готовность (информация и соответствующие информационные службы должны быть доступны, готовы к обслуживанию заинтересованных лиц всегда, когда в них возникает необходимость).
Методами обеспечения защиты учетной информации являются: препятствия; управление доступом, маскировка, регламентация, принуждение, побуждение.
Препятствием нужно считать метод физического преграждения пути злоумышленника к защищаемой учетной информации. Этот метод реализуется пропускной системой предприятия, включая наличие охраны на входе в него, преграждение пути посторонних лиц в бухгалтерию, кассу и пр.
Управлением доступом является метод защиты учетной и отчетной информации, реализуемой за счет:
идентификации пользователей информационной системы. (Каждый пользователь получает собственный персональный идентификатор);
аутентификации – установления подлинности объекта или субъекта по предъявленному им идентификатору (осуществляется путем сопоставления введенного идентификатора с хранящимся в памяти компьютера);
проверки полномочий – проверки соответствия запрашиваемых ресурсов и выполняемых операций по выделенным ресурсам и разрешенным процедурам;
регистрации обращений к защищаемым ресурсам;
информирования и реагирования при попытках несанкционированных действий. (Криптография – способ защиты с помощью преобразования информации (шифрования)).
Маскировка – метода криптографической защиты информации в автоматизированной информационной системе предприятия;
Принуждение – метод защиты учетной информации ввиду угрозы материальной, административной или уголовной ответственности. Последнее реализуется тремя статьями Уголовного кодекса:
«Неправомерный доступ к компьютерной информации» (ст. 272);
«Создание, использование и распространение вредоносных программ для ЭВМ» (ст. 273);
Нарушение правил эксплуатации ЭВМ, систем ЭВМ или их сетей. (ст. 274).
Побуждение – метод защиты информации путем соблюдения пользователями сложившихся морально-этических норм в коллективе предприятия. К морально-этическим средствам относятся, в частности, Кодекс профессионального поведения членов ассоциации пользователей ЭВМ в США.
Юридическая сила документа, хранимого, обрабатываемого и передаваемого с помощью автоматизированных и телекоммуникационных систем, может подтверждаться электронной цифровой подписью.
При передаче документов (платежных поручений, контрактов, распоряжений) по компьютерным сетям необходимо доказательство истинности того, что документ был действительно создан и отправлен автором, а не фальсифицирован или модифицирован получателем или каким-либо третьим лицом. Кроме того, существует угроза отрицания авторства отправителем с целью снятия с себя ответственности за передачу документа. Для защиты от таких угроз в практике обмена финансовыми документами используются методы аутентификации сообщений при отсутствии у сторон доверия друг к другу. Документ (сообщение) дополняется цифровой подписью и секретным криптографическим ключом. Подделка подписей без знания ключа посторонними лицами исключается и неопровержимо свидетельствует об авторстве.
Юридическая сила электронной цифровой подписи признается при наличии в автоматизированной информационной системе программно-технических средств, обеспечивающих идентификацию подписи, и соблюдении установленного режима их использования. Бухгалтер (пользователь) подписывает электронной цифровой подписью с использованием личного ключа, известного только ему, документы, передает их в соответствии со схемой документооборота, а аппаратно-программная система производит проверку подписи. Конфиденциальные документы могут шифроваться на индивидуальных ключах и недоступны для злоумышленников. Система основывается на отечественных стандартах и нормах делопроизводства, практике организации учета документов и контроля действий исполнителей в структурах любой формы собственности (государственной и негосударственной).
Защищенность учетных данных дает возможность:
обеспечить идентификацию/аутентификацию пользователя;
определить для каждого пользователя функциональные права – права на выполнение тех или иных функций системы (в частности, на доступ к тем или иным журналам регистрации документов);
определить для каждого документа уровень конфиденциальности, а для каждого пользователя – права доступа к документам различного уровня конфиденциальности;
подтвердить авторство пользователя с помощью механизма электронной подписи;
обеспечить конфиденциальность документов путем их шифрования, а также шифрования всей информации, передающейся по открытым каналам связи (например, по электронной почте); шифрование производится с использованием сертифицированных криптографических средств;
протоколировать все действия пользователей в журналах аудита (в журнале аудита входа и выхода из системы, журнале совершенных операций).
Подделка подписи без знания ключа злоумышленниками исключается. При защите учетной информации нужно соблюдать следующий принцип: если вы оцениваете информацию в 100000 рублей, то тратить 150000 рублей на ее защиту не стоит. Риск, который может возникнуть на предприятии в результате ошибок, сбоев и подлогов при обработке бухгалтерских данных на ПЭВМ, необходимо сопоставить с затратами на проведение контрольных операций. Нами разработана программа "Риск", которая позволяет оценить информационную систему бухгалтерского учета с позиций возможного учетного риска. Бухгалтеры должны иметь детальные знания о взаимосвязи источников данных, местах их обработки и использования; исключить факты отсутствия ввода документов, доступа к данным и компьютерным программам посторонних лиц как внутри, так и за пределами предприятия (путем использования компьютерного оборудования, расположенного на значительном расстоянии).
Специфический аудит достоверности информации системы бухгалтерского учета должен включать:
1) контроль за вводом (все ли операции отражены в компьютерных файлах данных, нет ли добавлений или недокументированных изменений в операциях и пр.);
2) контроль за обработкой данных (операции выполняются правильно, нет их потерь, добавлений и изменений, ошибки исправлены вовремя и устранены);
3) контроль за выводом информации (получены достоверные результаты, ограничен доступ посторонних лиц к выходной информации).
4) Используются и другие меры безопасности информационной системы, которые способствуют непрерывному ее функционированию (дублирование данных и программ, а также хранение их на значительном расстоянии от центров обработки; выявление неадекватных операций, записей и пр.).
Средства контроля в автоматизированных учетных системах размещаются в тех точках, где возможный риск способен обернуться убытками.
Такие точки называются «точками риска», или «контрольными точками». Это те точки, где контроль будет наиболее эффективным и вместе с тем наиболее экономичным. Но как бы ни были эффективны средства контроля, они не могут обеспечить стопроцентную гарантию, в частности, в силу неумышленных ошибок, когда человек вместо цифры 3 набирает цифру 9 или наоборот.
Контрольные вопросы и тесты для проверки знаний по теме*)
1. Назовите основные предпосылки внедрения автоматизированного бухгалтерского учета (АБУ).
2. Каковы компоненты информационной технологии АБУ?
3. В чем особенности схемы журнально-ордерной формы счетоводства с применением ПЭВМ?
4. Какие обязанности у бухгалтера при проектировании и внедрении АБУ?
5. Как классифицируются функциональные пакеты АБУ?
6. Что означает понятие «конфигурирование» в системе «1C:Предприятие»?
7. Назовите основные тенденции в развитии бухгалтерских информационных систем.
8. Какие группы программ используются в аудиторской деятельности?
9. Какие угрозы существуют для учетной информации?
10. Назовите методы и средства обеспечения защиты учетной информации.
| Т5 – В1. Первый этап использования ПЭВМ? | |
| А | систематизация и использование информации; |
| Б | сбор и регистрация данных (первичный учет); |
| В | анализ и использование. |
| Т5 – В2. Для малого бизнеса предназначена программа автоматизации бухгалтерского учета? | |
| А | “Проводки – Главная книга – Баланс” (ПгиБ); |
| Б | “Интегрированная бухгалтерия”; |
| В | сетевая версия. |
| Т5 – В3. Типовые проводки используются? | |
| А | только в “1.С:Бухгалтерии”; |
| Б | исключительно в “БЕСТ – 4”; |
| В | во всех современных пакетах автоматизированного бухгалтерского учета. |
| Т5 – В4. В “Комплексном бухгалтерском учете” используются: | |
| А | несколько специализированных АРМов, соответствующих основным разделам бухгалтерского учета; |
| Б | вычислительные центры на базе супер-ЭВМ; |
| В | пакеты мини-бухгалтерии по схеме ПгиБ. |
| Т5 – В5. Сетевая версия бухгалтерского учета приемлема для..? | |
| А | небольшого предприятия; |
| Б | среднего и крупного предприятия; |
| В | только для предприятий, имеющих выход в Интернет. |
| Т5 – В6. Программа “1С:Бухгалтерия” имеет? | |
| А | встроенный “язык программирования” для составления отчетов произвольной формы; |
| Б | возможность ввода информации голосом; |
| В | модуль управления основным производством завода. |
| Т5 – В7. При использовании программы “1С:Бухгалтерия” ввод документов осуществляется из меню…: | |
| А | действия; |
| Б | документы; |
| В | сервис. |
Я часто думаю над тем: где мое место в этом потоке?