порядок документирования информации;
право собственности на отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах[5];
категорию информации по уровню доступа к ней;
порядок правовой защиты информации.
Основный принцип, нарушаемый при реализации информационной угрозы в бухгалтерском учете, - это принцип документирования информации[6]. Учетный документ, полученный из автоматизированной информационной системы учета, приобретает юридическую силу после его подписания должностным лицом в порядке, установленном законодательством Российской Федерации.
Все множество потенциальных угроз в учете по природе их возникновения можно разделить на два класса: естественные (объективные) и искусственные.
Естественные угрозы вызываются объективными причинами, как правило, не зависящими от бухгалтера, ведущими к полному или частичному уничтожению бухгалтерии вместе с ее компонентами. К таким стихийным явлениям относятся: землетрясения, удары молнией, пожары и т.п.
Искусственные угрозы связаны с деятельностью людей. Их можно разделить на непреднамеренные (неумышленные), вызванные способностью сотрудников делать какие-либо ошибки в силу невнимательности, либо усталости, болезненного состояния и т.п. Например, бухгалтер при вводе сведений в компьютер может нажать не ту клавишу, сделать неумышленные ошибки в программе, занести вирус, случайно разгласить пароли.
Преднамеренные (умышленные) угрозы связаны с корыстными устремлениями людей – злоумышленников, намеренно создающих недостоверные документы.
Угрозы безопасности с точки зрения их направленности можно подразделить на следующие группы:
угрозы проникновения и считывания данных из баз учетных данных и компьютерных программ их обработки;
угрозы сохранности учетных данных, приводящие либо к их уничтожению, либо к изменению, в том числе фальсификация платежных документов (платежных требований, поручений и т.п.);
угрозы доступности данных, возникающие, когда пользователь не может получить доступа к учетным данным;
угрозы отказа от выполнения операций, когда один пользователь передает сообщение другому, а затем не подтверждает переданные данные.
В зависимости от источника угроз их можно подразделить на внутренние и внешние.
Источником внутренних угроз является деятельность персонала организации. Внешние угрозы приходят извне от сотрудников других организаций, от хакеров и прочих лиц.
Внешние угрозы можно подразделить на:
локальные, которые предполагают проникновение нарушителя на территорию организации и получение им доступа к отдельному компьютеру или локальной сети;
удаленные угрозы характерны для систем, подключенных к глобальным сетям (Internet, система международных банковских расчетов SWIFT и др.).
Такие опасности возникают чаще всего в системе электронных платежей при расчетах поставщиков с покупателями, использовании в расчетах сетей Internet. Источники таких информационных атак могут находиться за тысячи километров. Причем воздействию подвергаются не только ЭВМ, но и бухгалтерская информация.
Умышленными и неумышленными ошибками в учете, приводящими к увеличению учетного риска, являются следующие:
ошибки в записи учетных данных;
неверные коды;
несанкционированные учетные операции;
нарушение контрольных лимитов;
пропущенные учетные записи;
ошибки при обработке или выводе данных;
ошибки при формировании или корректировке справочников;
неполные учетные записи;
неверное отнесение записей по периодам;
фальсификация данных;
нарушение требований нормативных актов;
нарушение принципов учетной политики;
несоответствие качества услуг потребностям пользователей.
В условиях обработки данных на ПЭВМ последствия многократно повторенной ошибки или неправильно примененной методики могут оказаться катастрофическими.
Процедуры, в которых обычно возникают ошибки и их типы, представлены в таблице 5.2.
Таблица 5.2
Места возникновения бухгалтерских ошибок
| Виды ошибок | Сферы преобразования учетных данных | ||
| Первичный учет (сбор и регистрация) | Систематизация и обобщение | Вывод | |
| Ошибки в записи учетных данных | + | - | - |
| Неверные коды | + | + | - |
| Несанкционированные учетные операции | + | + | - |
| Нарушение контрольных лимитов; | + | + | - |
| Пропущенные учетные записи; | + | + | + |
| Ошибки при обработке или выводе данных; | - | + | + |
| Ошибки при формировании или корректировке справочников; | + | + | - |
| Неполные учетные записи; | + | + | + |
| Неверное отнесение записей по периодам; | + | + | + |
| Фальсификация данных; | + | + | + |
| Нарушение требований нормативных актов; | + | + | + |
| Нарушение принципов учетной политики; | + | + | + |
| Несоответствие качества услуг потребностям пользователей | + | + | + |
Распространение вычислительной техники привело к резкому сокращению невольных (арифметических) ошибок, но создало дополнительные условия для возникновения ошибок умышленных, связанных с мошенничеством.
Необходимо решить – от кого мы защищаем информацию, кто тот потенциальный злоумышленник (или их несколько), который стремится завладеть информацией и для чего, какие он имеет возможности для этого. Ранее мы уже давали уголовно – правовую характеристику компьютерных преступлений, совершаемых работниками бухгалтерии [175]. Как правило, они совершались путем внесения в бухгалтерские документы на начисление заработной платы подложных данных, начисление денежных средств на счета вымышленных (или отсутствующих) лиц. Итак, опасность исходит часто от сотрудников фирмы, действующих не в одиночку, а в сговоре с другими злоумышленниками.
Мотивы и цели компьютерных преступлений могут быть разными: корысть, желание причинить вред, месть, хулиганство либо желание проверить свои способности и навыки владения компьютером.
Общей причиной существования любой преступности, в том числе и компьютерной, является несовершенство человека, его предрасположенность как к добру, так и злу. К счастью большинство людей не совершают компьютерных преступлений не потому, что это осуждается или наказывается обществом, а потому, что так поступать не принято. К законодательным мерам, направленным на создание и поддержание в обществе негативного отношения к нарушениям и нарушителям безопасности информации относится глава 28 "Преступления в сфере компьютерной информации" раздела IX Уголовного Кодекса (УК). Преступлениями в сфере компьютерной информации являются: неправомерный доступ к компьютерной информации (ст. 272 УК); создание, использование и распространение вредоносных программ для ЭВМ (ст. 273 УК); нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети (ст. 274 УК).
Защита информации в автоматизированных учетных системах строится исходя из следующих основных принципов:
обеспечение физического разделения областей, предназначенных для обработки секретной и несекретной информации;
обеспечение криптографической защиты информации;
обеспечение аутентификации абонентов и абонентских установок;
обеспечение разграничения доступа субъектов и их процессов к информации;
обеспечение установления подлинности и целостности документальных сообщений при их передаче по каналам связи;
обеспечение защиты от отказов от авторства и содержания электронных документов;
обеспечение защиты оборудования и технических средств системы, помещений, где они размещаются, от утечки конфиденциальной информации по техническим каналам;
обеспечение защиты шифротехники, оборудования, технических и программных средств от утечки информации за счет аппаратных и программных закладок;
обеспечение контроля целостности программной и информационной части автоматизированной системы;
использование в качестве механизмов защиты только отечественных разработок;
обеспечение организационно-режимных мер защиты. Целесообразно использование и дополнительных мер по обеспечению безопасности связи в системе;
организация защиты сведений об интенсивности, продолжительности и трафиках обмена информации;
использование для передачи и обработки информации каналов и способов, затрудняющих перехват.
Защита информации от несанкционированного доступа направлена на формирование у защищаемой информации трех основных свойств:
конфиденциальность (засекреченная информация должна быть доступна только тому, кому она предназначена);
целостность (информация, на основе которой принимаются важные решения, должна быть достоверной, точной и полностью защищенной от возможных непреднамеренных и злоумышленных искажений);