Студопедия

КАТЕГОРИИ:


Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)

Места возникновения бухгалтерских ошибок

Виды ошибок Сферы преобразования учетных данных
Первичный учет (сбор и регистрация) Систематизация и обобщение Вывод
Ошибки в записи учетных данных + - -
Неверные коды + + -
Несанкционированные учетные операции + + -
Нарушение контрольных лимитов; + + -
Пропущенные учетные записи; + + +
Ошибки при обработке или выводе данных; - + +
Ошибки при формировании или корректировке справочников; + + -
Неполные учетные записи; + + +
Неверное отнесение записей по периодам; + + +
Фальсификация данных; + + +
Нарушение требований нормативных актов; + + +
Нарушение принципов учетной политики; + + +
Несоответствие качества услуг потребностям пользователей + + +

Незащищенные учетные данные приводят к серьезным недостаткам в системе управления предприятием:

множеству недокументированных эпизодов управления;

отсутствию у руководства целостной картины происходящего на предприятии в отдельных структурных подразделениях;

задержки в получении актуальной на момент принятия решения информации;

разногласиям между структурными подразделениями и отдельными исполнителями, совместно выполняющими работу, проистекающими из-за плохой взаимной информированности о состоянии деловых процессов;

жалобам сотрудников всех уровней на информационные перегрузки;

неприемлемым срокам разработки и рассылки деловых документов;

длительным срокам получения ретроспективной информации, накопленной на предприятии;

сложностям получения информации о текущем состоянии документа или делового процесса;

нежелательной утечке информации, происходящей вследствие неупорядоченного хранения больших объемов документов.

Особую опасность представляют сведения, составляющие коммерческую тайну и относящиеся к учетной и отчетной информации (данные о партнерах, клиентах, банках, аналитическая информация о деятельности на рынке).* Чтобы эта и аналогичная информация была защищена, необходимо оформить договора с сотрудниками бухгалтерии, финансовых служб и других экономических подразделений с указанием перечня сведений, не подлежащих огласке.

Защита информации в автоматизированных учетных системах строится исходя из следующих основных принципов:

обеспечение физического разделения областей, предназначенных для обработки секретной и несекретной информации.

Обеспечение криптографической защиты информации.

Обеспечение аутентификации абонентов и абонентских установок.

Обеспечение разграничения доступа субъектов и их процессов к информации.

Обеспечение установления подлинности и целостности документальных сообщений при их передаче по каналам связи.

Обеспечение защиты от отказов от авторства и содержания электронных документов.

Обеспечение защиты оборудования и технических средств системы, помещений, где они размещаются, от утечки конфиденциальной информации по техническим каналам.

Обеспечение защиты шифротехники, оборудования, технических и программных средств от утечки информации за счет аппаратных и программных закладок.

Обеспечение контроля целостности программной и информационной части автоматизированной системы.

Использование в качестве механизмов защиты только отечественных разработок.

Обеспечение организационно-режимных мер защиты. Целесообразно использование и дополнительных мер по обеспечению безопасности связи в системе.

Организация защиты сведений об интенсивности, продолжительности и трафиках обмена информации.

Использование для передачи и обработки информации каналов и способов, затрудняющих перехват.

Защита информации от несанкционированного доступа направлена на формирование у защищаемой информации трех основных свойств:

конфиденциальность (засекреченная информация должна быть доступна только тому, кому она предназначена);

целостность (информация, на основе которой принимаются важные решения, должна быть достоверной, точной и полностью защищенной от возможных непреднамеренных и злоумышленных искажений);

готовность (информация и соответствующие информационные службы должны быть доступны, готовы к обслуживанию заинтересованных лиц всегда, когда в них возникает необходимость).

Методами обеспечения защиты учетной информации являются: препятствия; управление доступом, маскировка, регламентация, принуждение, побуждение.

Препятствием нужно считать метод физического преграждения пути злоумышленника к защищаемой учетной информации. Этот метод реализуется пропускной системой предприятия, включая наличие охраны на входе в него, преграждение пути посторонних лиц в бухгалтерию, кассу и пр.

Управлением доступом является метод защиты учетной и отчетной информации, реализуемой за счет:

идентификации пользователей информационной системы. (Каждый пользователь получает собственный персональный идентификатор);

аутентификации – установления подлинности объекта или субъекта по предъявленному им идентификатору (осуществляется путем сопоставления введенного идентификатора с хранящимся в памяти компьютера);

проверки полномочий – проверки соответствия запрашиваемых ресурсов и выполняемых операций по выделенным ресурсам и разрешенным процедурам;

регистрации обращений к защищаемым ресурсам;

информирования и реагирования при попытках несанкционированных действий. (Криптография – способ защиты с помощью преобразования информации (шифрования)).

Пример 1.

В комплексе БЭСТ-4 разграничение доступа к информации производится на уровне отдельных подсистем и обеспечивается путем задания раздельных паролей доступа. При начальной настройке или в любой момент работы с программой администратор системы может задать или сменить один или несколько паролей. Пароль запрашивается при каждом входе в подсистему.

Помимо этого в некоторых модулях предусмотрена своя система разграничения доступа к информации. Она обеспечивает возможность защиты специальными паролями каждого пункта меню. Паролями можно также защитить доступ к отдельным подмножествам первичных документов: так, в АРМ «Учет запасов на складе» и «Учет товаров и продукции» присутствует возможность задавать пароли доступа к каждому складу в отдельности, в АРМ «Учет кассовых операций» – пароли доступа к каждой кассе, в АРМ «Учет расчетов с банком» – пароли доступа к каждому банковскому счету.

Особо следует отметить то обстоятельство, что для эффективного разграничения доступа к информации необходимо в первую очередь защитить паролями сами режимы определения паролей по доступу к тем или иным блокам.

Пример 2.

В 1С:Предприятие, версия 7.7 существует своя защита информации – права доступа. С целью интеграции и разделения доступа пользователей к информации при работе с системой 1С:Предприятие в сети персональных компьютеров, конфигуратор системы позволяет установить для каждого пользователя права на работу с информацией, обрабатываемой системой. Права могут быть заданы в достаточно широких пределах – от возможности только просмотра некоторых видов документов до полного набора прав по вводу, просмотру, корректировке и удалению любых видов данных.

Назначение пользователю прав доступа производится в 2 этапа. На первом этапе создаются типовые наборы прав по работе с информацией, отличающиеся, как правило, широтой предоставляемых возможностей доступа. На втором этапе пользователю ставится в соответствие один из таких типовых наборов прав.

Вся работа по созданию типовых наборов прав производится на закладке «Права» окна «Конфигурация». Это окно вызывается на экран выбором пункта «открыть конфигурацию» из меню «Конфигурация» главного меню программы.

Окно «Права» содержит список типовых наборов прав.

Находясь в окне «Наборы прав», можно:

· создать новый набор прав;

· создать новый набор прав по образцу существующего;

· отредактировать свойства набора прав;

· удалить набор прав из списка;

· упорядочить список набора прав и пр.

Конфигуратор системы 1С:Предприятие содержит средства администрирования, предназначенные для решения задач интеграции и разделения доступа при работе в сети персональных компьютеров.

Существует возможность создания списка пользователей, которым разрешена работа с системой 1С:Предприятие. Для работы с системой пользователь должен указать имя из этого списка.

Для эффективной работы каждому пользователю может быть задан индивидуальный пользовательский интерфейс. Такой интерфейс включает расширенное системное меню и панели инструментов, настроенные на работу пользователя с той информацией, доступ к которой разрешен его набором прав.

Вся работа по созданию списка пользователей, присвоению паролей, закреплению за пользователями прав и интерфейса ведутся в окне «Пользователи». Это окно вызывается на экран выбором функции «Пользователи» из меню «Администрирование» главного меню программы.

Чтобы назначить пользователю пароль:

· Выберите в списке имя пользователя, которому необходимо присвоить пароль.

· Выберите пункт «изменить пароль» в меню «Действия» главного меню Конфигуратора. В запросе «Смена пароля» введите пароль пользователя.

Пароль представляет собой символьную строку длиной не более 10 символов и не должен включать пробелы и специальные символы. Вводимый пароль на экране не показывается, вместо него выводятся символы «*».

· Нажмите кнопку ОК.

· Запрос «Смена пароля» будет выдан на экран еще раз. Необходимо повторить ввод пароля.

· Нажмите кнопку ОК.

Пароль будет присвоен пользователю.

Маскировка – метода криптографической защиты информации в автоматизированной информационной системе предприятия;

Принуждение – метод защиты учетной информации ввиду угрозы материальной, административной или уголовной ответственности. Последнее реализуется тремя статьями Уголовного кодекса:

«Неправомерный доступ к компьютерной информации» (ст. 272);

«Создание, использование и распространение вредоносных программ для ЭВМ» (ст. 273);

Нарушение правил эксплуатации ЭВМ, систем ЭВМ или их сетей. (ст. 274).

Побуждение – метод защиты информации путем соблюдения пользователями сложившихся морально-этических норм в коллективе предприятия. К морально-этическим средствам относятся, в частности, Кодекс профессионального поведения членов ассоциации пользователей ЭВМ в США.

Юридическая сила документа, хранимого, обрабатываемого и передаваемого с помощью автоматизированных и телекоммуникационных систем, может подтверждаться электронной цифровой подписью.

При передаче документов (платежных поручений, контрактов, распоряжений) по компьютерным сетям необходимо доказательство истинности того, что документ был действительно создан и отправлен автором, а не фальсифицирован или модифицирован получателем или каким-либо третьим лицом. Кроме того, существует угроза отрицания авторства отправителем с целью снятия с себя ответственности за передачу документа. Для защиты от таких угроз в практике обмена финансовыми документами используются методы аутентификации сообщений при отсутствии у сторон доверия друг к другу. Документ (сообщение) дополняется цифровой подписью и секретным криптографическим ключом. Подделка подписей без знания ключа посторонними лицами исключается и неопровержимо свидетельствует об авторстве.

Юридическая сила электронной цифровой подписи признается при наличии в автоматизированной информационной системе программно-технических средств, обеспечивающих идентификацию подписи, и соблюдении установленного режима их использования. Бухгалтер (пользователь) подписывает электронной цифровой подписью с использованием личного ключа, известного только ему, документы, передает их в соответствии со схемой документооборота, а аппаратно-программная система производит проверку подписи. Конфиденциальные документы могут шифроваться на индивидуальных ключах и недоступны для злоумышленников. Система основывается на отечественных стандартах и нормах делопроизводства, практике организации учета документов и контроля действий исполнителей в структурах любой формы собственности (государственной и негосударственной).

Защищенность учетных данных дает возможность:

обеспечить идентификацию/аутентификацию пользователя;

определить для каждого пользователя функциональные права – права на выполнение тех или иных функций системы (в частности, на доступ к тем или иным журналам регистрации документов);

определить для каждого документа уровень конфиденциальности, а для каждого пользователя – права доступа к документам различного уровня конфиденциальности;

подтвердить авторство пользователя с помощью механизма электронной подписи;;

обеспечить конфиденциальность документов путем их шифрования, а также шифрования всей информации, передающейся по открытым каналам связи (например, по электронной почте); шифрование производится с использованием сертифицированных криптографических средств;

протоколировать все действия пользователей в журналах аудита (в журнале аудита входа и выхода из системы, журнале совершенных операций).

Подделка подписи без знания ключа злоумышленниками исключается. При защите учетной информации нужно соблюдать следующий принцип: если вы оцениваете информацию в 100000 рублей, то тратить 150000 рублей на ее защиту не стоит.

Средства контроля в автоматизированных учетных системах размещаются в тех точках, где возможный риск способен обернуться убытками.

Такие точки называются «точками риска», или «контрольными точками». Это те точки, где контроль будет наиболее эффективным и вместе с тем наиболее экономичным. Но как бы ни были эффективны средства контроля, они не могут обеспечить стопроцентную гарантию, в частности, в силу неумышленных ошибок, когда человек вместо цифры 3 набирает цифру 9 или наоборот.

Организационно-техническое обеспечение компьютерной безопасности

Организационное обеспечение – это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе таким образом, что разглашение, утечка и несанкционированный доступ к конфиденциальной информации становятся невозможными или существенно затрудняются за счет проведения организационных мероприятий (101).

Организационное обеспечение компьютерной безопасности включает в себя ряд мероприятий:

· организационно-административные;

· организационно-технические;

· организационно-экономические.

Организационно-административные мероприятия предполагают (101):

· минимизацию утечки информации через персонал (организация меро­приятий по подбору и расстановке кадров, создание благоприятного климата в коллективе и т. д.);

· организацию специального делопроизводства и документооборота для конфиденциальной информации, устанавливающих порядок подготовки, использования, хранения, уничтожения и учета документированной информации на любых видах носителей;

· выделение специальных защищенных помещений для размещения средств вычислительной техники и связи, а также хранения носителей информации;

· выделение специальных средств компьютерной техники для обработки конфиденциальной информации;

· организацию хранения конфиденциальной информации на промаркированных отчуждаемых носителях в специально отведенных для этой цели местах;

· использование в работе сертифицированных технических и программных средств, установленных в аттестованных помещениях; организацию регламентированного доступа пользователей к работе со средствами компьютерной техники, связи и в хранилище (архив) носителей конфиденциальной информации;

· установление запрета на использование открытых каналов связи для передачи конфиденциальной информации;

· контроль соблюдения требований по защите конфиденциальной информации.

Система организационных мероприятий, направленных на максимальное предотвращение утечки информации через персонал включает:

· оценка у претендентов на вакантные должности при подборе кадров таких личностных качеств, как порядочность, надежность, честность и т. д.;

· ограничение круга лиц, допускаемых к конфиденциальной информации;

· проверка надежности сотрудников, допускаемых к конфиденциальной информации, письменное оформление допуска;

· развитие и поддержание у работников компании корпоративного духа, создание внутренней среды, способствующей проявлению у сотрудников чувства принадлежности к своей организации, позитивного отношения человека к организации в целом (лояльность);

· проведение инструктажа работников, участвующих в мероприятиях, непосредственно относящихся к одному из возможных каналов утечки информации.

Все лица, принимаемые на работу, проходят инструктаж и знакомятся с памяткой о сохранении служебной или коммерческой тайны. Памятка разрабатывается системой безопасности с учетом специфики организации.

Сотрудник, получивший доступ к конфиденциальной информации, подписывает индивидуальное письменное обязательство об ее неразглашении. Обязательство составляется в одном экземпляре и храниться в личном деле сотрудника не менее 5 лет после его увольнения. При увольнении из организации сотрудником дается подписка. Функции отобрания обязательства и подписок возлагаются на кадровый аппарат организации.

Служащий организации, подписывая подобного рода документ, должен четко представлять, что конкретно из конфиденциальной информации является тайной организации. В том числе по этой причине необходимо, чтобы вся конфиденциальная информация была обособлена от остальных сведений, а документы, ее содержащие, носили соответствующий гриф.

Использование обязательств о сохранении конфиденциальной информации позволяет обеспечить ее юридическую защиту, к которой имеет (или имел) доступ персонал организации.

Все руководители, сотрудники и технический персонал должны быть охвачены регулярной подготовкой по вопросам обеспечения информационной безопасности. При этом должно быть два вида обучения: первоначальное и систематическое.

С увольняющимися сотрудниками проводятся беседы, направленные на предотвращение разглашения конфиденциальной информации. Эти обязательства, как правило, подкрепляются соответствующей подпиской.

Организацией конфиденциального делопроизводства является:

– документирование информации;

– учет документов и организация документооборота;

– обеспечение надежного хранения документов;

– проверка наличия, своевременности и правильности их исполнения;

– своевременное уничтожение документов.

В табл. 4 изложены организационные мероприятия, обеспечивающие защиту документальной информации (106).

<== предыдущая лекция | следующая лекция ==>
Обеспечение компьютерной безопасности учетной информации | Обеспечение информационной безопасности организации
Поделиться с друзьями:


Дата добавления: 2014-01-03; Просмотров: 459; Нарушение авторских прав?; Мы поможем в написании вашей работы!


Нам важно ваше мнение! Был ли полезен опубликованный материал? Да | Нет



studopedia.su - Студопедия (2013 - 2024) год. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав! Последнее добавление




Генерация страницы за: 0.009 сек.