если его уровень допуска равен уровню допуска объекта. Это правило предотвращает ситуации, в которых пользователь с высоким уровнем допуска не может записать данные в файлы/таблицы, имеющие более низкий уровень допуска.

Требования Минобороны США к обязательному управлению доступом изложены в двух документах, называемых “оранжевой книгой” и “розовой книгой”. В “оранжевой” книге перечислен набор требований к безопасности для “идеальной” вычислительной базы (TrustedComputingBase -TCB).В “розовой” книге эти требования уточняются для баз данных.

В “оранжевой” книге определяется четыре класса безопасности (securityclasses) - D, C, B, A. Класс D обеспечивает минимальную защиту, класс С - избирательную, В - обязательную, а класс А - проверенную защиту.

− Избирательная защита: класс С делится на два подкласса - С1 и С2 (более безопасный, чем С1). Согласно требованиям класса С1 необходимо разделение данных и пользователя, т.е. наряду с поддержкой концепции общего доступа к данным здесь возможна организация раздельного использования данных пользователями.

Для систем класса С2 необходимо дополнительно организовать учет на основе процедур входа в систему, аудита (отслеживания обращений к ресурсам) и изоляции ресурсов.

Обязательная защита: класс В делится на три подкласса В1, В2 и В3 (В3 наиболее безопасный). Для класса В1 необходимо обеспечить «отмеченную защиту» (т.е. каждый объект должен содержать отметку о его уровне безопасности), а также неформальное сообщение о действующей системе безопасности.

Для класса В2 необходимо дополнительно обеспечить формальное утверждение о действующей стратегии безопасности, а также обнаружить и исключить плохо защищенные каналы передачи информации.

Для класса В3 необходимо дополнительно обеспечить поддержку аудита и восстановления данных, а также назначение администратора режима безопасности.

Проверенная защита: класс А является наиболее безопасным. Согласно его требованиям, необходимо математическое доказательство того, что данный метод безопасности совместим и адекватен заданной стратегии безопасности.

СУБД, в которых поддерживаются методы обязательной защиты, называют системами с многоуровневой защитой или надежными системами.

Кроме требований по надежности и производительности, предлагаемое программное обеспечение должно удовлетворять следующим требованиям.

·   эффективности;

·   понятности пользователю;

·   защиты информации;

·   модифицируемости;

·   мобильности;

·   масштабируемости;

·   минимизации затрат на сопровождение и поддержку.

Анализ выдвинутых требований к программному обеспечению с учетом проектных решений о техническом и информационном обеспечении системы позволяет сделать вывод о том, что в качестве средств разработки должно использоваться достаточно современное средство разработки, которое позволяет проводить разработку эффективных приложений в среде Windows, с возможностью использования выбранной СУБД MS SQL Server.

Рынок программных средств в настоящее время многообразен, как в области готовых прикладных решений, так и в области средств разработки. Однако, поиск готовых программных решений в рассматриваемой предметной области желаемых результатов не дал. Поэтому для реализации функций программной системы необходима разработка нового программного продукта, который способен гибко реализовать необходимые действия автоматизированной системы.

Для обеспечения разработки возникает задача выбора оптимальных программных и информационных средств для реализации функций системы.

·   удобство использования;

скорость разработки приложений и работы программы

Исходя из приведенных требований, выделим следующие характеристики средств разработки программного обеспечения и оценим их важность для рассматриваемого проекта по пятибалльной шкале.

1. Наличие опыта разработки с использованием данного программного продукта. (Цель - максимизировать показатель, весовой коэффициент 5).

2. Требования к вычислительным ресурсам (Цель - минимизировать показатель, весовой коэффициент 5).

3. Предоставляемые возможности работы с базами данных. (Цель - максимизировать показатель, весовой коэффициент 5).

4. Предоставляемые возможности создания интерфейса. (Цель - максимизировать показатель, весовой коэффициент 5).

5. Скорость работы разработанного программного обеспечения. (Цель - максимизировать показатель, весовой коэффициент 5). Ограничим выбор программных средств удовлетворяющих этому требованию. Среди современных доступных средств разработки для операционной системы Windows можно выделить наиболее часто используемые:

·   BorlandDelphi;

·   Borland C++ Builder;

·   MicrosoftVisualBasic;

·   BorlandJbuilder.

Каждое из этих средств содержит весь спектр современных средств разработки. Главное отличие состоит в области использования рассматриваемых средств. Так Borland C++ Builder обычно используется при разработке приложений, выполняющих большое количество вычислений. Основными недостатками этого программного продукта являются высокие требования к системным ресурсам и медленная скорость компиляции исходного кода. Система разработки VisualBasic предъявляет наименьшие требования к системным ресурсам. Основное достоинство Delphi состоит в предоставлении разработчику большого количества визуальных компонентов для разработки интерфейса.Для сравнения этих программных продуктов воспользуемся методом вариантных обоснований. Этот метод предназначен для выбора наилучшего варианта из нескольких предложенных и состоит из следующих этапов:

·   определение критериев, по которым будет произведено сравнение и степени их важности;

·   каждый вариант оценивается по полученному перечню критериев. В результате получается значение - количественная оценка показателя;

·   нахождение общей суммы баллов для каждого из вариантов (можно учитывать важность критериев);

·   лучшим считается вариант, который набрал максимальное количество баллов.

В результате проведенного исследования получили, что лучшим инструментальным средством для разработки системы является BorlandDevelopmentStudio 2006. Для создания клиентской части ПП использовалось Delphi 2006.

Наряду с традиционными инструментами доступа к данным BorlandDatabaseEngine и ODBC в приложениях Delphi можно применять технологию MicrosoftActiveXDataObjects (ADO), которая основана на возможностях СОМ, а именно интерфейсов OLE DB.

При разработке современного прикладного программного обеспечения наряду с эффективностью на первый план выдвигаются и другие важные характеристики программ такие, как понятность, хорошая документированность, надежность, гибкость, удобство сопровождения и т.п.[9-11].

Проблема разработки программ, обладающих такими качествами, объясняется трудоемкостью процесса программирования и связанным с этим быстрым ростом стоимости программного обеспечения.

Для создания "хорошей" программы появляется необходимость придерживаться определенных принципов или определенной дисциплины программирования. Значительный прогресс в области программирования достигается с использованием, так называемого структурного программирования.

Однако представление о структурном программировании, как о программировании без использования оператора GOTO, является ошибочным.

Например, иногда структурное программирование определяется как "систематическое использование абстракции для управления массой деталей и способ документирования, который помогает проектировать программу".

Структурное программирование можно толковать как "проектирование, написание и тестирование программы в соответствии с заранее определенной дисциплиной".

Структурный подход к программированию как раз и имеет целью снижение трудоемкости всего процесса создания программного обеспечения от технического задания на разработку до завершения эксплуатации. Он означает необходимость единой дисциплины на всех стадиях разработки программы. В понятие структурного подхода к программированию обычно включают нисходящие методы разработки программ (принцип «сверху вниз»), собственно структурное программирование и так называемый сквозной структурный контроль.

Основной целью структурного программирования является уменьшение трудностей тестирования и доказательства правильности программы. Это особенно важно при разработке больших программных систем. Опыт применения методов структурного программирования при разработке ряда сложных операционных систем показывает, что правильность логической структуры системы поддается доказательству, а сама программа допускает достаточно полное тестирование. В результате в готовой программе встречаются только тривиальные ошибки кодирования, которые легко исправляются.

Структурное программирование улучшает ясность и читабельность программ. Программы, которые написаны с использованием традиционных методов, особенно те, которые перегружены операторами переходов, имеют хаотичную структуру.

Структурированные программы имеют последовательную организацию, поэтому возможно читать такую программу сверху донизу без перерыва. Наконец, структурное программирование призвано улучшить эффективность программ.

Итак, структурное программирование представляет собой некоторые принципы написания программ в соответствии со строгой дисциплиной и имеет целью облегчить процесс тестирования, повысить производительность труда программистов, улучшить ясность и читабельность программы, а также повысить ее эффективность.

В связи с вышеизложенным, считается целесообразным при выполнении дипломного проекта использование объектного ориентированного подхода связанного с выводом графических изображений форм, вызова стандартных классов, компонентов с одной стороны, а с другой использование стандартных классических методов обработки массивов и матриц, присущих структурным подходам. Выбор такого подхода основан на специфичности рассматриваемой задачи обеспечении требований по тестированию продукта, в условиях ограниченности временных ресурсов.

В качестве средства разработки было выбрано RAD- система BorlandDelphi 2006[1-5,13,14,15]. Выбор данного средства продиктован его распространенностью, не требовательностью к вычислительным затратам компьютерной системы с одной стороны, достаточной «мощностью» в выборе функций, удобстве построения интерфейсов пользователя с другой.

2 Проектная часть

 

.1 Разработка и описание проекта СУБД, информационной безопасности и защиты информации в СУБД

информационная безопасность защита персональный

Для анализа защиты информационной системы от внутренних угроз необходимо определить группы пользователей разрабатываемой системы и назначить им соответствующие права доступа к папкам и модулям системы, определить требования к паролям и частоте их смены, а также другие параметры использования ИС. Сформированные данные представлены в табл. 2.1.

Таблица 2.1

Разграничение прав пользователей

Группы пользова-телей	Модуль  запросы	Модуль справочники	Модуль	Модуль «Получение доступа»
Сотрудник службы безопасности	Чтение/создание	Чтение/создание	Чтение	Чтение
Начальник службы безопасности	Чтение/создание/удаление	Чтение/создание/ удаление	Полный	Полный
Системный администратор	Чтение/создание/удаление	Чтение/создание/ удаление	Полный	Полный

В процессе разработки политики безопасности сформирован правила информационной безопасности для противодействия угрозам сотрудника отдела продаж ОАО «Альфа Банк», которые представлены в табл. 2.2.

Таблица 2.2

Политика безопасности продаж ОАО «Альфа Банк»

Правила ИБ	Ответственные	Виды защитных мер
В организации должны проводиться проверки выполняемых действий персонала	Системный администратор	Организационные и технические
В организации следует оговаривать и периодически проверять обязанности пользователей по соблюдению мер безопасности	Системный администратор	Организационные
Обеспечение защиты СУБД и хранение информации	Персонал (операторы, администраторы)	Организационные и технические
Обеспечение защиты бизнес-процессов филиала фирмы	Персонал (операторы, администраторы)	Организационные и технические
Управление доступом	Персонал (операторы, администраторы)	Организационные и технические
Защита от вредоносного ПО	Администраторы ИБ и СУБД	Организационные и технические

В качестве предложений по организации и управлению службой информационной безопасности продаж ОАО «Альфа Банк» необходимо проведение следующих мероприятий

. Агент сетевой системы обнаружения атак (СОА) присутствует на каждом сегменте в сети организации. Для СОА сигнатурного типа базы данных сигнатур регулярно обновляются, имеется специалист по созданию собственных сигнатур. Для СОА с выявлением аномалий определены все необходимые профили, которые регулярно пересматриваются. Кроме этого производится периодический анализ сетевой активности средствами сетевого мониторинга (перехватчиками сетевых пакетов - снифферами).

2.       Агенты СОА-хоста установлены на каждом узле сети, база данных атак (или профили) регулярно обновляется. Кроме этого производится периодический выборочный анализ регистрационных журналов (которые настроены на фиксацию всех событий), в том числе лично уполномоченным персоналом. СОА интегрирована с межсетевым экраном и другими устройствами защиты.

.        Внешний удаленный доступ в информационную сеть предприятия (выход во внешнее информационное пространство) ограничен единственным центральным шлюзом плюс существует резервный канал связи, неактивный в штатном режиме. Оба канала защищены межсетевыми экранами, которые надежно функционируют, корректно настроены и регулярно подвергается проверке службой информационной безопасности. Все модемы и другие устройства удаленного доступа учтены и также сведены к указанной единой точке входа/выхода. Снаружи по отношению к точке входа установлен агент сетевой СОА.

4. Все данные, объекты и информационные системы классифицированы. Субъекты распределены по ролям. Определена надежная структура и внедрен механизм доступа субъектов к объектам с учетом наименьших привилегий и разделения обязанностей. Каждый новый объект своевременно классифицируется и устанавливается в общую схему информационного пространства.

5.       Все каналы обмена данными в информационной сети криптографически защищены, внутри локальной сети организованы виртуальные сети. Любой обмен данными регистрируется в электронных журналах и снабжен средством контроля целостности. Обеспечен контроль целостности данных, системных файлов и т. п. на серверах и рабочих станциях. Обмен данными между пользователями производится с использованием электронной цифровой подписи. Организовано надежное управление криптографическими ключами.

.        Вся работа службы информационной безопасности должна организована в строгом соответствии с законодательством государства.

.        Для всех информационных систем существуют политики, для функциональных обязанностей пользователей - правила, процедуры и методики. Изменения в работе организации и сотрудников адекватно отражаются в соответствующих документах.

.        Контроль за любой системой или объектом децентрализован. Служба информационной безопасности принимает участие в любом проекте организации (в том числе и в разработке программного обеспечения) с правом внесения серьезных изменений и запретов в рамках своих функций. Служба имеет полномочия к принятию и реализации решений, связанных с информационной безопасностью.

.        На каждый компьютер в сети установлен антивирусный пакет, кроме того антивирусы установлены на почтовый сервер, межсетевой экран и другие ключевые узлы. Режим работы антивируса - перехват на лету (autoprotect). Антивирусные базы обновляются ежедневно, а также при поступлении информации о новом вирусе.

.        Настроено подробное ведение регистрационных журналов по всем информационным системам. Ведется регулярная автоматизированная обработка этих журналов, а также периодический выборочный ручной их анализ на предмет выявления подозрительных или злоумышленных событий. Система анализа информационной активности интегрирована с системой физического доступа сотрудников в здание и к рабочим местам. Все регистрационные журналы сохраняются наряду с резервными копиями и архивами бизнес-данных.

.        Обеспечен контроль входящей и исходящей информации на внешних носителях. Установлены надежные защищенные (возможно, виртуальные) шлюзы обмена информацией с внешними информационными системами (обеспечены соответствующие интерфейсы, установлена связь с центром сертификатов, получен корневой сертификат организации и т. д.).

.        Обеспечено единое согласованное непротиворечивое управление всеми автоматизированными средствами информационной безопасности.

.        После изменения любой единицы данных обеспечивается ее резервное копирование либо организовано избыточное сохранение данных (RAID). Обеспечивается географически разнесенное защищенное сохранение архивов и резервных копий. Все сетевые устройства имеют возможность для быстрой замены (продублированы), все каналы передачи данных имеют альтернативные линии. Здание организации имеет горячий резерв (hot-site). Обеспечено бесперебойное электропитание (и контроль его работы) основного и резервного зданий. Ключевые работники организации могут выполнять функции друг друга либо имеют функциональных дублеров. Имеется регулярно обновляемый аварийный план.

.        Регулярно производится процедура тестирования всей сети или отдельных систем на взлом. В распоряжении службы информационной безопасности имеется команда программистов для создания собственных программ или утилит для анализа защищенности либо, наоборот, для защиты объектов и систем.

.        Способы аутентификации пользователей находятся под контролем службы информационной безопасности, т. е. производится периодический анализ отсутствия слабых паролей, фактов передачи паролей другим лицам, оставление «токенов» без надзора и т. п. Идентификация пользователей стандартизована, имеется четкая таблица соответствия пользователь - сетевые адреса, разрешенные для работы данного пользователя (username, IP-адрес, МАС-адрес и т. д.).

2.2 Информационное обеспечение задачи

.2.1 Информационная модель и её описание

Методика разработки информационной модели предполагает моделирование нового варианта организации информационной системы предметной, а именно:

–  полного состава информации, необходимой для решения комплекса задач данного автоматизированной системы;

–       отражение этой информации на всех типах носителей;

–       отражение процесса преобразования информации, начиная от получения первичной переменной и условно-постоянной информации, загрузки ее в файлы с и заканчивая получением файлов с результатной информацией и выдачей ее пользователю;

–       состава исходных первичных документов и распределение их по задачам;

–       источники и способы получения первичной информации;

–       состава файлов с первичной, условно-постоянной, промежуточной и результатной информацией;

–       информационную потребность для каждой задачи комплекса;

–       адресатов выдачи и получения результатной информации.

Разработаем информационную модель системы. Информационная модель представляет собой схему, отражающую преобразование информационных реквизитов от источников информации до её получателей или, иными словами, процесс обработки информации в информационной системе. Общий вид системы представлен на рис. 2.1.

Рис. 2.1 Информационная модель разрабатываемой системы

Анализ построенной информационной модели позволил выделить ряд областей, которые формализуют функционирование системы.

область - это область, ввода исходных данных, при помощи специальных форм.

Область 2 выделяет области основных таблиц базы данных.

Область 3 соответствует справочникам базы данных.

Область 4 характеризует результирующую информацию о системе.

2.2.2 Характеристика нормативно-справочной и входной оперативной информации

Основными документами при разработке автоматизированной системы защиты персональных данных ОАО «Альфа Банк» считались - запрос на получения определенного вида информации о пользователе и данные о новом клиенте банка. Для основных документов системы были разработаны «электронные» формы представления, разработаны формы для создания документов, просмотра документов, редактирования и обработки документов. Для эффективного хранения основных документов системы разработаны соответствующие таблицы базы данных[6].

Форма документа накладная на получения доступа к данным, создается на основе заказа - заявки на получения материла и содержит следующую информацию:

-   дата документа;

-       номер запроса;

-       необходимая информация о пользователе;

-       дата создания запроса;

-       цель получения информации;

-       номер разрешения;

-       фамилия сотрудника;

-       коды защиты.

Запрос - заказ на получение информационных материалов содержит следующую информацию:

номер запроса;

дату;

название информационного материала;

цель получения;

фамилия сотрудника.

Разработанная автоматизированная система позволяет автоматически создавать и сохранять в базе данных основные документы, которые в свою очередь являются отчетными документами, а также получать справочную информацию о всех запросах и разрешение на получение доступа информации.

Все перечисленные средства позволяют получить исчерпывающую информацию о состоянии информационных таблиц разработанной базы данных

2.2.3 Характеристика базы данных и средств информационной безопасности и защиты информации СУБД

Для реализации функций информационной модели системы учета данных обеспечивающих защиту конфиденциальной информации необходимо наличие нескольких взаимосвязанных таблиц, описание которых представлено в табл.2.6. Данные таблицы необходимо реализовать в среде MS SQL Server 2008, по ключевым полям, для этого необходимо разработать концептуальную схему информационной модели. Таблицы попарно связаны между собой через ключи связи, что существенно упрощает их обработку, так как автоматически обеспечивается контроль целостности данных.

Таблица 2.6

Содержание таблиц базы данных

№ п/п	Название таблицы	Назначение
1.	dostup	Таблица, содержащая данные о доступе к конфиденциальных данных клиента
2.	Zapros	Таблица, содержащая информацию о запросах на доступ к информации
3.	Infom	Таблица, содержащая информацию о содержании запроса на доступ к информации
4.	Sotrudnyk	Таблица, содержащая информацию о сотрудниках, создавших запрос
5.	Obshkod	Таблица, содержащая информацию об общих кодах защиты информации в организации.
6.	Client	Таблица, содержащая информацию о клиентах банка
7.	Kod	Таблица, содержащая информацию о кодах защиты клиента
8.	Razresh	Таблица, содержащая информацию о выданных разрешениях на доступ к информации.

Каждую из таблиц описанных выше введем индексное поле, с помощью которых решим задачи связи информационных таблиц. В результате, объединив необходимые ссылки, получим концептуальную схему информационной модели

Разработанная информационная модель позволит эффективно решать задачи информационного поиска и учета материальных средств на находящихся в обороте ОАО «Альфа Банк».

Для реализации функций информационной модели необходимо наличие нескольких взаимосвязанных таблиц, описание которых представлено в табл. 2.7-2.13 рис. 2.9-2.16.

Таблица 2.7

Назначение полей таблицы Dostup

№ п/п	Название поля	Тип	Назначение
1.	Id_Dostup	Целое	Индексное поле - первичный ключ таблицы Dostup.
2.	Id_zapros	Целое	Поле содержит ссылку на таблицу запросов на доступ к информации
3.	Id_client	Целое	Поле содержит ссылку на запись в таблице client.
4.	Id_obshkod	Целое	Поле содержит ссылку на запись в таблице obshkod.
5.	Id_razresh	Целое	Поле содержит ссылку на запись в таблице разрешений на доступ к информации

Рис. 2.9 Реализация таблицы Dostup средствами MS SQL 2008

Таблица 2.8

Назначение полей таблицы Zapros

№ п/п	Название поля	Тип	Назначение
1.	Id_zapros	Целое	Индексное поле - первичный ключ таблицы zapros.
2.	Id_sotrudnyk	Дата-время	Поле содержит ссылку на запись в таблице сотрудников
3.	Date_zapros	дата	Поле содержит информацию о дате и времени запроса
4.	Id_inform	Целое	Поле содержит ссылку на запись в таблице информации
5.	Id_client	Целое	Поле содержит ссылку на запись в таблице клиентов
6.	Parol	Символьное	Поле содержит пароль сотрудника на доступ к информации

Рис. 2.10 Реализация таблицы Zapros средствами MS SQL 2008

Таблица 2.9

Назначение полей таблицы Infom

№ п/п	Название поля	Тип	Назначение
1.	Id_inform	Целое	Индексное поле - первичный ключ таблицы inform.
2.	inform	Символьное	Поле содержит информацию необходимую сотруднику и указанную в запросе
3.	Target	Символьное	Поле содержит цель получения доступа
4.	Stepen	Символьное	Поле для степени конфиденциальности информации

Таблица 2.10

Назначение полей таблицы Sotrudnyk

№ п/п	Название поля	Тип	Назначение
1.	Id_sotrudnyk	Целое	Индексное поле - первичный ключ таблицы sotrudnyk.
2.	familiya	Символьное	Поле для хранения фамилии сотрудника
3.	imiya	Символьное	Поле для хранения имени сотрудника
4.	otchestvo	Символьное	Поле содержит отчество сотрудника
5.	parol	Целое	Поле содержит пароль сотрудника
6.	klass	Символьное	Поле содержит информацию о классе доступа сотрудника

Рис. 2.11 Реализация таблицы Infom средствами MS SQL 2008

Рис. 2.12 Реализация таблицы Sotrudnyk средствами MS SQL 2008

Таблица 2.11

Назначение полей таблицы Obshkod

№ п/п	Название поля	Тип	Назначение
1.	Id_obsh_kod	Целое	Индексное поле - первичный ключ таблицы obsh_kod.
2.	Kod1	целое	Код1
3.	Kod2	Целое	Код2
4.	Id_sotrudnyk	Целое	Поле содержит ссылку на запись в таблице сотрудников

Рис. 2.13 Реализация таблицы Obshkod средствами MS SQL 2008

Таблица 2.12

Назначение полей таблицы Client

№ п/п	Название поля	Тип	Назначение
1.	Id_ Client	Целое	Индексное поле - первичный ключ таблицы Client.
2.	Fam	Символьное	Фамилия клиента
3.	Name	Символьное	Имя клиента
4.	Otchestvo	Символьное	Отчество клиента
5.	God	Целое	Год рождения клиента
6.	Id_kod	Целое	Ссылка на запись в таблице кодов
7.	Sekretnoe_slovo	Символьное	Секретное слово клиента

Рис. 2.14 Реализация таблицы Client средствами MS SQL 2008

Таблица 2.10

Назначение полей таблицы Kod

№ п/п	Название поля	Тип	Назначение
1.	Id_kod	Целое
2.	Pin1	целое	Код1
3.	Pin2	Целое	Код2
4.	Puk	целое	Код3

Рис. 2.15 Реализация таблицы Kod средствами MS SQL 2008

Таблица 2.13

Назначение полей таблицы Razresh

№ п/п	Название поля	Тип	Назначение
1.	Id_razresh	Целое	Индексное поле - первичный ключ таблицы razresh.
2.	Id_zapros	Целое	Ссылка на таблицу запросов
3.	Date_dost	Дата	Дата доступа
4.	status	Символьное	Состояние запроса
5.	Status_dostupa	Символьное	Разрешение на доступ к информации

Рис. 2.16 - Реализация таблицы Razresh средствами MS SQL 2008

В результате препарирования - информационная модель была успешно реализована в среде MS SQL 2008. Концептуальная модель базы данных представлена на рис.2.17.

Рисунок 2.17 Концептуальная модель базы данных, созданная в среде Microsoft SQL Server 2008

 

.2.4 Характеристика результатной информации

В этом подразделе приведем результирующую информацию, которая формируется в результате функционирования системы. Для отображения результирующей информации - полных связанных сведений о разрешениях на доступ к конфиденциальной информации, внешний вид формы представлен на рис. 2.18.

Рис.2.18 - Внешний вид формы для просмотра сведений о доступе

Данная результирующая форма строится на основе использования всех таблиц базы данных и является одним из основных результатов разрабатываемой системы.

В качестве выходной информации системы могут рассматриваться результаты выполнения поисковых запросах о наличии разрешений доступа, клиентах и данных разрешения на доступ. Для обеспечения этого процесса разработаны две формы, которые динамически формируются в процессе выполнения программы. Первая из этих форм позволяет сформировать условие для поиска данных. Вторая - для отображения результатов поиска. Внешний вид первой формы представлен на рисунке 2.19.

Рис. 2.16 Внешний вид формы для настройки параметров поиска

Поиск может производиться по различным полям фамилии клиента, полям в таблице доступа, дате проведения операции и др., выбор варианта поиска осуществляется при выборе альтернативы поиск в главном меню приложения.

Результаты выполнения поисковых запросов по различным критериям представлены на рисунке 2.17

Рис. 2.17 Поиск клиента по фамилии по наименованию («Петренко»)

Таким образом, результирующая информация разрабатываемой автоматизированной системы позволяет полностью определить запросы и требования, предъявляемые к системе

2.3 Программное и технологическое обеспечение задачи

 

.3.1 Общие положения

Разработанный программный проект представляет собой многооконное приложение, причем одна форма является главной (родительской по отношению к другим) и на ней размещаются все другие формы, которые могут открываться по условию или по активизации различных элементов управления (пункты главного меню или кнопки панели инструментов). Для реализации основной функциональности будем использовать дочерние окна. Дочерние окна намного удобнее, но применение многодокументного интерфейса MDI (MultipleDocumentInterface), введет к ряду проблем, которые рассмотрим ниже.

Для обеспечения технологи MDI, необходимо у главной формы свойству FormStyle присвоить значение fsMDIForm, дочерним формам свойству FormStyle присвоим значение fsMDIChild.

На рисунке 2.18 представлен внешний вид разрабатываемого приложения с открытыми формами для добавления и редактирования записей.

Дерево объектов проекта главного модуля приложений представлена на рисунке 2.19.

Рис. 2.18 Внешний вид разрабатываемого приложения

Разрабатываемое приложение будет содержать 1 главную форму - MainClientsForm, а также несколько дочерних окон - addform, ChildTemplateForm, DBDirectoryTemplateForm, EditDBDirectoryForm, parampoik.

Рис. 2.19 Дерево объектов проекта главного модуля приложений

Сценарий диалога с программой приведен на рис.2.20.

Главная форма - MainClientsForm, предназначена для управления вычислительным процессом. Эта форма содержит следующие компоненты: MainMenu для запуска дочерних окон, а также компоненты ADOConnection, DataSorce, ADOTable, ADOQuery для обеспечения связи с базой данных, отображения данных, и выполнения SQL-запросов к базе данных.

Дочерняя форма addform, создается динамически при помощи метода Create и предназначена для добавления записей в базу данных и запускается при помощи выбора соответствующего пункта главного меню MainMenu главной формы приложения. Данная форма содержит следующие компоненты Edit, Label, DBNavigator, Button («OK», «Cancel»).. Компоненты Edit - для ввода информационных полей базы данных. Компоненты Label для идентификации компонентов Edit - для ввода соответствующих информационных полей.

Рис. 2.20 Сценарий диалога

Компонент DBNavigator связан с базой данных и позволяет перемещаться по записям базы данных, удалять и добавлять записи. Кнопки «OK» и «Cancel» используется в случае правильного ввода базы данных и отмены ввода записи соответственно

Дочерняя форма DBDirectoryTemplateForm, создается динамически при помощи метода Create - предназначена для организации справочников, т.е. эта форма предназначена для просмотра всех таблиц, с возможность контекстного поиска по любому символьному полю текущей таблицы. Эта форма содержит компоненты DBGrid, ToolBar с инструментами добавить запись, удалить запись, внести изменения (редактировать запись) Компонент DBgrid предназначен для отображения записей текущей таблицы.

Дочерняя форма ChildTemplateForm, создается динамически при помощи метода Create и предназначена для просмотра таблицы, содержащей результаты поиска, т.е. результаты выполнения динамического SQL-запроса. Эта форма содержит компоненты DBGrid, ToolBar с инструментами добавить запись, удалить запись, внести изменения (редактировать запись). Компонент DBgrid предназначен для отображения записей, найденных в результате поиска.

Дочерняя форма EditDBDirectoryForm предназначена для редактирования текущей записи активной таблицы, она создается динамически при помощи метода Create, также динамически для текущей таблицы создаются компоненты Edit, Label для каждого неиндексного поля текущей таблицы, с помощью которых идентифицируется, заносятся в только что созданные компоненты для редактирования текущей записи. Элементы управления «OK» и «Cancel» используется в случае правильного ввода базы данных и отмены ввода записи соответственно.

Дочерняя форма parampoik создается динамически при помощи метода Create, - предназначена для настройки и выполнения динамического SQL-запроса для поиска записи, удовлетворяющей сформированному критерию. Форма содержит 2 компонента GroupBox.

Первый компонент GroupBox, содержит компоненты Edit, которые предназначены для заполнения полей, необходимых для вывода в результате SQL-запроса..

Второй компонент GroupBox, предназначен для формирования ключа для поиска записей в базе данных, он содержит компонент label, компоненты Edit, элементы управления button «Поиск», «Отмена».

При выборе пункта меню, по которому будет производится поиск, активируется соответствующий этому полю компонент Edit (свойству Visible присваивается значение true). После ввода в компонент Edit символов, свойство Text будет содержать значение ключа, которое будет использоваться для формирования динамического SQL-запроса.

По умолчанию окна MDI создаются сразу при старте программы, и закрыть их нельзя. Чтобы решить проблему закрытия, необходимо убрать форму из числа автоматически создаваемых и в обработчики события OnClose окон добавить строку: Action:=caFree;

2.3.2 Схемы технологического процесса сбора, передачи, обработки и выдачи информации

В программном обеспечении автоматизированной системы можно выделить серверную и клиентскую часть. На серверную часть возлагаются функции хранения БД и архива, а так же поддержки целостности данных, обработка запросов, управление транзакциями. На клиентскую часть возлагается обеспечение интерфейса пользователя, посылка запросов серверу БД (серверной части системы), получение результатов и сообщений от сервера, управление бизнес-правилами, проверку корректности, допустимости и обработку данных согласно содержащихся в них алгоритмах.

В среде БД клиент-сервер, сервер должен обеспечить целостность данных. Сервер использует несколько механизмов поддержания целостности:

Для обеспечения целостности данных в БД были реализованы:

·   совместное удаление зависимых данных;

·   поддержка внешних ключей;

·   централизованное хранение данных на сервере;

·   восстановление данных в исключительных ситуациях из архива;

·   контроль входных данных.

Для обеспечения функциональности ПП осуществляется:

·   управление данными (вставка, редактирование, удаление данных);

·   выдача результатов на запросы пользователей;

·   формирование отчетов для просмотра и вывод на печать.

Структура разработанного проекта представлена на рисунках 2.28-2.31.

Задача эксплуатируется в среде Windows 98, Windows XP и выше.

Серверная часть программного обеспечения функционирует под управлением сетевой платформы Microsoft WINDOWS 2000 и выше. В качестве СУБД используется СУБД Microsoft SQL Server 2008.

Доступ к сетевым ресурсам осуществляется через соответствующие драйверы по протоколу TCP/IP. Для связи клиентского приложения с серверной частью задачи на каждой рабочей станции должны быть установлено BDE версии 5.0 - средства связи с базой данных SQL Server.

Разработанное приложение состоит из 5 модулей MainClients.pas, childTemplate.pas, DbdDirectoryTemplate.pas, AddSource.pas, ParamPoisk.pas.

Структура разработанного проекта представлена на рис. 2.21-2.24. Разработанное приложение состоит из 5 модулей MainClients.pas, childTemplate.pas, DbdDirectoryTemplate.pas, AddSource.pas, ParamPoisk.pas.

Назначение главного модуля приложения MainClients.pas. Выборка, обработка, поиск данных, редактирование, добавление, удаление данных. Данная разработка предназначена для автоматизации действий сотрудника службы безопасности ОАО «Альфа Банк».

Рис. 2.21 Структура разработанного программного проекта

Рис. 2.22 Структура разработанного проекта.

Рис. 2.23 Состав программного проекта

Модуль является главным и управляющим для остальных объектов проекта.

Для обеспечения связи с файлами базы данных размещенной на SQL сервере в разрабатываемом программном проекте в среде BorlandDevelopmentStudio 2006 используется хорошо зарекомендовавшая себя технология ADO (ActiveXDataObjects - объекты данных, построенные как объекты ActiveX), которая развивается и поддерживается корпорацией Microsoft.

Все компоненты должны связываться с базой данных. Делается это двумя способами либо через компонентTADOConnection, либо прямым указанием базы данных в остальных компонентах. К TADOConnection остальные компоненты привязываются с помощью свойства Connection, к базе данных напрямую через свойство ConnectionString.

База данных может быть указана двумя способами через файл соединения к данным (файл в формате MicrosoftDataLink, расширение UDL), либо прямым заданием параметров соединения.

Значение свойства всехConnectionString этих компонент могут быть введены напрямую в текстовой форме, но куда проще вызвать редактор свойства, нажав на кнопку “…” в конце поля ввода. Окно этого свойства представлено на рис.2.24-2.25:

Рис. 2.24 Настройка строки связи с базой данных

Рис. 2.25 Свойства связи с данными

При выборе “Usedatalinkfile” и нажатии на кнопку “Browse…” появляется стандартный диалог выбора файла. При выборе в редакторе свойства “Useconnectionstring” и нажатии на кнопку “Build…” появляется такой же propertysheet, как и при выборе “Open” для MicrosoftDataLink файла. В этом окне выбирается тип базы данных, местоположение базы и параметры соединения. На первой странице выбирается тип базы данных или Provider, в терминах ADO.

Рис. 2.26 Свойства связи с данными

В компоненте TADOConnection существуют свойства Provider, DefaultDatabase и Mode которые являются альтернативным методом задания частей строки параметров соединения - провайдера, базы данных (например, пути до базы MS SQL) и режима совместного использования файлов базы данных. Эти значение этих свойств автоматически включаются в строку соединения, если были заданы до активизации компонента и автоматически выставляются после соединения.

Структурно клиентская часть ПП представляет собой выполнимый.EXE файл. Кроме него для работы с БД не нужны никакие другие файлы.

При работе с БД, во избежание некорректного соединения с БД, ошибок ввода входных данных, использовались обработчики исключительных ситуаций. Которые при возникновении исключительной ситуации выводят диагностические сообщения и позволяют продолжить работу ПП дальше.

Для реализации базы данных в качестве основного инструмента был выбран сервер MS SQL 2008 DEVELOPER Edition. Данный выбор позволяет эффективно решать задачи организации таблиц базы данных, а также задачи разграниченного быстрого доступа, хранения, редактирования таблиц. Данное средство является стандартным средством, на котором реализовано большое количество промышленных баз данных, внедрена OLAP технология доступа к данным.

Фирма MicroSoft поддерживает данный продукт в смысле выпуска обновлений и гарантий эффективной работы в среде Windows. Одним из основных достоинств продукта проектирования новых баз данных могут использоваться другие совместимые продукты MicroSoft, MicroSoftVisio, MicrosoftAcess, т.е. продукты, спроектированные в этих системах, могут адаптированы в MS SQL 2008.

2.4 Контрольный пример реализации проекта и его описание

Рассмотрим контрольный пример функционирования системы. Начальная форма настройки связей с базой данных представлена на рис. 2.26.

1.  В случае правильной связи с базой данных на экране появится главная форма приложения (рис.2.18).

2.       Для дальнейшей работы приложения необходимо выбрать пункт главного меню. В результате выполнения выбора альтернативы «просмотр БД», происходит создание двух дочерних форм DBDirectoryTemplateForm и AddSource. Форма DBDirectoryTemplateForm расположена на рис.2.27 в верхней части позволяет отобразить записи таблицы, перемешаться, редактировать, обновлять которые позволяет компонент DBNavigator, расположенный на форме AddSource. Динамически создаваемая форма AddSource предназначена для отображения записей, находящейся в различных таблицах базы данных firm2 и связанных с записями расположенными в таблице «доступ».

Например, выбираем пункт просмотр таблицы комплектующих документов рисунок 2.28. Результат просмотра базы данных представлен на рисунке 2.29

Рис. 2.27 Пункт главного меню «просмотр»

Рис. 2.28 Выбор просмотра данных о комплектующих

Рис. 2.29 Результат просмотра данных

. На следующем шаге просмотрим всю базу данных для этого выберем альтернативу просмотр базы данных в меню «просмотр» рисунок 2.30

Рис. 2.30 Просмотр всей базы данных

. После этого приведем в исполнение элемент управления - кнопку «создать» - получаем Подтверждающую надпись).

Для выполнения поиска не обходимо выбрать пункт меню «ПОИСК», как показано на рис.2.31.

Рис.2.31 Выбор пункта меню поиск для активации поиска

Элементы управления button («Выполнить поиск») на динамически создаваемых формах позволяют активировать программную процедуру учитывающую вид информационного поиска, соответствующие динамически создаваемые ключи и выполняют соответствующие вычислительные процедуры и операции по изменению, удалению, добавлению необходимых записей в базе данных.

Рис. 2.32 Дочерняя форма ParamPoisk, динамически создаваемая для организации запроса на поиск комплектующих по их наименованию

Рис. 2.33 Дочерняя форма ParamPoisk с введенным запросом

Для отображения результатов информационного поиска, согласно выбранным настройкам, динамически создается форма ChildTemplateForm. Результат выполненного поиска по запросу рис.2.33 представлен на рис.2.34.

Рис.2.34 Результат выполненного поиска

В результате активации элемента управления button («получение доступа»), осуществляется запуск сложной программной процедуры, осуществляющей неоднократный сложный динамический информационный поиск в базе данных, изменения записей базы данных с целью осуществления проверки возможности осуществления доступа.

Таким образом, считаем, что работоспособность программы полностью продемонстрирована.

Часть 3. Обоснование экономической эффективности проекта

Годовой экономический эффект от разработки и внедрения ЭИС служит для сравнения различных направлений капитальных вложений и рассчитывается по формуле (3.1)[7]:

 (3.1)

где Э - годовой экономический эффект;

П - годовая экономия(годовой прирост прибыли), руб.;

К - единовременные капитальные затраты, руб.;

Е_н - нормативный коэффициент эффективности капитальных вложений.

Значение Е_н принимается равным 0.15. Е_н представляет собой минимальную норму эффективности капитальных вложений, ниже которой они нецелесообразны.

Расчетный коэффициент эффективности капитальных вложений определяется по формуле (3.2):

 (3.2)

Полученное значение сравнивается со значением Е_н. Если Е_р ≥ Е_н, то капитальные затраты можно считать целесообразными, в противном случае они экономически необоснованны.

Срок окупаемости Т представляет собой период времени (в годах), в течение которого капитальные затраты на разработку ЭИС полностью окупятся, и рассчитывается по формуле (3.3):

 (3.3)

Расчет указанных обобщающих показателей требует вычисления частных показателей:

годовая экономия (годовой прирост прибыли);

единовременные затраты на разработку и внедрение системы;

среднегодовая трудоемкость функционирования и др.

Годовая экономия П рассчитывается по формуле (3.4):

 (3.4)

где П¹ - годовая стоимостная оценка результатов применения ЭИС, рассчитанная без учета затрат на обработку информации, руб.;

Зп - приведенные к одному году затраты на обработку информации при предполагаемом варианте организации системы.

Показатель П¹ может быть оценен с применением нескольких альтернативных подходов. В данном случае автоматизируются ранее решавшиеся задачи при условии получения примерно одинаковых конечных результатов, поэтому значение П¹ может быть взято равным затратам существующей системы обработки данных. Тогда формула (3.4) примет вид (3.5):

 (3.5)

где Зб - приведенные к одному году затраты на обработку информации при существующем варианте организации системы обработки данных (СОД).

Среднегодовые затраты на обработку информации Зп определяются по формуле (3.6):

 (3.6)

где Р - стоимость приобретения и освоения используемых средств автоматизации проектирования, руб.;

С - единовременные затраты на создание системы, не учитываемые в себестоимости машино-часа, руб.;

Тэкс - предполагаемый срок эксплуатации системы, лет;

Ф - среднегодовые затраты на функционирование системы, руб.;

А - единовременные затраты на модернизацию системы, руб.;

Тмод - среднее время между смежными периодами модернизации, лет; - среднегодовая сумма потерь вследствие ненадежности системы, руб.

Существует несколько методик оценки экономической эффективности. Так, разработаны алгоритмы расчета эффективности для ранее решавшихся и принципиально новых задач, есть методика, оценивающая эффективность путем вычисления прироста прибыли за счет увеличения объема производства, и другие.

Экономическая эффективность проекта (Э) складывается из двух составляющих:

Косвенного эффекта, который, например, характеризуется увеличением прибыли, привлечением большего числа клиентов, снижением уровня брака в производстве, уменьшение количества рекламаций, получаемых от клиентов, снижение затрат на сырье и материалы, уменьшение сумм штрафов, неустоек и т. д.

Прямого эффекта, который характеризуется снижением трудовых, стоимостных показателей.

К трудовым показателям относятся следующие:

) абсолютное снижение трудовых затрат (DТ) в часах за год:

DТ = Т₀ - Т_1,  (3.7)

где Т₀ - трудовые затраты в часах за год на обработку информации по базовому варианту;

Т₁ - трудовые затраты в часах за год на обработку информации по предлагаемому варианту;

) коэффициент относительного снижения трудовых затрат (К_Т):

К_Т =DТ / T₀ * 100%;  (3.8)

) индекс снижения трудовых затрат или повышение производительности труда (Y_T):

_T = T₀ / T_1.(3.9)

К стоимостным показателям относятся: абсолютное снижение стоимостных затрат (DC) в рублях за год, коэффициент относительного снижения стоимостных затрат (К_C) индекс снижения стоимостных затрат (Y_C), рассчитываемые аналогично.

Помимо рассмотренных показателей целесообразно также рассчитать срок окупаемости затрат на внедрение проекта машинной обработки информации (Т_ок), рассчитываемые в годах, долях года или в месяцах года:

Т_ок = К_П /DC,_.(3.10)

где К_П - затраты на создание проекта (проектирование и внедрение).

Этап составления первичных документов и/или ввода исходных данных будет занимать примерно одинаковое количество времени при различных вариантах организации труда.

Накладные расходы рассчитываются в размере 65% от заработной платы оператора. Часовая амортизация ЭВМ (Ам) рассчитывается по формуле (3.11). Сумма месячной амортизации составляет 200 руб. В среднем в месяце 21 рабочий день. В день ЭВМ работает в течение 10 часов.

. (3.11)

 

Состав серверного решения представлен в таблице 3.1, стоимость серверного решения составляет 57 630 руб.

 

Таблица3.1

Состав серверного решения

Узел	Характеристика	Количество
Процессор BX80574E5405A	IntelXeon E5405 (4-ядерный, тактовая частота 2 ГГц, 12 МБ кэш-памяти второго уровня, частота системной шины 1333МГц, активная система охлаждения)	2
Системная плата S5000VSASATAR	Intel S5000VSASATAR (до 16ГБ оперативной памяти, до 6 разъемов SATA).	1
Корпус SC5299DP	Intel SC5299DP (напольное исполнение с возможностью монтажа в стойку высотой 6U, поддержка системных плат расширенного форм-фактора ATX, 2 порта USB 2.0, источник питания мощностью 550 Вт)	1
Жесткий диск	WD 500 ГБ WD5002ABYS SATA II 16Mb	2
Оперативная память	1ГБ DDR-2 PC2-5300 FB	4
Привод	DVD RW	1

Рабочая станция - рабочее место менеджера, конфигурация приводится в таблице 3.2. Стоимость решения составляет 12958,31.

Таблица 3.2

Состав рабочей станции

Узел	Характеристика	цена
Процессор	Процессор AMD Athlon 64 X2 3800+ (2.00ГГц, 2x512КБ, HT1000МГц, 65Вт) SocketAM2	1378,13
Вентилятор	Вентилятор для Socket754/939/940 TITAN TTC-NK32TZ	423,68
Плата	Мат. плата SocketAM2 ASUS "M2N-X" (nForce 520, 2xDDR2, U133, SATA II-RAID, PCI-E, SB, LAN, USB2.0, ATX)	1718,06
Память	Модуль памяти 2x1ГБ DDR2 SDRAM Corsair XMS2 TWIN2X2048-6400C4DHX G (PC6400, 800МГц, CL4)	2033,06
HDD	Жесткий диск (HDD) 250ГБ SamsungSpinPoint S250 HD250HJ 7200об./мин., 8МБ (SATA II)	1617,79
Видео	Видеокарта PCI-E 256МБPalit GeForce 8600 GT Sonic (GeForce 8600 GT, DDR3, D-Sub, DVI, HDMI)	2974,65
CD/DVD	Привод DVD-RW 18xW/8xRW/16xR/48xW/32xRW/48xR LG GSA-H62N, черный (SATA)	751,54
Корпус	КорпусMiditower IN-WIN "IW-S508U" ATX 2.03, черно-серебр. (450Вт, ATX12V V2.0)	1915,20
Вентилятор	Вентилятор для корпуса ScytheKaze-Jyu SY1025SL12L d100/d90мм (питание от мат.платы и БП)	146,21

Заключение.

В дипломном проекте была спроектирована и разработана Автоматизация защиты персональных данных на примере ОАО «Альфа Банк». Динамический процесс проектирования системы происходил в несколько стадий.

На этапе обследования была рассмотрена общая характеристика объекта автоматизации, его организационная структура и организация работы. На основе анализа сформированы и обоснованы требования к работе системы и к ее отдельным компонентам: программному, информационному, техническому.

На стадии проектирования разработана общая структура информационной системы в целом, а также по каждой отдельной ее задаче. Определены основные проектные решения, что стало основанием для разработки, отладки программной части и для конструирования эксплуатационной документации.

Создание и внедрение автоматизированной системы учета Автоматизация защиты персональных данных на примере ОАО «Альфа Банк» позволит повысить производительность труда менеджера, увеличит объем обрабатываемой информации на 20%, увеличит прибыль банка на 20%, сократить время работы сотрудников с документами, и поиск документов в среднем на 30-35% за счет автоматического анализа информации, имеющейся в базе данных.

Использование информационной системы позволит более глубоко и в полном объеме собирать и анализировать необходимую информацию о запросах, клиентах, кодах доступа.

Отмечено так же повышение эффективности учета конфиденциальной информации. Одним из самых главных качественных результатов является то, что у сотрудника, несущего наибольшую ответственность за правильность учета и доступа, имеется полное представление о запросах, клиентах, кодах доступа, поскольку он сам оперативно организует и контролирует учет. При этом в практику работы персонала входят новые информационные технологии, такие как совместный авторизованный доступ к справочной информации о наличии необходимых ресурсов на складе, автоматизация рутинных операций, доступ к информационно-справочным ресурсам, автоматическое заполнение документов, исключение недостатков бумажных носителей, контроль качества, стандартизация учета.

Для быстрой и полной адаптации пользователя к системе был разработан удобный дружественный интерфейс пользователя и подробное описание работы с системой в руководстве пользователя.

Для обеспечения надежной защиты информации предусмотрена парольная система разграничения доступа к данным и функциям, авторизация вводимой и корректируемой информации, посредством подстановки и анализа данных.

Считаю, что созданная в дипломном проекте автоматизации защиты персональных данных открытого акционерного общества ОАО «Альфа Банк», полностью соответствует информационным требованиям предприятия и сможет поддерживать это соответствие в течение всего жизненного цикла системы.

Список литературы

1.     Архангельский А.Я. 100 компонентов общего назначения библиотеки Delphi 5. - М.: Бином, 1999. - 266 с.

.       Архангельский А.Я. Delphi 6. Справочное пособие. - М.: Бином, 2001. - 1024 с.

3.       Архангельский А.Я. Программирование в Delphi 6. - М.: Бином, 2001. - 564 с.

4.     Архангельский А.Я. Язык SQL в Delphi 5. - М.: Бином, 2000. - 205 с.

.       Базы данных: модели, разработка, реализация / Карпова Т.- СПб.: Питер, 2001. -304с.

6.       Буч Г. Объектно-ориентированное проектирование с примерами применения. М., 1992. - 654с.

7.     Волков В. Ф. Экономика предприятия. - М.: Вита-Пресс, 1998. - 380с.

8.       Галатенко В. Информационная безопасность // Открытые системы- 1996. - N 1-4.

.        Глушаков С.В., Ломотько Д.В. Базы данных.- Х.: Фолио, 2002. - 504 с.

10.   Гофман В.Э. Хомоненко А.Д. Delphi 5. - СПб.: - Санки-Петербург, 2000. -800с.

11.     Гофман В.Э. Хомоненко А.Д. Delphi 6. - СПб.: - Санки-Петербург, 2001. -1145с.

.        Конноли Томас, Бегг Каролин. Базы данных. Проектирование, реализация и сопровождение. Теория и практика. - М.: Вильямс, 2000. - 1111 с.

.        Культин Н.Б. Delphi 6: Программирование на Object Pascal. - М.: Бином, 2001. - 526 с.

.        Культин Н.Б. Delphi 7: Программирование на Object Pascal. - М.: Бином, 2003. - 535 с.

.        Маклаков С.В. BPwin и ERwin. CASE-средства разработки информационных систем. - М.: Диалог-Мифи, 2001. - 304 с.

.        Фатрелл Р., Шафер Д. Шафер Л. Управление программными проектами: достижение оптимального качества при минимуме затрат. М.: «Вильямс», 2003. - 1128с.