Методы средства защиты бухгалтерской информации. Отдельные вопросы защиты бухгалтерских данных в информационных систем учета. Стабильная работа ПК

Оставьте комментарий 6,950

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Все эти мероприятия, в той или иной степени, включают использование различных программных средств защиты. К их числу необходимо отнести программу-архиватор WinRar, программы резервирования важных компонентов файловой системы, просмотра содержимого файлов и загрузочных секторов, подсчета контрольных сумм и собственно программ защиты. Резервирование данных ИС должно проводиться с использованием встроенных средств программы 1С Бухгалтерия 7.7.

5.3 Технический уровень ИБ

Инженерно-техническое обеспечение безопасности информации путем осуществления необходимых технических мероприятий должно исключать:

· неправомочный доступ к аппаратуре обработки информации путем контроля доступа в помещении бухгалтерии;

· неправомочный вынос носителей информации персоналом, занимающимся обработкой данных, посредством выходного контроля;

· несанкционированное введение данных в память, изменение или стирание информации, хранящейся в памяти;

· неправомочное пользование системами обработки информации и незаконное получение в результате этого данных;

· доступ в системы обработки информации посредством самодельных устройств и незаконное получение данных;

· возможность неправомочной передачи данных через компьютерную сеть;

· бесконтрольный ввод данных в систему;

· неправомочное считывание, изменение или стирание данных в процессе их передачи или транспортировки носителей информации.

Инженерно-техническая защита использует следующие средства:

· физические средства;

· аппаратные средства;

· программные средства;

Методы защиты информации от большинства угроз базируются на инженерных и технических мероприятиях. Инженерно-техническая защита - это совокупность специальных органов, технических средств и мероприятий, функционирующих совместно для выполнения определенной задачи по защите информации.

Для построения системы физической безопасности необходимы следующие средства

· аппаратура тревожной сигнализации, обеспечивающая обнаружение попыток проникновения и несанкционированных действий, а также оценку их опасности;

· системы связи, обеспечивающие сбор, объединение и передачу тревожной информации и других данных (для этой цели подойдет организация офисной АТС);

· персонал охраны, выполняющий ежедневные программы безопасности, управление системой и ее использование в нештатных ситуациях.

К инженерным мероприятиям, необходимым для проведения в бухгалтерии торговой компании, относятся:

· защита акустического канала;

· экранирование помещения бухгалтерии.

К аппаратным средствам относятся приборы, устройства, приспособления и другие технические решения, используемые в интересах обеспечения безопасности.

В бухгалтерии необходимо:

· в терминалах пользователей размещать устройства, предназначенные для предупреждения несанкционированного включения терминала в работу (блокираторы);

· обеспечить идентификацию терминала (схемы генерирования идентифицирующего кода);

· обеспечить идентификацию пользователя (магнитные индивидуальные карточки).

Программные средства - это специальные программы, программные комплексы и системы защиты информации в информационных системах различного назначения и средствах обработки данных.

К задачам программных средств защиты относятся:

· идентификация и аутентификация;

· управление доступом;

· обеспечение целостности и сохранности данных;

· контроль субъектов взаимодействия;

· регистрация и наблюдение.

6. Создание системы информационной безопасности

6.1 Разработка структуры системы

В соответствии с выделенными требованиями система информационной безопасности бухгалтерии торговой компании «Вес-трэйд» должна включать в себя следующие подсистемы:

· подсистему идентификации и аутентификации пользователей;

· подсистему защиты от вредоносного программного обеспечения;

· подсистему резервного копирования и архивирования;

· подсистема защиты информации в ЛВС;

· подсистема обеспечения целостности данных;

· подсистема регистрации и учета;

· подсистема обнаружения сетевых атак.

6.2 Подсистема идентификации и аутентификации пользователей

Предотвратить ущерб, связанный с утратой хранящейся в компьютерах данных бухгалтерского учета, - одна из важнейших задач для бухгалтерии компании. Известно, что персонал предприятия нередко оказывается главным виновником этих потерь. Каждый сотрудник должен иметь доступ только к своему рабочему компьютеру во избежание случайной или преднамеренной модификации, изменения, порчи или уничтожения данных.

Основным способом защиты информации считается внедрение так называемых средств ААА, или 3А (authentication, authorization, administration - аутентификация, авторизация, администрирование). Среди средств ААА значимое место занимают аппаратно-программные системы идентификации и аутентификации (СИА) к компьютерам.

При использовании СИА сотрудник получает доступ к компьютеру или в корпоративную сеть только после успешного прохождения процедуры идентификации и аутентификации. Идентификация заключается в распознавании пользователя по присущему или присвоенному ему идентификационному признаку. Проверка принадлежности пользователю предъявленного им идентификационного признака осуществляется в процессе аутентификации.

В бухгалтерии торговой компании планируется использование систему иде н тификации и аутентификации РУТОКЕН .

РУТОКЕН RF - это usb-токен со встроенной радиочастотной меткой (RFID-меткой). Он предназначен для доступа пользователей к информационным ресурсам компьютера и для физического доступа в здания и п омещения.

РУТОКЕН RF объединяет возможности, предоставляемые usb-токенами, смарт-картами и бесконтактными электронными пропусками:

· строгая двухфакторная аутентификация при доступе к компьютеру и к защищенным информационным ресурсам;

· безопасное хранение криптографических ключей и цифровых сертификатов;

· применение в системах контроля и управления доступом, в системах учета рабочего времени и аудита перемещений сотрудников;

· использование в виде пропуска для электронных проходных.

Электронный идентификатор РУТОКЕН это небольшое устройство, подключаемое к USB-порту компьютера. РУТОКЕН является аналогом смарт-карты, но для работы с ним не требуется дополнительное оборудование (считыватель).

РУТОКЕН предназначен для аутентификации пользователей при доступе к информации и различным системам, безопасного хранения паролей, ключей шифрования, цифровых сертификатов. РУТОКЕН способен решать проблемы авторизации и разделения доступа в сетях, контролировать доступ к защищённым информационным ресурсам, обеспечивать необходимый уровень безопасности при работе с электронной почтой, хранить пароли и ключи шифрования.

В РУТОКЕН реализована файловая система организации и хранения данных по ISO 7816. Токен поддерживает стандарты PS/CS и PKCS#11. Это позволит быстро встроить поддержку РУТОКЕН, как в новые, так и в уже существующие приложения.

РУТОКЕН используется для решения следующих задач:

Аутентификация

· Замена парольной защиты при доступе к БД, VPN-сетям и security-ориентированным приложениям на программно-аппаратную аутентификацию.

· Шифрование соединений при доступе к почтовым серверам, серверам баз данных, Web-серверам, файл-серверам, аутентификация при удалённом администрировании.

Защита данных

· Защита электронной почты (ЭЦП, шифрование).

РУТОКЕН может выступать как единое идентификационное устройство для доступа пользователя к разным элементам корпоративной системы и обеспечивать, необходимое разграничение доступа, автоматическую цифровую подпись создаваемых документов, аутентификация при доступе к компьютерам и приложениям системы.

Технические характеристики:

· б азируется на защищенном микроконтроллере;

· интерфейс USB (USB 1.1 / USB 2.0);

· EEPROM память 8, 16, 32, 64 и 128 Кбайт;

· 2-факторная аутентификация (по факту наличия РУТОКЕН и по факту предъявления PIN-кода);

· 32-битовый уникальный серийный номер;

· поддержка стандартов:

o ISO/IEC 7816;

o PC/SC;

o ГОСТ 28147-89;

o Microsoft Crypto API и Microsoft Smartcard API;

o PKCS#11 (v. 2.10+).

Бесконтактный пропуск для выхода из помещения и средство доступа в компьютерную сеть объединены в одном брелке. Для выхода из помещения необходимо предъявить РУТОКЕН RF, а при отключении идентификатора от USB-порта компьютера пользовательская сессия автоматически блокируется.

В РУТОКЕН RF используются пассивные радиочастотные метки стандартов EM-Marine, Indala, HID (рабочая частота 125 кГц). Это самые распространенные метки в России на сегодняшний день, считыватели, совместимые с ними, установлены в большинстве существующих систем контроля и управления доступом.

6.3 Подсистема защиты от вредоносного программного обеспеч е ния

Согласно многочисленным исследованиям на сегодняшний день самой распространенной и наносящей самые большие убытки информационной угрозой являются вирусы, «троянские кони», утилиты-шпионы и прочее вредоносное программное обеспечение. Для защиты от него используются антивирусы. Причем этим средством обеспечения безопасности должен быть оборудован каждый компьютер вне зависимости от того, подключен он к Интернету или нет.

Для защиты информации в бухгалтерии торговой компании «Вес-трэйд» от вредоносного программного обеспечения будет использоваться Антивирус Касперского 7.0.

Антивирус Касперского 7.0 - это классическая защита компьютера от вирусов, троянских и шпионских программ, а также от любого другого вредоносного ПО. Эта программа представляет собой систему комплексной защиты от всех видов злонамеренного программного обеспечения. Он работает постоянно, проверяя все файлы, к которым обращается операционная система, в режиме реального времени. Комплексность защиты обеспечивается четырьмя модулями, входящими в состав рассматриваемого продукта:

· файловый антивирус (проверяет все открываемые, запускаемый и сохраняемые файлы);

· почтовый антивирус (контролирует все входящие и исходящие письма);

· веб-антивирус (защищает от вредоносных скриптов на веб-страницах);

· проактивная защита (обеспечивает обнаружение еще неизвестных вирусов).

Комплексная антивирусная защита включает:1) проверка по базам сигнатур;2) эвристический анализатор; 3) поведенческий блокиратор.

Функции программы Антивирус Касперского 7.0

1. Комплексная защита от вирусов

Защита электронной почты. Программа осуществляет антивирусную проверку почтового трафика на уровне протокола передачи данных (POP3, IMAP и NNTP для входящих сообщений и SMTP для исходящих) независимо от используемой почтовой программы. Для популярных почтовых программ - Microsoft Outlook, Microsoft Outlook Express и The Bat! - предусмотрены плагины и лечение вирусов в почтовых базах.

Проверка интернет-трафика. Программа обеспечивает антивирусную проверку интернет-трафика, поступающего по HTTP-протоколу, в режиме реального времени и независимо от используемого браузера. Это позволяет предотвратить заражение еще до сохранения файлов на жестком диске компьютера.

Сканирование файловой системы. Проверке могут быть подвергнуты любые отдельные файлы, каталоги и диски. Кроме того, можно запустить проверку только критических областей операционной системы и объектов, загружаемых при старте Windows. Это позволит сэкономить время и в первую очередь уделить внимание областям и объектам, которые обычно больше всего подвержены заражению.

2. Защита данных

Предотвращение утечек информации. Программа защищает компьютер от троянских программ и всех типов клавиатурных шпионов. Отмена вредоносных изменений в системе. Антивирус Касперского 7.0 фиксирует все подозрительные действия в системе и после признания некоторого процесса опасным может не только удалить вредоносную программу, но и отменить все результаты ее деятельности - например, восстановить зашифрованные злоумышленниками данные.

3. Стабильная работа ПК

Самозащита. Современные вредоносные программы пытаются заблокировать работу антивируса или даже удалить его с компьютера. Специальный механизм самозащиты Антивируса Касперского 7.0 пресекает подобные попытки, обеспечивая стабильную защиту ПК.

Диск аварийного восстановления системы. Однажды создав аварийный диск с помощью специального инструмента, пользователь сможет самостоятельно восстановить работоспособность компьютера после серьезной вирусной атаки.

Преимущества программы

1. Установка Антивируса Касперского 7.0 занимает считанные минуты. Заданные по умолчанию параметры работы программы являются, однако предусмотрены широкие возможности настройки.

2. Минимальное влияние на работу компьютера. Сканирование только новых и измененных файлов при повторных проверках, приостановка сканирования при увеличении пользовательской активности, а также оптимальные настройки антивирусного монитора минимизируют влияние антивируса на обычную работу пользователя.

3. Автоматическое обновление. Программа регулярно проверяет через Интернет наличие пакета обновлений на серверах «Лаборатории Касперского». Частота проверки может увеличиваться во время вирусных эпидемий. При обнаружении свежих обновлений программа скачивает и устанавливает их на компьютер.

6.4 Подсистема резервного копирования и архивирования

Один из эффективных методов борьбы с последствиями информационно-компьютерных катаклизм, модификации и потери информации - правильная организация резервного копирования данных на предприятии.

В бухгалтерии необходима установка аппаратных средств резервного копирования (RAID-массивов), и установка и настройка работы программ резервного копирования.

Оптимальным решением для централизованного резервного копирования данных на рабочих станциях в корпоративной сети является Acronis True Image 9.1 Workstation -- комплексный продукт для резервного копирования информации на рабочих станциях, входящих в состав локальной компьютерной сети предприятия. Эта программа позволяет создавать резервные копии:

1) жестких дисков и их разделов, со всеми хранящимися на них данными, операционными системами и приложениями;

2) наиболее важных для пользователя файлов и папок.

Поддержка как 64-разрядных, так и 32-разрядных версий ОС Windows обеспечивает эффективную защиту данных на компьютерах разных поколений. В случае фатальной ошибки программного или аппаратного обеспечения Acronis TrueImage 9.1 Workstation позволит выполнить полное восстановление системы или восстановление отдельных файлов и папок. Система может быть восстановлена как на прежний компьютер, так и на новый компьютер с другими аппаратными средствами или на виртуальную машину.

С консоли управления Acronis, входящей в состав Acronis TrueImage 9.1 Workstation, производится удаленное администрирование всех компьютеров в сети: установка агентов (приложений, необходимых для резервного копирования каждого компьютера), создание резервных копий и восстановление данных. Централизованное управление облегчает работу администратора и снижает общие затраты на обслуживание корпоративной сети.

Благодаря фирменной технологии Acronis Drive Snapshot Acronis TrueImage 9.1 Workstation производит резервное копирование данных без выключения и перезагрузки рабочих станций, что позволяет избежать перерывов в работе персонала.

Возможности программы:

· Acronis Universal Restore (опционально) -- аппаратно-независимое восстановление системы из образа;

· Acronis Snap Restore™ (патентованная технология) -- возможность начать работу на компьютере немедленно, не дожидаясь завершения восстановления всех данных и системы;

· поддержка Windows XP Professional x64 Edition.

· загрузочный агент Acronis True Image -- возможность удаленного восстановления системы и данных на рабочих станциях;

· дифференциальное резервное копирование -- позволяет создавать только два архивных файла -- начальный полный архив и дифференциальный, хранящий только измененные по отношению к начальному архиву;

· резервное копирование файлов -- возможность создавать резервные копии данных по выбору пользователя;

· фильтрация копируемых файлов и папок -- возможность экономить место на резервных носителях и скорость копирования/восстановления данных за счет исключения из архивов файлов определенных типов;

· поддержка Журнала событий Windows и SNMP (Simple Network Management Protocol) -- позволяет интегрировать Acronis TrueImage 9.1 Workstation в стандартные системы сетевого мониторинга;

· поддержка работы с пользовательскими сценариями, запускаемыми до и после процесса резервного копирования;

· настройка скорости резервного копирования при записи на диск и на сетевые ресурсы -- позволяет гибко настроить параметры производительности, как отдельного компьютера, так и всей сети;

· создание загрузочных архивов -- позволяет совместить на одном загрузочном носителе автономную версию Acronis True Image и файлы архива;

· подключение образа в качестве виртуального диска -- возможность просматривать и модифицировать содержимое образа диска/раздела;

· поддержка FTP-сервера как места хранения резервных копий -- возможность сохранения резервных копий на удаленном сервере, используя ftp-протокол.

Для архивирования данных предполагается использование программы WinRar. Резервное копирование информационной базы данных бухгалтерии рекомендуется осуществлять периодически с использованием встроенных средств программы 1С Бухгалтерия 7.7.

6.5 Подсистема обнаружения сетевых атак

Всемирная сеть Internet растет с головокружительной скоростью, поэтому нет ничего удивительного в том, что регистрируется все больше попыток несанкционированного доступа к корпоративным ресурсам. Планы таких атак не являются тайной, так что часто их можно найти прямо в готовом для применения формате, а недавние эксцессы, носившие поистине глобальный характер, - явное свидетельство того, что в целом совершить компьютерное преступление сегодня намного проще, чем раньше.

В связи с этим необходимо создание эффективной системы обнаружения сетевых атак с помощью программы RealSecure Server Sensor.

RealSecure Server Sensor - это программное решение, которое позволяет обнаруживать все атаки (т.е. на всех уровнях), направленные на конкретный узел сети. Помимо обнаружения атак RealSecure Server Sensor обладает возможностью проведения анализа защищенности и обнаружения уязвимостей на контролируемом узле.

RealSecure Server Sensor может и контролировать журналы регистрации ОС, а также журналы регистрации любых приложений, функционирующих под управлением этих ОС. Кроме того, RealSecure Server Sensor может обнаруживать атаки в сетях TCP/IP и SMB/NetBIOS, построенных на базе любых сетевых архитектур, поддерживаемых контролируемым компьютером.

Возможности серверного сенсора

Система RealSecure является одним из лучших решений для защиты корпоративной сети и пр едоставляет следующие ключевые возможности:

· большое число распознаваемых атак;

· возможность обнаружения уязвимостей на контролируемом узле;

· возможность контроля атак, направленных на конкретные приложения (например, Apache, Netscape Enterprise Web Server, MS IIS, MS Exchange, MS SQL Server, pcAnywhere и т.д.);

· создание собственных сигнатур атак;

· задание шаблонов фильтрации трафика и анализа журналов регистрации;

· различные схемы управления модулями слежения;

· имитация несуществующих приложений с целью введения злоумышленника в заблуждение;

· расширенный анализ журналов регистрации;

· возможность контроля сетевых интерфейсов 10/100 Ethernet LAN/WAN, кабельных модемов, маршрутизаторов DSL и ISDN и обычных модемов для коммутируемых линий;

· возможность контроля любого числа сетевых интерфейсов, установленных в компьютер;

· возможность функционирования в коммутируемых сетях и сетях с канальным шифрованием;

· возможность создания правил фильтрации входящего/исходящего трафика, реализуя функции персонального межсетевого экрана;

· автоматическое обновление базы данных сигнатур атак и дистанционное обновление ПО сенсоров;

· аварийное завершение соединения с атакующим узлом;

· блокирование учетной записи атакующего пользователя;

· задание сценариев по обработке атак на языке Tcl;

· возможность исследования событий безопасности перед выполнением каких-либо действий и изменение вариантов реагирования после исследования;

· семантическое сжатие событий безопасности;

· уведомление атакующего о его обнаружении;

· генерация управляющих SNMP-последовательностей для управления системами HP OpenView, IBM NetView и Tivoli TME10;

· анализ журналов регистрации маршрутизаторов;

· интеграция с системой Internet Scanner, System Scanner, SAFEsuite Decisions и AlarmPoint;

· многоуровневая защита собранной информации;

· установление защищенного соединения между компонентами системами, а также другими устройствами;

· мощная система генерации отчетов;

· различные форматы отчетов;

· управление всеми функциями сенсоров из командной строки;

· мощная система подсказки;

· наличие всеобъемлющей базы данных по всем обнаруживаемым атакам;

· расширенная регистрация системных событий;

· простота использования и интуитивно понятный графический интерфейс;

· невысокие системные требования к программному и аппаратному обеспечению.

6.6 Подсистема защиты информации в ЛВС

Подсистема защиты информации в ЛВС реализуется с помощью программного средства Secret Net.

· Система защиты информации Secret Net является программно-аппаратным комплексом, предназначенным для обеспечения информационной безопасности в локальной вычислительной сети.

Безопасность рабочих станций и серверов сети обеспечивается с помощью всевозможных механизмов защиты:

· усиленная идентификация и аутентификация,

· полномочное и избирательное разграничение доступа,

· замкнутая программная среда,

· криптографическая защита данных,

· другие механизмы защиты.

Администратору безопасности предоставляется единое средство управления всеми защитными механизмами, позволяющее централизованно управлять и контролировать исполнение требований политики безопасности.

Вся информация о событиях в информационной системе, имеющих отношение к безопасности, регистрируется в едином журнале регистрации. О попытках свершения пользователями неправомерных действий администратор безопасности узнает немедленно.

Существуют средства генерации отчетов, предварительной обработки журналов регистрации, оперативного управления удаленными рабочими станциями.

Компоненты Secret Net

Система Secret Net состоит из трех компонент:

· клиентская часть;

· сервер безопасности;

· подсистема управления.

Особенностью системы Secret Net является клиент-серверная архитектура, при которой серверная часть обеспечивает централизованное хранение и обработку данных системы защиты, а клиентская часть обеспечивает защиту ресурсов рабочей станции или сервера и хранение управляющей информации в собственной базе данных.

Сферы применения Secret Net

Основными сферами применения системы Secret Net являются:

· защита информационных ресурсов;

· централизованное управление информационной безопасностью;

· контроль состояния информационной безопасности.

Сертификаты Secret Net 4.0

Семейство средств защиты информации Secret Net имеет все необходимые сертификаты Гостехкомиссии России и Федерального агентства правительственной связи и информации России. Система защиты информации Secret Net 4.0 сертифицирована Гостехкомиссией России по 3 классу защищенности. Это означает, что Secret Net 4.0 можно применять для защиты информации, содержащей сведения, составляющие государственную тайну.

Клиент Secret Net устанавливается на компьютер, содержащий важную информацию, будь то рабочая станция в сети или какой-либо сервер (в том числе и сервер безопасности).

Основное назначение клиента Secret Net:

· защита ресурсов компьютера от несанкционированного доступа и разграничение прав зарегистрированных пользователей.

· регистрация событий, происходящих на рабочей станции или сервере сети, и передача информации на сервер безопасности.

· выполнение централизованных и децентрализованных управляющих воздействий администратора безопасности.

Сервер безопасности устанавливается на выделенный компьютер или контроллер домена и обеспечивает решение следующих задач:

· ведение центральной базы данных (ЦБД) системы защиты, функционирующую под управлением СУБД Oracle 8.0 Personal Edition и содержащую информацию, необходимую для работы системы защиты;

· сбор информации о происходящих событиях со всех клиентов Secret Net в единый журнал регистрации и передача обработанной информации подсистеме управления;

· взаимодействие с подсистемой управления и передача управляющих команд администратора на клиентскую часть системы защиты.

Подсистема управления Secret Net устанавливается на рабочем месте администратора безопасности и предоставляет ему следующие возможности:

· централизованное управление защитными механизмами клиентов Secret Net;

· контроль всех событий имеющих отношение к безопасности информационной системы;

· контроль действий сотрудников в ИС организации и оперативное реагирование на факты и попытки НСД;

· планирование запуска процедур копирования ЦБД и архивирования журналов регистрации;

Схема управления, реализованная в Secret Net, позволяет управлять информационной безопасностью в терминах реальной предметной области и в полной мере обеспечить жесткое разделение полномочий администратора сети и администратора безопасности.

6.7 Подсистема обеспечения целостности данных

Целостность информационной базы бухгалтерии обеспечивается встроенными механизмами программы 1С Бухгалтерия 7.7. При удалении помеченных объектов программа 1С Бухгалтерия 7.7 в автоматическом режиме осуществляет поиск ссылок на удаляемый объект. В диалоговом окне удаления помеченных объектов кнопка Удалить становится активной только после нажатия на кнопку Контроль и поиска ссылок на объект (рис. 7).

В процессе работы системы 1С:Предприятие могут возникать различные внештатные ситуации - отключение питания компьютера «зависание» операционной системы, сбои оборудования и прочее. Такие ситуации, возникшие в процессе записи изменений в таблицы информационной базы системы 1С:Предприятие, могут привести к некорректному состоянию информационной базы. Внешние проявления некорректного состояния информационной базы могут быть различными, вплоть до невозможности запуска 1С:Предприятия.

Процедура «Тестирование и исправление информационных баз» предназначена для диагностики и устранения ошибочных состояний информационных баз, имеющих как формат DBF, так и формат MS SQL Server 6.5, при любом составе установленных компонент системы 1С:Предприятие.

Принципы работы процедуры тестирования

Все проверки состояния информационной базы, выполняемые процедурой, можно условно разд елить на три логических уровня.

На первом уровне в каждом dbf-файле анализируется корректность его заголовка, соответствие объявляемых заголовком полей и их типов ожидаемому (состав и тип полей, составляющих многие таблицы, определяется конфигурацией информационной базы). Проверяется равенство вычисленной на основании описания полей длины записи той длине записи, которая объявлена в заголовке. Сравнивается фактическая длина файла с величиной, полученной на базе информации о длине заголовка, длине записи и их количестве. Появление на данном уровне сообщения о невосстановимой ошибке, как правило, говорит о том, что после внесения изменений в конфигурацию не была выполнена процедура реструктуризации. После окончания анализа заголовка процедура производит сканирование всех записей и проверяет содержимое каждого поля записи с точки зрения типа этого поля.

Содержание производных таблиц определяется состоянием базовых и полностью может быть восстановлено при выполнении процедур пересчета итогов. Во время выполнения тестирования второго уровня происходит сканирование записей базовых таблиц и проверка содержимого полей на корректность с точки зрения системы 1С:Предпритияе, а не управления базами данных в dbf-формате, как это происходило на предыдущем уровне. По окончании сканирования всех записей таблицы происходит ее реиндексация. Также на этом уровне происходит проверка логической связки «журнал документов -- документ --табличная часть документа».

Логическая целостность таблиц, входящих в состав информационной базы, осуществляется совокупностью проверок третьего уровня. На этом уровне тестируются внутренние связи таблиц, определяемые системой 1С:Предприятие, проверяется фактическое существование элементов данных, на которые имеются ссылки в полях записей. Также па этом уровне происходит анализ записей о периодических реквизитах справочников и бухгалтерских счетов (если установлена компонента «Бухгалтерский учет»).

По окончании проверок производится полный пересчет итогов. Конкретный состав пересчитываемых итогов зависит от состава установленных компонент и набора типов используемых тестируемой информационной базой объектов.

6.8 Подсистема регистрации и учета

проектирование система информационной безопасности

Данная подсистема также реализуется с помощью встроенных средств системы 1С Бухгалтерия 7.7. Регистрация и учет осуществляются с помощью специального режима Монитор.

Монитор пользователей является дополнительным средством, предназначенным для администрирования системы 1С:Предприятия.

Монитор позволяет просматривать список активных пользователей, то есть тех пользователей, которые в данный момент работают с информационной базой. Кроме того, монитор позволяет анализировать журнал регистрации действий, выполняемых пользователями за любые периоды времени (историю работы пользователей).

Для вызова основных функций Монитора пользователей в режиме запуска «Монитор» используются пункты «Активные пользователи» и «Журнал регистрации» колонки «Монитор» главного меню или соответствующие кнопки панели инструментов. Работа с этими функциями ведется также, как и в режиме запуска «1С:Предприятие».

Архивирование журнала регистрации

Кроме основных функций (просмотра списка активных пользователей и журнала регистрации), в режиме запуска «Монитор» доступна функция архив ирования журнала регистрации.

Журнал регистрации поддерживается системой в специальном файле 1CV7.MLG, расположенном в каталоге SYSLOG, подчиненном каталогу информационной базы. Этот журнал называется «текущим». При интенсивной работе большого количества пользователей за продолжительный период времени текущий журнал может иметь достаточно большой размер. Архивирование журнала позволяет уменьшить размер текущего журнала путем помещения определенной его части или всего журнала в архив. В архиве данные журнала хранятся в сжатом виде. Файлы архива также хранятся в каталоге SYSLOG.

Режим просмотра журнала регистрации имеет возможность показывать события из текущего журнала, а также события тех периодов, которые помещены в архив. При этом, если выбранный для просмотра интервал включает периоды, за которые события помещены в архив, то извлечение данных из архива происходит автоматически. Разумеется, при обращении к данным архива на извлечение необходимой информации будет тратиться дополнительное время.

Для вызова функции архивирования журнала регистрации следует выбрать пункт меню «Архивирование журнала» из колонки «Монитор» главного меню или нажать соответствующую кнопку панели инструментов.

Режим архивирования может быть вызван только в том случае, если с данной информационной базой больше не работает ни один пользователь ни в каком режиме запуска 1С:Предприятия.

При вызове режима архивирования появляется диалог, в котором устанавливается период, за который данные журнала регистрации должны быть помещены в архив. В верхней части диалога выводится начальная и конечная даты текущего журнала.

Архивирование всегда выполняется, начиная с самых ранних событий текущего журнала: фактически, начальная граница архивируемого периода всегда определяется началом текущего журнала. В диалоге задается конечная граница периода архивирования.

Заключение

В современном мире информационный ресурс стал одним из наиболее мощных рычагов экономического развития. Владение информацией необходимого качества в нужное время и в нужном месте является залогом успеха в любом виде хозяйственной деятельности. Монопольное обладание определенной информацией оказывается зачастую решающим преимуществом в конкурентной борьбе и предопределяет, тем самым, высокую цену информационного фактора. Широкое внедрение персональных компьютеров вывело уровень информатизации деловой жизни на качественно новую ступень. Ныне трудно представить себе фирму или предприятие (включая самые мелкие), которые не были бы вооружены современными средствами обработки и передачи информации. В ПК на носителях данных накапливаются значительные объемы информации, представляющей большую ценность для ее владельца.

Однако создание индустрии переработки информации, давая объективные предпосылки для грандиозного повышения эффективности жизнедеятельности человечества, порождает целый ряд сложных и крупномасштабных проблем. Одной из таких проблем является надежное обеспечение сохранности и установленного статуса использования информации, циркулирующей и обрабатываемой в распределенных информационных системах.

В рамках данной курсовой работы спроектирована система информационной безопасности для бухгалтерии торговой компании «Вес-трэйд».

В ходе выполнения курсовой работы были решены следующие задачи:

1. обследована существующая инфраструктура бухгалтерии торговой компании «Вес-трэйд» и определены исходные данные для проектирования системы ИБ;

2. определены минимальные требования на основе потребностей в ИБ;

3. разработана концепция ИБ;

4. проанализированы риски;

5. разработана политика ИБ и выбраны решения по обеспечению политики ИБ;

6. разработана структура системы ИБ;

7. рассмотрены виды и функции средств защиты информации.

Библиографический список

1. Руководящий документ Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации от 30 марта 1992г.

2. Грязнов Е.С., Панасенко С.А. Безопасность локальных сетей. - М.: Вузовский учебник, 2006.- 525 с.

3. Козлачков П.С. Основные направления развития систем информационной безопасности. . - М.: финансы и статистика, 2004.- 736 с.

4. Леваков Г. Н. Анатомия информационной безопасности. - М.: ТК Велби, издательство Проспект, 2004.- 256 с.

5. Соколов Д. Н., Степанюк А.Д. Защита от компьютерного терроризма. - М.: БХВ-Петербург, Арлит, 2002.- 456 с.

6. Сыч О.С. Комплексная антивирусная защита локальной сети. - М.: финансы и статистика, 2006.- 736 с.

7. Швецова Н. Д. Системы технической безопасности: актуальные реалии. - Спб: Питер, 2004. - 340 с.

Размещено на Allbest.ru

Подобные документы

Организация бухгалтерского учета на примере предприятия "Goliat-Vita" SRL, которое занимается производством мебели и обработкой древесины. Автоматизация учета информационной бухгалтерской системы предприятия. Структура и составление финансовой отчетности.

отчет по практике , добавлен 12.05.2015

Доктрина информационной безопасности Российской Федерации. Проверка используемых компанией информационных систем с последующей оценкой рисков сбоев в их функционировании. Закон "О персональных данных". Деление активного аудита на внешний и внутренний.

презентация , добавлен 27.01.2011

Понятие и цели проведения аудита информационной безопасности. Анализ информационных рисков предприятия и методы их оценивания. Критерии оценки надежности компьютерных систем. Виды и содержание стандартов ИБ. Программные средства для проведения аудита ИБ.

дипломная работа , добавлен 24.06.2015

Изучение организации работы бухгалтерии торговой компании на примере ООО "ТК Карел-Импэкс". Анализ техники и формы осуществления бухгалтерского учета. Содержание рабочего плана счетов и особенности учета денежных средств и расчетов с подотчетными лицами.

отчет по практике , добавлен 11.02.2011

Основные направления деятельности в области аудита безопасности информации как проверки соответствия организации и эффективности защиты информации установленным требованиям и/или нормам. Этапы экспертного аудита. Понятие аудита выделенных помещений.

лекция , добавлен 08.10.2013

Определение корпоративной информационной системы, базовые элементы и состав. Определение и функции, особенности разработки системы электронного документооборота. Классификация СЭД по месту разработки и по функционалу. Основные преимущества и недостатки.

презентация , добавлен 23.01.2017

Задачи, которые решаются в ходе аудита защищенности информационной системы. Этапы экспертного аудита. Тест на проникновение (пентест) в информационную систему: объекты, этапы. Цели проведения аудита web–приложений. Аудит на соответствие стандартам.

отчет по практике , добавлен 22.09.2011

Сущность и понятие информационной системы. Особенности бухгалтерских информационных систем. Требования к программному обеспечению и процесс разработки информационной системы. Характеристика программ автоматизации бухгалтерского учета ООО "Уралконфи".

курсовая работа , добавлен 14.03.2012

Управленческий учёт как составная часть информационной системы предприятия. Виды, принципы, цели и методы бухгалтерского управленческого учета, требования к предоставляемой информации. Различия и взаимосвязь управленческой и финансовой бухгалтерии.

курсовая работа , добавлен 12.12.2010

Особенности построения учетного процесса как единой информационной системы. Понятие, сущность и методика судебно-экономической экспертизы. Формирование рациональной структуры аппарата бухгалтерии. Объекты и асубъекты судебно-бухгалтерской экспертизы.

"Финансовая газета. Региональный выпуск", 2008, N 41

В современных условиях нельзя недооценивать важность обеспечения информационной безопасности. Малейшая утечка конфиденциальной информации к конкурентам может привести к большим экономическим потерям для фирмы, остановке производства и даже к банкротству.

Целями информационной безопасности являются: предотвращение утечки, хищения, утраты, искажения, подделки информации; предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации; предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы организации.

К расходам на защиту информации относится в основном приобретение средств, обеспечивающих ее защиту от неправомерного доступа. Средств обеспечения защиты информации множество, условно их можно разделить на две большие группы. Первая - это средства, которые имеют материальную основу, такие, как сейфы, камеры видеонаблюдения, охранные системы и т.д. В бухгалтерском учете они учитываются как основные средства. Вторая - средства, которые не имеют материальной основы, такие, как антивирусные программы, программы ограничения доступа к информации в электронном виде и т.д. Рассмотрим особенности учета таких средств обеспечения информационной безопасности.

При покупке программы для обеспечения защиты информации исключительные права на нее не переходят к покупателю, приобретается лишь защищенная копия программы, копировать или распространять которую покупатель не может. Поэтому при учете таких программ следует руководствоваться гл. VI "Учет операций, связанных с предоставлением (получением) права использования нематериальных активов" нового ПБУ 14/2007 "Учет нематериальных активов".

В редких случаях при приобретении программ защиты информации к фирме переходят исключительные права на данный продукт. В этом случае программа будет учитываться в бухгалтерском учете как нематериальные активы (НМА).

Согласно ПБУ 14/2007 в бухгалтерском учете НМА, предоставленные в пользование на условиях лицензионного соглашения, платежи за право использования которых производятся в виде фиксированного разового платежа и исключительные права на которые не переходят к покупателю, должны учитываться у получателя в составе расходов будущих периодов и отражаться на забалансовом счете (п. 39). При этом срок, в течение которого данные расходы будут списываться на счета затрат, устанавливается лицензионным соглашением. В налоговом учете затраты на приобретение программ для защиты информации для целей налогообложения прибыли учитываются в качестве прочих расходов и списываются аналогично - равными частями в течение срока, установленного в лицензионном соглашении (пп. 26 п. 1 ст. 264 НК РФ).

Если оплата за право использования программного продукта, обеспечивающего информационную защиту, производится в виде периодических платежей, то согласно п. 39 ПБУ 14/2007 они включаются пользователем в расходы отчетного периода, в котором были произведены.

На практике в лицензионном соглашении не всегда указан срок использования программного обеспечения. Когда связь между доходами и расходами не может быть определена четко, в налоговом учете расходы на приобретение программ для защиты информации распределяются налогоплательщиком самостоятельно в целях исчисления налога на прибыль с учетом принципа равномерности признания доходов и расходов (п. 1 ст. 272 НК РФ). В бухгалтерском учете срок, в течение которого данные расходы будут списываться со счета 97, устанавливается руководством предприятия исходя из предполагаемого времени использования программы.

Пример 1 . ОАО "Альфа" приобрело лицензионную копию антивирусной программы у ООО "Бетта" за 118 000 руб., в том числе НДС (18%). Лицензионным соглашением установлен срок использования программы 9 месяцев.

В бухгалтерском учете ОАО "Альфа" программу следует учесть следующим образом:

Д-т 60, К-т 51 - 118 000 руб. - поставщику оплачена стоимость программного обеспечения;

Д-т 60, К-т 97 - 100 000 руб. - полученная программа отражена в качестве расходов будущих периодов;

Д-т 002 - 100 000 руб. - полученная программа отражена на забалансовом счете;

Д-т 19, К-т 60 - 18 000 руб. - выделен НДС;

Д-т 68, К-т 19 - 18 000 руб. - принят к вычету НДС;

Д-т 26 (44), К-т 97 - 11 111,11 руб. (100 000 руб. : 9 мес.) - ежемесячно в течение 9 месяцев стоимость антивирусной программы равными частями списывается на расходы.

Изменим условия примера 1: допустим, ОАО "Альфа" осуществляет платеж не единовременно, а равными частями на протяжении всего срока действия лицензионного договора. Суммы платежей составят 11 800 руб. за каждый месяц, в том числе НДС.

В этом случае в бухгалтерском учете будут сделаны следующие записи:

Д-т 002 - 90 000 руб. (10 000 руб. x 9 мес.) - полученная программа отражена на забалансовом счете;

Д-т 60, К-т 51 - 11 800 руб. - ежемесячно в течение 9 месяцев поставщику оплачивается стоимость программного продукта;

Д-т 19, К-т 60 - 1800 руб. - выделен НДС;

Д-т 26 (44), К-т 60 - 10 000 руб. - стоимость программы списана на расходы;

Д-т 68, К-т 19 - 1800 руб. - принят к вычету НДС.

Часто до истечения лицензионного соглашения компания - разработчик программ информационной защиты выпускает их обновление. В этом случае расходы в бухгалтерском и налоговом учете будут приниматься единовременно по факту обновления.

Также распространена практика, когда компания-разработчик для ознакомления безвозмездно предоставляет свое программное обеспечение организациям на небольшой срок. Для того чтобы правильно отразить безвозмездно полученную программу информационной защиты, ее нужно учесть в составе доходов будущих периодов по рыночной стоимости.

Пример 2 . ООО "Бетта" для ознакомления безвозмездно предоставило ОАО "Альфа" программное обеспечение по информационной безопасности сроком на 3 месяца. Рыночная цена данного программного продукта - 3300 руб.

В бухгалтерском учете ОАО "Альфа" следует сделать следующие записи:

Д-т 97, К-т 98 - 3300 руб. - принято к учету безвозмездно полученное программное обеспечение;

Д-т 98, К-т 91 - 1100 руб. - ежемесячно в течение трех месяцев часть дохода будущих периодов принимается в качестве прочих доходов.

В налоговом учете доходы от безвозмездно полученной программы также будут приниматься в течение трех месяцев (п. 2 ст. 271 НК РФ).

К расходам на защиту информации относятся не только приобретение средств обеспечения информационной безопасности, но также расходы на консультационные (информационные) услуги по защите информации (не связанные с приобретением нематериальных активов, основных средств или других активов организации). Согласно п. 7 ПБУ 10/99 "Расходы организации" затраты на консультационные услуги в бухгалтерском учете включаются в состав расходов по обычным видам деятельности в том отчетном периоде, когда они были произведены. В налоговом учете они относятся к прочим расходам, связанным с производством и реализацией продукции (пп. 15 п. 1 ст. 264 НК РФ).

Пример 3 . ООО "Бетта" оказало консультационные услуги по информационной безопасности ОАО "Альфа" на общую сумму 59 000 руб., в том числе НДС - 9000 руб.

В бухгалтерском учете ОАО "Альфа" должны быть сделаны записи:

Д-т 76, К-т 51 - 59 000 руб. - оплачены консультационные услуги;

Д-т 26 (44), Кт 76 - 50 000 руб. - консультационные услуги по информационной безопасности списаны на расходы по обычным видам деятельности;

Д-т 19, К-т 76 - 9000 руб. - выделен НДС;

Д-т 68, К-т 19 - 9000 руб. - принят к вычету НДС.

Предприятия, применяющие УСН, в качестве расходов, уменьшающих налогооблагаемую базу по налогу на прибыль, согласно пп. 19 п. 1 ст. 346.16 НК РФ смогут принять только затраты на приобретение программ, обеспечивающих информационную безопасность. Расходы на консультационные услуги по информационной безопасности в ст. 346.16 НК РФ не упоминаются, поэтому для целей налогообложения прибыли организации принять их не вправе.

В.Щаников

Ассистент аудитора

департамента аудита

ООО "Бейкер Тилли Русаудит"

Для усиления эффективности деятельности фирмы и предотвращения хищений бухгалтеры должны создавать систему внутреннего контроля. Несмотря на обилие публикаций в этой области, проблема внутреннего контроля во многих источниках по бухгалтерскому учету и аудиту рассматривается в отрыве от информационной безопасности.

Для современной системы бухгалтерского учета характерен ряд особенностей, требующих защиты учетной информации:

законодательные нововведения влекут за собой большие изменения как в самой бухгалтерской сфере, так и в области ее компьютеризации (перевод учета на новый план счетов, ввод в действие Налогового кодекса и др.). Без современных аппаратно-программных средств бухгалтер вряд ли сможет получить достоверную и своевременную учетную информацию. А компьютерные технологии в бухгалтерском учете порождают и новые информационные угрозы;

информационная система бухгалтерского учета относится к классу сложных и динамических образований, построенных в многоуровневой архитектуре «клиент-сервер» с поддержкой связи с удаленными компонентами. Опасности подстерегают как внутри системы, так и вне;

в программном обеспечении могут быть умышленные или неумышленные ошибки, создающие проблемы в защите;

усложнение автоматизированного учета требует оценки надежности системы, т.е. свойств ее по выполнению заданных функций при обеспечении сохранности информации и ее достоверности.

Незащищенные учетные данные приводят к серьезным недостаткам в системе управления предприятием:

множеству недокументированных эпизодов управления;

отсутствию у руководства целостной картины происходящего в отдельных структурных подразделениях;

задержки в получении актуальной на момент принятия решения информации;

разногласиям между структурными подразделениями и отдельными исполнителями, совместно выполняющими работу, из-за плохой взаимной информированности;

информационной перегрузке;

увеличению сроков получения ретроспективной информации, накопленной на предприятии;

сложностям получения информации о текущем состоянии документа или делового процесса;

утечке информации вследствие неупорядочения хранения больших объемов документов.

Новые информационные технологии в бухгалтерском учете на базе современных ПЭВМ, с одной стороны, обеспечивают высокое качество выполняемых работ, а с другой - создают множество угроз непредсказуемых и даже катастрофических последствий. К числу таких угроз относятся следующие: проникновение посторонних лиц в базы учетных данных, компьютерные вирусы, ошибочный ввод учетных данных, ошибки в процессе проектирования и внедрения учетных систем и др. Противостоять угрозам можно, только приняв адекватные меры, которые способствуют обеспечению безопасности учетной информации. В этой связи каждый бухгалтер, использующий в своей работе компьютеры и средства связи, должен знать, от чего защищать информацию и как это делать.

Под защитой учетной информации понимается невозможность случайных или преднамеренных воздействий на нее естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям этой информации.

Понятие «информационная безопасность учетных данных» в узком смысле этого слова подразумевает:

надежность работы компьютера;

сохранность ценных учетных данных;

защиту учетной информации от внесения в нее изменений неуполномоченными лицами;

сохранение документированных учетных сведений в электронной связи.

На первый взгляд может показаться, что «информационная безопасность» и «защита безопасности информации» - одно и то же. Однако это не так. Безопасность информации означает защиту информации от многочисленных угроз, в том числе от умышленного и неумышленного искажения, уничтожения и др. Информационная безопасность есть защита объекта, включая и его информационные системы, от каких-то враждебных воздействий, в частности от компьютерных вирусов, от ошибок, несанкционированного доступа к базам данных и т.д.

Прежде чем проектировать какую-либо систему безопасности, определим, что в учете и от кого (чего) нуждается в защите.

К объектам информационной безопасности в учете относятся как информационные ресурсы, содержащие сведения, отнесенные к коммерческой тайне, и конфиденциальную информацию, представленную в виде баз учетных данных, так и средства и системы информатизации - технические средства, используемые в информационных процессах (средства вычислительной и организационной техники, информативные и физические поля компьютеров, общесистемное и прикладное программное обеспечение, в целом автоматизированные системы учетных данных предприятий).

Угроза информационной безопасности бухгалтерского учета заключается в потенциально возможном воздействии на компоненты учетной системы, способном нанести ущерб владельцам информационных ресурсов или пользователям системы.

Правовой режим информационных ресурсов определяется нормами, устанавливающими:

порядок документирования информации;

право собственности на отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах;

порядок правовой защиты информации.

Основный принцип, нарушаемый при реализации информационной угрозы в бухгалтерском учете, - документирование информации. Учетный документ, полученный из автоматизированной информационной системы учета, приобретает юридическую силу после его подписания должностным лицом в порядке, установленном законодательством Российской Федерации.

Все множество потенциальных угроз в учете по природе их возникновения можно разделить на два класса: естественные (объективные) и искусственные.

Естественные угрозы вызываются объективными причинами, как правило, не зависящими от бухгалтера, ведущими к полному или частичному уничтожению бухгалтерии вместе с ее компонентами: землетрясения, пожары и т.п.

Искусственные угрозы связаны с деятельностью людей. Их можно разделить на непреднамеренные (неумышленные), вызванные способностью сотрудников делать какие-либо ошибки в силу невнимательности либо усталости, болезненного состояния и т.п. Например, при вводе сведений в компьютер нажать не ту клавишу, сделать неумышленные ошибки в программе, занести вирус, случайно разгласить пароли.

Преднамеренные (умышленные) угрозы связаны с корыстными устремлениями людей - злоумышленников, намеренно создающих недостоверные документы.

Угрозы безопасности с точки зрения их направленности можно подразделить на следующие группы:

угрозы проникновения и считывания данных из баз учетных данных и компьютерных программ их обработки;

угрозы сохранности учетных данных, приводящие либо к их уничтожению, либо к изменению, в том числе фальсификация платежных документов (платежных требований, поручений и т.п.);

угрозы доступности данных, возникающие, когда пользователь не может получить доступа к учетным данным;

угрозы отказа от выполнения операций, когда один пользователь передает сообщение другому, а затем не подтверждает переданные данные.

В зависимости от источника угроз их можно подразделить на внутренние и внешние.

Источником внутренних угроз является деятельность персонала организации. Внешние угрозы приходят извне от сотрудников других организаций, от хакеров и прочих лиц.

Внешние угрозы можно подразделить:

на локальные, которые связаны с проникновением нарушителя на территорию организации и получением им доступа к отдельному компьютеру или локальной сети;

удаленные, характерные для систем, подключенных к глобальным сетям (Интернету, системе международных банковских расчетов SWIFT и др.).

Такие опасности возникают чаще всего в системе электронных платежей при расчетах поставщиков с покупателями, использовании в расчетах Интернета. Источники таких информационных атак могут находиться за тысячи километров. Воздействию подвергаются не только ЭВМ, но и бухгалтерская информация.

Умышленные и неумышленные ошибки в учете, приводящие к увеличению учетного риска, следующие:

ошибки в записи учетных данных;

неверные коды;

несанкционированные учетные операции;

нарушение контрольных лимитов;

пропущенные учетные записи;

ошибки при обработке или выводе данных;

ошибки при формировании или корректировке справочников;

неполные учетные записи;

неверное отнесение записей по периодам;

фальсификация данных;

нарушение требований нормативных актов;

нарушение принципов учетной политики;

несоответствие качества услуг потребностям пользователей.

В условиях обработки данных на ПЭВМ последствия многократно повторенной ошибки или неправильно примененной методики могут оказаться катастрофическими.

Процедуры, в которых обычно возникают ошибки, и их типы представлены в табл. 5.2.

Распространение вычислительной техники привело к резкому сокращению невольных (арифметических) ошибок, но создало дополнительные условия для возникновения ошибок умышленных, связанных с мошенничеством.

Необходимо понять, от кого следует защищать информацию. Часто опасность исходит от сотрудников фирмы, действующих не в одиночку, а в сговоре с другими злоумышленниками.

Мотивы и цели компьютерных преступлений могут быть разными: корысть, желание причинить вред, месть, хулиганство либо желание проверить свои способности и навыки владения компьютером.

Таблица 5.2. Место возникновения бухгалтерских ошибок Сфера преобразования учетньх данньх Вид ошибок Первичный Системати учет (сбор и ре зация и обобще Вывод гистрация) ние Ошибки в записи учетных + данных Неверные коды + + - Несанкционированные учет + + ные операции Нарушение контрольных ли- + + митов Пропущенные учетные записи + + + Ошибки при обработке или + + выводе данных Ошибки при формировании или корректировке справоч + + - ников Неполные учетные записи + + + Неверное отнесение записей + + + по периодам Фальсификация данных + + + Нарушение требований нор + + + мативных актов Нарушение принципов учет + + + ной политики Несоответствие качества услуг + + + потребностям пользователей К законодательным мерам, направленным на создание и поддержание в обществе негативного отношения к нарушениям и нарушителям безопасности информации, относится глава 28 «Преступления в сфере компьютерной информации» раздела IX Уголовного кодекса.

Преступлениями в сфере компьютерной информации являются: неправомерный доступ к компьютерной информации (ст. 272 УК); создание, использование и распространение вредоносных программ для ЭВМ (ст. 273 УК); нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети (ст. 274 УК).

Защита информации в автоматизированных учетных системах строится исходя из следующих основных принципов:

обеспечение физического разделения областей, предназначенных для обработки секретной и несекретной информации;

обеспечение криптографической защиты информации;

обеспечение аутентификации абонентов и абонентских установок;

обеспечение разграничения доступа субъектов и их процессов к информации;

обеспечение установления подлинности и целостности документальных сообщений при их передаче по каналам связи;

обеспечение защиты оборудования и технических средств системы, помещений, где они размещаются, от утечки конфиденциальной информации по техническим каналам;

обеспечение защиты шифротехники, оборудования, технических и программных средств от утечки информации за счет аппаратных и программных закладок;

обеспечение контроля целостности программной и информационной части автоматизированной системы;

использование в качестве механизмов защиты только отечественных разработок;

обеспечение организационно-режимных мер защиты. Целесообразно использование и дополнительных мер по обеспечению безопасности связи в системе;

организация защиты сведений об интенсивности, продолжительности и трафиках обмена информации;

использование для передачи и обработки информации каналов и способов, затрудняющих перехват.

Защита информации от несанкционированного доступа направлена на формирование у защищаемой информации трех основных свойств:

конфиденциальности (засекреченная информация должна быть доступна только тому, кому она предназначена);

целостности (информация, на основе которой принимаются важные решения, должна быть достоверной, точной и полностью защищенной от возможных непреднамеренных и злоумышленных искажений);

готовности (информация и информационные службы должны быть доступны, готовы к обслуживанию заинтересованных лиц всегда, когда в них возникает необходимость).

Для обеспечения защиты учетной информации используют препятствия, управление доступом, маскировку, регламентацию, принуждение, побуждение.

Препятствием нужно считать метод физического преграждения пути злоумышленника к защищаемой учетной информации. Этот метод реализуется пропускной системой предприятия, включая наличие охраны на входе в него, преграждение пути посторонних лиц в бухгалтерию, кассу и пр.

Управление доступом - метод защиты учетной и отчетной информации, реализуемый за счет:

идентификации пользователей информационной системы (каждый пользователь получает собственный персональный идентификатор);

аутентификации - установления подлинности объекта или субъекта по предъявленному им идентификатору (осуществляется путем сопоставления введенного идентификатора с хранящимся в памяти компьютера);

проверки полномочий - проверки соответствия запрашиваемых ресурсов и выполняемых операций по выделенным ресурсам и разрешенным процедурам;

регистрации обращений к защищаемым ресурсам;

информирования и реагирования при попытках несанкционированных действий.

Маскировка - метод криптографической защиты (шифрование) информации в автоматизированной информационной системе предприятия.

Принуждение - защита учетной информации ввиду угрозы материальной, административной или уголовной ответственности.

Побуждение - защита информации путем соблюдения пользователями сложившихся морально-этических норм в коллективе предприятия. В США, например, к морально-этическим средствам относится, в частности, Кодекс профессионального поведения членов ассоциации пользователей ЭВМ.

Юридическая сила документа, хранимого, обрабатываемого и передаваемого с помощью автоматизированных и телекоммуникационных систем, может подтверждаться электронной цифровой подписью. При передаче документов (платежных поручений, контрактов, распоряжений) по компьютерным сетям необходимо доказательство истинности того, что документ был действительно создан и отправлен автором, а не фальсифицирован или модифицирован получателем или каким-либо третьим лицом. Кроме того, существует угроза отрицания авторства отправителем в целях снятия с себя ответственности за передачу документа. Для защиты от таких угроз в практике обмена финансовыми документами используются методы аутентификации сообщений при отсутствии у сторон доверия друг к другу. Документ (сообщение) дополняется цифровой подписью и секретным криптографическим ключом. Подделка подписи без знания ключа посторонними лицами исключается, и подпись неопровержимо свидетельствует об авторстве.

Юридическая сила электронной цифровой подписи признается при наличии в автоматизированной информационной системе программно-технических средств, обеспечивающих идентификацию подписи, и соблюдении установленного режима их использования. Бухгалтер (пользователь) подписывает документы электронной цифровой подписью с использованием личного ключа, известного только ему, передает их в соответствии со схемой документооборота, а аппаратно-программная система проводит проверку подписи. Конфиденциальные документы могут шифроваться на индивидуальных ключах, они недоступны для злоумышленников. Система основывается на стандартах и нормах делопроизводства, практике организации учета документов и контроля действий исполнителей в структурах любой формы собственности (государственной и негосударственной).

Защищенность учетных данных дает возможность:

обеспечить идентификацию/аутентификацию пользователя;

определить для каждого пользователя функциональные права - права на выполнение тех или иных функций системы (в частности, на доступ к тем или иным журналам регистрации документов);

определить для каждого документа уровень конфиденциальности, а для каждого пользователя - права доступа к документам различного уровня конфиденциальности;

обеспечить конфиденциальность документов путем их шифрования, а также шифрования всей информации, передающейся по открытым каналам связи (например, по электронной почте); шифрование производится с использованием сертифицированных криптографических средств;

Определение 1

Под защитой бухгалтерской информации подразумевают ее защищенность от случайных или преднамеренных воздействий с целью нанесения ущерба владельцам или пользователям информации.

Угроза безопасности информации по данным бухгалтерского учета может заключаться в возможном воздействии на компоненты бухгалтерской системы, которое нанесет ущерб пользователям системы.

Классификация угроз для данных учета

Можно выделить следующие классификации существующих угроз для бухгалтерской информации. Классификация по признаку их возникновения: искусственные или естественны.

Естественные, или объективные угрозы, то есть независящие от человека – форс-мажорные обстоятельства, стихийные бедствия, наводнения, и пожар, как наиболее частое явление, не с целью предумышленного поджога «рабочего стола с бухгалтерскими документами».

Искусственные, или субъективные угрозы, вызванные действиями или бездействиями сотрудников предприятия. Среди них выделяют:

Случайные угрозы - ошибки программного обеспечения; сбои в работе, отказы или медленная работа компьютера и систем информационных технологий в целом
Умышленные угрозы - неправомерный доступ к информации, распространение вирусных программ и т.д.

По признаку источника возникновения угрозы подразделяются на внутренние и внешние. Где к внутренним относят деятельность работников предприятия, к внешним - влияние извне организации: атака хакеров и т.п.

Безопасность бухгалтерской информации

Безопасность данных бухгалтерского учета складывается из следующих аспектов:

надежность компьютера - не стоит экономить на компьютерах за которыми работают бухгалтера
сохранность учетных данных учета – должны храниться копии не только систем, но и первичной документации
защита от внесения изменений неуполномоченными лицами – система установления и применения паролей должна неукоснительно соблюдаться, такие технические шаги, как выключении монитор и закрытие всех рабочих окон в отсутствие работника уже не являются редкостью

Защита бухгалтерской информации

Защита бухгалтерской и финансовой информации компании от несанкционированного доступа подразумевает наличие у защищаемой информации следующих трех основных критериев:

конфиденциальность - информация должна быть доступна только тем, кто кому она предназначена. Самый простой и понятный пример: конфиденциальность заработной платы.
Целостность - информация, на основе которой руководители принимают управленческие решения, должна быть достоверной и точной. Примером служат отчеты, которые можно получить из разных книг бухгалтерского учета, в разных форматах и разрезах. И подразумевается, что одни и те же цифры, представленные в разном виде должны быть идентичными
готовность – информация должны быть доступной, предоставленной по требованию, тогда когда в ней появляется необходимость. Пример: доступ к данным бухгалтерского учета не должен храниться в «одних руках»

Для предотвращения угроз безопасности, и для построения успешной защиты данных бухгалтерского учета, на предприятиях требуется выполнение следующих правил.

Замечание 1

Все сотрудники финансовых служб, главным образом отдела бухгалтерского учета, имеющие доступ и отношение к системам, должны понимать и осознавать свои функции и компетенции. Во многих международных компаниях все потенциальные сотрудники финансовых подразделений, начиная от линейного, младшего бухгалтера, и заканчивая финансовым директором, проходят предварительную проверку, наряду с высшим руководством компании. Обусловлена такая строгость к критериям отбора кандидатов, наличием отрицательного опыта даже имевшего место в другой стране. Потому что самым «слабым звеном» и «непредсказуемыми действиями» обладают и выступают люди - работники компании, а не машины – информационные технологии.

Резервное копирование систем в идеале должно осуществляться каждый день, на практике ночью создаются копии баз данных.

При анализе применяемых мер по контролю к доступу и использованию данных учета, а также при соблюдении правил работы сотрудниками финансовых отделов, защита бухгалтерской информации будет обеспечена.