→ Развертывание систем защиты информации отражение в учете. Учет расходов на защиту информации. · неправомочное считывание, изменение или стирание данных в процессе их передачи или транспортировки носителей информации

Развертывание систем защиты информации отражение в учете. Учет расходов на защиту информации. · неправомочное считывание, изменение или стирание данных в процессе их передачи или транспортировки носителей информации

Определение 1

Под защитой бухгалтерской информации подразумевают ее защищенность от случайных или преднамеренных воздействий с целью нанесения ущерба владельцам или пользователям информации.

Угроза безопасности информации по данным бухгалтерского учета может заключаться в возможном воздействии на компоненты бухгалтерской системы, которое нанесет ущерб пользователям системы.

Классификация угроз для данных учета

Можно выделить следующие классификации существующих угроз для бухгалтерской информации. Классификация по признаку их возникновения: искусственные или естественны.

Естественные, или объективные угрозы, то есть независящие от человека – форс-мажорные обстоятельства, стихийные бедствия, наводнения, и пожар, как наиболее частое явление, не с целью предумышленного поджога «рабочего стола с бухгалтерскими документами».

Искусственные, или субъективные угрозы, вызванные действиями или бездействиями сотрудников предприятия. Среди них выделяют:

  • Случайные угрозы - ошибки программного обеспечения; сбои в работе, отказы или медленная работа компьютера и систем информационных технологий в целом
  • Умышленные угрозы - неправомерный доступ к информации, распространение вирусных программ и т.д.

По признаку источника возникновения угрозы подразделяются на внутренние и внешние. Где к внутренним относят деятельность работников предприятия, к внешним - влияние извне организации: атака хакеров и т.п.

Безопасность бухгалтерской информации

Безопасность данных бухгалтерского учета складывается из следующих аспектов:

  • надежность компьютера - не стоит экономить на компьютерах за которыми работают бухгалтера
  • сохранность учетных данных учета – должны храниться копии не только систем, но и первичной документации
  • защита от внесения изменений неуполномоченными лицами – система установления и применения паролей должна неукоснительно соблюдаться, такие технические шаги, как выключении монитор и закрытие всех рабочих окон в отсутствие работника уже не являются редкостью

Защита бухгалтерской информации

Защита бухгалтерской и финансовой информации компании от несанкционированного доступа подразумевает наличие у защищаемой информации следующих трех основных критериев:

  • конфиденциальность - информация должна быть доступна только тем, кто кому она предназначена. Самый простой и понятный пример: конфиденциальность заработной платы.
  • Целостность - информация, на основе которой руководители принимают управленческие решения, должна быть достоверной и точной. Примером служат отчеты, которые можно получить из разных книг бухгалтерского учета, в разных форматах и разрезах. И подразумевается, что одни и те же цифры, представленные в разном виде должны быть идентичными
  • готовность – информация должны быть доступной, предоставленной по требованию, тогда когда в ней появляется необходимость. Пример: доступ к данным бухгалтерского учета не должен храниться в «одних руках»

Для предотвращения угроз безопасности, и для построения успешной защиты данных бухгалтерского учета, на предприятиях требуется выполнение следующих правил.

Замечание 1

Все сотрудники финансовых служб, главным образом отдела бухгалтерского учета, имеющие доступ и отношение к системам, должны понимать и осознавать свои функции и компетенции. Во многих международных компаниях все потенциальные сотрудники финансовых подразделений, начиная от линейного, младшего бухгалтера, и заканчивая финансовым директором, проходят предварительную проверку, наряду с высшим руководством компании. Обусловлена такая строгость к критериям отбора кандидатов, наличием отрицательного опыта даже имевшего место в другой стране. Потому что самым «слабым звеном» и «непредсказуемыми действиями» обладают и выступают люди - работники компании, а не машины – информационные технологии.

Резервное копирование систем в идеале должно осуществляться каждый день, на практике ночью создаются копии баз данных.

При анализе применяемых мер по контролю к доступу и использованию данных учета, а также при соблюдении правил работы сотрудниками финансовых отделов, защита бухгалтерской информации будет обеспечена.

Для усиления эффективности деятельности фирмы и предотвращения хищений бухгалтеры должны создавать систему внутреннего контроля. Несмотря на обилие публикаций в этой области, проблема внутреннего контроля во многих источниках по бухгалтерскому учету и аудиту рассматривается в отрыве от информационной безопасности.

Для современной системы бухгалтерского учета характерен ряд особенностей, требующих защиты учетной информации:

законодательные нововведения влекут за собой большие изменения как в самой бухгалтерской сфере, так и в области ее компьютеризации (перевод учета на новый план счетов, ввод в действие Налогового кодекса и др.). Без современных аппаратно-программных средств бухгалтер вряд ли сможет получить достоверную и своевременную учетную информацию. А компьютерные технологии в бухгалтерском учете порождают и новые информационные угрозы;

информационная система бухгалтерского учета относится к классу сложных и динамических образований, построенных в многоуровневой архитектуре «клиент-сервер» с поддержкой связи с удаленными компонентами. Опасности подстерегают как внутри системы, так и вне;

в программном обеспечении могут быть умышленные или неумышленные ошибки, создающие проблемы в защите;

усложнение автоматизированного учета требует оценки надежности системы, т.е. свойств ее по выполнению заданных функций при обеспечении сохранности информации и ее достоверности.

Незащищенные учетные данные приводят к серьезным недостаткам в системе управления предприятием:

множеству недокументированных эпизодов управления;

отсутствию у руководства целостной картины происходящего в отдельных структурных подразделениях;

задержки в получении актуальной на момент принятия решения информации;

разногласиям между структурными подразделениями и отдельными исполнителями, совместно выполняющими работу, из-за плохой взаимной информированности;

информационной перегрузке;

увеличению сроков получения ретроспективной информации, накопленной на предприятии;

сложностям получения информации о текущем состоянии документа или делового процесса;

утечке информации вследствие неупорядочения хранения больших объемов документов.

Новые информационные технологии в бухгалтерском учете на базе современных ПЭВМ, с одной стороны, обеспечивают высокое качество выполняемых работ, а с другой - создают множество угроз непредсказуемых и даже катастрофических последствий. К числу таких угроз относятся следующие: проникновение посторонних лиц в базы учетных данных, компьютерные вирусы, ошибочный ввод учетных данных, ошибки в процессе проектирования и внедрения учетных систем и др. Противостоять угрозам можно, только приняв адекватные меры, которые способствуют обеспечению безопасности учетной информации. В этой связи каждый бухгалтер, использующий в своей работе компьютеры и средства связи, должен знать, от чего защищать информацию и как это делать.

Под защитой учетной информации понимается невозможность случайных или преднамеренных воздействий на нее естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям этой информации.

Понятие «информационная безопасность учетных данных» в узком смысле этого слова подразумевает:

надежность работы компьютера;

сохранность ценных учетных данных;

защиту учетной информации от внесения в нее изменений неуполномоченными лицами;

сохранение документированных учетных сведений в электронной связи.

На первый взгляд может показаться, что «информационная безопасность» и «защита безопасности информации» - одно и то же. Однако это не так. Безопасность информации означает защиту информации от многочисленных угроз, в том числе от умышленного и неумышленного искажения, уничтожения и др. Информационная безопасность есть защита объекта, включая и его информационные системы, от каких-то враждебных воздействий, в частности от компьютерных вирусов, от ошибок, несанкционированного доступа к базам данных и т.д.

Прежде чем проектировать какую-либо систему безопасности, определим, что в учете и от кого (чего) нуждается в защите.

К объектам информационной безопасности в учете относятся как информационные ресурсы, содержащие сведения, отнесенные к коммерческой тайне, и конфиденциальную информацию, представленную в виде баз учетных данных, так и средства и системы информатизации - технические средства, используемые в информационных процессах (средства вычислительной и организационной техники, информативные и физические поля компьютеров, общесистемное и прикладное программное обеспечение, в целом автоматизированные системы учетных данных предприятий).

Угроза информационной безопасности бухгалтерского учета заключается в потенциально возможном воздействии на компоненты учетной системы, способном нанести ущерб владельцам информационных ресурсов или пользователям системы.

Правовой режим информационных ресурсов определяется нормами, устанавливающими:

порядок документирования информации;

право собственности на отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах;

порядок правовой защиты информации.

Основный принцип, нарушаемый при реализации информационной угрозы в бухгалтерском учете, - документирование информации. Учетный документ, полученный из автоматизированной информационной системы учета, приобретает юридическую силу после его подписания должностным лицом в порядке, установленном законодательством Российской Федерации.

Все множество потенциальных угроз в учете по природе их возникновения можно разделить на два класса: естественные (объективные) и искусственные.

Естественные угрозы вызываются объективными причинами, как правило, не зависящими от бухгалтера, ведущими к полному или частичному уничтожению бухгалтерии вместе с ее компонентами: землетрясения, пожары и т.п.

Искусственные угрозы связаны с деятельностью людей. Их можно разделить на непреднамеренные (неумышленные), вызванные способностью сотрудников делать какие-либо ошибки в силу невнимательности либо усталости, болезненного состояния и т.п. Например, при вводе сведений в компьютер нажать не ту клавишу, сделать неумышленные ошибки в программе, занести вирус, случайно разгласить пароли.

Преднамеренные (умышленные) угрозы связаны с корыстными устремлениями людей - злоумышленников, намеренно создающих недостоверные документы.

Угрозы безопасности с точки зрения их направленности можно подразделить на следующие группы:

угрозы проникновения и считывания данных из баз учетных данных и компьютерных программ их обработки;

угрозы сохранности учетных данных, приводящие либо к их уничтожению, либо к изменению, в том числе фальсификация платежных документов (платежных требований, поручений и т.п.);

угрозы доступности данных, возникающие, когда пользователь не может получить доступа к учетным данным;

угрозы отказа от выполнения операций, когда один пользователь передает сообщение другому, а затем не подтверждает переданные данные.

В зависимости от источника угроз их можно подразделить на внутренние и внешние.

Источником внутренних угроз является деятельность персонала организации. Внешние угрозы приходят извне от сотрудников других организаций, от хакеров и прочих лиц.

Внешние угрозы можно подразделить:

на локальные, которые связаны с проникновением нарушителя на территорию организации и получением им доступа к отдельному компьютеру или локальной сети;

удаленные, характерные для систем, подключенных к глобальным сетям (Интернету, системе международных банковских расчетов SWIFT и др.).

Такие опасности возникают чаще всего в системе электронных платежей при расчетах поставщиков с покупателями, использовании в расчетах Интернета. Источники таких информационных атак могут находиться за тысячи километров. Воздействию подвергаются не только ЭВМ, но и бухгалтерская информация.

Умышленные и неумышленные ошибки в учете, приводящие к увеличению учетного риска, следующие:

ошибки в записи учетных данных;

неверные коды;

несанкционированные учетные операции;

нарушение контрольных лимитов;

пропущенные учетные записи;

ошибки при обработке или выводе данных;

ошибки при формировании или корректировке справочников;

неполные учетные записи;

неверное отнесение записей по периодам;

фальсификация данных;

нарушение требований нормативных актов;

нарушение принципов учетной политики;

несоответствие качества услуг потребностям пользователей.

В условиях обработки данных на ПЭВМ последствия многократно повторенной ошибки или неправильно примененной методики могут оказаться катастрофическими.

Процедуры, в которых обычно возникают ошибки, и их типы представлены в табл. 5.2.

Распространение вычислительной техники привело к резкому сокращению невольных (арифметических) ошибок, но создало дополнительные условия для возникновения ошибок умышленных, связанных с мошенничеством.

Необходимо понять, от кого следует защищать информацию. Часто опасность исходит от сотрудников фирмы, действующих не в одиночку, а в сговоре с другими злоумышленниками.

Мотивы и цели компьютерных преступлений могут быть разными: корысть, желание причинить вред, месть, хулиганство либо желание проверить свои способности и навыки владения компьютером.

Таблица 5.2. Место возникновения бухгалтерских ошибок Сфера преобразования учетньх данньх Вид ошибок Первичный Системати учет (сбор и ре зация и обобще Вывод гистрация) ние Ошибки в записи учетных + данных Неверные коды + + - Несанкционированные учет + + ные операции Нарушение контрольных ли- + + митов Пропущенные учетные записи + + + Ошибки при обработке или + + выводе данных Ошибки при формировании или корректировке справоч + + - ников Неполные учетные записи + + + Неверное отнесение записей + + + по периодам Фальсификация данных + + + Нарушение требований нор + + + мативных актов Нарушение принципов учет + + + ной политики Несоответствие качества услуг + + + потребностям пользователей К законодательным мерам, направленным на создание и поддержание в обществе негативного отношения к нарушениям и нарушителям безопасности информации, относится глава 28 «Преступления в сфере компьютерной информации» раздела IX Уголовного кодекса.

Преступлениями в сфере компьютерной информации являются: неправомерный доступ к компьютерной информации (ст. 272 УК); создание, использование и распространение вредоносных программ для ЭВМ (ст. 273 УК); нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети (ст. 274 УК).

Защита информации в автоматизированных учетных системах строится исходя из следующих основных принципов:

обеспечение физического разделения областей, предназначенных для обработки секретной и несекретной информации;

обеспечение криптографической защиты информации;

обеспечение аутентификации абонентов и абонентских установок;

обеспечение разграничения доступа субъектов и их процессов к информации;

обеспечение установления подлинности и целостности документальных сообщений при их передаче по каналам связи;

обеспечение защиты оборудования и технических средств системы, помещений, где они размещаются, от утечки конфиденциальной информации по техническим каналам;

обеспечение защиты шифротехники, оборудования, технических и программных средств от утечки информации за счет аппаратных и программных закладок;

обеспечение контроля целостности программной и информационной части автоматизированной системы;

использование в качестве механизмов защиты только отечественных разработок;

обеспечение организационно-режимных мер защиты. Целесообразно использование и дополнительных мер по обеспечению безопасности связи в системе;

организация защиты сведений об интенсивности, продолжительности и трафиках обмена информации;

использование для передачи и обработки информации каналов и способов, затрудняющих перехват.

Защита информации от несанкционированного доступа направлена на формирование у защищаемой информации трех основных свойств:

конфиденциальности (засекреченная информация должна быть доступна только тому, кому она предназначена);

целостности (информация, на основе которой принимаются важные решения, должна быть достоверной, точной и полностью защищенной от возможных непреднамеренных и злоумышленных искажений);

готовности (информация и информационные службы должны быть доступны, готовы к обслуживанию заинтересованных лиц всегда, когда в них возникает необходимость).

Для обеспечения защиты учетной информации используют препятствия, управление доступом, маскировку, регламентацию, принуждение, побуждение.

Препятствием нужно считать метод физического преграждения пути злоумышленника к защищаемой учетной информации. Этот метод реализуется пропускной системой предприятия, включая наличие охраны на входе в него, преграждение пути посторонних лиц в бухгалтерию, кассу и пр.

Управление доступом - метод защиты учетной и отчетной информации, реализуемый за счет:

идентификации пользователей информационной системы (каждый пользователь получает собственный персональный идентификатор);

аутентификации - установления подлинности объекта или субъекта по предъявленному им идентификатору (осуществляется путем сопоставления введенного идентификатора с хранящимся в памяти компьютера);

проверки полномочий - проверки соответствия запрашиваемых ресурсов и выполняемых операций по выделенным ресурсам и разрешенным процедурам;

регистрации обращений к защищаемым ресурсам;

информирования и реагирования при попытках несанкционированных действий.

Маскировка - метод криптографической защиты (шифрование) информации в автоматизированной информационной системе предприятия.

Принуждение - защита учетной информации ввиду угрозы материальной, административной или уголовной ответственности.

Побуждение - защита информации путем соблюдения пользователями сложившихся морально-этических норм в коллективе предприятия. В США, например, к морально-этическим средствам относится, в частности, Кодекс профессионального поведения членов ассоциации пользователей ЭВМ.

Юридическая сила документа, хранимого, обрабатываемого и передаваемого с помощью автоматизированных и телекоммуникационных систем, может подтверждаться электронной цифровой подписью. При передаче документов (платежных поручений, контрактов, распоряжений) по компьютерным сетям необходимо доказательство истинности того, что документ был действительно создан и отправлен автором, а не фальсифицирован или модифицирован получателем или каким-либо третьим лицом. Кроме того, существует угроза отрицания авторства отправителем в целях снятия с себя ответственности за передачу документа. Для защиты от таких угроз в практике обмена финансовыми документами используются методы аутентификации сообщений при отсутствии у сторон доверия друг к другу. Документ (сообщение) дополняется цифровой подписью и секретным криптографическим ключом. Подделка подписи без знания ключа посторонними лицами исключается, и подпись неопровержимо свидетельствует об авторстве.

Юридическая сила электронной цифровой подписи признается при наличии в автоматизированной информационной системе программно-технических средств, обеспечивающих идентификацию подписи, и соблюдении установленного режима их использования. Бухгалтер (пользователь) подписывает документы электронной цифровой подписью с использованием личного ключа, известного только ему, передает их в соответствии со схемой документооборота, а аппаратно-программная система проводит проверку подписи. Конфиденциальные документы могут шифроваться на индивидуальных ключах, они недоступны для злоумышленников. Система основывается на стандартах и нормах делопроизводства, практике организации учета документов и контроля действий исполнителей в структурах любой формы собственности (государственной и негосударственной).

Защищенность учетных данных дает возможность:

обеспечить идентификацию/аутентификацию пользователя;

определить для каждого пользователя функциональные права - права на выполнение тех или иных функций системы (в частности, на доступ к тем или иным журналам регистрации документов);

определить для каждого документа уровень конфиденциальности, а для каждого пользователя - права доступа к документам различного уровня конфиденциальности;

обеспечить конфиденциальность документов путем их шифрования, а также шифрования всей информации, передающейся по открытым каналам связи (например, по электронной почте); шифрование производится с использованием сертифицированных криптографических средств;

Под безопасностью ИС пони043Cается защищенность системы от случайного или преднамеренного вмешательства в нормальный процесс ее функционирования, от попыток хищения (несанкционированного получения) информации, модификации или физического разрушения

ее компонентов.

В условиях использования ИТ под безопасностью понимается состояние защищенности ИС от внутренних и внещних угроз.

Показатель защищенности ИС - характеристика средств системы, влияющая на защищенность и описываемая определенной группой требований, варьируемых по уровню и глубине в зависимости от класса защищенности. правил и практического опыта, на основе которых строятся управление,

защита и распределение конфиденциальной информации.

Методы обеспечения безопасности информации в ИС:

· препятствие;

· управление доступом;

· механизмы шифрования;

· противодействие атакам вредоносных программ;

· регламентация;

· принуждение;

· побуждение.

Препятствие – метод физического преграждения пути злоумышленнику к защищаемой информации (к аппаратуре, носителям информации и т.д.).

Управление доступом – методы защиты информации регулированием использования всех ресурсов ИС и ИТ. Эти методы должны противостоять всем возможным путям несанкционированного доступа к информации.

Управление доступом включает следующие функции зашиты:

· идентификацию пользователей, персонала и ресурсов системы (присвоение каждому объекту персонального идентификатора);

· опознание (установление подлинности) объекта или субъекта по предъявленному им идентификатору;

· проверку полномочий (проверка соответствия дня недели, времени суток, запрашиваемых ресурсов и процедур установленному регламенту);

· разрешение и создание условий работы в пределах установленного регламента;

· регистрацию (протоколирование) обращений к защищаемым ресурсам;

· реагирование (сигнализация, отключение, задержка работ, отказ в запросе и т.п.) при попытках несанкционированных действий.



Механизмы шифрования – криптографическое закрытие информации. Эти методы защиты все шире применяются как при обработке, так и при хранении информации на магнитных носителях. При передаче информации по каналам связи большой протяженности этот метод является единственно надежным.

Противодействие атакам вредоносных программ предполагает комплекс разнообразных мер организационного характера и исполь­зование антивирусных программ. Цели принимаемых мер – это уменьшение вероятности инфицирования АИС, выявление фактов заражения системы; уменьшение последствий информационных инфекций, локализация или уничтожение вирусов; восстановление информации в ИС. Овладение этим комплексом мер и средств требует знакомства со специальной литературой.

Регламентация – создание таких условий автоматизированной обработки, хранения и передачи защищаемой информации, при кото­рых нормы и стандарты по защите выполняются в наибольшей степени.

Принуждение – метод защиты, при котором пользователи и персонал ИС вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.

Побуждение – метод защиты, побуждающий пользователей и персонал ИС не нарушать установленные порядки за счет соблюдения сложившихся моральных и этических норм.

Вся совокупность технических средств подразделяется на аппаратные и физические .

Аппаратные средства – устройства, встраиваемые непосредственно в вычислительную технику, или устройства, которые сопрягаются с ней по стандартному интерфейсу.

Физические средства включают различные инженерные устройства и сооружения, препятствующие физическому проникновению злоумышленников на объекты защиты и осуществляющие защиту персонала (личные средства безопасности), материальных средств и финансов, информации от противоправных действий. Примеры физических средств: замки на дверях, решетки на окнах, средства электронной охранной сигнализации и т.п.

Программные средства – это специальные программы и программные комплексы, предназначенные для защиты информации в ИС. Как отмечалось, многие из них слиты с ПО самой ИС.

Из средств ПО системы защиты выделим еще программные средства, реализующие механизмы шифрования (криптографии). Криптография – это наука об обеспечении секретности и/или аутентичности (подлинности) передаваемых сообщений.

Организационные средства осуществляют своим комплексом регламентацию производственной деятельности в ИС и взаимоотношений исполнителей на нормативно-правовой основе таким образом, что разглашение, утечка и несанкционированный доступ к конфиденциальной информации становится невозможным или существенно затрудняется за счет проведения организационных мероприятий. Комплекс этих мер реализуется группой информационной безопасности, но должен находиться под контролем первого руководителя.

Законодательные средства защиты определяются законодательными актами страны, которыми регламентируются правила пользования, обработки и передачи информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил.

Морально-этические средства защиты включают всевозможные нормы поведения (которые традиционно сложились ранее), складываются по мере распространения ИС и ИТ в стране и в мире или специально разрабатываются. Морально-этические нормы могут быть неписаные (например честность) либо оформленные в некий свод (устав) правил или предписаний. Эти нормы, как правило, не являются законодательно утвержденными, но поскольку их несоблюдение приводит к падению престижа организации, они считаются обязательными для исполнения. Характерным примером таких предписаний является Кодекс профессионального поведения членов Ассоциации пользователей ЭВМ США.

ИС финансов.

Финансовые функции заключаются в управлении активами (наличными средствами, ценными бумагами, облигациями), для достижения их максимальной прибыли. Например, управление капитализацией (поиска новых финансовых возможностей при работе с ценными бумагами).

К бухгалтерским функциям относится обслуживание и управление финансовых записей организации (издержки, платежные ведомости, амортизация).

Для финансовых и бухгалтерских функций требуются постоянный мониторинг активов и инвестиций. Поэтому финансовые и бухгалтерские ИС являются системами мониторинга и контроля активов и денежных потоков организации.

На операционном уровне подсистема финансов проводит учет дебиторов и кредиторов.

На уровне знаний формируется и анализируется портфель заказов.

На уровне менеджмента проводится бюджетирование.

На стратегическом уровне проводится долгосрочное планирование прибыли.

Чтобы поддерживать производство, маркетинг и другие виды деятельности, на фирме должно быть достаточно денежных средств, поэтому задача контроля финансовых ресурсов и обеспечение их эффективного использования достаточно актуальны.

Все или почти все менеджеры фирмы несут финансовую ответственность в рамках своих полномочий. Они обязаны соизмерять свои расходы с бюджетными ограничениями данного года. Однако финансовое состояние фирмы волнует не только ее работников. Многие частные лица и организации зорко наблюдают за финансовым положением фирмы, имея в этом свой собственный интерес. Это прежде всего, держатели акций фирмы, финансовые организации, поставщики, конкуренты, правительственные чиновники и т.п. Информационная система финансов фирмы должна удовлетворить информационные потребности как менеджеров фирмы, так и ее окружения в отношении финансового состояния фирмы.

ИС финансов предназначена для обеспечения соответствующей финансовой информацией работников и заинтересованных лиц. Информация при этом может быть представлена в виде периодических и специальных отчетов, результатов математического моделирования, электронной коммуникации и советов экспертной системы (ЭС). Структура ИС финансов изображена на Рис. 16.

Рис. 16. Структура ИС финансов

Также как и другие функциональные подсистемы ИС организации, ИС финансов включает в себя ряд входных и выходных подсистем: бухгалтерскую подсистему и подсистему внешней информации. Третья входная подсистема предназначена для внутреннего аудита (проверки) правильности обработки финансовых данных.

Три выходные подсистемы ИС финансов управляют потоками финансовых средств. Подсистема прогнозирования создана для предвидения поведения фирмы совместно с ее окружением в долгосрочной перспективе. Подсистема управления финансами имеет целью достижение сбалансированности потоков средств, циркулирующих между фирмой и ее окружением. Подсистема контроля призвана контролировать эффективность использования менеджерами всех доступных видов финансовых ресурсов. Выходные подсистемы ИС финансов содержат различные типы программного обеспечения, трансформирующего данные, (содержащиеся в базе данных), в информацию, обеспечивающую поддержку принимаемых решений.
Программное обеспечение ИС финансов более разнообразно, чем для других функциональных подсистем ИС организации. Финансовые менеджеры широко используют электронные таблицы как программные средства повышения персональной производительности труда. Строки в этих таблицах используются для выражения таких финансовых показателей как объем продаж, себестоимость, прибыль, а столбцы - для интерпретации временных периодов (годы, кварталы, месяцы).

^ Входные подсистемы

1. Бухгалтерская ИС.

2. Подсистема внутреннего аудита. Обычно для проверки правильности финансовых расчетов фирмы обращаются к внешним аудиторам, специализирующимся в делах такого рода. Однако часто большие фирмы создают свои собственные подразделения внутреннего аудита и их задачей является своевременная оценка работы фирмы с финансовых позиций.

3. Подсистема внешней информации. Подсистема внешней информации создана для нахождения дополнительных внешних финансовых источников, которые могут быть использованы для финансирования деятельности фирмы. Главными источниками информации при этом оказываются держатели акций фирмы и ее финансовое окружение (банки, поставщики, конкуренты, потребители). Как и аналогичные подсистемы внешней информации других функциональных ИС, подсистема внешней информации ИС финансов получает также информацию от правительственных организаций.

^ Выходные подсистемы

1. Подсистема прогнозирования. Прогнозирование является одним из наиболее ранних количественных приложений в бизнесе. Существует значительное число методов прогнозирования.

2. Регрессионный анализ дает возможность устанавливать взаимосвязь между некоторой независимой переменной и другой, зависимой переменной, поведение которой нам требуется предсказать. Так, например, если считать объем продаж фирмы зависимой переменной, а количество работающих на фирму торговых агентов - независимой переменной, то можно построить линию регрессии, определяющую связь между ними. По линии регрессии, задав любое значение независимой переменной (количество агентов), можно предсказать соответствующее значение зависимой переменной (объем продаж).

3. Подсистема управления финансами Управление потоком средств, следующих из фирмы в ее окружение и из окружения в фирму, преследует две цели:

Убедиться, что поток доходов превышает поток расходов;

Убедиться, что положение фирмы стабильно.

Фирма может показывать вполне приличную годовую прибыль, в то время как некоторые месяцы внутри года оказываются убыточными. Для анализа потока средств, поступающих и уходящих с фирмы каждый месяц, разрабатываются специальные модели, позволяющие получить результат в графической или табличной форме.

4. Подсистема контроля. Менеджеры, имея определенные цели, которых они должны достигнуть в течение текущего периода, могут действовать лишь в рамках установленных для них финансовых ограничений. Такие ограничения формируются бюджетом текущего года. Бюджет фирмы является основой подсистемы контроля ее расходов.

Для предприятий, учреждений и организаций независимо от форм собственности ключевым вопросом является обеспечение защиты информационных ресурсов, в том числе бухгалтерской информации и отчетности. Программа «1С:Бухгалтерия государственного учреждения 8» редакции 2 соответствует современным требованиям информационной безопасности. О возможностях программы по защите информации рассказывают в статье эксперты 1С.

Актуальность обеспечения защиты информационных ресурсов

Для обеспечения информационной безопасности организации, учреждения, предприятия должны быть созданы такие условия, при которых использование, потеря или искажение любой информации о состоянии организации, в том числе бухгалтерской и финансовой, работниками организации или внешними лицами (пользователями) с высокой степенью вероятности не приведут в обозримом будущем к возникновению угроз прерывания деятельности организации.

Актуальность проблем информационной безопасности на государственном уровне подтверждается принятием Доктрины информационной безопасности в Российской Федерации (утв. Президентом РФ 09.09.2000 № Пр-1895). Одной из составляющих национальных интересов Российской Федерации в информационной сфере является защита информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем, как уже развернутых, так и создаваемых на территории России.

Обеспечение информационной безопасности Российской Федерации в сфере экономики играет ключевую роль в обеспечении национальной безопасности Российской Федерации. Воздействию угроз информационной безопасности Российской Федерации в сфере экономики наиболее подвержены:

  • система государственной статистики;
  • кредитно - финансовая система;
  • информационные и учетные автоматизированные системы подразделений федеральных органов исполнительной власти, обеспечивающих деятельность общества и государства в сфере экономики;
  • системы бухгалтерского учета предприятий, учреждений и организаций независимо от формы собственности ;
  • системы сбора, обработки, хранения и передачи финансовой, биржевой, налоговой, таможенной информации и информации о внешнеэкономической деятельности государства, а также предприятий, учреждений и организаций независимо от формы собственности.

Угрозами информационной безопасности предприятия, учреждения, организации, связанными с бухгалтерским учетом и отчетностью, являются угрозы:

  • целостности бухгалтерской информации и отчетности;
  • нарушения конфиденциальности бухгалтерской информации и отчетности;
  • нарушения доступности (блокирование) бухгалтерской информации и отчетности;
  • достоверности бухгалтерской информации и отчетности;
  • содержанию бухгалтерской информации и отчетности, вызванные действием персонала и других лиц;
  • вызванные использованием некачественной бухгалтерской информации и отчетности.

Информационная безопасность в «1С:Бухгалтерии государственного учреждения 8»

Программа «1С:Бухгалтерия государственного учреждения 8» редакция 2 (далее - Программа) соответствует современным требованиям информационной безопасности. Для повышения степени защиты от несанкционированного доступа информации, хранящейся в Программе, предусмотрены следующие возможности:

  • аутентификация;

Рассмотрим подробнее данные возможности Программы.

Аутентификация

Механизм аутентификации - это один из инструментов администрирования. Он позволяет определить, кто именно из пользователей, перечисленных в списке пользователей системы, подключается к Программе в данный момент, и предотвратить несанкционированный доступ в Программу.

В «1С:Бухгалтерии государственного учреждения 8» редакции 2 поддерживается три вида аутентификации, которые могут использоваться в зависимости от конкретных задач, стоящих перед администратором информационной базы:

  • аутентификация 1С:Предприятия - аутентификация по созданному в Программе пользователю и паролю;
  • аутентификация операционной системы - в Программе для пользователя выбирается один из пользователей операционной системы. Программа анализирует, от имени какого пользователя операционной системы выполняется подключение к Программе, и на основании этого определяет соответствующего пользователя Программы;
  • OpenID-аутентификация - аутентификацию пользователя выполняет внешний OpenID-провайдер, хранящий список пользователей.

Если для пользователя не указан ни один из видов аутентификации, такому пользователю доступ к Программе закрыт.

Если необходимо, чтобы пользователь входил в Программу с паролем, который будет проверяться, следует включить флаг Аутентификация 1С:Предприятия (см. рис. 1). Он включается по умолчанию вместе с флагом Вход в программу разрешен .

Состояние аутентификации «1С:Предприятия» выводится под флагом.


Рис. 1

При создании нового пользователя ему Программой автоматически назначается пустой пароль. Чтобы его изменить, следует воспользоваться командой Установить пароль в карточке пользователя (см. рис. 1).

В форме Установка пароля необходимо ввести Новый пароль для входа в Программу, написать его повторно в поле Подтверждение .

Хороший пароль должен состоять не менее чем из восьми символов, включать в себя заглавные и прописные латинские буквы, цифры, символы (подчеркивание, скобки и т. д.) и быть малопонятным выражением. Нежелательно, чтобы пароль совпадал с именем пользователя, полностью состоял из цифр, содержал понятные слова, чередующиеся группы символов. Примеры хороших паролей: "nj7{jhjibq*Gfhjkm, F5"njnGhkmNj;t{HI. Примеры неудачных паролей: Иванов, qwerty, 12345678, 123123123. Подробнее см. документацию «1С:Предприятие 8.3. Руководство администратора».

В Программе предусмотрена возможность автоматической проверки сложности пароля .

По умолчанию в целях безопасности пароль при вводе не показывается. Для того чтобы видеть, какие символы вводятся, следует включить флаг Показывать новый пароль .

Для автоматической генерации пароля можно воспользоваться кнопкой Создать пароль . Пароль будет создан Программой.

Для сохранения пароля необходимо нажать на кнопку Установить пароль .

После этого состояние аутентификации 1С:Предприятие меняется на Пароль установлен . В карточке пользователя кнопка меняет значение на Сменить пароль .

Для удобства администрирования и обеспечения безопасности у всех пользователей предусмотрен флаг , который нужен, чтобы пользователь сменил пароль, заданный администратором, на свой. При включенном флаге пользователь будет обязан самостоятельно ввести свой пароль, который больше никто не будет знать.

Если флаг Потребовать смену пароля при входе не включен, и установленный ранее пароль не устраивает по каким-то причинам, то можно поменять его в любой момент в карточке пользователя.

Включенный флаг Пользователю запрещено изменять пароль запрещает пользователю, не имеющему полные права, самостоятельно задавать и изменять пароль.

Реквизиты Потребовать смену пароля при входе и Срок действия можно увидеть в карточке пользователя и в отчете Сведения о пользователях (Сведения о внешних пользователях ).

Настройки входа в Программу

В форме Настройки входа (раздел Администрирование , команда панели навигации Настройки пользователей и прав ) раздельно для внутренних и внешних пользователей Программы можно настроить такие параметры как:

  • настройка и контроль сложности пароля;
  • требование смены пароля по расписанию или вручную. Смена пароля - периодически или по требованию;
  • настройка и контроль повторяемости пароля;
  • ограничение срока действия учетных записей.

На рисунке 2 представлена настройка для внутренних пользователей.


Рис. 2

Аналогичная настройка предусмотрена для внешних пользователей.

Контроль сложности пароля

При установленном флаге Пароль должен отвечать требованиям сложности программа проверяет, чтобы новый пароль:

  • имел не менее 7 символов,
  • содержал любые 3 из 4-х типов символов: заглавные буквы, строчные буквы, цифры, специальные символы,
  • не совпадал с именем (для входа).

Минимальную длину пароля можно изменить, поставив флаг напротив одноименного поля и указав необходимую длину пароля (рис. 3).


Рис. 3

Смена пароля

Предусмотрено две настройки смены пароля: периодическая или по требованию администратора.

Для периодической смены пароля необходимо ограничить срок действия пароля настройками Минимальный срок действия пароля и Максимальный срок действия пароля . По истечении установленного срока Программа предложит пользователю поменять пароль.

Максимальный срок действия пароля - срок после первого входа с новым паролем, после которого пользователю потребуется сменить пароль, по умолчанию 30 дней.

Минимальный срок действия пароля - срок после первого входа с новым паролем, в течение которого пользователь не может сменить пароль, по умолчанию 1 день.

Для смены пароля по требованию администратору необходимо установить флаг Потребовать установку пароля при входе в карточке пользователя. При первом входе в Программу она потребует сменить пароль, заданный администратором, на свой.

Контроль повторяемости

Чтобы исключить создание пользователями повторяющихся паролей, необходимо включить настройку Запретить повторение пароля среди последних и установить количество последних паролей, с которыми будет сравниваться новый пароль.

Ограничение входа для пользователей

Для защиты от несанкционированного доступа в Программу можно установить ограничение для пользователей, не работающих в программе определенный период времени, например, 45 дней.

По истечении указанного срока программа не позволит пользователю войти в Программу. Открытые сеансы пользователей автоматически завершаются не более чем через 25 минут после того, как вход в Программу был запрещен.

В карточке пользователя, которая доступна в персональных настройках Программы, по гиперссылке Установить ограничения можно указать дополнительные ограничения на вход в Программу (рис. 4).


Рис. 4

С помощью переключателя можно установить ограничение на вход в Программу:

  • Согласно общим настройкам входа - установлено по умолчанию;
  • Без ограничения срока ;
  • Вход разрешен до (следует установить срок - ввести дату вручную или выбрать из календаря с помощью кнопки). Для защиты от несанкционированного доступа к Программе у всех пользователей предусмотрен срок действия, который позволяет автоматически отключить пользователя по достижению указанной даты;
  • Запретить вход, если не работает более (следует указать количество дней) - если пользователь не войдет в Программу больше указанного количества дней, то вход в Программу будет невозможен. В этом случае пользователь должен будет обратиться к администратору для возобновления работы в Программе.

Отчет «Сведения о пользователях»

Отчет Сведения о пользователях (рис. 5) предназначен для просмотра сведений о пользователях Программы, включая настройки для входа (свойства пользователя информационной базы). Необходимость в отчете возникает, если требуется выполнить групповой анализ настроек для входа (имени для входа, видов аутентификации и других).

Отчет открывается из списка Пользователи (Внешние пользователи ) по команде Все действия - Сведения о пользователях (Все действия - О внешних пользователях ). В зависимости от вида списка Программа автоматически выбирает нужный вариант отчета.

Сведения о внутренних и внешних пользователях в одном отчете можно открыть через панель действий раздела Администрирование по команде Сведения о пользователях .

Необходимость в отчете возникает, если требуется выполнить групповой анализ настроек для входа (имени для входа, видов аутентификации и других).


Рис. 5

С помощью кнопки Настройки... можно открыть список полей и при необходимости добавить нужные поля в отчет. Например, можно добавить в отчет поля Потребовать смену пароля при входе и Срок действия .

Обеспечение защиты персональных данных

В заключение следует отметить, что управление доступом в Программу - это только один из элементов защиты данных, предоставляемых Программой.

Постановлением Правительства РФ от 01.11.12 № 1119 утверждены Требования к защите персональных данных при их обработке в информационных системах персональных данных, где определены уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных. В соответствии с этими требованиями приказом ФСТЭК России от 18.02.13г. № 21 детализированы состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.

Нормы действующего законодательства о персональных данных предъявляют дополнительные требования и к программным продуктам, в частности, к программному обеспечению, являющемуся средствами защиты информации.

Для обеспечения защиты персональных данных предназначен защищенный программный комплекс (ЗПК) «1С:Предприятие, версия 8.3z», который является сертифицированным ФСТЭК России программным средством общего назначения со встроенными средствами защиты информации от несанкционированного доступа (НСД) к информации, не содержащей сведений, составляющих гостайну.

ЗПК «1С:Предприятие 8.3z» позволяет блокировать:

  • запуск COM-объектов, внешних обработок и отчетов, приложений, установленных на сервере 1С:Предприятие;
  • использование внешних компонентов 1С:Предприятие;
  • обращение к ресурсам Интернет.

Совместное использование типовой «1С:Бухгалтерии государственного учреждения» редакции 2 и ЗПК «1С:Предприятие 8.3z» позволяет создать информационную систему персональных данных всех уровней защищенности, и дополнительная сертификация этого прикладного решения не требуется.

Использование ЗПК«1С:Предприятие 8.3z» совместно с сертифицированными ФСТЭК операционными системами, СУБД и другими сертифицированными средствами позволяет полностью выполнить требования вышеуказанных нормативных документов.

Поскольку «1С:Бухгалтерия государственного учреждения» обеспечивает обмен данными с органами Федерального Казначейства, Налоговыми органами, с информационными системами о государственных и муниципальных платежах (ГИС ГМП), учета федерального имущества (АСУФИ), регистрации и начисления платежей (ИС РНИП) и др. через Интернет, для выполнения требований безопасности объект должен быть обеспечен сертифицированными средствами межсетевого экранирования.

Разумеется, необходимо ежедневно проверять компьютеры, на которых установлена Программа, на наличие вредоносных компьютерных программ с использованием сертифицированных в системе сертификации ФСТЭК России средств антивирусной защиты.

 

 
Это интересно: