- •Информационная безопасность электронной коммерции (эк)
- •Обеспечение компьютерной безопасности учетной информации
- •Места возникновения бухгалтерских ошибок
- •Организационно-техническое обеспечение компьютерной безопасности
- •Обеспечение информационной безопасности организации
- •Защита от компьютерных вирусов
- •Электронная цифровая подпись и особенности ее применения
- •Защита информации в Интернете
Места возникновения бухгалтерских ошибок
|
Виды ошибок |
Сферы преобразования учетных данных | ||
|
Первичный учет (сбор и регистрация) |
Систематизация и обобщение |
Вывод | |
|
Ошибки в записи учетных данных |
+ |
- |
- |
|
Неверные коды |
+ |
+ |
- |
|
Несанкционированные учетные операции |
+ |
+ |
- |
|
Нарушение контрольных лимитов; |
+ |
+ |
- |
|
Пропущенные учетные записи; |
+ |
+ |
+ |
|
Ошибки при обработке или выводе данных; |
- |
+ |
+ |
|
Ошибки при формировании или корректировке справочников; |
+ |
+ |
- |
|
Неполные учетные записи; |
+ |
+ |
+ |
|
Неверное отнесение записей по периодам; |
+ |
+ |
+ |
|
Фальсификация данных; |
+ |
+ |
+ |
|
Нарушение требований нормативных актов; |
+ |
+ |
+ |
|
Нарушение принципов учетной политики; |
+ |
+ |
+ |
|
Несоответствие качества услуг потребностям пользователей |
+ |
+ |
+ |
Незащищенные учетные данные приводят к серьезным недостаткам в системе управления предприятием:
множеству недокументированных эпизодов управления;
отсутствию у руководства целостной картины происходящего на предприятии в отдельных структурных подразделениях;
задержки в получении актуальной на момент принятия решения информации;
разногласиям между структурными подразделениями и отдельными исполнителями, совместно выполняющими работу, проистекающими из-за плохой взаимной информированности о состоянии деловых процессов;
жалобам сотрудников всех уровней на информационные перегрузки;
неприемлемым срокам разработки и рассылки деловых документов;
длительным срокам получения ретроспективной информации, накопленной на предприятии;
сложностям получения информации о текущем состоянии документа или делового процесса;
нежелательной утечке информации, происходящей вследствие неупорядоченного хранения больших объемов документов.
Особую опасность представляют сведения, составляющие коммерческую тайну и относящиеся к учетной и отчетной информации (данные о партнерах, клиентах, банках, аналитическая информация о деятельности на рынке).*Чтобы эта и аналогичная информация была защищена, необходимо оформить договора с сотрудниками бухгалтерии, финансовых служб и других экономических подразделений с указанием перечня сведений, не подлежащих огласке.
Защита информации в автоматизированных учетных системах строится исходя из следующих основных принципов:
обеспечение физического разделения областей, предназначенных для обработки секретной и несекретной информации.
Обеспечение криптографической защиты информации.
Обеспечение аутентификации абонентов и абонентских установок.
Обеспечение разграничения доступа субъектов и их процессов к информации.
Обеспечение установления подлинности и целостности документальных сообщений при их передаче по каналам связи.
Обеспечение защиты от отказов от авторства и содержания электронных документов.
Обеспечение защиты оборудования и технических средств системы, помещений, где они размещаются, от утечки конфиденциальной информации по техническим каналам.
Обеспечение защиты шифротехники, оборудования, технических и программных средств от утечки информации за счет аппаратных и программных закладок.
Обеспечение контроля целостности программной и информационной части автоматизированной системы.
Использование в качестве механизмов защиты только отечественных разработок.
Обеспечение организационно-режимных мер защиты. Целесообразно использование и дополнительных мер по обеспечению безопасности связи в системе.
Организация защиты сведений об интенсивности, продолжительности и трафиках обмена информации.
Использование для передачи и обработки информации каналов и способов, затрудняющих перехват.
Защита информации от несанкционированного доступа направлена на формирование у защищаемой информации трех основных свойств:
конфиденциальность (засекреченная информация должна быть доступна только тому, кому она предназначена);
целостность (информация, на основе которой принимаются важные решения, должна быть достоверной, точной и полностью защищенной от возможных непреднамеренных и злоумышленных искажений);
готовность (информация и соответствующие информационные службы должны быть доступны, готовы к обслуживанию заинтересованных лиц всегда, когда в них возникает необходимость).
Методами обеспечения защиты учетной информации являются: препятствия; управление доступом, маскировка, регламентация, принуждение, побуждение.
Препятствием нужно считать метод физического преграждения пути злоумышленника к защищаемой учетной информации. Этот метод реализуется пропускной системой предприятия, включая наличие охраны на входе в него, преграждение пути посторонних лиц в бухгалтерию, кассу и пр.
Управлением доступом является метод защиты учетной и отчетной информации, реализуемой за счет:
идентификации пользователей информационной системы. (Каждый пользователь получает собственный персональный идентификатор);
аутентификации – установления подлинности объекта или субъекта по предъявленному им идентификатору (осуществляется путем сопоставления введенного идентификатора с хранящимся в памяти компьютера);
проверки полномочий – проверки соответствия запрашиваемых ресурсов и выполняемых операций по выделенным ресурсам и разрешенным процедурам;
регистрации обращений к защищаемым ресурсам;
информирования и реагирования при попытках несанкционированных действий. (Криптография – способ защиты с помощью преобразования информации (шифрования)).
Пример 1.
В комплексе БЭСТ-4 разграничение доступа к информации производится на уровне отдельных подсистем и обеспечивается путем задания раздельных паролей доступа. При начальной настройке или в любой момент работы с программой администратор системы может задать или сменить один или несколько паролей. Пароль запрашивается при каждом входе в подсистему.
Помимо этого в некоторых модулях предусмотрена своя система разграничения доступа к информации. Она обеспечивает возможность защиты специальными паролями каждого пункта меню. Паролями можно также защитить доступ к отдельным подмножествам первичных документов: так, в АРМ «Учет запасов на складе» и «Учет товаров и продукции» присутствует возможность задавать пароли доступа к каждому складу в отдельности, в АРМ «Учет кассовых операций» – пароли доступа к каждой кассе, в АРМ «Учет расчетов с банком» – пароли доступа к каждому банковскому счету.
Особо следует отметить то обстоятельство, что для эффективного разграничения доступа к информации необходимо в первую очередь защитить паролями сами режимы определения паролей по доступу к тем или иным блокам.
Пример 2.
В 1С:Предприятие, версия 7.7 существует своя защита информации – права доступа. С целью интеграции и разделения доступа пользователей к информации при работе с системой 1С:Предприятие в сети персональных компьютеров, конфигуратор системы позволяет установить для каждого пользователя права на работу с информацией, обрабатываемой системой. Права могут быть заданы в достаточно широких пределах – от возможности только просмотра некоторых видов документов до полного набора прав по вводу, просмотру, корректировке и удалению любых видов данных.
Назначение пользователю прав доступа производится в 2 этапа. На первом этапе создаются типовые наборы прав по работе с информацией, отличающиеся, как правило, широтой предоставляемых возможностей доступа. На втором этапе пользователю ставится в соответствие один из таких типовых наборов прав.
Вся работа по созданию типовых наборов прав производится на закладке «Права» окна «Конфигурация». Это окно вызывается на экран выбором пункта «открыть конфигурацию» из меню «Конфигурация» главного меню программы.
Окно «Права» содержит список типовых наборов прав.
Находясь в окне «Наборы прав», можно:
создать новый набор прав;
создать новый набор прав по образцу существующего;
отредактировать свойства набора прав;
удалить набор прав из списка;
упорядочить список набора прав и пр.
Конфигуратор системы 1С:Предприятие содержит средства администрирования, предназначенные для решения задач интеграции и разделения доступа при работе в сети персональных компьютеров.
Существует возможность создания списка пользователей, которым разрешена работа с системой 1С:Предприятие. Для работы с системой пользователь должен указать имя из этого списка.
Для эффективной работы каждому пользователю может быть задан индивидуальный пользовательский интерфейс. Такой интерфейс включает расширенное системное меню и панели инструментов, настроенные на работу пользователя с той информацией, доступ к которой разрешен его набором прав.
Вся работа по созданию списка пользователей, присвоению паролей, закреплению за пользователями прав и интерфейса ведутся в окне «Пользователи». Это окно вызывается на экран выбором функции «Пользователи» из меню «Администрирование» главного меню программы.
Чтобы назначить пользователю пароль:
Выберите в списке имя пользователя, которому необходимо присвоить пароль.
Выберите пункт «изменить пароль» в меню «Действия» главного меню Конфигуратора. В запросе «Смена пароля» введите пароль пользователя.
Пароль представляет собой символьную строку длиной не более 10 символов и не должен включать пробелы и специальные символы. Вводимый пароль на экране не показывается, вместо него выводятся символы «*».
Нажмите кнопку ОК.
Запрос «Смена пароля» будет выдан на экран еще раз. Необходимо повторить ввод пароля.
Нажмите кнопку ОК.
Пароль будет присвоен пользователю.
Маскировка – метода криптографической защиты информации в автоматизированной информационной системе предприятия;
Принуждение – метод защиты учетной информации ввиду угрозы материальной, административной или уголовной ответственности. Последнее реализуется тремя статьями Уголовного кодекса:
«Неправомерный доступ к компьютерной информации» (ст. 272);
«Создание, использование и распространение вредоносных программ для ЭВМ» (ст. 273);
Нарушение правил эксплуатации ЭВМ, систем ЭВМ или их сетей. (ст. 274).
Побуждение – метод защиты информации путем соблюдения пользователями сложившихся морально-этических норм в коллективе предприятия. К морально-этическим средствам относятся, в частности, Кодекс профессионального поведения членов ассоциации пользователей ЭВМ в США.
Юридическая сила документа, хранимого, обрабатываемого и передаваемого с помощью автоматизированных и телекоммуникационных систем, может подтверждаться электронной цифровой подписью.
При передаче документов (платежных поручений, контрактов, распоряжений) по компьютерным сетям необходимо доказательство истинности того, что документ был действительно создан и отправлен автором, а не фальсифицирован или модифицирован получателем или каким-либо третьим лицом. Кроме того, существует угроза отрицания авторства отправителем с целью снятия с себя ответственности за передачу документа. Для защиты от таких угроз в практике обмена финансовыми документами используются методы аутентификации сообщений при отсутствии у сторон доверия друг к другу. Документ (сообщение) дополняется цифровой подписью и секретным криптографическим ключом. Подделка подписей без знания ключа посторонними лицами исключается и неопровержимо свидетельствует об авторстве.
Юридическая сила электронной цифровой подписи признается при наличии в автоматизированной информационной системе программно-технических средств, обеспечивающих идентификацию подписи, и соблюдении установленного режима их использования. Бухгалтер (пользователь) подписывает электронной цифровой подписью с использованием личного ключа, известного только ему, документы, передает их в соответствии со схемой документооборота, а аппаратно-программная система производит проверку подписи. Конфиденциальные документы могут шифроваться на индивидуальных ключах и недоступны для злоумышленников. Система основывается на отечественных стандартах и нормах делопроизводства, практике организации учета документов и контроля действий исполнителей в структурах любой формы собственности (государственной и негосударственной).
Защищенность учетных данных дает возможность:
обеспечить идентификацию/аутентификацию пользователя;
определить для каждого пользователя функциональные права – права на выполнение тех или иных функций системы (в частности, на доступ к тем или иным журналам регистрации документов);
определить для каждого документа уровень конфиденциальности, а для каждого пользователя – права доступа к документам различного уровня конфиденциальности;
подтвердить авторство пользователя с помощью механизма электронной подписи;;
обеспечить конфиденциальность документов путем их шифрования, а также шифрования всей информации, передающейся по открытым каналам связи (например, по электронной почте); шифрование производится с использованием сертифицированных криптографических средств;
протоколировать все действия пользователей в журналах аудита (в журнале аудита входа и выхода из системы, журнале совершенных операций).
Подделка подписи без знания ключа злоумышленниками исключается. При защите учетной информации нужно соблюдать следующий принцип: если вы оцениваете информацию в 100000 рублей, то тратить 150000 рублей на ее защиту не стоит.
Средства контроля в автоматизированных учетных системах размещаются в тех точках, где возможный риск способен обернуться убытками.
Такие точки называются «точками риска», или «контрольными точками». Это те точки, где контроль будет наиболее эффективным и вместе с тем наиболее экономичным. Но как бы ни были эффективны средства контроля, они не могут обеспечить стопроцентную гарантию, в частности, в силу неумышленных ошибок, когда человек вместо цифры 3 набирает цифру 9 или наоборот.