"Финансовая газета. Региональный выпуск", 2008, N 41
В современных условиях нельзя недооценивать важность обеспечения информационной безопасности. Малейшая утечка конфиденциальной информации к конкурентам может привести к большим экономическим потерям для фирмы, остановке производства и даже к банкротству.
Целями информационной безопасности являются: предотвращение утечки, хищения, утраты, искажения, подделки информации; предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации; предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы организации.
К расходам на защиту информации относится в основном приобретение средств, обеспечивающих ее защиту от неправомерного доступа. Средств обеспечения защиты информации множество, условно их можно разделить на две большие группы. Первая - это средства, которые имеют материальную основу, такие, как сейфы, камеры видеонаблюдения, охранные системы и т.д. В бухгалтерском учете они учитываются как основные средства. Вторая - средства, которые не имеют материальной основы, такие, как антивирусные программы, программы ограничения доступа к информации в электронном виде и т.д. Рассмотрим особенности учета таких средств обеспечения информационной безопасности.
При покупке программы для обеспечения защиты информации исключительные права на нее не переходят к покупателю, приобретается лишь защищенная копия программы, копировать или распространять которую покупатель не может. Поэтому при учете таких программ следует руководствоваться гл. VI "Учет операций, связанных с предоставлением (получением) права использования нематериальных активов" нового ПБУ 14/2007 "Учет нематериальных активов".
В редких случаях при приобретении программ защиты информации к фирме переходят исключительные права на данный продукт. В этом случае программа будет учитываться в бухгалтерском учете как нематериальные активы (НМА).
Согласно ПБУ 14/2007 в бухгалтерском учете НМА, предоставленные в пользование на условиях лицензионного соглашения, платежи за право использования которых производятся в виде фиксированного разового платежа и исключительные права на которые не переходят к покупателю, должны учитываться у получателя в составе расходов будущих периодов и отражаться на забалансовом счете (п. 39). При этом срок, в течение которого данные расходы будут списываться на счета затрат, устанавливается лицензионным соглашением. В налоговом учете затраты на приобретение программ для защиты информации для целей налогообложения прибыли учитываются в качестве прочих расходов и списываются аналогично - равными частями в течение срока, установленного в лицензионном соглашении (пп. 26 п. 1 ст. 264 НК РФ).
Если оплата за право использования программного продукта, обеспечивающего информационную защиту, производится в виде периодических платежей, то согласно п. 39 ПБУ 14/2007 они включаются пользователем в расходы отчетного периода, в котором были произведены.
На практике в лицензионном соглашении не всегда указан срок использования программного обеспечения. Когда связь между доходами и расходами не может быть определена четко, в налоговом учете расходы на приобретение программ для защиты информации распределяются налогоплательщиком самостоятельно в целях исчисления налога на прибыль с учетом принципа равномерности признания доходов и расходов (п. 1 ст. 272 НК РФ). В бухгалтерском учете срок, в течение которого данные расходы будут списываться со счета 97, устанавливается руководством предприятия исходя из предполагаемого времени использования программы.
Пример 1 . ОАО "Альфа" приобрело лицензионную копию антивирусной программы у ООО "Бетта" за 118 000 руб., в том числе НДС (18%). Лицензионным соглашением установлен срок использования программы 9 месяцев.
В бухгалтерском учете ОАО "Альфа" программу следует учесть следующим образом:
Д-т 60, К-т 51 - 118 000 руб. - поставщику оплачена стоимость программного обеспечения;
Д-т 60, К-т 97 - 100 000 руб. - полученная программа отражена в качестве расходов будущих периодов;
Д-т 002 - 100 000 руб. - полученная программа отражена на забалансовом счете;
Д-т 19, К-т 60 - 18 000 руб. - выделен НДС;
Д-т 68, К-т 19 - 18 000 руб. - принят к вычету НДС;
Д-т 26 (44), К-т 97 - 11 111,11 руб. (100 000 руб. : 9 мес.) - ежемесячно в течение 9 месяцев стоимость антивирусной программы равными частями списывается на расходы.
Изменим условия примера 1: допустим, ОАО "Альфа" осуществляет платеж не единовременно, а равными частями на протяжении всего срока действия лицензионного договора. Суммы платежей составят 11 800 руб. за каждый месяц, в том числе НДС.
В этом случае в бухгалтерском учете будут сделаны следующие записи:
Д-т 002 - 90 000 руб. (10 000 руб. x 9 мес.) - полученная программа отражена на забалансовом счете;
Д-т 60, К-т 51 - 11 800 руб. - ежемесячно в течение 9 месяцев поставщику оплачивается стоимость программного продукта;
Д-т 19, К-т 60 - 1800 руб. - выделен НДС;
Д-т 26 (44), К-т 60 - 10 000 руб. - стоимость программы списана на расходы;
Д-т 68, К-т 19 - 1800 руб. - принят к вычету НДС.
Часто до истечения лицензионного соглашения компания - разработчик программ информационной защиты выпускает их обновление. В этом случае расходы в бухгалтерском и налоговом учете будут приниматься единовременно по факту обновления.
Также распространена практика, когда компания-разработчик для ознакомления безвозмездно предоставляет свое программное обеспечение организациям на небольшой срок. Для того чтобы правильно отразить безвозмездно полученную программу информационной защиты, ее нужно учесть в составе доходов будущих периодов по рыночной стоимости.
Пример 2 . ООО "Бетта" для ознакомления безвозмездно предоставило ОАО "Альфа" программное обеспечение по информационной безопасности сроком на 3 месяца. Рыночная цена данного программного продукта - 3300 руб.
В бухгалтерском учете ОАО "Альфа" следует сделать следующие записи:
Д-т 97, К-т 98 - 3300 руб. - принято к учету безвозмездно полученное программное обеспечение;
Д-т 98, К-т 91 - 1100 руб. - ежемесячно в течение трех месяцев часть дохода будущих периодов принимается в качестве прочих доходов.
В налоговом учете доходы от безвозмездно полученной программы также будут приниматься в течение трех месяцев (п. 2 ст. 271 НК РФ).
К расходам на защиту информации относятся не только приобретение средств обеспечения информационной безопасности, но также расходы на консультационные (информационные) услуги по защите информации (не связанные с приобретением нематериальных активов, основных средств или других активов организации). Согласно п. 7 ПБУ 10/99 "Расходы организации" затраты на консультационные услуги в бухгалтерском учете включаются в состав расходов по обычным видам деятельности в том отчетном периоде, когда они были произведены. В налоговом учете они относятся к прочим расходам, связанным с производством и реализацией продукции (пп. 15 п. 1 ст. 264 НК РФ).
Пример 3 . ООО "Бетта" оказало консультационные услуги по информационной безопасности ОАО "Альфа" на общую сумму 59 000 руб., в том числе НДС - 9000 руб.
В бухгалтерском учете ОАО "Альфа" должны быть сделаны записи:
Д-т 76, К-т 51 - 59 000 руб. - оплачены консультационные услуги;
Д-т 26 (44), Кт 76 - 50 000 руб. - консультационные услуги по информационной безопасности списаны на расходы по обычным видам деятельности;
Д-т 19, К-т 76 - 9000 руб. - выделен НДС;
Д-т 68, К-т 19 - 9000 руб. - принят к вычету НДС.
Предприятия, применяющие УСН, в качестве расходов, уменьшающих налогооблагаемую базу по налогу на прибыль, согласно пп. 19 п. 1 ст. 346.16 НК РФ смогут принять только затраты на приобретение программ, обеспечивающих информационную безопасность. Расходы на консультационные услуги по информационной безопасности в ст. 346.16 НК РФ не упоминаются, поэтому для целей налогообложения прибыли организации принять их не вправе.
В.Щаников
Ассистент аудитора
департамента аудита
ООО "Бейкер Тилли Русаудит"
Ф.С.Сейдахметова –д.э.н., профессор
Б.К.Ахметбекова. – соискатель
ЕНУ им.Л.Гумилева
Отдельные вопросызащитыбухгалтерских данных
в информационных систем учета
В современных условиях особую актуальность приобретают проблемыобеспечениясохранности бухгалтерской информации, в целях обеспечениянаибольшей степень защитыееданных. По статистикеболее 80% компаний и агентств несут финансовые убытки из-занарушениясистемы безопасности. Поэтому многиефирмысейчасзанимаютсяразработкой различных антивирусныхпрограмм,системразграничениядоступа к данным, защитыоткопированияит.д.Объясняетсяэтовозрастающей необходимостью разработки методовзащиты в целях болееэффективного функционирования на рынке.
Под термином "защита" подразумевается способ обеспечения безопасностивсистеме обработки данных (СОД).Однако решение данной задачизначительноусложняетсяпри организациикомпьютернойобработки бухгалтерской информациивусловияхколлективногопользования, где сосредотачивается, обрабатывается инакапливаетсяинформацияразличногоназначенияи принадлежности. В системах коллективногопользования бухгалтерской информацией,имеющихразвитуюсетьтерминалов, основнаясложность обеспечениябезопасности состоит в том, что потенциальный нарушитель является полноправным абонентом системы. Вкачествеосновныхобъективныхпричин,определяющих необходимостьобеспечениясохранности информации,можновыделитьследующие:
1.Увеличивающие темпы роста количественного икачественного применения ЭВМ и расширениеобластейих использования;
2 Постоянно возрастающие потоки новых видов и объемов информации,которые человек должен воспринимать и перерабатыватьвпроцессе своей деятельности;
3.Необходимость более эффективного использованияресурсоввэкономике предприятия,с помощью научных достижений, нацеленныхпринятия обоснованных решенийнаразличныхуровняхуправления
4. Высокая степень концентрацииинформациивцентрах ее обработки.
Защита информации бухгалтерского учета обычно сводится к выбору средствконтролязавыполнениемпрограмм,имеющихдоступк информации,хранимойвСОД.В этой связи при создании информационных систем учета необходимаее нацеленностьна защитупользователей бухгалтерскихданныхкакдруготдруга, такиотслучайных,и целенаправленныхугрознарушениясохранности данных. Кроме того,принятыемеханизмыобеспечения сохранностиучетной информации должны предоставлятьпользователюсредствадлязащиты его программ и данныхотнегосамого. Рост количестваабонентов, пользующихся услугами информационной системывзаимноесопряжениеразличных ЭВМ при обмене информацией с подключенными к ним удаленными абонентскими терминальнымиустройствами,образуютсложные информационно-вычислительныесети. Поэтому становится невозможнымустановление несанкционированногодоступак информации Усложнение вычислительного процессанаЭВМ,работавмультипрограммноми мультипроцессорном режиме,создают условия для поддержания связи созначительным числомабонентов.Актуальным становится решение проблемыфизическойзащитыинформации,и ее сохраненияинформацииотдругихпользователейили несанкционированногоподключенияпользователя,специально вклинивающегося в вычислительный процесс.
Следовательно, необходимо установить требованияксистемеобеспечениясохранности бухгалтерской информации, включая такие пункты как:
Отдельнаяидентификацияиндивидуальных пользователей итерминалов;
Создание индивидуальныхпрограмм (заданий) по имениифункциям;
Контроль бухгалтерскихданныхпри необходимости до уровня записиилиэлемента.
Ограничитьдоступ к информации позволяет совокупностьследующихспособов:
Иерархическая классификация доступа;
Классификациябухгалтерской информацииповажностииместу ее возникновения;
Указание специфических ограничений и приложение ихк информационным объектам,напримерпользовательможет осуществлятьтолькочтениефайлабезправазаписи в него.
Системаобеспечениясохранности информациидолжнагарантировать,чтолюбоедвижениеданных бухгалтерского учета идентифицируется, авторизуется, обнаруживается и документируется.
К числу организационныхтребований ксистеме защиты информации следует отнести:
Ограничение к доступу к вычислительной системе(регистрацияисопровождениепосетителей);
Осуществлениеконтролязаизменениямивсистеме программного обеспечения;
Выполнение тестирования и верификации к изменениям в системепрограммногообеспеченияипрограммахзащиты;
Поддерживаниевзаимного контроля за выполнением правилобеспечениясохранностиданных;
Установление ограничений впривилегиях персонала, обслуживающего СОД выполнение гарантийных требований в случае нарушений;
Проведениезаписей протоколаодоступексистеме, а также компетентности обслуживающего персонала.
В этой связи целесообразно разработать и утвердить письменные инструкции:
На запуск и остановку информационной системы учета;
На контроль за использованием магнитных лент, дисков, карт,листингов,
На прослеживание за порядком измененияпрограммного обеспечения и доведение этих изменений до пользователя,
Попроцедуре восстановлениясистемыприсбойныхситуациях.
На политикуограниченийприразрешенныхвизитах в вычислительный центр,
На определениеобъемавыдаваемой бухгалтерской информации.
При этом важно разработать систему протоколирования использования ЭВМ, ввода данных и вывода результатов, обеспечивая проведение периодической чистки архивов ихранилищлент,дисков, картдляисключенияиликвидации неиспользуемых;бухгалтерских документов в соответствии с установленными стандартами.
Следуетиметьввиду,чтовсетипызащиты взаимосвязаны и при не выполнении своих функций хотя бы одной из них, нанет сводятся усилия других. К преимуществам программных средствзащитыможноотнестиих невысокую стоимость, простоту разработки.
Впоследнеевремяширокое распространениеполучилитак называемы электронныеключи . Этоустройство подключаетсяккомпьютеру через порт LPT . Приэтомэлектронныйключнемешает нормальной работе параллельного порта и полностью "прозрачен" для принтераидругихустройств. Ключи могут соединяться каскадно и в цепочке, а также могут работать совершенноразнотипныеключи,выпущенныеразными фирмами.
Причем они могутвыполнять различные функции,например, защитупрограммотнесанкционированном копирования, а также способныобнаруживатьфактзаражениязащищеннойпрограммы различнымивидамифайловых вирусов. Прииспользовании электронныхключейдлягенерациишифровальных ключей отпадает необходимостьихзапоминатьилизаписывать, а затем вводить с клавиатуры.Ключнеимеетвстроенныхисточниковпитанияи сохраняетзаписаннуювнегоинформациюприотключенииот компьютера.Наиболеераспространены в настоящее время ключи американскойфирмы"Software Security Inc". Эта фирма выпускает ключидляDOS, WINDOWS, UNIX, OS/2, Macintosh. Электронные ключи могут быть каксодноразовой записью,такиперепрограммируемые и могут содержатьэнергонезависимую память.
Наряду с этимраспространены пластиковые идентификационные карты (ИК) с достаточновысокимобъемомпамяти позволяющие ограничитьнесанкционированный доступ к бухгалтерской информации. Такойаппаратно-программный комплекссостоит из следующих частей: специальнойплаты,котораявставляетсявслот расширения ПК, устройствасчитыванияинформации с ИК и самих ИК;программной части:драйверадля управления платой и устройством считываниясИК.
Впрограммнуючасть комплекса может входить такжепрограммноеобеспечениедляорганизации разграничения доступакчастями разделам жесткого диска, посредством запрашиванияпароля. Таким образом, исключается входвсистемупоукраденной карточке. Примером подобного аппаратно - программногокомплекса защиты может быть разработка фирмы Datamedia. Серия еекомпьютеровNetmateоборудованаспециальнымустройством Securecardreader-считывателькартбезопасности.Карты безопасностипоисполнению представляют собойодин из вариантов кредитных карт. Наих магнитномносителеспомощьюспециальнойаппаратуры, которая имеетсятольков распоряжении администратора, делается запись о пользователе:егоимя,парольиописываютсявсе полномочия, которыеонполучаетпри входе в систему. В частности, на карте записано,сколько раз пользователь может пытаться указать пароль при входе. Таким образом, случайная потеря карты безопасности или еекражанепозволяетзлоумышленникуполучитьдоступк компьютеру. Только сознательная передача картыбезопасностикому-тоодновременнос разглашением пароля можетоткрытьдоступккомпьютерупостороннемулицу.
Администраторсистемы можетсоздатькарту безопасности для легальных пользователей.На этой карте помимо уже перечисленной информации описываетсяпрофильпользователя.Внем включаются, например: возможностьдоступа к программе SETUP, то есть фиксируются такие характеристикикомпьютера,как экран, количество и типы дисков; такжеопределяется, какие из локальных устройств (гибкие диски, жесткиедиски,последовательные и параллельные порты) доступны этомупользователю,скаких локальных или сетевых устройств он можетзагружаться. Здесь предусмотрена трансляция паролей: тот пароль, которыйназначаетсяпользователю,какправило,легко запоминающийся,но вовсе не тот, с которым работает система. При попыткепростовыдернутькартубезопасностииз считывателя - доступккомпьютеру блокируется, пока в считыватель не будетвставленатажекартабезопасности.Принеправильном указаниипароля(если превышено количество попыток, разрешенное дляданногопользователя)-машинаблокируется,итолько администраторсможет"оживить"ее,тоестьстимулируется необходимостьдовестидосведенияадминистрациивсеслучаи нарушениярежимасекретности.
С точки зрения защиты от вирусов перечисленныесистемы,тожеважны,посколькуони,кроме идентификациипользователяопределеннымобразом организуют его работунакомпьютере,запрещая отдельные опасные действия. ИК могут также использоваться и для хранения ключейшифрованиявсистемахкриптографическойзащиты.
НедостаткомтакойсистемыявляетсянизкаязащищенностьИК с магнитнойполосой.Какпоказывает опыт, информация с них может бытьбеспрепятственносчитана.Причем применениеИК со встроенным чипомиз-за высокойстоимостиведет к значительному увеличению затрат на установку системы защиты, Кроме того, дорого обходитсяиоборудованиедлясчитыванияинформации с ИК. Но,несмотряна высокую стоимость, системы защиты на базе ИК находят широкоеприменениетам,гденеобходимавысокаянадежность, например,вкоммерческихструктурах.
Внастоящеевремя большую популярность завоевало семейство приборов Touch memory (ТМ) ,производимоефирмой Dallas Semiconductods.Однимизосновных отличийприборовTouchMemoryотдругих компактных носителей информацииявляетсяконструкция корпуса. Помимо защиты стальной корпусвыполняет также роль электрических контактов. Приемлемы и массо-габаритныехарактеристики-таблеткадиаметром с небольшую монетуитолщиной5 мм очень подходит для таких применений.Каждый прибор семейства является уникальным, так как имеетсвойсобственныйсерийныйномер, который записывается в приборспомощью лазерной установки во время его изготовления и неможетбытьизмененв течение всего срока службы прибора. В процессезаписиитестирования на заводе гарантируется, что не будет изготовлено двух приборов с одинаковыми серийными номерами.
Такимобразом,исключается возможность подделки приборов. Вполне приемлемойприиспользованииTouch-memory является и цена: она болеечемв4разаниже,чемпри использовании пластиковых карточек.ПриборыToichMemoryпредставляютсобой энергонезависимуюстатическуюпамятьсмногократной записью/чтением,котораяразмещаетсявнутриметаллического корпуса.Вотличиеотобычнойпамятиспараллельным портом адреса/данных,памятьприборовToichMempry имеет последовательный интерфейс. Данные записываются и считываются в память по одной двунаправленной сигнальной линии. Приэтом используетсяширотно-импульсныйметодкодирования.Такойцифровойинтерфейспозволяет подключатьприборыTouchMemory непосредственно к персональным ЭВМиличерез микропроцессорный контроллер.
Важной особенностью приборовявляетсянизкаяпотребляемаямощность, что позволяет использоватьвстроеннуювкорпусе прибора миниатюрную литиевую батарейкудлясохраненияинформациив памяти в течении 10 лет.
Следует отметить, что меры компьютерной безопасности не ограничиваютсятолькосредствами защиты, расположенными в самом компьютере - внутри компьютера, или в виде внешних устройств. Все перечисленныевышепрограммные и аппаратно-программные средства защиты информациистановятсяэффективнымилишьпри строгом соблюдении целого рядаадминистративныхиорганизационныхмер.Поэтому преждечемстроить систему защиты, необходимооценить затраты на ее создание и возможные затраты на ликвидациюпоследствий в случае потери защищаемых бухгалтерских данных.
Новые информационные технологии в управлении финансами на базе современных ПЭВМ, с одной стороны, обеспечивают высокое качество выполняемых работ, а с другой, – создают множество угроз, приводящих к непредсказуемым и даже катастрофическим последствиям. К числу таких угроз относятся следующие: проникновение посторонних лиц в базы учетных и финансовых данных, повсеместное распространение компьютерных вирусов, ошибочный ввод финансовых данных, ошибки в процессе проектирования и внедрения экономических систем и др. Противостоять возможной реализации угроз можно только приняв адекватные меры, которые способствуют обеспечению безопасности финансовой информации. В этой связи каждый финансист, использующий в своей работе компьютеры и средства связи, должен знать, от чего защищать информацию и как это делать.
Под защитой финансовой информации понимается состояние защищенности информации и поддерживающей ее инфраструктуры (компьютеров, линий связи, систем электропитания и т.п.) от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям этой информации.
Понятие информационной безопасности финансовых данных в узком смысле этого слова подразумевает:
надежность работы компьютера;
сохранность ценных учетных данных;
защиту учетной информации от внесения в нее изменений неуполномоченными лицами;
сохранение документированных учетных сведений в электронной связи.
По мнению американских специалистов, снятие защиты информации с компьютерных сетей приведет к разорению 20% средних компаний в течение нескольких часов, 40% средних и 16% крупных компаний потерпят крах через несколько дней, 33% банков «лопнут» за 2-5 часов, 50% банков – через 2-3 дня.
К объектам информационной безопасности в управлении денежными потоками относятся:
информационные ресурсы, содержащие сведения, отнесенные к коммерческой тайне, и конфиденциальную информацию, представленную в виде баз учетно-аналитических данных;
средства и системы информатизации – технические средства, используемые в информационных процессах (средства вычислительной и организационной техники, информативные и физические поля компьютеров, общесистемное и прикладное программное обеспечение, в целом автоматизированные системы учетных и финансовых данных предприятий).
Угроза информационной безопасности финансового менеджмента заключается в потенциально возможном действии, которое посредством воздействия на компоненты учетной системы может привести к нанесению ущерба владельцам информационных ресурсов или пользователям системы.
Правовой режим информационных ресурсов определяется нормами, устанавливающими:
порядок документирования информации;
право собственности на отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах;
категорию информации по уровню доступа к ней;
порядок правовой защиты информации.
Основный принцип, нарушаемый при реализации информационной угрозы в финансовом менеджменте, – это принцип документирования информации. Документ, полученный из автоматизированной информационной системы учета, приобретает юридическую силу после его подписания должностным лицом в порядке, установленном законодательством Российской Федерации.
Все множество потенциальных угроз в финансовом менеджменте по природе их возникновения можно разделить на два класса: естественные (объективные)иискусственные.
Естественные угрозы вызываются объективными причинами, как правило, не зависящими от бухгалтера и финансиста, ведущими к полному или частичному уничтожению бухгалтерии вместе с ее компонентами. К таким стихийным явлениям относятся: землетрясения, удары молнией, пожары и т.п.
Искусственные угрозы связаны с деятельностью людей. Их можно разделить на непреднамеренные (неумышленные), вызванные способностью сотрудников делать какие-либо ошибки в силу невнимательности, либо усталости, болезненного состояния и т.п. Например, бухгалтер при вводе сведений в компьютер может нажать не ту клавишу, сделать неумышленные ошибки в программе, занести вирус, случайно разгласить пароли.
Преднамеренные (умышленные) угрозы связаны с корыстными устремлениями людей – злоумышленников, намеренно создающих недостоверные документы.
Угрозы безопасности с точки зрения их направленности можно подразделить на следующие группы:
угрозы проникновения и считывания данных из баз учетных данных и компьютерных программ их обработки;
угрозы сохранности учетных данных, приводящие либо к их уничтожению, либо к изменению, в том числе фальсификация платежных документов (платежных требований, поручений и т.п.);
угрозы доступности данных, возникающие, когда пользователь не может получить доступа к учетным данным;
угроза отказа от выполнения операций, когда один пользователь передает сообщение другому, а затем не подтверждает переданные данные.
В зависимости от источника угроз их можно подразделить на внутренние и внешние.
Источником внутренних угроз является деятельность персонала организации. Внешние угрозы приходят извне от сотрудников других организаций, от хакеров и прочих лиц.
Внешние угрозы можно подразделить на:
локальные, которые предполагают проникновение нарушителя на территорию организации и получение им доступа к отдельному компьютеру или локальной сети;
удаленные угрозы характерны для систем, подключенных к глобальным сетям (Internet, система международных банковских расчетов SWIFT и др.).
Такие опасности возникают чаще всего в системе электронных платежей при расчетах поставщиков с покупателями, использовании в расчетах сетей Internet. Источники таких информационных атак могут находиться за тысячи километров. Причем воздействию подвергаются не только ЭВМ, но и бухгалтерская информация.
Умышленными и неумышленными ошибками в учете, приводящими к увеличению учетного риска, являются следующие:
ошибки в записи учетных данных;
неверные коды;
несанкционированные учетные операции;
нарушение контрольных лимитов;
пропущенные учетные записи;
ошибки при обработке или выводе данных;
ошибки при формировании или корректировке справочников;
неполные учетные записи;
неверное отнесение записей по периодам;
фальсификация данных;
нарушение требований нормативных актов;
нарушение принципов учетной политики;
несоответствие качества услуг потребностям пользователей.
Незащищенные учетные и финансовые данные приводят к серьезным недостаткам в системе управления предприятием:
множеству недокументированных эпизодов управления;
отсутствию у руководства целостной картины происходящего на предприятии в отдельных структурных подразделениях;
задержки в получении актуальной на момент принятия решения информации;
разногласиям между структурными подразделениями и отдельными исполнителями, совместно выполняющими работу, проистекающими из-за плохой взаимной информированности о состоянии деловых процессов;
жалобам сотрудников всех уровней на информационные перегрузки;
неприемлемым срокам разработки и рассылки деловых документов;
длительным срокам получения ретроспективной информации, накопленной на предприятии;
сложностям получения информации о текущем состоянии документа или делового процесса;
нежелательной утечке информации, происходящей вследствие неупорядоченного хранения больших объемов документов.
Особую опасность представляют сведения, составляющие коммерческую тайнуи относящиеся к учетной и отчетной информации (данные о партнерах, клиентах, банках, аналитическая информация о деятельности на рынке). Чтобы эта и аналогичная информация была защищена, необходимо оформить договора с сотрудниками бухгалтерии, финансовых служб и других экономических подразделений с указанием перечня сведений, не подлежащих огласке.
Защита информации в автоматизированных учетных и финансовых системах строится исходя из следующих основных принципов:
Обеспечение физического разделения областей, предназначенных для обработки секретной и несекретной информации.
Обеспечение криптографической защиты информации.
Обеспечение аутентификации абонентов и абонентских установок.
Обеспечение разграничения доступа субъектов и их процессов к информации.
Обеспечение установления подлинности и целостности документальных сообщений при их передаче по каналам связи.
Обеспечение защиты от отказов от авторства и содержания электронных документов.
Обеспечение защиты оборудования и технических средств системы, помещений, где они размещаются, от утечки конфиденциальной информации по техническим каналам.
Обеспечение защиты шифротехники, оборудования, технических и программных средств от утечки информации за счет аппаратных и программных закладок.
Обеспечение контроля целостности программной и информационной части автоматизированной системы.
Использование в качестве механизмов защиты только отечественных разработок.
Обеспечение организационно-режимных мер защиты. Целесообразно использование и дополнительных мер по обеспечению безопасности связи в системе.
Организация защиты сведений об интенсивности, продолжительности и трафиках обмена информации.
Использование для передачи и обработки информации каналов и способов, затрудняющих перехват.
Защита информации от несанкционированного доступа направлена на формирование у защищаемой информации трех основных свойств:
конфиденциальность (засекреченная информация должна быть доступна только тому, кому она предназначена);
целостность (информация, на основе которой принимаются важные решения, должна быть достоверной, точной и полностью защищенной от возможных непреднамеренных и злоумышленных искажений);
готовность (информация и соответствующие информационные службы должны быть доступны, готовы к обслуживанию заинтересованных лиц всегда, когда в них возникает необходимость).
Методами обеспечения защиты учетной информации являются: препятствия; управление доступом, маскировка, регламентация, принуждение, побуждение.
Препятствием нужно считать метод физического преграждения пути злоумышленника к защищаемой учетной информации. Этот метод реализуется пропускной системой предприятия, включая наличие охраны на входе в него, преграждение пути посторонних лиц в бухгалтерию, кассу и пр.
Управлением доступом является метод защиты учетной и отчетной информации, реализуемой за счет:
идентификации пользователей информационной системы. (Каждый пользователь получает собственный персональный идентификатор);
аутентификации – установления подлинности объекта или субъекта по предъявленному им идентификатору (осуществляется путем сопоставления введенного идентификатора с хранящимся в памяти компьютера);
проверки полномочий – проверки соответствия запрашиваемых ресурсов и выполняемых операций по выделенным ресурсам и разрешенным процедурам;
регистрации обращений к защищаемым ресурсам;
информирования и реагирования при попытках несанкционированных действий. (Криптография – способ защиты с помощью преобразования информации (шифрования)).
Маскировка – метода криптографической защиты информации в автоматизированной информационной системе предприятия;
Принуждение – метод защиты информации ввиду угрозы материальной, административной или уголовной ответственности. Последнее реализуется тремя статьями Уголовного кодекса:
«Неправомерный доступ к компьютерной информации» (ст. 272);
«Создание, использование и распространение вредоносных программ для ЭВМ» (ст. 273);
Нарушение правил эксплуатации ЭВМ, систем ЭВМ или их сетей. (ст. 274).
Побуждение – метод защиты информации путем соблюдения пользователями сложившихся морально-этических норм в коллективе предприятия. К морально-этическим средствам относятся, в частности, Кодекс профессионального поведения членов ассоциации пользователей ЭВМ в США.
Юридическая сила документа, хранимого, обрабатываемого и передаваемого с помощью автоматизированных и телекоммуникационных систем, может подтверждаться электронной цифровой подписью.
При передаче документов (платежных поручений, контрактов, распоряжений) по компьютерным сетям необходимо доказательство истинности того, что документ был действительно создан и отправлен автором, а не фальсифицирован или модифицирован получателем или каким-либо третьим лицом. Кроме того, существует угроза отрицания авторства отправителем с целью снятия с себя ответственности за передачу документа. Для защиты от таких угроз в практике обмена финансовыми документами используются методы аутентификации сообщений при отсутствии у сторон доверия друг к другу. Документ (сообщение) дополняется цифровой подписью и секретным криптографическим ключом. Подделка подписей без знания ключа посторонними лицами исключается и неопровержимо свидетельствует об авторстве.
Юридическая сила электронной цифровой подписи признается при наличии в автоматизированной информационной системе программно-технических средств, обеспечивающих идентификацию подписи, и соблюдении установленного режима их использования. Бухгалтер (пользователь) подписывает электронной цифровой подписью с использованием личного ключа, известного только ему, документы, передает их в соответствии со схемой документооборота, а аппаратно-программная система производит проверку подписи. Конфиденциальные документы могут шифроваться на индивидуальных ключах и недоступны для злоумышленников. Система основывается на отечественных стандартах и нормах делопроизводства, практике организации учета документов и контроля действий исполнителей в структурах любой формы собственности (государственной и негосударственной).
Защищенность финансовых данных дает возможность:
обеспечить идентификацию/аутентификацию пользователя;
определить для каждого пользователя функциональные права – права на выполнение тех или иных функций системы (в частности, на доступ к тем или иным журналам регистрации документов);
определить для каждого документа уровень конфиденциальности, а для каждого пользователя – права доступа к документам различного уровня конфиденциальности;
подтвердить авторство пользователя с помощью механизма электронной подписи;;
обеспечить конфиденциальность документов путем их шифрования, а также шифрования всей информации, передающейся по открытым каналам связи (например, по электронной почте); шифрование производится с использованием сертифицированных криптографических средств;
протоколировать все действия пользователей в журналах аудита (в журнале аудита входа и выхода из системы, журнале совершенных операций).
Подделка подписи без знания ключа злоумышленниками исключается. При защите учетной информации нужно соблюдать следующий принцип: если вы оцениваете информацию в 100000 рублей, то тратить 150000 рублей на ее защиту не стоит.
Средства контроля в автоматизированных финансовых системах размещаются в тех точках, где возможный риск способен обернуться убытками.
Такие точки называются «точками риска», или «контрольными точками». Это те точки, где контроль будет наиболее эффективным и вместе с тем наиболее экономичным. Но как бы ни были эффективны средства контроля, они не могут обеспечить стопроцентную гарантию, в частности, в силу неумышленных ошибок, когда человек вместо цифры 3 набирает цифру 9 или наоборот.
В организации расходится настолько значительно, что это уже стыдно показывать, а лучше вообще не показывать. Есть смысл принять меры и выделить ресурсы для решения такой задачи, как защита информации в бухгалтерском учете. В данной статье описано конкретное решение для небольшой фирмы или подразделения. При значительном увеличении рабочих мест стоит менять концепцию, хотя некоторые элементы можно оставить.
У нас есть право защищать нашу собственность, а находящаяся у нас информация – наша собственность. Самое главное здесь – это еще и наша ответственность. Если фирма сама не позаботиться об информационной безопасности – пенять на попранные различными службами права, зачастую бессмысленно. Надо брать и делать. Самому брать и делать, не перекладывать на аутсорсинг – это Ваша безопасность. И это не сложно. С чего начать? Как начать? Итак, если мы решаем, что ответственны и готовы защищать, тогда нужно сделать так, чтобы подобного рода защита информации в бухгалтерском учете не отнимала много времени, была эффективна и стоила не дорого, а желательно бесплатно. Именно этими критериями мы будем руководствоваться при выборе того или иного инструмента, а также реализации концепции в целом.
Определяемся с ситуацией.
Для более четкого понимания, что же мы хотим сделать – приведу ситуацию, которая может легко сложиться в любом офисе (потому, что мы в России). Сидим, пьем чай – дверь выбивают, в комнату вбегают напущено злые молодые люди, с явным намереньем сделать нам неприятно. Таки мы вынуждены прерваться. Люди культурно просят нас поставить чашки с чаем и подальше отодвинуться от компьютеров, поскольку их товарищи спали и видели, как смогут занять наши рабочие места, на предмет почитать что же там пишут… И таки поскольку, бабушке одного из них тоже интересно, то они естественно хотят забрать на почитать все наши компьютеры.
Вот именно для такой ситуации и будем стараться, чтобы их бабушка довольствовалась телевизором. А также позаботимся, чтобы к нам и в другое время (когда никого нет) любители прозы и поэзии со своими родственниками приходили только для оплаты сломанной двери.
Что мы прячем?
Надо четко понять, что именно представляет ценность или угрозу для нас. Какую именно информацию мы скрываем и зачем. Нет никакого смысла прятать все. Это растянет временные рамки того же бэкапа. Информация должна быть четко структурирована и понимание что где лежит, должно присутствовать. Все ли машины нужно заводить в систему?
Основная цель – не допустить изъятия компрометирующей информации, не допустить возможности копирования и желательно вообще не иметь исправных компьютеров на рабочем месте. Обеспечить сохранность и доступность информации.
Формулируем Идеальный Конечный Результат (ИКР).
– информация легко доступна;
– информацию нельзя унести с собой или легко скопировать;
– система так же работает в ваше отсутствие, информируя Вас о внешних условиях;
– системе не страшен пожар и физическое изъятие носителей системы;
– система имеет удаленное управление (идеально не получается – управление все равно будет).
– наши ревизоры должны лицезреть «пустые» машины и картинку вроде этой:
В рамках данной статьи не будем касаться удаленных серверов в Малайзии или других странах. Это хорошее решение, но мы хотим рассмотреть именно ситуацию, когда все части системы находятся в одном (или) нескольких помещениях.
Выявляем противоречия:
– компьютеры должны работать и не должны работать;
– информацию можно извлечь и нельзя извлечь;
– информацию можно унести и нельзя унести;
– информацию можно уничтожить и нельзя уничтожить;
– мы не должны касаться компьютеров – а нам и не надо!
Устранив, все пять противоречий, мы сформируем рабочую систему для хранения и использования информации, а также ограничим к ней доступ.
Для этих целей используем следующие инструменты, которые интегрируем в систему:
1. TrueCrypt – бесплатная программа для шифрования: дисков целиком, системных дисков, областей дисков, файловых контейнеров.
2. Handy Backup – программа для резервного копирования файловой структуры. Можно использовать по сети, ставить задачи – собирать файлы и папки с различных машин, архивировать, шифровать и прочее. Стоимость можно узнать на торрентах.
3. GSM розетки – для удаленного включения и выключения питания по смс. Разброс цен от 2400 руб. до 10 000 руб. за розетку или пилот. Количество розеток будет зависеть от целей, которые вы ставите (одна машина или двадцать, при минималистичном подходе можно развести питание на 3 компа, но обратите внимание на мощности машин, мониторы и принтеры в розетки не подключаем). При выборе обратите внимание на удобство управления и качество приема.
4 . CC U825 – GSM контроллер – разработка наших Тульских умельцев (есть море аналогов, но цена/ качество/ надежность). Рекомендую именно данную многоконтурную систему – несколько лет у нас проработал младший аналог без ложных срабатываний. Независимый источник питания и цена.. 7000 рублей. Есть еще CCU422 – стоит дешевле, но сильно урезана по количеству контуров и глубине настройки.
5 . Кн опка паники – опционально. Если не хотите заморочек с дополнительным контуром в CCU приобретите еще и ее. Стоит как GSM розетка примерно. Смысл – посылает на несколько заранее запрограммированных номеров SMS, с заранее подготовленным текстом.
6. Каме ры и видеосервер – это на Ваше усмотрение. Данные опции помогают более точно удаленно подтвердить проникновение. Мы их касаться не будем.
Разберем каждый инструмент отдельно – от «как выглядит» до настройки.
Данный раздел в находится в разработке и будет доступен в ближайшее время
(первая часть);
TrueCrypt – шифрование системного раздела диска (вторая часть);
;
GSM розетки;
CCU825;
Кнопка паники;
камеры и видеосервер (не буду рассматривать);
Интеграция системы.
Регламент.Самая важная часть системы. Что должно входить:
– все сотрудники, имеющие отношение к системе должны понимать, что они делают в сложной, стрессовой ситуации (а так оно и есть – руки начнут дрожать, голова перестанет соображать, ноги подкашиваться – это ж блин бухгалтерши, а не незабвенный и всеми горяче уважаемый Железный Феликс Эдмундович). Понимать так, чтобы нажать туда, куда надо нажать, и позвонить тому, кому надо позвонить. Еще лучше назначить премию – кто первый, тому 100 долларов. Только особо премию не завышайте, а то бухгалтер подойдет как к бизнес процессу – сама их вызывать начнет.
– желательно раз в месяц отрабатывать ситуацию, например, вечером, каждую третью пятницу месяца. По времени займет минуты, максимум час. А спать руководство будет спокойнее.
– понимание остатков на сим-картах в GSM модулях. Сильно зависит от выбранного тарифного плана и количества смс оповещений. Так же от выбранных Вами розеток (должен быть способ проверить баланс, не вынимая симку из розетки и не вставляя ее в телефон). СМС должны отправляться нескольким сотрудникам, чтобы иметь избыточнось и снизить риски а-ля «телефон дома забыл». Контроль раз в месяц – докладываем деньги.
– проверяем, пишет ли наш handy backup резервные архивы по кругу в десяти частях? Нет ли ошибок в задачах программы. Если есть – исправляем. Так же раз в месяц.
– отправляем смс, или гасим тревожной кнопкой все машины. Включаем. Ничего не работает. Везде черный экран – сказка! Не везде? Разбираемся почему – этот момент мы и вылавливали ежемесячными тревогами. Разобрались. Вводим пароли, монтируем винты. Запускаем резервное копирование. Все работает – сказка!
– внимательно проверяем (ВАЖНО – много раз сталкивался) – все ли компьютеры подключены к GSM розетке, а только потом к упсу? Как, наоборот? Он же не выключиться, если наоборот. Исправляем.
– назначаем ответственного за регламент, его заместителя, заместителя заместителя – в общем, при любых внешних обстоятельствах регламент должен выполняться. Иначе это уже не система.
Недостатки системы.
– зависимость системы от перезагрузки, машины после включения представляют собой набор запчастей, а не компьютеры. Надо руками вводить пароли, монтировать диски. Так что желательно чтобы они вообще не выключались (на ваше усмотрение).
– зависимость системы от GSM связи – рекомендуем сразу проверить качество приема конкретного сотового оператора. Если сигнала нет, значит, надо сделать чтобы был – внешняя антенна и т.д. Иначе вы не сможете погасить компьютеры и как следствие прямо при Вас можно переписать с них данные.
– ежемесячные затраты на СМС, очень немного (даже можно было бы пренебречь), при выборе правильного тарифа и оператора.
– зависимость от соблюдения регламента (у Вас он вообще есть?). Система должна проверяться полностью примерно раз в месяц, исходя из опыта, отслеживаться настройки бэкапов и сам факт их проведения. Поскольку хоть все и автоматически, но каждый инструмент в отдельности имеет свой уровень безотказной работы (Handy может зависнуть – хотя на практике не видел, розетка нестабильно начать работать). Лучше с подобным столкнуться при регламентной проверке, нежели в иной ситуации.
Самое слабое звено.
Сотрудники. Можно было бы и не продолжать, но.. вот здесь я бы позвал сисадмина (распределение прав пользователям и кто что может делать – выходит за рамки данной статьи). Скажу только, что я бы с большой продуманностью подходил к вопросу кому давать доступ и кому пароли – может как раз разным людям. Здесь слишком широкое поле, для обобщенных рассуждений. Оставляю это на совести руководителя. Так же как составление и проведение регламентных работ.
Для усиления эффективности деятельности фирмы и предотвращения хищений бухгалтеры должны создавать систему внутреннего контроля. Несмотря на обилие публикаций в этой области, проблема внутреннего контроля во многих источниках по бухгалтерскому учету и аудиту рассматривается в отрыве от информационной безопасности.
Для современной системы бухгалтерского учета характерен ряд особенностей, требующих защиты учетной информации:
законодательные нововведения влекут за собой большие изменения как в самой бухгалтерской сфере, так и в области ее компьютеризации (перевод учета на новый план счетов, ввод в действие Налогового кодекса и др.). Без современных аппаратно-программных средств бухгалтер вряд ли сможет получить достоверную и своевременную учетную информацию. А компьютерные технологии в бухгалтерском учете порождают и новые информационные угрозы;
информационная система бухгалтерского учета относится к классу сложных и динамических образований, построенных в многоуровневой архитектуре «клиент-сервер» с поддержкой связи с удаленными компонентами. Опасности подстерегают как внутри системы, так и вне;
в программном обеспечении могут быть умышленные или неумышленные ошибки, создающие проблемы в защите;
усложнение автоматизированного учета требует оценки надежности системы, т.е. свойств ее по выполнению заданных функций при обеспечении сохранности информации и ее достоверности.
Незащищенные учетные данные приводят к серьезным недостаткам в системе управления предприятием:
множеству недокументированных эпизодов управления;
отсутствию у руководства целостной картины происходящего в отдельных структурных подразделениях;
задержки в получении актуальной на момент принятия решения информации;
разногласиям между структурными подразделениями и отдельными исполнителями, совместно выполняющими работу, из-за плохой взаимной информированности;
информационной перегрузке;
увеличению сроков получения ретроспективной информации, накопленной на предприятии;
сложностям получения информации о текущем состоянии документа или делового процесса;
утечке информации вследствие неупорядочения хранения больших объемов документов.
Новые информационные технологии в бухгалтерском учете на базе современных ПЭВМ, с одной стороны, обеспечивают высокое качество выполняемых работ, а с другой - создают множество угроз непредсказуемых и даже катастрофических последствий. К числу таких угроз относятся следующие: проникновение посторонних лиц в базы учетных данных, компьютерные вирусы, ошибочный ввод учетных данных, ошибки в процессе проектирования и внедрения учетных систем и др. Противостоять угрозам можно, только приняв адекватные меры, которые способствуют обеспечению безопасности учетной информации. В этой связи каждый бухгалтер, использующий в своей работе компьютеры и средства связи, должен знать, от чего защищать информацию и как это делать.
Под защитой учетной информации понимается невозможность случайных или преднамеренных воздействий на нее естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям этой информации.
Понятие «информационная безопасность учетных данных» в узком смысле этого слова подразумевает:
надежность работы компьютера;
сохранность ценных учетных данных;
защиту учетной информации от внесения в нее изменений неуполномоченными лицами;
сохранение документированных учетных сведений в электронной связи.
На первый взгляд может показаться, что «информационная безопасность» и «защита безопасности информации» - одно и то же. Однако это не так. Безопасность информации означает защиту информации от многочисленных угроз, в том числе от умышленного и неумышленного искажения, уничтожения и др. Информационная безопасность есть защита объекта, включая и его информационные системы, от каких-то враждебных воздействий, в частности от компьютерных вирусов, от ошибок, несанкционированного доступа к базам данных и т.д.
Прежде чем проектировать какую-либо систему безопасности, определим, что в учете и от кого (чего) нуждается в защите.
К объектам информационной безопасности в учете относятся как информационные ресурсы, содержащие сведения, отнесенные к коммерческой тайне, и конфиденциальную информацию, представленную в виде баз учетных данных, так и средства и системы информатизации - технические средства, используемые в информационных процессах (средства вычислительной и организационной техники, информативные и физические поля компьютеров, общесистемное и прикладное программное обеспечение, в целом автоматизированные системы учетных данных предприятий).
Угроза информационной безопасности бухгалтерского учета заключается в потенциально возможном воздействии на компоненты учетной системы, способном нанести ущерб владельцам информационных ресурсов или пользователям системы.
Правовой режим информационных ресурсов определяется нормами, устанавливающими:
порядок документирования информации;
право собственности на отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах;
порядок правовой защиты информации.
Основный принцип, нарушаемый при реализации информационной угрозы в бухгалтерском учете, - документирование информации. Учетный документ, полученный из автоматизированной информационной системы учета, приобретает юридическую силу после его подписания должностным лицом в порядке, установленном законодательством Российской Федерации.
Все множество потенциальных угроз в учете по природе их возникновения можно разделить на два класса: естественные (объективные) и искусственные.
Естественные угрозы вызываются объективными причинами, как правило, не зависящими от бухгалтера, ведущими к полному или частичному уничтожению бухгалтерии вместе с ее компонентами: землетрясения, пожары и т.п.
Искусственные угрозы связаны с деятельностью людей. Их можно разделить на непреднамеренные (неумышленные), вызванные способностью сотрудников делать какие-либо ошибки в силу невнимательности либо усталости, болезненного состояния и т.п. Например, при вводе сведений в компьютер нажать не ту клавишу, сделать неумышленные ошибки в программе, занести вирус, случайно разгласить пароли.
Преднамеренные (умышленные) угрозы связаны с корыстными устремлениями людей - злоумышленников, намеренно создающих недостоверные документы.
Угрозы безопасности с точки зрения их направленности можно подразделить на следующие группы:
угрозы проникновения и считывания данных из баз учетных данных и компьютерных программ их обработки;
угрозы сохранности учетных данных, приводящие либо к их уничтожению, либо к изменению, в том числе фальсификация платежных документов (платежных требований, поручений и т.п.);
угрозы доступности данных, возникающие, когда пользователь не может получить доступа к учетным данным;
угрозы отказа от выполнения операций, когда один пользователь передает сообщение другому, а затем не подтверждает переданные данные.
В зависимости от источника угроз их можно подразделить на внутренние и внешние.
Источником внутренних угроз является деятельность персонала организации. Внешние угрозы приходят извне от сотрудников других организаций, от хакеров и прочих лиц.
Внешние угрозы можно подразделить:
на локальные, которые связаны с проникновением нарушителя на территорию организации и получением им доступа к отдельному компьютеру или локальной сети;
удаленные, характерные для систем, подключенных к глобальным сетям (Интернету, системе международных банковских расчетов SWIFT и др.).
Такие опасности возникают чаще всего в системе электронных платежей при расчетах поставщиков с покупателями, использовании в расчетах Интернета. Источники таких информационных атак могут находиться за тысячи километров. Воздействию подвергаются не только ЭВМ, но и бухгалтерская информация.
Умышленные и неумышленные ошибки в учете, приводящие к увеличению учетного риска, следующие:
ошибки в записи учетных данных;
неверные коды;
несанкционированные учетные операции;
нарушение контрольных лимитов;
пропущенные учетные записи;
ошибки при обработке или выводе данных;
ошибки при формировании или корректировке справочников;
неполные учетные записи;
неверное отнесение записей по периодам;
фальсификация данных;
нарушение требований нормативных актов;
нарушение принципов учетной политики;
несоответствие качества услуг потребностям пользователей.
В условиях обработки данных на ПЭВМ последствия многократно повторенной ошибки или неправильно примененной методики могут оказаться катастрофическими.
Процедуры, в которых обычно возникают ошибки, и их типы представлены в табл. 5.2.
Распространение вычислительной техники привело к резкому сокращению невольных (арифметических) ошибок, но создало дополнительные условия для возникновения ошибок умышленных, связанных с мошенничеством.
Необходимо понять, от кого следует защищать информацию. Часто опасность исходит от сотрудников фирмы, действующих не в одиночку, а в сговоре с другими злоумышленниками.
Мотивы и цели компьютерных преступлений могут быть разными: корысть, желание причинить вред, месть, хулиганство либо желание проверить свои способности и навыки владения компьютером.
Таблица 5.2. Место возникновения бухгалтерских ошибок Сфера преобразования учетньх данньх Вид ошибок Первичный Системати учет (сбор и ре зация и обобще Вывод гистрация) ние Ошибки в записи учетных + данных Неверные коды + + - Несанкционированные учет + + ные операции Нарушение контрольных ли- + + митов Пропущенные учетные записи + + + Ошибки при обработке или + + выводе данных Ошибки при формировании или корректировке справоч + + - ников Неполные учетные записи + + + Неверное отнесение записей + + + по периодам Фальсификация данных + + + Нарушение требований нор + + + мативных актов Нарушение принципов учет + + + ной политики Несоответствие качества услуг + + + потребностям пользователей К законодательным мерам, направленным на создание и поддержание в обществе негативного отношения к нарушениям и нарушителям безопасности информации, относится глава 28 «Преступления в сфере компьютерной информации» раздела IX Уголовного кодекса.
Преступлениями в сфере компьютерной информации являются: неправомерный доступ к компьютерной информации (ст. 272 УК); создание, использование и распространение вредоносных программ для ЭВМ (ст. 273 УК); нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети (ст. 274 УК).
Защита информации в автоматизированных учетных системах строится исходя из следующих основных принципов:
обеспечение физического разделения областей, предназначенных для обработки секретной и несекретной информации;
обеспечение криптографической защиты информации;
обеспечение аутентификации абонентов и абонентских установок;
обеспечение разграничения доступа субъектов и их процессов к информации;
обеспечение установления подлинности и целостности документальных сообщений при их передаче по каналам связи;
обеспечение защиты оборудования и технических средств системы, помещений, где они размещаются, от утечки конфиденциальной информации по техническим каналам;
обеспечение защиты шифротехники, оборудования, технических и программных средств от утечки информации за счет аппаратных и программных закладок;
обеспечение контроля целостности программной и информационной части автоматизированной системы;
использование в качестве механизмов защиты только отечественных разработок;
обеспечение организационно-режимных мер защиты. Целесообразно использование и дополнительных мер по обеспечению безопасности связи в системе;
организация защиты сведений об интенсивности, продолжительности и трафиках обмена информации;
использование для передачи и обработки информации каналов и способов, затрудняющих перехват.
Защита информации от несанкционированного доступа направлена на формирование у защищаемой информации трех основных свойств:
конфиденциальности (засекреченная информация должна быть доступна только тому, кому она предназначена);
целостности (информация, на основе которой принимаются важные решения, должна быть достоверной, точной и полностью защищенной от возможных непреднамеренных и злоумышленных искажений);
готовности (информация и информационные службы должны быть доступны, готовы к обслуживанию заинтересованных лиц всегда, когда в них возникает необходимость).
Для обеспечения защиты учетной информации используют препятствия, управление доступом, маскировку, регламентацию, принуждение, побуждение.
Препятствием нужно считать метод физического преграждения пути злоумышленника к защищаемой учетной информации. Этот метод реализуется пропускной системой предприятия, включая наличие охраны на входе в него, преграждение пути посторонних лиц в бухгалтерию, кассу и пр.
Управление доступом - метод защиты учетной и отчетной информации, реализуемый за счет:
идентификации пользователей информационной системы (каждый пользователь получает собственный персональный идентификатор);
аутентификации - установления подлинности объекта или субъекта по предъявленному им идентификатору (осуществляется путем сопоставления введенного идентификатора с хранящимся в памяти компьютера);
проверки полномочий - проверки соответствия запрашиваемых ресурсов и выполняемых операций по выделенным ресурсам и разрешенным процедурам;
регистрации обращений к защищаемым ресурсам;
информирования и реагирования при попытках несанкционированных действий.
Маскировка - метод криптографической защиты (шифрование) информации в автоматизированной информационной системе предприятия.
Принуждение - защита учетной информации ввиду угрозы материальной, административной или уголовной ответственности.
Побуждение - защита информации путем соблюдения пользователями сложившихся морально-этических норм в коллективе предприятия. В США, например, к морально-этическим средствам относится, в частности, Кодекс профессионального поведения членов ассоциации пользователей ЭВМ.
Юридическая сила документа, хранимого, обрабатываемого и передаваемого с помощью автоматизированных и телекоммуникационных систем, может подтверждаться электронной цифровой подписью. При передаче документов (платежных поручений, контрактов, распоряжений) по компьютерным сетям необходимо доказательство истинности того, что документ был действительно создан и отправлен автором, а не фальсифицирован или модифицирован получателем или каким-либо третьим лицом. Кроме того, существует угроза отрицания авторства отправителем в целях снятия с себя ответственности за передачу документа. Для защиты от таких угроз в практике обмена финансовыми документами используются методы аутентификации сообщений при отсутствии у сторон доверия друг к другу. Документ (сообщение) дополняется цифровой подписью и секретным криптографическим ключом. Подделка подписи без знания ключа посторонними лицами исключается, и подпись неопровержимо свидетельствует об авторстве.
Юридическая сила электронной цифровой подписи признается при наличии в автоматизированной информационной системе программно-технических средств, обеспечивающих идентификацию подписи, и соблюдении установленного режима их использования. Бухгалтер (пользователь) подписывает документы электронной цифровой подписью с использованием личного ключа, известного только ему, передает их в соответствии со схемой документооборота, а аппаратно-программная система проводит проверку подписи. Конфиденциальные документы могут шифроваться на индивидуальных ключах, они недоступны для злоумышленников. Система основывается на стандартах и нормах делопроизводства, практике организации учета документов и контроля действий исполнителей в структурах любой формы собственности (государственной и негосударственной).
Защищенность учетных данных дает возможность:
обеспечить идентификацию/аутентификацию пользователя;
определить для каждого пользователя функциональные права - права на выполнение тех или иных функций системы (в частности, на доступ к тем или иным журналам регистрации документов);
определить для каждого документа уровень конфиденциальности, а для каждого пользователя - права доступа к документам различного уровня конфиденциальности;
обеспечить конфиденциальность документов путем их шифрования, а также шифрования всей информации, передающейся по открытым каналам связи (например, по электронной почте); шифрование производится с использованием сертифицированных криптографических средств;
