Додатковий конспект

Так как же все-таки обеспечить безопасность в локальной сети? Один из наиболее простых и дешевых способов – сегментировать ее при помощи технологии виртуальных сетей (VLAN), т. е. выделить для каждой из структурных групп свою виртуальную подсеть. Например, бухгалтерию разместить в одном сегменте сети, сетевых администраторов во втором, руководство – в третьем, чтобы ни при каких обстоятельствах трафик из одной подсети не попадал в другую. Наверняка в организации будут какие-то общие ресурсы, к которым обязателен доступ и бухгалтерии, и руководства, и других сотрудников. В этом случае рекомендуется такие ресурсы вынести в отдельную виртуальную подсеть и настроить для доступа в нее правила ограничения и контроля трафика при помощи списков контроля доступа, т. е. точно так же, как это делается на межсетевых экранах. Естественно, коммутаторы локальной сети при этом должны обладать необходимой функциональностью.

Одним из надежных способов обеспечения безопасности является применение протокола IEEE 802.1x. До его появления аутентификация пользователей производилась только на конечных ресурсах – почтовых и Webсерверах, базах данных и др. В результате злоумышленник, подключившись к порту коммутатора, уже мог реализовать определенные типы атак. Стандарт 802.1x позволяет аутентифицировать пользователя на канальном уровне, т. е. непосредственно на порту коммутатора. Если пользователь не прошел аутентификацию, то коммутатор не будет принимать от него и передавать ему пакеты данных. Для организации этого процесса в соответствии с 802.1х в сети нужно установить сервер аутентификации (например, RADIUS) и данный способ аутентификации должен поддерживаться коммутатором и клиентской операционной системой, или же, если в ОС нет встроенных средств, – устанавливается дополнительный саппликант. В продуктах компании Microsoft поддержка 802.1х присутствует начиная с Windows 2000.

Естественно, один из самых эффективных способов обеспечения безопасности в локальных сетях – использование систем обнаружения вторжений (IDS). Такие системы, в отличие от межсетевых экранов, анализируют не только служебные поля пакетов, а и их содержимое, в результате они могут выявлять довольно сложные по реализации атаки, вирусы и «троянские» программы. На сегодняшний день большинство таких систем научились обнаруживать работу пиринговых сетей и различных мессенджеров, работающих поверх стандартных протоколов, чаще всего – HTTP и условно вредоносного ПО

(adware, spyware).

Поскольку IDS просматривают все содержимое пакета (а иногда в качестве такового может выступать заархивированная информация, которую перед проверкой необходимо сначала разархивировать), то производительность их является довольно низкой – это один из основных критериев при выборе системы обнаружения вторжений.

Данные системы для обнаружения атак могут использовать различные механизмы. Наиболее распространенный способ – сигнатурный анализ – заключается в том, что информация, передаваемая в полях данных пакетов,

сравнивается с сигнатурами (описаниями атак) на предмет совпадения. Например, наличие строки «GET . cgi-bin ./etc/passwd» в области данных HTTP-пакета свидетельствует об использовании эксплойтов типа phf, php или aglimpse. Недостаток этого способа в том, что обнаружить можно лишь известные атаки, сигнатуры которых уже подготовлены и загружены в устройство. Для выявления неизвестных атак используется эвристический анализ, а также анализ аномалий в сетевой активности и в работе системы.

В зависимости от типа и реализации IDS могут выполнять определенные действия: уведомлять системного администратора, отбрасывать пакеты вредоносной сессии, разрывать такую сессию, удалять вредоносное содержимое из поля данных пакета, запрещать изменение системной информации.

Рис. 7. Прозрачные сетевые IDS (Transparent Network IDS – TNIDS) устанавливаются в

Рис. 8. Сенсорные сетевые IDS (Sensor Network IDS – SNIDS) подключаются к прослушивают попадающий на него трафик

Рис. 9. Системы обнаружения вторжений в первую очередь устанавливаются между се и в демилитаризованных зонах, организованных на интерфейсах экрана

Существует три основных класса систем обнаружения вторжений. Прозрачные сетевые IDS (Transparent Network IDS – TNIDS) устанавливаются в разрыв сетевого подключения (рис. 7). Сенсорные сетевые IDS (Sensor Network IDS – SNIDS, рис. 8) подключаются к сегменту сети одним портом и прослушивают трафик, попадающий на этот порт. Если локальная сеть является коммутируемой, то подключение сенсорных IDS производят к зеркальным портам коммутаторов, на которые направляется необходимый для прослушивания трафик. Хостовые IDS (Host IDS – HIDS) представляют собой программное обеспечение, инсталлируемое на рабочих станциях или серверах и обеспечивающее их защиту.

Устанавливать системы обнаружения вторжений следует в первую очередь между сетевым экраном и локальной сетью и в демилитаризованных зонах, организованных на интерфейсах экрана (рис. 9). В этом случае IDS будут обеспечивать как безопасность периметра сети (поскольку сами межсетевые экраны не обладают такой функциональностью), так и защиту локальной сети (при реализации атаки из которой взломщику все равно потребуется передать какую-то информацию во внешние сети и в этом случае IDS смогут обнаружить такую атаку). Рекомендуется устанавливать IDS-системы и в самых критических

местах локальной сети, например, в сегментах, где находятся рабочие места руководства компании, в зонах подключения серверных ферм, магистральных каналах связи (между коммуникационными центрами). Но важно помнить, что производительность IDS ограничена и контроль трафика в таких местах как серверные фермы и магистральные соединения может быть затруднительным.

Для серверов оптимальным будет применение хостовых IDS. Иногда системы обнаружения вторжений устанавливают перед брандмауэром или маршрутизатором, со стороны его WAN-порта. В этом случае можно более точно отследить, кто, каким образом и к каким ресурсам пытается получить доступ, но данная IDS будет генерировать значительное количество сообщений, которые придется разбирать системным администраторам, на что нередко не хватает ресурсов. Поэтому чаще всего IDS устанавливают так, чтобы они обнаруживали атаки, прошедшие через межсетевой экран или реализованные из локальной сети.

Системы IDS могут быть выполнены в виде отдельного аппаратного устройства, программного обеспечения, модулей или программных служб межсетевых экранов, маршрутизаторов или коммутаторов. Некоторые межсетевые экраны имеют встроенные службы обнаружения вторжений, но они, как правило, используют только сигнатурный способ. У разных производителей различный подход к реализации систем IDS. Например, в продуктовой линейке компании Cisco есть выделенные полноценные аппаратные SNIDS, HIDS, модули к маршрутизаторам и коммутаторам, реализующие различные механизмы обнаружения вторжений, большие обновляемые базы сигнатур, при этом межсетевые экраны Cisco (PIX) поддерживают довольно ограниченную необновляемую базу. Компания D-Link не имеет выделенных систем IDS, но ее межсетевые экраны оснащены полноценными встроенными IDS с обновляемыми базами сигнатур.

Кроме систем обнаружения вторжений существуют еще и системы предотвращения вторжений (Intrusion Prevention System – IPS). Данный термин применяют для двух абсолютно разных классов устройств. Во-первых, так называют системы обнаружения вторжений, умеющие выполнять активные действия, т. е. разрывать сессии, удалять вредоносное содержимое и т. д. (говоря о таких системах, чаще всего используют аббревиатуру IDS/IPS). Во-вторых, этим термином именуют анализаторы безопасности. Как правило, это программное обеспечение, позволяющее проанализировать хосты системы на предмет наличия последних сервисных пакетов и заплаток, открытых портов, запущенных, но не использующихся служб, правильности настроенной политики безопасности и аудита. Такие анализаторы выдают подробные отчеты об обнаруженных потенциальных уязвимостях и рекомендации по их устранению. Из бесплатных продуктов хотелось бы выделить анализатор для ПО Microsoft – Microsoft Baseline Security Analyzer (MBSA), который доступен для свободной загрузки с сайта компании.

Построение демилитаризованных зон – пример

Необходимость и правила построения демилитаризованных зон лучше всего рассмотреть на примере реальной корпоративной сети. В данном случае для

каждой из них выделен отдельный физический интерфейс межсетевого экрана. Интерфейс WAN подключен к публичной сети (Интернету), LAN – к локальной сети, в которой находятся все корпоративные службы: контроллер домена, корпоративный почтовый сервер, прокси-сервер для обеспечения доступа пользователей в Интернет, DNS-сервер, обслуживающий локальную сеть, базы данных и др. На интерфейсе DMZ1 расположена демилитаризованная зона, обеспечивающая доступ к Интернету корпоративных (локальных) пользователей. На интерфейсе DMZ2 – зона, в которой размещены корпоративные ресурсы с доступом со стороны внешних клиентов, например, Web- и FTP-серверы, к которым может обратиться любой пользователь Интернета.

Построение демилитаризованных зон на примере организации служб реальной корпоративной сети

На межсетевом экране при помощи статических пакетных фильтров создаются списки контроля доступа – в них указывается, кто и куда имеет право заходить. Прежде всего запрещается любой обмен трафиком между LAN- и WAN-интерфейсами. Если какому-то локальному клиенту необходим доступ в Интернет, он обращается к соответствующей службе в локальной сети, последняя, в свою очередь, – к службе-посреднику в зоне DMZ1, а посредник – к нужному ресурсу в Интернете. Почему все так сложно? Рассмотрим на примере почтовой службы. На корпоративном почтовом сервере производится аутентификация пользователей (причем, как правило, не локально на самом сервере, а при помощи какой-то централизованной базы, скажем, на котроллере домена Windows NT/2000/2003) и поддерживаются их почтовые ящики. Если такому серверу мы разрешим непосредственно выходить в Интернет, то в случае его взлома нарушитель может получить доступ к конфиденциальной информации, хранящейся в почтовых ящиках пользователей, а также к их учетным записям. Даже не получив доступа к почтовым ящикам, злоумышленник может вывести из строя сервер, на восстановление которого потребуется несколько дней. Если же в DMZ1 установить SMTP Relay и разрешить почтовому серверу общаться только с ним, задача взломщика значительно усложнится: ему необходимо будет сначала взломать Relay, установить туда «троянскую» программу, а с него уже производить атаку почтового сервера в локальной сети.

Вывод из строя посредника тоже ничем особым не грозит – его восстановление займет не более пары часов. То же самое касается и прокси-служб для доступа пользователей к HTTP, FTP и другим ресурсам. DNS-серверы, находящиеся в локальной сети и в DMZ1, вообще не общаются друг с другом. Атаки на них чреваты довольно серьезными последствиями, так как вывод из строя локального DNS-сервера может парализовать работу практически всех локальных служб, т. е. приведет к остановке всей информационной системы предприятия. Поэтому DNS-сервер, расположенный в локальной сети, производит

разрешение имен только для локальных служб, а запросы к внешнему DNSсерверу, установленному в DMZ1, выполняют прокси-службы, находящиеся в той же зоне, и внешние пользователи. Как правило, DNS-зоны внешнего DNS-сервера дублируются еще и на серверах провайдера.

Если зона DMZ1 предназначена для доступа локальных пользователей к чужим ресурсам, то зона DMZ2 – наоборот, для доступа чужих пользователей к собственным (чаще всего ими являются Web- и FTP-серверы). На сегодняшний день реализация Web-служб далека от совершенства: они обладают наибольшим количеством уязвимостей, а если в них используются еще и какие-то скриптовые интерпретаторы, то более удобной точки входа в корпоративную сеть для взломщика не найти. Поэтому такие службы категорически не рекомендуется устанавливать в локальной сети и лучше всего вынести их в отдельную демилитаризованную зону.

Безопасность в беспроводных сетях

Как известно, в беспроводных сетях данные передаются с помощью радиосигнала, который, в отличие от кабельных систем, не имеет четко определенных границ и точек терминации. Естественно, это значительно затрудняет контроль над подключением устройств к такой сети. Учитывая особенности технологии, классические способы обеспечения безопасности могут не оказать должного эффекта, поэтому для защиты таких сетей используются специально разработанные механизмы и алгоритмы защиты.

Как защитить беспроводную сеть? Существует специальный стандарт, призванный обеспечить безопасные коммуникации в беспроводных сетях - IEEE 802.11i. Последний вводит понятие надежно защищенной сети (Robust Security Network, RSN) и надежно защищенного сетевого соединения (Robust Security Network Association, RSNA), после чего делит все алгоритмы на RSNA (для создания и использования RSNA) и Pre-RSNA. К Pre-RSNA-алгоритмам относятся WEP и существующая аутентификация IEEE 802.11 (имеется в виду аутентификация, определенная в стандарте редакции 1999 г.). То есть к данным типам алгоритмов относятся аутентификация Open System с WEP-шифрованием или без (точнее, отсутствие аутентификации) и Shared Key. К RSNA-алгоритмам относятся TKIP, CCMP, процедура установления и терминации RSNA (включая использование IEEE 802.1x аутентификации) и процедура обмена ключами.

Таким образом, способами шифрования, удовлетворяющими RSNA,

являются: WPA-EAP (WPA-Enterprise), WPA-PSK (WPA-Preshared Key, WPAPersonal), WPA2-EAP (WPA2-Enterprise), WPA2-PSK (WPA2-Preshared Key, WPA2-Personal). На сегодняшний день нет известных уязвимостей для WPA и WPA2. Разница между WPA и WPA2 заключается в использовании в последней более криптостойкого алгоритма - AES.

Для работы алгоритмов WPA-EAP и WPA2-EAP необходимо наличие в сети сервера аутентификации, который при каждом подключении пользователя будет производить его аутентификацию и выдавать ему персональный ключ. WPA-PSK и WPA2-PSK не требуют наличия сервера аутентификации. Ключ генерируется из парольной фразы, прописанной на точке беспроводного доступа и клиентах.

Недостаток WPA-PSK и WPA2-PSK заключается в том, что, во-первых, прописываемая парольная фраза одинакова для всех клиентов сети, т.е. если ктото из пользователей сообщит ее злоумышленнику, то мы даже не узнаем кто это сделал, во-вторых, если парольная фраза не будет достаточно уникальной, то возможен ее подбор при помощи простого перебора.

Если наша сеть является сетью организации, то крайне рекомендуется использовать алгоритмы WPA-EAP и WPA2-EAP, если же это домашняя сеть, то вполне достаточно и WPA-PSK или WPA2-PSK. Кроме нас самих, других пользователей нет, т.е. парольную фразу никто никому не сообщит, и при небольшом количестве беспроводных устройств мы можем ее довольно часто менять. Если мы используем беспроводные устройства в режиме моста, т.е. организуем, например, беспроводную связь между двумя офисами при помощи двух точек доступа, то в этом случае мы можем использовать только алгоритмы WPA-PSK и WPA2-PSK, в результате необходимо или довольно часто менять на точках доступа парольные фразы или же поднять поверх такой сети шифрованный туннель, например, при помощи протокола IPSec. Из классических способов обеспечения безопасности целесообразным будет вынос беспроводной сети в отдельную демилитаризованную зону с установкой туда системы обнаружения вторжений и настройка на точках доступа фильтров по MACадресам. Более подробно об обеспечении безопасности в беспроводных сетях можно прочитать в предыдущих номерах журнала (itc.ua/17055 и itc.ua/21244).

2. Контроль ввода, обработки и сохранения информации.

При создании информационных систем на основе компьютеров проблема ввода и контроля первичной информации очень часто является одной из самых острых. Организации в процессе своей деятельности создают реки всевозможных документов, которые надо “укротить” и направить в компьютерное русло.

Значительная часть таких документов структурирована, и структура их может быть представлена как набор полей. Это анкеты и квитанции, бланки заказа, и накладные и т. п. — все, что называется формами. Бумажные формы заполняют вручную или с помощью печатающих устройств, и раньше, да часто и сейчас, их вручную же переносили в компьютерные системы. Появление сканеров позволило автоматизировать процесс переноса, и именно в этом направлении начала свою работу компания Cognitive Technologies в 1994 г.

Выполнив к настоящему времени ряд крупных проектов по “укрощению” форм, она добилась признания на российском рынке формооборота (так ее специалисты предлагают переводить название технологии Forms processing).

В последние годы появились и стали широко использоваться электронные формы, такие, как бланки заказа товара в Интернет-магазине или анкеты, присылаемые для заполнения по электронной почте. Преимущества этих форм очевидны: расширение круга источников данных, ускоренный процесс получения информации и т. д. Но перед организациями, где применяются и электронные и бумажные формы, встала проблема их совместной эффективной обработки.

5 апреля фирма Cognitive Technologies провела пресс-конференцию в связи с выходом CT Forms, комплексной системы документооборота электронных и бумажных форм, решающей задачи совместной обработки различных форм. Она уже прошла “проверку боем” в Пенсионном фонде РФ и Газпромбанке, представители которых выразили удовлетворение полученными результатами.

Электронные документы в HTML или PDF-форматах можно отправлять по e-mail или заполнять на Web-сайте. Все процессы контроля и последующей обработки, существующие для бумажных видов, применяются и в этом случае. Все прошедшие обработку формы могут поступать в одно хранилище.

По мнению представителей Cognitive Technologies, российский рынок формооборота в ближайшие годы ожидает бум, и они надеются, что их система найдет широкое применение.

3. Безопасность и защита сети.

Вредоносное программное обеспечение представляет с каждым годом все большую опасность для пользователей компьютеров, причем в первую очередь — для корпоративных пользователей.

Опасность эта заключается в том, что вредоносное ПО способно собирать информацию о лицах или организациях без их ведома. Такие программы представляют большую опасность для корпоративных сетей, вызывая утечку ценных конфиденциальных данных и катастрофическое падение скорости процессов в сети. Кроме того, они могут нанести непоправимый вред пользовательской информации, уничтожить и повредить ценные данные, вызвать сбои в работе рабочих станций.

По данным опроса, проведенного в США в январе 2005 года, две трети администраторов считают вредоносное ПО главным врагом безопасности своих сетей.

Acronis предлагает надежное средство против этой угрозы. Программный пакет Acronis Privacy Expert Corporate 9.0 обеспечивает упреждающую защиту

корпоративной сети от внедрения вредоносных программ, способных украсть важную информацию и снижающих производительность компьютера. Новая версия 9.0 содержит новые возможности, которые обеспечивают надежную защиту от вредоносного программного обеспечения.

Новые возможности Улучшенный алгоритм поиска и удаления вредоносного ПО, включая

обнаружение и удаление программ, осуществляющих руткитные (RootKit) действия;

Новый алгоритм в основе Службы защиты Acronis; возможность установки уровня упреждающей защиты (высокий, средний или низкий);

Ежедневные обновления базы данных вредоносного ПО;

Улучшенный Мастер управления карантином;

Обновленный Pop-up Blocker с возможностью установки уровня защиты (высокий, средний или низкий) и выбора типа блокируемой информации.

Системные требования

PC-совместимый компьютер с процессором Pentium или аналогичным; 256 Мб ОЗУ; дисковод гибких дисков или устройство чтения-записи компакт-дисков;

манипулятор "мышь" (рекомендуется);

Microsoft Internet Explorer версии не ниже 4.0 (для корректной работы блокировщика всплывающих окон).

Поддерживаемые операционные системы

Для Консоли управления Acronis Privacy Expert Corporate: MS Windows 98 / Me;

MS NT 4.0 Workstation Service Pack 6 / 2000 Professional / XP Professional;

MS NT 4.0 Server Service Pack 6 / 2000 Server / 2000 Advanced Server,

2003 Server.

Для Агента Acronis Privacy Expert Corporate: MS Windows 98 / Me;

MS Windows NT 4.0 Workstation SP 6 / 2000 Professional / XP Professional.

Услуги / Защита сетей

Информационная безопасность, защита сетей

Обеспечение информационной безопасности - это одна из самых важных и одновременно самых сложных и дорогих задач, которые приходится решать предприятию, имеющему ИТ структуры. Здесь очень важен системный подход, когда отдельные проблемы решаются в рамках всей системы, а не происходит разрозненного затыкания дыр. Кроме того, следует осознавать основную парадигму в области защиты информации: данные считаются надежно защищенными только тогда, когда расходы на их несанкционированное получение превышают собственную ценность данных.

Мы готовы предоставить Вам услуги по обеспечению информационной безопасности Ваших данных, где бы они не находились: при обработке, в системе хранения, при передаче по сети.

разработка политики информационной безопасности бизнеса

выбор технических средств обеспечения информационной безопасности

установка и настройка систем обнаружения вторжений

установка и настройка антивирусного ПО

установка и настройка систем резервного копирования

разработка политики информационной безопасности бизнеса

Самое главное в обеспечении информационной безопасности бизнеса - это политика безопасности. Все технические средства - это всего лишь средства обеспечения политики информационной безопасности. Именно политика безопасности, как набор правил по всем аспектам информационной безопасности предприятия. Политика безопасности содержит:

анализ рисков и угроз

классификацию информации по типам

роли, ответственность и обучение персонала

административные процедуры

технические процедуры по действиям в нештатных ситуациях, при авариях, взломах системы, стихийных бедствиях.

регламент процедур резервного копирования

регламент процедур применения технических средств

Наличие правильно разработанной политики информационной безопасности предприятия и следование ей всех сотрудников в рамках их должностных обязанностей является необходимым условием для того, чтобы Ваш бизнес был безопасным. Мы поможем Вам выработать политику безопасности на основе анализа Вашей ИС, бизнес процессов и ролей, а также потоков информации.

выбор технических средств обеспечения информационной безопасности

Имея в своем распоряжении политику информационной безопасности предприятия, можно приступать к выбору технических средств, которые будут эту политику обеспечивать. Выбор этот довольно сложен, поскольку необходимо принимать во внимание технические характеристики различных устройств (межсетевые экраны, системы обнаружения вторжений, VPN концентраторы, и т.д.), их совокупную стоимость владения, нормативно-правовые документы в этой области и т.д. А-Реал Консалтинг имеет немалый опыт работы с различными типами оборудования, обеспечивающего информационную безопасность, и может оказать Вам содействие в принятии решения.

установка и настройка систем обнаружения вторжений

Далеко не все угрозы информационной системе исходят от прямого технического преодоления системы безопасности (взлома, несанкционированного доступа), однако именно эти проблемы, как правило, приводят к наибольшим убытками и ущербу для репутации фирмы. Вовремя распознать атаку на вашу информационную систему и предпринять ответные меры Вам поможет система обнаружения вторжений. Существуют системы обнаружения вторжений, устанавливаемые в сети или на отдельные компьютеры.

установка и настройка антивирусного ПО

Вирусы и черви могут нанести серьезный урон информационной системе, замедлить или остановить ее работу. В борьбе с вирусами основная роль отводится человеку, т.е. факторам обучения и ответственности персонала, однако технические средства могут существенно помочь в решении этих задач. Речь идет о программном обеспечении, которое выявляет и уничтожает вирусы на жестких дисках рабочих станций и серверов, в почте, в файлах, загружаемых через WWW, и т.д.

установка и настройка систем резервного копирования

Какой бы защищенной не была Ваша система, предусмотреть абсолютно все - невозможно. Поэтому, для того, чтобы даже природные или техногенные катастрофы не смогли нарушить непрерывность Вашего бизнеса, следует позаботиться о резервном копировании информации. Желательно выполнять

копирование за пределы здания или района, в котором находится Ваш офис. Естественно, что процедуры резервного копирования должны быть автоматизированы, а данные надежно защищены. А-Реал Консалтинг предложит Вам решения этой и многих других задач.

Мы советуем Вам отнестись к вопросу защиты информации с максимальной серьезностью, и не забывать, что система защиты не строится раз и навсегда, а должна непрерывно развиваться, подвергаясь аудиту и модернизации. Только так Вы сможете обрести уверенность в том, что информационная составляющая Вашего дела надежно защищена. Мы приглашаем Вас воспользоваться нашими услугами в области защиты информации.

4. Деловая этика использования информационных систем.

Использование информационных систем для повышения рентабельности бизнеса

Функциональность, качество и экономичность - три направляющих развития моды 21 века. Вы можете обратить на это внимание везде: от дизайна и технических характеристик современных автомобилей (максимум автоматики и эргономичности при минимальном расходе топлива) до модной женской одежды (вырезы, укороченные подолы и рукава, прикрывают, хотя бы в вертикальном положении, основные части женского тела и при этом экономятся метры ткани, кружева и килограммы страз).

Безусловно, наука о менеджменте не осталась в стороне от этого процесса. Базой всех современных управленческих теорий стала теория экономного производства (Lean Production), которая пропагандирует минимум затрат при максимуме результатов. Согласно этой теории, ключевым методом достижения экономичности является использование Информационных систем (ИС) для поддержки основных бизнес-процессов.

Для чего внедряется ИС?

1. ИС позволяют автоматизировать стандартные (повторяющиеся по времени и похожие по сути) операции и тем самым - высвободить время специалистов на выполнение нестандартных операций.

Например, бухгалтер ежедневно составляет одни и те же проводки, сводит информацию в стандартные формы к указанному сроку. Все это может проделать машина при наличии специальной программы и оператора, который будет вносить в нужные поля информацию. Пообщаться же с господами из Налоговой и доступно им объяснить, куда уходит прибыль компьютер не сможет, а бухгалтер, если он хороший специалист и у него достаточно времени подумать, - сумеет. Еще хороший бухгалтер может предложить и обосновать нововведения в учетной политике предприятия, сделать много других добрых и полезных для фирмы дел, на которые у него не хватает времени из-за большого количества рутины.

2. ИС интегрирует информационные потоки.

Эта функция позволяет устранить огромное количество дублирующихся работ, связанных с заполнением различных форм отчетности. Более 40% своего рабочего времени специалисты тратят на то, что переписывают из одного или нескольких