Учебное пособие Нижний Новгород 2012 удк ббк м-15 Мизиковский И. Е., Милосердова А. Н., Ясенев В. Н.: Бухгалтерский управленческий учет. Учебное пособие., 2012, 6,1п л. Рецензенты

Скачать 1.32 Mb.

Название	Учебное пособие Нижний Новгород 2012 удк ббк м-15 Мизиковский И. Е., Милосердова А. Н., Ясенев В. Н.: Бухгалтерский управленческий учет. Учебное пособие., 2012, 6,1п л. Рецензенты
страница	8/10
Тип	Учебное пособие

rykovodstvo.ru > Руководство эксплуатация > Учебное пособие

1 2 3 4 5 6 7 8 9 10

Глава 4. Обеспечение компьютерной безопасности учетнойинформации

Переход России к рыночным отношениям выдвигает на первый планпроблемы коренной перестройки учета. Если раньше учетная функция управлениясводилась к прямому счетоводству и составлению отчетности, то в новых условияхбухгалтер – это центральная фигура управленческого персонала, он главныйконсультант директора фирмы, аналитик, финансист. Для выполнения новых функцийи, прежде всего, создания учета как средства управления и регулированияиспользование компьютера, а также современных средств связи и коммуникацийжизненно необходимо.

Бухгалтер должен принимать непосредственное участие в созданиикомпьютерной информационной системы бухгалтерского учета, ставить задачи иконтролировать достоверность данных, их соответствие реальным хозяйственнымоперациям, анализировать бухгалтерскую информацию и исправлять неблагоприятныеситуации.

Новые информационные технологии в бухгалтерском учете на базесовременных ПЭВМ, с одной стороны, обеспечивают высокое качество выполняемыхработ, а с другой, - создают множество угроз, приводящих к непредсказуемым и дажекатастрофическим последствиям. К числу таких угроз относятся следующие:проникновение посторонних лиц в базы учетных данных, повсеместноераспространение компьютерных вирусов, ошибочный ввод учетных данных, ошибки впроцессе проектирования и внедрения учетных систем и др. Противостоять возможнойреализации угроз можно только приняв адекватные меры, которые способствуютобеспечению безопасности учетной информации. В этой связи каждый бухгалтер,использующий в своей работе компьютеры и средства связи, должен знать, от чегозащищать информацию и как это делать.

Под защитой учетной информации понимается состояние защищенностиинформации и поддерживающей ее инфраструктуры (компьютеров, линий связи,систем электропитания и т.п.) от случайных или преднамеренных воздействийестественного или искусственного характера, чреватых нанесением ущербавладельцам или пользователям этой информации.

Информационная безопасность учетных данных в узком смысле подразумевает:

надежность работы компьютера;

сохранность ценных учетных данных;
защиту учетной информации от внесения в нее измененийнеуполномоченными лицами;
сохранение документированных учетных сведений в электронной связи.

К объектам информационной безопасности в учете относятся:

информационные ресурсы, содержащие сведения, отнесенные к коммерческой тайне и конфиденциальную информацию, представленную в виде баз учетных данных;
средства и системы информатизации – технические средства, используемые вдругих информационных системах.
информативные и физические поля компьютеров, общесистемное и прикладноепрограммное обеспечение, в целом автоматизированные системы учетных данныхпредприятий.

Угроза информационной безопасности бухгалтерского учета заключается впотенциально возможном действии, которое посредством воздействия накомпоненты учетной системы может привести к нанесению ущерба владельцаминформационных ресурсов или пользователям системы.

Правовой режим информационных ресурсов определяется нормами,устанавливающими:

порядок документирования информации;
право собственности на отдельные документы и отдельные массивы
документов, документы и массивы документов в информационных системах;
категорию информации по уровню доступа к ней;
порядок правовой защиты информации.

Основный принцип, нарушаемый при реализации информационной угрозы вбухгалтерском учете, - это принцип документирования информации. Учетныйдокумент, полученный из автоматизированной информационной системы учета,приобретает юридическую силу после его подписания должностным лицом в порядке,установленном законодательством Российской Федерации.Все множество потенциальных угроз в учете по природе их возникновенияможно разделить на два класса: естественные (объективные) и искусственные.

Естественные угрозы вызываются объективными причинами, как правило, независящими от бухгалтера, ведущими к полному или частичному уничтожениюбухгалтерии вместе с ее компонентами. К таким стихийным явлениям относятся землетрясения, удары молнией, пожары и т.п.

Искусственные угрозы связаны с деятельностью людей. Их можно разделитьна непреднамеренные (неумышленные), вызванные способностью сотрудников делатькакие-либо ошибки в силу невнимательности, либо усталости, болезненного состоянияи т.п. Например, бухгалтер при вводе сведений в компьютер может нажать не туклавишу, сделать неумышленные ошибки в программе, занести вирус, случайноразгласить пароли.

Преднамеренные (умышленные) угрозы связаны с корыстными устремлениямилюдей – злоумышленников, намеренно создающих недостоверные документы.Угрозы безопасности с точки зрения их направленности можно подразделитьна следующие группы:

угрозы проникновения и считывания данных из баз учетных данных и
компьютерных программ их обработки;
угрозы сохранности учетных данных, приводящие либо к их уничтожению,либо к изменению, в том числе фальсификация платежных документов (платежныхтребований, поручений и т.п.);
угрозы доступности данных, возникающие, когда пользователь не можетполучить доступа к учетным данным;
угроза отказа от выполнения операций, когда один пользователь передаетсообщение другому, а затем не подтверждает переданные данные.

В зависимости от источника угроз их можно подразделить навнутренние ивнешние.Источникомвнутренних угроз является деятельность персонала организации.Внешние угрозы приходят извне от сотрудников других организаций, от хакеров ипрочих лиц.

Внешние угрозы можно подразделить на:

локальные, которые предполагают проникновение нарушителя на территориюорганизации и получение им доступа к отдельному компьютеру или локальной сети;

удаленные угрозы характерны для систем, подключенных к глобальным сетям(Internet, система международных банковских расчетов SWIFT и др.).

Такие опасности возникают чаще всего в системе электронных платежейпри расчетах поставщиков с покупателями, использовании в расчетах сетей Internet.

Источники таких информационных атак могут находиться за тысячи километров.Причем воздействию подвергаются не только ЭВМ, но и бухгалтерская информация.Умышленными и неумышленными ошибками в учете, приводящими кувеличению учетного риска, являются следующие:

ошибки в записи учетных данных;
неверные коды;
несанкционированные учетные операции;
нарушение контрольных лимитов;
пропущенные учетные записи;
ошибки при обработке или выводе данных;
ошибки при формировании или корректировке справочников;
неполные учетные записи;
неверное отнесение записей по периодам;
фальсификация данных;
нарушение требований нормативных актов;
нарушение принципов учетной политики;
несоответствие качества услуг потребностям пользователей.

Незащищенные учетные данные приводят к серьезным недостаткам в системеуправления предприятием:

множеству недокументированных эпизодов управления;
отсутствию у руководства целостной картины происходящего на предприятиив отдельных структурных подразделениях;
задержки в получении актуальной на момент принятия решения информации;
разногласиям между структурными подразделениями и отдельнымиисполнителями, совместно выполняющими работу, проистекающими из-за плохойвзаимной информированности о состоянии деловых процессов;
жалобам сотрудников всех уровней на информационные перегрузки;
неприемлемым срокам разработки и рассылки деловых документов;
длительным срокам получения ретроспективной информации, накопленной напредприятии;
сложностям получения информации о текущем состоянии документа или
делового процесса;
нежелательной утечке информации, происходящей вследствиенеупорядоченного хранения больших объемов документов.

Особую опасность представляют сведения, составляющие коммерческуютайну и относящиеся к учетной и отчетной информации (данные о партнерах,клиентах, банках, аналитическая информация о деятельности на рынке). Чтобы эта ианалогичная информация была защищена, необходимо оформить договора ссотрудниками бухгалтерии, финансовых служб и других экономических подразделенийс указанием перечня сведений, не подлежащих огласке.

Защита информации в автоматизированных учетных системах строится исходяиз следующих основных принципов:

обеспечение физического разделения областей, предназначенных секретной и несекретной информации.
обеспечение криптографической защиты информации.
обеспечение аутентификации абонентов и абонентских установок.
обеспечение разграничения доступа субъектов и их процессов к информации.
обеспечение установления подлинности и целостности документальныхсообщений при их передаче по каналам связи.
обеспечение защиты от отказов от авторства и содержания электронныхдокументов.
обеспечение защиты оборудования и технических средств системы,помещений, где они размещаются, от утечки конфиденциальной информации потехническим каналам.
обеспечение защиты шифротехники, оборудования, технических ипрограммных средств от утечки информации за счет аппаратных и программныхзакладок.
обеспечение контроля целостности программной и информационной частиавтоматизированной системы.
использование в качестве механизмов защиты только отечественныхразработок.
обеспечение организационно-режимных мер защиты.

Целесообразноиспользование и дополнительных мер по обеспечению безопасности связи в системе.

организация защиты сведений об интенсивности, продолжительности итрафиках обмена информации.
использование для передачи и обработки информации каналов и способов,затрудняющих перехват.

Защита информации от несанкционированного доступа направлена наформирование у защищаемой информации трех основных свойств:

конфиденциальность (засекреченная информация должна быть доступнатолько тому, кому она предназначена);
целостность (информация, на основе которой принимаются важные решения,должна быть достоверной, точной и полностью защищенной от возможныхнепреднамеренных и злоумышленных искажений);
готовность (информация и соответствующие информационные службыдолжны быть доступны, готовы к обслуживанию заинтересованных лиц всегда, когда вних возникает необходимость).

Методами обеспечения защиты учетной информации являются: препятствия;управление доступом, маскировка, регламентация, принуждение, побуждение.

Препятствием нужно считать метод физического преграждения путизлоумышленника к защищаемой учетной информации. Этот метод реализуетсяпропускной системой предприятия, включая наличие охраны на входе в него,преграждение пути посторонних лиц в бухгалтерию, кассу и пр.

Управлением доступом является метод защиты учетной и отчетнойинформации, реализуемой за счет:

идентификации пользователей информационной системы. (Каждыйпользователь получает собственный персональный идентификатор);
аутентификации – установления подлинности объекта или субъекта попредъявленному им идентификатору (осуществляется путем сопоставления введенногоидентификатора с хранящимся в памяти компьютера);
проверки полномочий – проверки соответствия запрашиваемых ресурсов ивыполняемых операций по выделенным ресурсам и разрешенным процедурам;
регистрации обращений к защищаемым ресурсам;
информирования и реагирования при попытках несанкционированных
действий. (Криптография – способ защиты с помощью преобразования информации(шифрования).

Маскировка – метода криптографической защиты информации вавтоматизированной информационной системе предприятия;

Принуждение – метод защиты учетной информации ввиду угрозыматериальной, административной или уголовной ответственности. Последнеереализуется тремя статьями Уголовного кодекса:

«Неправомерный доступ к компьютерной информации» (ст. 272);
«Создание, использование и распространение вредоносных программ для
ЭВМ» (ст. 273);
Нарушение правил эксплуатации ЭВМ, систем ЭВМ или их сетей. (ст. 274).

Побуждение – метод защиты информации путем соблюдения пользователямисложившихся морально-этических норм в коллективе предприятия. К морально-этическим средствам относятся, в частности, Кодекс профессионального поведениячленов ассоциации пользователей ЭВМ в США.

Юридическая сила документа, хранимого, обрабатываемого и передаваемого спомощью автоматизированных и телекоммуникационных систем, можетподтверждаться электронной цифровой подписью.

При передаче документов (платежных поручений, контрактов, распоряжений)по компьютерным сетям необходимо доказательство истинности того, что документбыл действительно создан и отправлен автором, а не фальсифицирован илимодифицирован получателем или каким-либо третьим лицом. Кроме того, существуетугроза отрицания авторства отправителем с целью снятия с себя ответственности запередачу документа. Для защиты от таких угроз в практике обмена финансовымидокументами используются методы аутентификации сообщений при отсутствии усторон доверия друг к другу. Документ (сообщение) дополняется цифровой подписьюи секретным криптографическим ключом. Подделка подписей без знания ключапосторонними лицами исключается и неопровержимо свидетельствует об авторстве.

Юридическая сила электронной цифровой подписи признается при наличии вавтоматизированной информационной системе программно-технических средств,обеспечивающих идентификацию подписи, и соблюдении установленного режима ихиспользования. Бухгалтер (пользователь) подписывает электронной цифровойподписью с использованием личного ключа, известного только ему, документы,передает их в соответствии со схемой документооборота, а аппаратно-программнаясистема производит проверку подписи. Конфиденциальные документы могутшифроваться на индивидуальных ключах и недоступны для злоумышленников.

Система основывается на отечественных стандартах и нормах делопроизводства,практике организации учета документов и контроля действий исполнителей вструктурах любой формы собственности (государственной и негосударственной).

Защищенность учетных данных дает возможность:

обеспечить идентификацию/аутентификацию пользователя;

определить для каждого пользователя функциональные права – права навыполнение тех или иных функций системы (в частности, на доступ к тем или инымжурналам регистрации документов);

определить для каждого документа уровень конфиденциальности, а длякаждого пользователя – права доступа к документам различного уровняконфиденциальности;

подтвердить авторство пользователя с помощью механизма электроннойподписи;;

обеспечить конфиденциальность документов путем их шифрования, а такжешифрования всей информации, передающейся по открытым каналам связи (например,по электронной почте); шифрование производится с использованиемсертифицированных криптографических средств;

протоколировать все действия пользователей в журналах аудита (в журналеаудита входа и выхода из системы, журнале совершенных операций).

Подделка подписи без знания ключа злоумышленниками исключается. Призащите учетной информации нужно соблюдать следующий принцип: если выоцениваете информацию в 100000 рублей, то тратить 150000 рублей на ее защиту нестоит.Средства контроля в автоматизированных учетных системах размещаются втех точках, где возможный риск способен обернуться убытками.Такие точки называются «точками риска», или «контрольными точками». Этоте точки, где контроль будет наиболее эффективным и вместе с тем наиболееэкономичным. Но как бы ни были эффективны средства контроля, они не могутобеспечить стопроцентную гарантию, в частности, в силу неумышленных ошибок,когда человек вместо цифры 3 набирает цифру 9 или наоборот.

В современных условиях функционирования руководство хозяйствующих субъектов одной из первостепенных задач ставит обеспечение компьютерной безопасности учетной информации в связи с необходимостью индивидуализации производства и сохранением разработанных ноу-хау, а также увеличением роли инноваций во всех сферах экономики страны. Все вышесказанное подтверждает необходимость уделениядолжного внимания безопасности структурирования, хранения и передачи управленческой информации на предприятии.

1 2 3 4 5 6 7 8 9 10

	Учебное пособие Уфа 2012 удк 1 ббк 87 Рецензенты: д филос н., проф. А. Ф. Кудряшев (Башкирский государственный университет)		Учебное пособие Часть 1 удк ббк рецензенты: Д. К. Проскурин зав кафедрой... Учебное пособие предназначено для студентов, обучающихся по специальности «Менеджмент организации» всех форм обучения. В предлагаемом...
	Учебное пособие Часть 1 удк ббк рецензенты: Д. К. Проскурин зав кафедрой... Учебное пособие предназначено для студентов, обучающихся по специальности «Менеджмент организации» всех форм обучения. В предлагаемом...		Учебное пособие Краснодар, 2014 г. Удк 658. 8 Ббк Муратова А. Р. Управление продажами: Учебное пособие. Краснодар, 2014 г. – 110 с
	Учебное пособие Йошкар-Ола, 2007 ббк 40. 1 Удк 631. 5 А 46 Основы радиационной экологии: Учебное пособие /Мар гос ун-т; Ю. А. Александров. – Йошкар-Ола, 2007. – 268 с		Учебное пособие Йошкар-Ола, 2007 ббк 40. 1 Удк 631. 5 А 46 Основы радиационной экологии: Учебное пособие /Мар гос ун-т; Ю. А. Александров. – Йошкар-Ола, 2007. – 268 с
	Бурлюкина Е. В., Васильченко Н. Г. Экономика отрасли Учебное пособие... Рецензенты: Кафедра «Экономики и управления предприятием» Московского государственного университета инженерной экологии, зав кафедрой:...		Учебное пособие Викторова Т. С., Парфенов С. Д. Системы компьютерной графики. Учебное пособие, том 13 Вязьма: филиал фгбоу впо «мгиу» в г. Вязьме,...
	Учебное пособие часть III москва Аквариус «ВитаПолиграф» 2010 удк 69 ббк 38. 2		Учебное пособие Казань 2005 удк 65. 01 (075. 8) Ббк 65. 29 Б 69 Бурганова... В текст пособия введены программа дисциплины «Теория управления», материалы по организации самостоятельной работы студентов, включая...
	Учебное пособие Томск 2012 ббк 67. 0 Я 41 Язык и нормы судебной речи:... Язык и нормы судебной речи: учебное пособие / Л. И. Ермоленкина, Е. А. Костяшина, Н. В. Савельева. Томск: Изд-во фгу «Томский цнти»,...		Учебное пособие Издательство Иркутского государственного технического университета 2012 Тимофеева С. С. Защита литосферы и обращение с опасными отходами : учеб пособие. – Иркутск : Изд-во Иргту, 2012. – 159 с
	Учебное пособие Издательство Иркутского государственного технического университета 2012 Тимофеева С. С. Защита литосферы и обращение с опасными отходами : учеб пособие. – Иркутск : Изд-во Иргту, 2012. – 159 с		Учебное пособие Владивосток Издательство вгуэс 2017 удк 379. 8 Ббк... Рецензенты: Т. М. Бойцова, д-р техн наук, профессор, директор Института заоч обучения фгбоу во «Дальневосточный государственный технический...
	Селезнева Н. Е. Бесстыковой путь. Что такое техническое обслуживание... Пособие бригадиру пути: Учебное пособие / Под ред. Э. В. Воробьева. — М.: Фгбоу «Учебно-методический центр по образованию на железнодорожном...		Учебное пособие г. Нижний Новгород Контртерроризм: организационные, правовые, финансовые аспекты и вопросы профилактики

Похожие: