Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
Аудит - Белуха Н.Т..doc
Скачиваний:
156
Добавлен:
24.05.2014
Размер:
6.15 Mб
Скачать

9.5. Контроль защиты данных асои

Понятие защиты данных ЭВМ включает как разработку и внедрение соответствующих методов защиты, так и по­стоянное их использование. Внедрение защиты данных начинается с приказа руководителя и заканчивается прак­тическим применением методов защиты. Потребность в защите информации обусловлена централизацией обработ­ки экономической информации на вычислительных цент­рах коллективного пользования, облегчением доступа к данным благодаря средствам коммуникации с более мощ­ными ЭВМ и более строгой государственной регламентаци­ей секретности, а также рыночными отношениями в хозяй­ствовании, когда возникает потребность сохранить коммер­ческую тайну.

Функционирование АСОИ основывается на создании банков информации. Средства связи позволяют эти данные сделать доступными для каждого, кто имеет доступ к об­щей телефонной линии. Все более растущая концентрация данных вместе с их доступностью благодаря линиям связи повышает потребность в защите информации, а если учи­тывать, что предприятия стремятся к сохранению коммер­ческой тайны, то защита данных чрезвычайно необходима.

Мощные ЭВМ создают условия для роста несанкциони­рованного доступа к ресурсам ЭВМ, позволяют выполнять сложные процедуры обработки информации. Например, использование языков запросов систем управления базами данных создает такие возможности, что в течение несколь­ких минут обеспечиваются действия, для которых необхо­димы были бы месяцы для проектирования, кодирования, внедрения, тестирования и обработки информации без при­менения базы данных.

Создание демократического правового государства обу­словливает потребность в гарантии прав неприкосновенно­сти лица при обработке на ЭВМ информации о личной жиз­ни, переписке, доходах семьи и пр.

Для осуществления предупредительных функций финан­сово-хозяйственного контроля и аудита защита данных по­зволяет избежать злоупотреблений лицами, имеющими до­ступ к базам данных ЭВМ. Практика показывает, что в ус­ловиях АСОИ хищения ценностей осуществляются при участии бухгалтеров и работников вычислительных цент­ров, которые занимаются обработкой экономической инфор­мации.

Основной целью защиты данных ЭВМ является предуп­реждение явлений, негативно влияющих на результаты хо­зяйствования.

Уничтожение информации — несанкционированное уничтожение информационных ресурсов для сокрытия фактов хищения ценностей. Это касается учетно-экономической информации о расчетах с работниками предприя­тия, поставщиками, об использовании материальных цен­ностей, денежных средств и др.

Хищение данных — хищение информации из ЭВМ мо­жет осуществляться без разрушения баз данных. В частно­сти, такой информацией являются коды работника пред­приятия, товарно-материальных ценностей, производствен­ных операций. Имея указанные коды на стадии подготов­ки данных и обработки их на ЭВМ, нечестные лица могут завышать заработок отдельным работникам, списывать на расходы производства драгоценные металлы и дефицитные материалы, создавать таким образом излишки для после­дующего расхищения их.

Изменение данных — умышленное искажение данных — включает стирание и замену записей, использование непра­вильных кодовых обозначений в учете денежных средств и материальных ценностей и др. Например, код табельного номера уволенного работника сохраняют в базе данных и используют для начисления заработной платы подставно­му лицу с последующим перечислением денег на особый счет в Сбербанке.

Неправильное использование средств АСУ — техни­ческие средства и ресурсы ЭВМ нередко используются для обработки информации для других предприятий на так называемых кооперативных началах, когда работники вы­числительного центра получают оплату услуг за начисле­ние заработной платы, учет материальных ценностей и средств лично, минуя предприятие, которому принадлежит оборудование вычислительной техники. В результате этой операции амортизация ЭВМ и других технических средств, содержание помещений, энергетические затраты не компен­сируются владельцу вычислительного центра.

Защиту данных осуществляет специальное должност­ное лицо — администратор по защите информации. В его функции входит обеспечение физической и логической за­щиты информационных ресурсов. Физическая защита охва­тывает технические средства, зал ЭВМ, линии связи и дис­танционные терминалы, логическая — касается самих данных, а также прикладных программ и программного обеспечения операционных систем.

Функции специального администратора предусматрива­ют ответственность за конфиденциальность данных. Без персональной ответственности трудно вводить, осуществлять и контролировать программу защиты информации, кото­рая включает: ответственность работников за сохранность информационных файлов; доведение до сведения руковод­ства случаев нарушения защиты данных; борьбу с нарушителями защиты файлов. Технические средства защиты ис­пользуются администратором по безопасности для защиты как самих вычислительных установок, так и данных или программ внутри этих установок.

Программные средства защиты данных применяются в условиях работы в режиме реального времени ЭВМ с помо­щью специальных программ. Средства защиты могут быть встроены в системные пакеты программ, в прикладные си­стемы. Кроме того, выявлением конкретных потребностей могут быть избраны такие средства защиты, которые луч­ше всего удовлетворяют решение этих проблем.

Программу проверки защиты данных составляют путем имитации с помощью тестов разных вариантов искажения или хищения данных с целью совершения противозакон­ных действий. Хотя тесты к проверке защиты данных не могут охватить все возможные варианты злоупотреблений, тестирование все же является наиболее радикальным сред­ством создания и эксплуатации программ проверки защи­ты данных.

Ревизор и аудитор нынешнего и будущих поколений не похожи на своих предшественников. Как функция аудито­ра-документалиста, так и представление о нем быстро ме­няются с изменением концепций управления народным хозяйством и ролью в нем финансово-хозяйственного кон­троля. Поэтому методика защиты данных в АСОИ будет постоянно совершенствоваться по мере выявления новых поколений ЭВМ и развития систем управления данными.

Следовательно, контроль защиты данных ЭВМ созда­ет необходимые предпосылки для избежания искажений информации на стадиях подготовки, обработки и хране­ния с целью предупреждения злоупотреблений работни­ков и обеспечения сохранности ценностей.