Безопасность ОС

Заключение аудитора

Права и обязанности сторон

Независимость аудитора – основополагающий принцип аудита.

При проверке аудиторы независимы как от проверяемого субъекта, так и от любой третьей стороны, в том числе выдавшей поручение, и от собственного руководства.

Проверяемый субъект

Права: получать от аудитора исчерпывающую информацию о требованиях законодательства, правах и обязанностях сторон, а после ознакомления с заключением о нормативных актах, на которых основываются замечания и выводы аудитора.

Обязанности: создавать аудитору условия для своевременного и полного проведения проверки, предоставлять всю необходимую информацию и давать устные и письменные объяснения по запросу аудитора. Оперативно устранять выявленные нарушения. Запрещается предпринимать действия для ограничения круга вопросов, подлежащих проверке.

Аудиторы (аудиторские фирмы)

Права: самостоятельно определять формы и методы проверки исходя из требований нормативных актов и условий договоров с субъектом или содержания поручения государственных органов. Проверять в полном объеме: документы о финансово – хозяйственной деятельности; наличие денежных сумм, ценных бумаг, материальных ценностей. Получать необходимые разъяснения и сведения, получать по письменному запросу необходимую информацию от третьих лиц, привлекать на договорной основе к аудиторской проверке: аудиторов, работающих самостоятельно, аудиторов из других аудиторских фирм, иных специалистов. Отказаться от проверки в случае: непредставления проверяемым субъектом необходимой документации, необеспечения государственными органами, поручившими проверку, личной безопасности аудитора и членов его семьи при наличии такой необходимости.

Обязанности: соблюдать требования закона, немедленно сообщать заказчику о невозможности участия в проверке, а также о необходимости привлечения дополнительных специалистов, квалифицированно проводить проверки, обеспечить сохранность документов, получаемых и составляемых в ходе проверки и не разглашать их содержания без согласия проверяемого субъекта.

Данные полученные в ходе проверки по поручению государственных органов, могут быть преданы гласности до вступления в силу решения суда только с разрешения суда и в разрешенном объеме.

Заключение аудитора – документ – результат аудиторской проверки. Имеет юридическое значение для всех юридических и физических лиц, органов государственной власти и управления, органов местного самоуправления и судебных органов. Является неотъемлемой частью годового бухотчета. Приравнивается к заключению экспертизы, назначенной по процессуальному законодательству, если проверка проведена по поручению государственных органов. Аудитор подписывает и заверяет личной печатью каждую страницу.

Заключение аудиторской фирмы подписывает в целом руководитель фирмы и заверяет печатью фирмы.

Заключение аудитора состоит из трех частей:

1) вводная часть

Для аудиторской фирмы: юридический адрес, телефон, порядковый №, дата выдачи и наименование органа, выдавшего лицензию, срок ее действия, № регистрационного свидетельства, № р/с, фамилия имя отчество всех аудиторов, участвующих в проверке.

Для аудитора работающего самостоятельно: фамилия имя отчество, стаж работы аудитором, дата выдачи и наименование органа, выдавшего лицензию, срок ее действия, № рег. свидетельства, № р/с.

2) аналитическая часть

наименование субъекта и период, за который проводится проверка; результаты экспертизы организации, учета и отчетности, а также состояние внутреннего контроля; факты выявленных существенных нарушений, которые нанесли или могут нанести ущерб собственникам этого субъекта, государству или третьим лицам: наименование установленного порядка ведения бухучета и составления финансовой отчетности по законодательству РФ.

3) итоговая часть: запись о подтверждении достоверности финансовой отчетности; запись о невозможности подтвердить достоверность отчетности, если в ходе проверки субъект не устранил выявленные существенные нарушения.

4) Субъект обязан представить заинтересованным лицам только итоговую часть аудиторского заключения.

В случае если экономическим субъектом - заказчиком в ходе проведения проверки не были устранены существенные нарушения в ведении бухгалтерского (финансового) учета, составлении соответствующей отчетности и соблюдении законодательства РФ, в итоговой части аудиторского заключения делается запись о невозможности подтверждения достоверности бухгалтерской (финансовой) отчетности. Каждая страница аудиторского заключения подписывается аудитором, проводившим проверку, и заверяется его личной печатью.

В соответствии с аудиторскими стандартами отчетности вывод может быть четырех видов: безоговорочный, ограниченный, неблагоприятный или отказ от вывода. Безоговорочный выдается в том случае, если аудитор убежден, что финансовые документы готовились правильно, соответствуют установленным принципам, требованиям и инструкциям, раскрывают все вопросы, относящиеся к деятельности ревизуемой единицы. Ограниченный вывод включает конкретные замечания, указания, оговорки, касающиеся массивов документов, отчетности, на которые распространяется этот вывод. Отказ от вывода дается аудитором из-за неуверенности в достоверности финансовых документов или ограниченности масштабов проверки. Аудитор может отказаться выдать в отчете положительную оценку, если наличие подобных фактов вызывает у него сомнение в правильности представленных данных или он не смог составить представления о деятельности компании из-за нежелания руководителей выдать ему необходимую информацию. Неблагоприятный вывод представляется в том случае, когда аудитор устанавливает, что документы не являются беспристрастными и он с ними не согласен. Существуютмеждународные стандарты на формы аудиторских заключений различных типов.

В литературе по защите информации выделяют уровни защиты: организационный, технический, правовой, программируемый и т.д.

В безопасности может быть только один уровень – защищенный периметр, стена или ров.

Все эти средства могут быть разбиты на три группы:

1) Методы КЗИ.

2) Методы И/А

3) Методы отражения.

Эти три группы отражают общую задачу ЗИ.

Структуризация пользователя и данных:

1) Структуризация П и Д – S{П,Д}

2) А{Si}

Определение политики безопасности – это систематический набор знаков, правил и норм поведения (алгоритм), определяющих как организация (человек, программа) обрабатывает, защищает и распространяет информацию. Это активный компонент защиты, включающий в себя анализ возможных угроз и выбор мер противодействия.

Парадоксально, но факт, что любая ОС, особенно многопользовательская и сетевая, может считаться безопасной. Это связано с тем, что первоначальной задачей ОС является организация совместной работы различных пользователей, причем таким образом, чтобы они не мешали друг другу. Следовательно, любая многопользовательская ОС по определению разделяет пользователей и их данные и если исключить факта злонамеренного вмешательства в ее работу, должна быть признана безопасной по построению, и только этот фактор возможного вмешательства делает вопрос безопасности ОС предметом специального рассмотрения.

Такое вмешательство в работу ОС должно рассматриваться как вмешательство на программном уровне. Следовательно, первыми причинами возможного нарушения безопасности ОС являются разделение ВС на железную и программную компоненты.

Очевидное следствие – полностью железная ОС, на функции которой прикладные программы влиять не могут, является безопасной.

Второй компонент уязвимости – это элементы самой ОС как сложной системы, особенно начальная загрузка и система прерываний. Однако не наличие этих компонентов делает систему уязвимой, а идеология их доступности, наблюдаемая в большинстве ОС. Цель этой идеологии вполне понятна – предоставить наибольшие возможности для адаптации ОС к потребностям конкретного пользователя. Это происходит из-за того, что ОС стандартизированы под массового пользователя, и мы имеем пропорцию 10 ОС – 10^9 пользователей. Следовательно, специализированные под узкого пользователя системы более безопасны. И если продолжить эту тенденцию, что каждый пользователь будет работать на своей индивидуальной ОС, то эту ОС можно будет считать вполне безопасной.

Проблемы возникают в данном случае с мобильностью приложений, но это вопрос другого рассмотрения.

Но даже здесь не следует забыть, что и основные концепции ОС ограничены и стандартизированы. Следовательно, индивидуализация возможна только в определенных пределах.

Безопасные ОС существуют – это в основном железные и узкоспециализированные системы, предназначенные для ограниченного круга задач и пользователей.

Внедрение в структуру массовых ОС специальных средств защиты, как и мер защищенности, всего лишь повышает их защищенность, что называется “от дурака” – для вторжения потребуется более высокая квалификация и больше время.

Однако при такое развитии средств защиты параллельно растут и средства доступа и возможности ОС, развиваются различные оболочки и т.д. Без таких оболочек доступ к ОС потребовал бы знаний.

В ноябре этого года Лаборатория Касперского объявила о создании безопасной массовой ОС. В настоящее время в связи с возрастанием безопасности ОС, наметилась тенденция индивидуализации операционных и вычислительных систем.

Мозг – ВС.

Язык, культура, образование – ОС

Коммуникация или общение – обмен.

Иммунное отторжение – обмен физическими элементами.

Следовательно, безопасной может называться только индивидуализированная ОС, которая различает пользователей и их данные, и не допускает для конкретного пользователя использование данных и программ других пользователей

Дата добавления: 2014-01-20; Просмотров: 586; Нарушение авторских прав?; Мы поможем в написании вашей работы!