Protecția informațiilor contabile. Contabilizarea costurilor de protecție a informațiilor Protejarea informațiilor contabile împotriva virușilor
Definiția 1
Sub protectia informatiilor contabile implică protecția acestuia împotriva influențelor accidentale sau intenționate cu scopul de a provoca pagube proprietarilor sau utilizatorilor de informații.
Amenințarea la adresa securității informațiilor conform datelor contabile poate consta în posibilul impact asupra componentelor sistemului contabil, care va dăuna utilizatorilor sistemului.
Clasificarea amenințărilor la adresa datelor contabile
Se pot distinge următoarele clasificări ale amenințărilor existente la adresa informațiilor contabile. Clasificare după apariția lor: artificială sau naturală.
Amenințări naturale sau obiective, adică dincolo de controlul uman - forță majoră, dezastre naturale, inundații și incendii, ca eveniment cel mai frecvent, nu în scopul de a incendia în mod deliberat „desktop-ul cu documente contabile”.
Amenințări artificiale sau subiective cauzate de acțiunile sau inacțiunile angajaților întreprinderii. Printre acestea se numără:
- Amenințări aleatorii - erori software; defecțiuni, defecțiuni sau funcționare lentă a computerului și a sistemelor informatice în general
- Amenințări deliberate - acces ilegal la informații, distribuire de programe viruși etc.
Pe baza sursei amenințării, acestea sunt împărțite în interne și externe. Acolo unde activitățile angajaților întreprinderii sunt denumite interne, iar influența din afara organizației este denumită externă: atacuri de hackeri etc.
Securitatea informațiilor contabile
Securitatea datelor contabile constă din următoarele aspecte:
- fiabilitatea computerului - nu economisiți pe computerele utilizate de contabili
- siguranța acreditărilor contabile - trebuie păstrate copii nu numai ale sistemelor, ci și ale documentației primare
- protecție împotriva modificărilor de către persoane neautorizate - sistemul de setare și utilizare a parolelor trebuie respectat cu strictețe, pașii tehnici precum oprirea monitorului și închiderea tuturor ferestrelor de lucru în absența unui angajat nu mai sunt o raritate
Protecția informațiilor contabile
Protecția informațiilor contabile și financiare ale unei companii împotriva accesului neautorizat implică faptul că informațiile protejate au următoarele trei criterii principale:
- confidențialitate - informațiile ar trebui să fie disponibile numai celor cărora le sunt destinate. Cel mai simplu și mai înțeles exemplu: confidențialitatea salariilor.
- Integritate - informațiile pe baza cărora managerii iau decizii de management trebuie să fie de încredere și exacte. Un exemplu sunt rapoartele care pot fi obținute din diferite cărți contabile, în diferite formate și secțiuni. Și se înțelege că aceleași cifre prezentate în formă diferită trebuie să fie identice
- disponibilitate - informațiile ar trebui să fie disponibile, furnizate la cerere, atunci când sunt necesare. Exemplu: Accesul la datele contabile nu trebuie ținut în aceleași mâini
Pentru a preveni amenințările de securitate și pentru a construi o protecție cu succes a datelor contabile, întreprinderile necesită următoarele reguli.
Observație 1
Toți angajații serviciilor financiare, în principal departamentul de contabilitate, care au acces la sisteme și au legătură cu acestea ar trebui să înțeleagă și să înțeleagă rolurile și competențele lor. În multe companii internaționale, toți potențialii angajați ai departamentelor financiare, de la linie, contabil junior și terminând cu directorul financiar, sunt pre-selecționați, împreună cu conducerea de vârf a companiei. O asemenea strictețe la criteriile de selectare a candidaților se datorează prezenței unei experiențe negative, chiar și care au avut loc în altă țară. Pentru că cea mai „veriga slabă” și „acțiunile imprevizibile” sunt deținute și acționate de oameni - angajații companiei, nu mașini - tehnologia de informație.
În mod ideal, sistemele ar trebui să facă backup în fiecare zi; în practică, copiile bazei de date sunt create noaptea.
La analizarea măsurilor aplicate pentru controlul accesului și utilizării datelor contabile, precum și la respectarea regulilor de lucru de către angajații departamentelor financiare, se va asigura protecția informațiilor contabile.
F.S. Seidakhmetova - Doctor în Economie, Profesor
B.K.Akhmetbekova. - Solicitant
ENU numit după L. Gumilyov
Probleme alese de protecție a datelor contabile
în sistemele informaţionale contabile
În condiții moderne, problemele asigurării securității informațiilor contabile, în vederea asigurării celui mai mare grad de protecție a datelor acesteia, sunt de o importanță deosebită. Potrivit statisticilor, mai mult de 80% dintre companii și agenții suferă pierderi financiare din cauza breșelor de securitate. Prin urmare, multe companii dezvoltă acum diverse programe antivirus, sisteme de control al accesului la date, protecție la copiere etc. Acest lucru se explică prin nevoia tot mai mare de a dezvolta metode de protecție pentru a funcționa mai eficient pe piață.
Prin termenul de „protecție” se înțelege o metodă de asigurare a securității într-un sistem de prelucrare a datelor (DPS). Totuși, soluția acestei probleme este mult mai complicată atunci când se organizează prelucrarea informatică a informațiilor contabile în condiții de utilizare colectivă, unde informații de diverse scopuri și accesoriile este concentrată, prelucrată și acumulată. În sistemele de utilizare colectivă a informațiilor contabile care au o rețea dezvoltată de terminale, principala dificultate în asigurarea securității constă în faptul că un potențial intrus este un abonat deplin al sistemului. Ca principale motive obiective care determină necesitatea asigurării siguranței informațiilor, se pot distinge următoarele:
1. Creșterea ratelor de creștere a utilizării cantitative și calitative a calculatoarelor și extinderea domeniilor de utilizare ale acestora;
2 Fluxuri în continuă creștere de noi tipuri și volume de informații pe care o persoană trebuie să le perceapă și să le prelucreze în cursul activității sale;
3. Necesitatea unei utilizări mai eficiente a resurselor în economia întreprinderii, cu ajutorul realizărilor științifice care vizează luarea de decizii în cunoștință de cauză la diferite niveluri de conducere
4. Un grad ridicat de concentrare a informaţiei în centrele de prelucrare a acesteia.
Protecția informațiilor contabile se rezumă, de obicei, la alegerea mijloacelor de monitorizare a execuției programelor care au acces la informațiile stocate în SOD.În acest sens, la crearea sistemelor de contabilitate informațională, este necesar să se concentreze pe protejarea utilizatorilor datelor contabile. atât unul față de celălalt, cât și de la amenințările accidentale și direcționate la încălcările integrității datelor. În plus, mecanismele de securitate a informațiilor contabile adoptate ar trebui să ofere utilizatorului mijloacele de a-și proteja programele și datele de el însuși. Creșterea numărului de abonați care utilizează serviciile unui sistem informațional împreună cu diferite calculatoare în schimbul de informații cu dispozitive terminale de abonat la distanță conectate la acestea formează rețele complexe de informații și de calcul. Prin urmare, devine imposibil să se stabilească accesul neautorizat la informații.Complicarea procesului de calcul pe un computer, care lucrează într-un mod multiprogram și multi-procesor, creează condiții pentru menținerea comunicării cu un număr semnificativ de abonați.Soluția la problema protecției fizice a informațiilor și păstrarea acesteia a informațiilor de la alți utilizatori sau conectarea neautorizată a unui utilizator care s-a implicat special în procesul de calcul devine urgentă.
Prin urmare, este necesar să se stabilească cerințe pentru sistemul de asigurare a siguranței informațiilor contabile, inclusiv elemente precum:
Identificarea separată a utilizatorilor individuali și a terminalelor;
Crearea de programe individuale (sarcini) după nume și funcție;
Controlul datelor contabile, dacă este necesar, până la nivel de înregistrare sau element.
Restricționarea accesului la informații permite o combinație a următoarelor metode:
Clasificarea ierarhică a accesului;
Clasificarea informațiilor contabile după importanță și locul apariției acestora;
Specificând restricții specifice și aplicându-le obiectelor informaționale, de exemplu, utilizatorul poate citi doar un fișier fără a scrie în el.
Sistemul de reținere a informațiilor trebuie să asigure că orice mișcare a datelor contabile este identificată, autorizată, detectată și documentată.
Cerințele organizaționale pentru sistemul de securitate a informațiilor includ:
Restricţionarea accesului la sistemul informatic (înregistrarea şi însoţirea vizitatorilor);
Implementarea controlului asupra modificărilor în sistemul software;
Efectuarea de testare și verificare pentru modificări în sistemul software și programele de protecție;
Menținerea controlului reciproc asupra implementării regulilor de securitate a datelor;
Stabilirea de restricții privind privilegiile personalului care deservește DOD pentru a îndeplini cererile de garanție în caz de încălcare;
Ținerea evidenței protocolului de acces la sistem, precum și a competenței personalului de întreținere.
În acest sens, se recomandă elaborarea și aprobarea instrucțiunilor scrise:
Să pornească și să oprească sistemul informațional contabil;
Pentru a controla utilizarea benzilor magnetice, discurilor, hărților, listelor,
Pentru a urma ordinea modificărilor software și a comunica aceste modificări utilizatorului,
Despre procedura de restabilire a sistemului în caz de defecțiune.
Cu privire la politica de restricții privind vizitele permise la centrul de calcul,
Pentru a determina volumul de informații contabile emise.
În același timp, este important să se dezvolte un sistem de înregistrare a utilizării computerelor, introducerea datelor și ieșirea rezultatelor, asigurând curățarea periodică a arhivelor și depozitelor de benzi, discuri, carduri pentru eliminarea și eliminarea documentelor contabile neutilizate în conformitate cu prevederile stabilite. standardele.
Trebuie avut în vedere faptul că toate tipurile de protecție sunt interconectate și dacă cel puțin una dintre ele nu își îndeplinește funcțiile, eforturile celorlalți sunt reduse la nimic. Beneficiile instrumentelor de protecție software includ nu cost ridicat, ușurință de dezvoltare.
Recent, așa-numitul chei electronice . Acest dispozitiv se conectează la un computer prin Port LPT. În același timp, dongle-ul nu interferează cu funcționarea normală a portului paralel și este complet „transparent” pentru imprimantă și alte dispozitive. Cheile pot fi conectate în cascadă și în lanț și pot funcționa și tipuri complet diferite de chei produse de diferite companii.
Mai mult, pot îndeplini diverse funcții, de exemplu, protejarea programelor împotriva copierii neautorizate și sunt, de asemenea, capabili să detecteze faptul că un program protejat este infectat cu diferite tipuri de viruși de fișiere. Când folosiți chei electronice pentru a genera chei de criptare, nu este nevoie să le amintiți sau să le scrieți și apoi să le introduceți de la tastatură.Cheia are surse de alimentare încorporate și păstrează informațiile scrise în ea atunci când este deconectată de la computer Cele mai comune chei în prezent sunt compania americană Software Security Inc. Această firmă produce chei pentru DOS, WINDOWS, UNIX, OS/2, Macintosh. Chei electronice poate fi atât scris o singură dată, cât și reprogramabil și poate conține memorie nevolatilă.
Alături de asta, plastic cărți de identitate (IR)cu o cantitate suficient de mare de memorie pentru a limita accesul neautorizat la informațiile contabile. Un astfel de complex hardware-software constă din următoarele părți: o placă specială care este introdusă în slotul de expansiune al unui PC, un dispozitiv pentru citirea informațiilor din IR și IR în sine; o parte software: un driver pentru controlul plăcii și cititorul IR.
Partea software a complexului poate include, de asemenea, software pentru organizarea controlului accesului la părți ale secțiunilor hard disk cerând o parolă. Astfel, este exclusă intrarea în sistem cu un card furat. Un exemplu de astfel de complex de protecție hardware-software poate fi dezvoltarea Datamedia. Seria de calculatoare Netmate este echipată cu un Securecard reader dedicat Cardurile de securitate sunt un tip de card de credit. Pe mediile lor magnetice, cu ajutorul unui echipament special, care este disponibil doar administratorului, se face o înregistrare despre utilizator: sunt descrise numele, parola și toate puterile pe care le primește atunci când se conectează la sistem. În special, cardul înregistrează de câte ori un utilizator poate încerca să introducă o parolă atunci când se conectează. Astfel, pierderea accidentală a cardului de securitate sau furtul acestuia nu permite unui atacator să aibă acces la computer. Doar înmânarea conștientă a cardului de securitate cuiva în același timp cu dezvăluirea parolei poate deschide accesul la un computer din afara străzii.
Administratorul de sistem poate crea o cartelă de securitate pentru utilizatorii legali. În plus față de informațiile deja enumerate, acest card descrie profilul utilizatorului. Acesta include, de exemplu: posibilitatea de a accesa programul SETUP, adică caracteristicile computerului precum ecranul, numărul și tipurile de discuri sunt înregistrate; determină, de asemenea, care dintre dispozitivele locale ( dischete, hard disk-uri, porturi seriale și paralele) sunt disponibile pentru acest utilizator, ce dispozitive locale sau de rețea poate porni. Aici este furnizată traducerea parolei: parola care este atribuită utilizatorului, de regulă, este ușor de reținut, dar deloc cea cu care funcționează sistemul. Dacă încercați pur și simplu să scoateți cardul de securitate din cititor, accesul la computer este blocat până când același card de securitate este introdus în cititor Dacă parola este introdusă incorect (dacă numărul de încercări permis pentru acest utilizator este depășit) , aparatul este blocat, iar numai administratorul îl poate „reanima”, adică se stimulează necesitatea aducerii în atenția administrației a tuturor cazurilor de încălcare a regimului de secretizare.
Din punct de vedere protecție contra virus Sistemele enumerate sunt importante și pentru că, pe lângă identificarea utilizatorului, își organizează într-un anumit fel munca pe computer, interzicând anumite acțiuni periculoase. Circuitele integrate pot fi utilizate și pentru a stoca chei de criptare în sistemele de protecție criptografică.
Dezavantajul unui astfel de sistem este securitatea scăzută a IR cu bandă magnetică.După cum arată experiența, informațiile de la acestea pot fi citite cu ușurință. Dar, în ciuda costului ridicat, sistemele de protecție bazate pe IR sunt utilizate pe scară largă acolo unde este nevoie de fiabilitate ridicată, de exemplu, în structurile comerciale.
În prezent, a câștigat o mare popularitate familie de dispozitive Memorie tactilă (ТМ) fabricat de Dallas Semiconductors.Una dintre principalele diferențe dintre dispozitivele TouchMemory și alte medii de stocare compacte este designul carcasei. Pe lângă protecție, carcasa din oțel servește și ca contacte electrice. Greutatea și dimensiunile sunt, de asemenea, acceptabile - o tabletă cu diametrul unei monede mici și o grosime de 5 mm este foarte potrivită pentru astfel de aplicații.Fiecare dispozitiv al familiei este unic, deoarece are propriul său număr de serie, care este înregistrat în dispozitiv folosind o mașină laser în timpul fabricării acestuia și nu poate fi schimbat pe toată durata de viață a dispozitivului. În timpul procesului de înregistrare și testare din fabrică, este garantat că nu vor fi produse două instrumente cu aceleași numere de serie.
Astfel, este exclusă posibilitatea unor dispozitive contrafăcute. Prețul este, de asemenea, destul de acceptabil atunci când utilizați memoria Touch-memory: este de peste 4 ori mai mic decât atunci când utilizați carduri din plastic.Dispozitivele ToichMemory sunt memorie statică nevolatilă cu scriere/citire multiplă, care se află în interiorul unei carcase metalice.Spre deosebire de memoria convențională cu o adresă paralelă/port de date, memoria dispozitivelor ToichMempry are o interfață serială. Datele sunt scrise și citite din memorie printr-o singură linie de semnal bidirecțională. În acest caz, se folosește o metodă de codare a lățimii impulsului.O astfel de interfață digitală vă permite să conectați dispozitivele TouchMemory direct la computerele personale sau printr-un controler cu microprocesor.
O caracteristică importantă a dispozitivelor este consumul redus de energie, care permite utilizarea unei baterii miniaturale cu litiu încorporată în corpul dispozitivului pentru a stoca informații în memorie timp de 10 ani.
Trebuie remarcat faptul că măsurile de securitate informatică nu se limitează doar la mijloacele de protecție situate în computerul însuși - în interiorul computerului, sau sub formă de dispozitive externe. Toate instrumentele software și hardware-software de protecție a informațiilor de mai sus devin efective numai cu respectarea strictă a unui număr de măsuri administrative și organizatorice.De aceea, înainte de a construi un sistem de protecție, este necesar să se evalueze costurile creării acestuia și costurile posibile ale eliminarea consecintelor in cazul pierderii datelor contabile protejate.
Trimiteți-vă munca bună în baza de cunoștințe este simplu. Utilizați formularul de mai jos
Studenții, studenții absolvenți, tinerii oameni de știință care folosesc baza de cunoștințe în studiile și munca lor vă vor fi foarte recunoscători.
Toate aceste activități, într-o măsură sau alta, includ utilizarea diferitelor instrumente de protecție software. Acestea includ programul de arhivare WinRar, programe de backup pentru componente importante Sistemul de fișiere, vizualizarea conținutului fișierelor și sectoarelor de boot, numărare sume de controlși programe de protecție efective. Rezervarea datelor IS trebuie efectuată folosind instrumentele încorporate ale programului 1C Accounting 7.7.
5.3 Nivelul tehnic de securitate a informațiilor
Ingineria și suportul tehnic al securității informațiilor prin implementarea măsurilor tehnice necesare ar trebui să excludă:
Acces neautorizat la echipamentele de prelucrare a informațiilor prin controlul accesului la departamentul de contabilitate;
· Îndepărtarea neautorizată a suporturilor de date de către personalul implicat în prelucrarea datelor prin controlul ieșirii;
Introducerea neautorizată a datelor în memorie, modificarea sau ștergerea informațiilor stocate în memorie;
· utilizarea neautorizată a sistemelor de prelucrare a informațiilor și, ca urmare, primirea ilegală a datelor;
acces la sistemele de prelucrare a informațiilor prin dispozitive improvizate și achiziții ilegale de date;
posibilitatea transmiterii neautorizate a datelor printr-o rețea de calculatoare;
intrarea necontrolată a datelor în sistem;
· Citirea, modificarea sau ștergerea neautorizată a datelor în procesul de transfer sau transport al suporturilor de stocare.
Inginerie și protecție tehnică utilizează următoarele instrumente:
mijloace fizice;
hardware;
· software;
Metodele de protecție a informațiilor împotriva majorității amenințărilor se bazează pe măsuri tehnice și tehnice. Ingineria și protecția tehnică reprezintă un ansamblu de organisme speciale, mijloace tehnice și măsuri care lucrează împreună pentru a îndeplini o sarcină specifică de protecție a informațiilor.
Pentru a construi un sistem de securitate fizică, sunt necesare următoarele instrumente
· Echipamente de alarmare care detecteaza tentativele de intruziune si actiunile neautorizate, precum si evaluarea pericolului acestora;
sisteme de comunicații care colectează, combină și transmit informații de alarmă și alte date (în acest scop, este potrivită organizarea unui PBX de birou);
· personal de securitate care efectuează zilnic programe de securitate, gestionarea sistemului și utilizarea în situații de urgență.
Activitățile de inginerie necesare contabilității într-o societate comercială includ:
protecția canalului acustic;
screening-ul sălii de contabilitate.
Hardware-ul include dispozitive, dispozitive, accesorii și alte soluții tehnice utilizate în interesul asigurării siguranței.
Nevoi contabile:
· în terminalele utilizatorului, puneți în funcțiune dispozitive concepute pentru a preveni activarea neautorizată a terminalului (blocare);
· furnizarea de identificare a terminalului (scheme de generare a unui cod de identificare);
· să furnizeze identificarea utilizatorului (cartele magnetice individuale).
Instrumentele software sunt programe speciale, sisteme software și sisteme de securitate a informațiilor din sistemele informatice pentru diverse scopuri și instrumente de prelucrare a datelor.
Sarcinile instrumentelor de protecție software includ:
Identificare și autentificare;
· controlul accesului;
Asigurarea integrității și siguranței datelor;
controlul subiecților de interacțiune;
înregistrare și monitorizare.
6. Crearea sistemului securitatea informatiei
6.1 Proiectarea structurii sistemului
În conformitate cu cerințele selectate, sistemul de securitate a informațiilor al departamentului de contabilitate al societății comerciale „Wes-trade” ar trebui să includă următoarele subsisteme:
subsistemul de identificare și autentificare a utilizatorilor;
Subsistem de protecție a software-ului rău intenționat;
subsistem de backup și arhivare;
Subsistemul de protecție a informațiilor în LAN;
Subsistem pentru asigurarea integrității datelor;
Subsistemul de înregistrare și contabilitate;
subsistem de detectare atacuri de rețea.
6.2 Subsistemul de identificare și autentificare a utilizatorilor
Prevenirea daunelor asociate cu pierderea datelor contabile stocate în calculatoare este una dintre cele mai importante sarcini pentru departamentul de contabilitate al unei companii. Se știe că personalul întreprinderii este adesea principalul vinovat al acestor pierderi. Fiecare angajat ar trebui să aibă acces doar la computerul său de lucru pentru a evita modificarea, alterarea, coruperea sau distrugerea accidentală sau intenționată a datelor.
Principala modalitate de a proteja informațiile este introducerea așa-numitelor instrumente AAA, sau 3A (autentificare, autorizare, administrare - autentificare, autorizare, administrare). Printre instrumentele AAA, un loc semnificativ îl ocupă sistemele de identificare și autentificare hardware-software (SIA) pentru computere.
Când folosește SIA, un angajat are acces la un computer sau la o rețea corporativă numai după ce a trecut cu succes procedura de identificare și autentificare. Identificarea constă în recunoașterea utilizatorului printr-o caracteristică de identificare inerentă sau atribuită acestuia. Verificarea apartenenței utilizatorului a caracteristicii de identificare prezentate de acesta se realizează în procesul de autentificare.
În departamentul de contabilitate al unei companii comerciale, este planificată utilizarea unui sistem de idei n certificare și autentificare RUTOKEN .
RUTOKEN RF este un token USB cu o etichetă de frecvență radio integrată (etichetă RFID). Este destinat accesului utilizatorilor la resursele informatice computerizate și accesului fizic la clădiri și spații.
RUTOKEN RF combină posibilitățile oferite de token-urile usb, smart cardurile și contactless permise electronice:
· autentificare puternică cu doi factori la accesarea unui computer și a resurselor informaționale protejate;
stocarea securizată a cheilor criptografice și certificate digitale;
Aplicare în sistemele de control și management al accesului, în sistemele de înregistrare a orelor de lucru și auditarea mișcărilor angajaților;
Utilizați ca permis pentru punctele de control electronice.
Identificatorul electronic RUTOKEN este dispozitiv mic conectat la portul USB al computerului. RUTOKEN este un analog al unui card inteligent, dar nu este necesar niciun echipament suplimentar (cititor) pentru a lucra cu acesta.
RUTOKEN este conceput pentru a autentifica utilizatorii atunci când accesează informații și diverse sisteme, stocarea securizată a parolelor, cheilor de criptare, certificatelor digitale. RUTOKEN este capabil să rezolve problemele de autorizare și partajare a accesului în rețele, să controleze accesul la resursele de informații protejate, să ofere nivelul necesar de securitate atunci când se lucrează cu e-mail, să stocheze parole și chei de criptare.
RUTOKEN implementează un sistem de fișiere pentru organizarea și stocarea datelor conform ISO 7816. Token-ul acceptă standardele PS/CS și PKCS#11. Acest lucru vă va permite să integrați rapid suportul RUTOKEN atât în aplicațiile noi, cât și în cele existente.
RUTOKEN este folosit pentru a rezolva următoarele sarcini:
Autentificare
· Înlocuirea protecției cu parolă pentru accesul la baze de date, rețele VPN și aplicații orientate spre securitate cu autentificare software și hardware.
Criptarea conexiunilor la accesare servere de mail, servere de baze de date, servere Web, servere de fișiere, autentificare administrare la distanță.
Protejarea datelor
· Protecția e-mailului (EDS, criptare).
RUTOKEN poate actiona ca un singur dispozitiv de identificare pentru accesul utilizatorilor la diverse elemente ale sistemului corporativ si asigura controlul accesului necesar, semnatura digitala automata a documentelor create, autentificarea la accesarea calculatoarelor si aplicatiilor de sistem.
Specificații:
· b bazat pe un microcontroler securizat;
Interfață USB (USB 1.1 / USB 2.0);
· memorie EEPROM 8, 16, 32, 64 și 128 Kb;
· Autentificare cu 2 factori (pe faptul prezenței RUTOKEN și pe faptul prezentării codului PIN);
· Număr de serie unic pe 32 de biți;
suport standard:
o ISO/IEC 7816;
o PC/SC;
o GOST 28147-89;
o Microsoft Crypto API și Microsoft Smartcard API;
o PKCS#11 (v. 2.10+).
Un permis fără contact pentru părăsirea sediului și un mijloc de acces la o rețea de computere sunt combinate într-un singur port cheie. Pentru a ieși din incintă trebuie să prezentați RUTOKEN RF, iar atunci când identificatorul este deconectat de la portul USB al computerului, sesiunea de utilizator este blocată automat.
RUTOKEN RF folosește etichete pasive de radio-frecvență ale standardelor EM-Marine, Indala, HID (frecvență de operare 125 kHz). Acestea sunt cele mai comune etichete în Rusia astăzi, cititorii compatibile cu acestea sunt instalați în majoritatea sistemele existente controlul și managementul accesului.
6.3 Subsistem de protecție împotriva programelor malware e nia
Potrivit numeroaselor studii, virușii sunt de departe cea mai răspândită și dăunătoare amenințare informațională. cai troieni”, spyware și alte tipuri dăunătoare software. Pentru a se proteja împotriva acesteia, se folosesc antivirusuri. Mai mult, fiecare computer trebuie să fie echipat cu acest instrument de securitate, indiferent dacă este sau nu conectat la Internet.
Kaspersky Anti-Virus 7.0 va fi folosit pentru a proteja informațiile din departamentul de contabilitate al companiei comerciale „Wes-trade” împotriva software-ului rău intenționat.
Kaspersky Anti-Virus 7.0 este o protecție clasică a computerului împotriva virușilor, troienilor și spyware, precum și de la orice alt program malware. Acest program este un sistem cuprinzător de protecție împotriva tuturor tipurilor de software rău intenționat. Se rulează constant, verificând toate fișierele accesate de sistemul de operare în timp real. Complexitatea protecției este asigurată de patru module care fac parte din produsul în cauză:
antivirus pentru fișiere (verifică toate fișierele deschise, lansate și salvate);
antivirus mail (controlează toate scrisorile primite și trimise);
Antivirus web (protejează împotriva scripturilor rău intenționate de pe paginile web);
· protecție proactivă (oferă detectarea virușilor încă necunoscuți).
Protecția antivirus cuprinzătoare include: 1) scanare împotriva bazelor de date de semnături 2) analizor euristic; 3) blocant comportamental.
Funcțiile Kaspersky Anti-Virus 7.0
1. Protecție cuprinzătoare împotriva virusului
Protecția e-mailului. Programul efectuează scanarea antivirus a traficului de e-mail la nivelul protocolului de transfer de date (POP3, IMAP și NNTP pentru mesajele primite și SMTP pentru mesajele trimise) indiferent de programul de e-mail utilizat. Pentru populare programe de email- Microsoft Outlook, Microsoft Outlook Express și The Bat! - sunt furnizate pluginuri și tratarea virușilor în bazele de date de e-mail.
Verificarea traficului pe internet. Programul oferă scanarea antivirus a traficului de Internet care sosește prin protocolul HTTP în timp real și indiferent de browserul utilizat. Acest lucru previne infecția chiar înainte ca fișierele să fie stocate pe hard diskul computerului.
Scanarea sistemului de fișiere. Orice fișiere, directoare și discuri individuale pot fi scanate. În plus, puteți rula o scanare numai a zonelor critice ale sistemului de operare și a obiectelor care sunt încărcate în timpul Pornire Windows. Acest lucru va economisi timp și vă va permite să vă concentrați pe zonele și obiectele care sunt de obicei cele mai susceptibile la infecție.
2. Protecția datelor
Prevenirea scurgerilor de informații. Programul vă protejează computerul de troieni și toate tipurile de keylogger. Anularea modificărilor rău intenționate în sistem. Kaspersky Anti-Virus 7.0 captează toate acțiunile suspecte din sistem și, după ce recunoaște un anumit proces ca fiind periculos, poate nu numai să înlăture programul rău intenționat, ci și să anuleze toate rezultatele activității sale - de exemplu, restabilirea datelor criptate de intruși.
3. Performanță stabilă pentru PC
Auto-aparare. Malware modern încearcă să blocheze antivirusul să funcționeze sau chiar să îl elimine de pe computer. Mecanismul special de autoprotecție al Kaspersky Anti-Virus 7.0 suprimă astfel de încercări, oferind o protecție stabilă pentru computer.
System Rescue Disk. Odată ce a creat un disc de salvare folosind un instrument special, utilizatorul va putea să restaureze în mod independent computerul după un atac grav de viruși.
Beneficiile programului
1. Instalarea Kaspersky Anti-Virus 7.0 durează câteva minute. Setările implicite pentru program sunt, totuși, există opțiuni extinse de personalizare.
2. Impact minim asupra performanței computerului. Scanarea numai a fișierelor noi și modificate în timpul scanărilor repetate, întreruperea scanării atunci când activitatea utilizatorului crește, precum și setările optime ale monitorului antivirus minimizează impactul antivirusului asupra activității normale a utilizatorului.
3. Actualizare automată. Aplicația verifică în mod regulat prin Internet dacă există un pachet de actualizare pe serverele Kaspersky Lab. Frecvența controalelor poate crește în timpul focarelor de virus. Când sunt găsite actualizări noi, programul le descarcă și le instalează pe computer.
6.4 Subsistem de backup și arhivare
Una dintre metodele eficiente de a face față consecințelor informației și dezastrelor informatice, modificării și pierderii de informații este organizarea corectă a backup-ului datelor în întreprindere.
În departamentul de contabilitate, este necesar să instalați hardware de rezervă (matrice RAID) și să instalați și să configurați funcționarea programelor de rezervă.
Acronis True Image 9.1 Workstation este cea mai bună soluție pentru copierea centralizată a datelor de pe stațiile de lucru dintr-o rețea corporativă. Acest program vă permite să creați copii de siguranță ale:
1) hard disk-uri și partițiile acestora, cu toate datele stocate pe acestea, sisteme de operare și aplicații;
2) cele mai importante fișiere și foldere pentru utilizator.
Suportul pentru ambele versiuni de Windows pe 64 de biți și 32 de biți oferă o protecție eficientă a datelor pe computere generatii diferite. În cazul unei erori fatale de software sau hardware Acronis TrueImage 9.1 Workstation vă permite să performați recuperare totală sisteme sau recuperare fisiere individualeși foldere. Sistemul poate fi restaurat ca calculator vechi, curând computer nou cu alt hardware sau la o mașină virtuală.
Acronis Management Console inclusă cu Acronis TrueImage 9.1 Workstation funcționează administrare la distanță toate computerele din rețea: instalarea agenților (aplicații necesare pentru a face backup pentru fiecare computer), crearea copii de rezervăși recuperarea datelor. Managementul centralizat facilitează munca administratorului și reduce costurile generale de întreținere rețeaua corporativă.
Datorită tehnologiei proprietare Acronis Drive Snapshot, Acronis TrueImage 9.1 Workstation face copii de rezervă ale datelor fără a opri și reporni stațiile de lucru, ceea ce ajută la evitarea întreruperilor în munca personalului.
Caracteristicile programului:
· Acronis Universal Restore (opțional) -- recuperarea sistemului independent de hardware dintr-o imagine;
· Acronis Snap Restore ™ (tehnologie patentată) - abilitatea de a începe să lucrezi pe computer imediat, fără a aștepta finalizarea restaurării tuturor datelor și a sistemului;
Suport pentru Windows XP Professional x64 Edition.
· agent de pornire Acronis True Image - capacitatea de a restaura de la distanță sistemul și datele de pe stațiile de lucru;
· backup diferențial - vă permite să creați doar două fișiere de arhivă - arhiva completă inițială și diferențial, stocând doar cele modificate în raport cu arhiva inițială;
· copie de rezervă a fișierelor - capacitatea de a crea copii de rezervă ale datelor la alegerea utilizatorului;
· filtrarea fișierelor și folderelor copiate - capacitatea de a economisi spațiu pe mediile de rezervă și viteza de copiere/restaurare a datelor prin excluderea fișierelor de anumite tipuri din arhive;
· suport pentru Windows Event Log și SNMP (Simple Network Management Protocol) - vă permite să integrați Acronis TrueImage 9.1 Workstation în sistemele standard de monitorizare a rețelei;
Suport pentru lucrul cu scripturi personalizate care rulează înainte și după procesul de backup;
· Setarea vitezei de backup la scrierea pe disc și a resurselor de rețea - vă permite să ajustați în mod flexibil setările de performanță atât ale unui singur computer, cât și ale întregii rețele;
· crearea de arhive bootabile - vă permite să combinați versiunea de sine stătătoare a Acronis True Image și fișierele de arhivă pe un singur suport de pornire;
· conectarea imaginii ca disc virtual - capacitatea de a vizualiza și modifica conținutul imaginii de disc/partiție;
· Suport pentru FTP-server ca locație de stocare pentru copii de rezervă - capacitatea de a stoca copii de siguranță pe un server la distanță folosind protocolul ftp.
Pentru arhivarea datelor, se presupune că se utilizează programul WinRar. Se recomandă să faceți periodic copii de rezervă ale bazei de date de informații contabile folosind instrumentele încorporate ale programului 1C Accounting 7.7.
6.5 Subsistemul de detectare a atacurilor de rețea
Internetul crește într-un ritm amețitor, așa că nu este de mirare că se fac mai multe încercări de a obține acces neautorizat la resursele corporative. Planurile pentru astfel de atacuri nu sunt un secret, așa că deseori pot fi găsite chiar într-un format gata de utilizare, iar excesele recente, care au fost cu adevărat globale, sunt o dovadă clară că, în general, este mult mai ușor să comite o crimă informatică astăzi decât înainte.
În acest sens, este necesar să se creeze un sistem eficient de detectare a atacurilor de rețea folosind programul RealSecure Server Sensor.
RealSecure Server Sensor este o soluție software care vă permite să detectați toate atacurile (adică la toate nivelurile) direcționate către un anumit nod de rețea. Pe lângă detectarea atacurilor, RealSecure Server Sensor are capacitatea de a efectua analize de securitate și de a detecta vulnerabilități pe un nod monitorizat.
Senzorul RealSecure Server poate monitoriza, de asemenea, jurnalele sistemului de operare, precum și jurnalele oricăror aplicații care rulează sub acest sistem de operare. În plus, RealSecure Server Sensor poate detecta atacuri asupra rețelelor TCP/IP și SMB/NetBIOS pe baza oricărei arhitecturi de rețea suportate de computerul monitorizat.
Capacitățile senzorului serverului
Sistemul RealSecure este unul dintre cele mai bune solutii pentru a proteja rețeaua corporativă etc. Acesta oferă următoarele caracteristici cheie:
un număr mare de atacuri recunoscute;
capacitatea de a detecta vulnerabilități pe o gazdă controlată;
capacitatea de a controla atacurile îndreptate către aplicații specifice (de exemplu, Apache, Netscape Enterprise Web Server, MS IIS, MS Exchange, MS SQL Server, pcAnywhere etc.);
Crearea de semnături proprii de atacuri;
stabilirea de șabloane pentru filtrarea traficului și analiza jurnalelor;
· diverse scheme gestionarea modulelor de urmărire;
Imitarea aplicațiilor inexistente pentru a induce atacatorul în eroare;
· analiza extinsă a jurnalelor de înregistrare;
· posibilitate de control al interfețelor de rețea 10/100 Ethernet LAN/WAN, modemuri prin cablu, routere DSL și ISDN și modemuri normale pentru linii dial-up;
· capacitatea de a controla orice număr de interfețe de rețea instalate în computer;
posibilitatea de funcționare în rețele comutate și rețele cu criptare canal;
· capacitatea de a crea reguli pentru filtrarea traficului de intrare/ieșire, implementând funcțiile unui firewall personal;
· actualizare automata baze de date cu semnături de atac și actualizare de la distanță a software-ului senzorilor;
Terminarea anormală a conexiunii cu nodul atacator;
blocarea contului utilizatorului atacator;
setarea scripturilor pentru procesarea atacurilor în limbajul Tcl;
capacitatea de a studia evenimentele de securitate înainte de a efectua orice acțiuni și de a modifica opțiunile de răspuns după studiu;
compresia semantică a evenimentelor de securitate;
notificarea atacatorului despre detectarea acestuia;
· Generarea de secvențe de control SNMP pentru gestionarea sistemelor HP OpenView, IBM NetView și Tivoli TME10;
· analiza jurnalelor de înregistrare a routerelor;
· Integrare cu Internet Scanner, System Scanner, SAFEsuite Decisions și AlarmPoint;
protectie pe mai multe niveluri informațiile colectate;
Stabilirea unei conexiuni sigure între componentele sistemului, precum și alte dispozitive;
sistem puternic de raportare;
diferite formate de rapoarte;
gestionarea tuturor funcțiilor senzorului de la Linie de comanda;
Sistem puternic de indicii
disponibilitatea unei baze de date cuprinzătoare cu toate atacurile detectate;
înregistrare extinsă a evenimentelor de sistem;
ușurință în utilizare și interfață grafică intuitivă;
Cerințe scăzute de sistem pentru software și hardware.
6.6 Subsistemul de protecție a informațiilor LAN
Subsistemul de securitate a informațiilor din LAN este implementat folosind instrumentul software Secret Net.
· Sistemul de securitate a informațiilor Secret Net este un complex software și hardware conceput pentru a asigura securitatea informațiilor într-o rețea locală.
Securitatea stațiilor de lucru și a serverelor de rețea este asigurată prin diferite mecanisme de protecție:
identificare și autentificare îmbunătățite,
Controlul accesului autoritar și selectiv,
închis mediu software,
protecția datelor criptografice,
alte mecanisme de apărare.
Administratorul de securitate este prevăzut cu un singur instrument pentru gestionarea tuturor mecanismelor de protecție, care permite gestionarea și controlul centralizat a implementării cerințelor politicii de securitate.
Toate informațiile despre evenimentele din Sistem informatic legate de securitate este consemnată într-un singur jurnal de bord. Încercările de a comite acțiuni ilegale de către utilizatori, administratorul de securitate va ști imediat.
Există instrumente pentru generarea de rapoarte, jurnalele de preprocesare, managementul operațional al stațiilor de lucru la distanță.
Componentele rețelei secrete
Sistemul Secret Net este format din trei componente:
Partea clientului
un server de securitate
subsistem de control.
O caracteristică a sistemului Secret Net este arhitectura client-server, în care partea de server asigură stocarea și prelucrarea centralizată a datelor sistemului de protecție, iar partea client asigură protecția resurselor stație de lucru sau server și stocați informații de gestionare în propria bază de date.
Domeniul de aplicare al rețelei secrete
Principalele domenii de aplicare ale sistemului Secret Net sunt:
protecția resurselor informaționale;
managementul centralizat al securității informațiilor;
controlul stării securității informațiilor.
Certificate Secret Net 4.0
Familia de instrumente de securitate a informațiilor Secret Net are toate cele necesare certificate ale Comisiei Tehnice de Stat a Rusiei și ale Agenției Federale pentru Comunicații și Informații Guvernamentale din Rusia. Sistemul de securitate a informațiilor Secret Net 4.0 este certificat de către Comisia Tehnică de Stat a Rusiei pentru clasa a 3-a de securitate. Aceasta înseamnă că Secret Net 4.0 poate fi utilizat pentru a proteja informațiile care conțin informații care constituie un secret de stat.
Clientul Secret Net este instalat pe un computer care conține Informații importante, fie că este vorba de o stație de lucru în rețea sau de orice server (inclusiv un server de securitate).
Scopul principal al clientului Secret Net:
· protecția resurselor informatice împotriva accesului neautorizat și diferențierea drepturilor utilizatorilor înregistrați.
înregistrarea evenimentelor care au loc la o stație de lucru sau un server de rețea și transferul de informații către serverul de securitate.
· executarea actiunilor de control centralizat si descentralizat ale administratorului de securitate.
Serverul de securitate este instalat pe un computer dedicat sau controler de domeniu și oferă următoarele sarcini:
Mentinerea bazei de date centrale (CDB) a sistemului de protectie, care functioneaza sub controlul SGBD-ului Oracle 8.0 Personal Edition si contine informatiile necesare functionarii sistemului de protectie;
· colectarea de informații despre evenimentele care au loc de la toți clienții Secret Net într-un singur jurnal de înregistrare și transferul informațiilor procesate către subsistemul de control;
interacțiunea cu subsistemul de control și transferul comenzilor de control al administratorului către partea client a sistemului de protecție.
Subsistemul de gestionare Secret Net este instalat la locul de muncă al administratorului de securitate și îi oferă acestuia următoarele caracteristici:
· managementul centralizat al mecanismelor de securitate ale clienților Secret Net;
controlul tuturor evenimentelor legate de securitatea sistemului informatic;
control asupra acțiunilor angajaților din IS-ul organizației și răspuns prompt la faptele și încercările de acces neautorizat;
planificarea lansării procedurilor de copiere a bazei de date centrale și arhivare a jurnalelor de înregistrare;
Schema de control implementată în Secret Net vă permite să gestionați securitatea informațiilor în ceea ce privește un domeniu real și să asigurați pe deplin o separare strictă a puterilor între un administrator de rețea și un administrator de securitate.
6.7 Subsistemul integritatea datelor
Integritatea bazei de informații contabile este asigurată de mecanismele încorporate din programul 1C Accounting 7.7. La ștergerea obiectelor marcate, programul 1C Accounting 7.7 in mod automat caută referințe la obiectul care este șters. În caseta de dialog pentru ștergerea obiectelor marcate, butonul Delete devine activ numai după ce faceți clic pe butonul Control și căutați referințe la obiect (Fig. 7).
În timpul funcționării sistemului 1C:Enterprise, pot apărea diverse situații de urgență - o întrerupere a alimentării computerului, înghețarea sistemului de operare, defecțiuni hardware și așa mai departe. Asemenea situații care au apărut în procesul de scriere a modificărilor la tabelele infobase ale sistemului 1C:Enterprise pot duce la o stare incorectă a infobazei. Manifestările externe ale stării incorecte a infobazei pot fi diferite, până la imposibilitatea pornirii 1C:Enterprise.
Procedura „Testare și reparare infobaze” este concepută pentru a diagnostica și elimina stările eronate ale infobazelor care au atât formatul DBF, cât și formatul MS SQL Server 6.5, indiferent de compoziția componentelor instalate ale sistemului 1C:Enterprise.
Principii de funcționare a procedurii de testare
Toate verificările stării bazei de informații efectuate prin procedură pot fi condiționateîmpărțit în trei niveluri logice.
La primul nivel, fiecare fișier dbf analizează corectitudinea antetului său, corespondența câmpurilor declarate de antet și a tipurilor acestora cu cel așteptat (compoziția și tipul câmpurilor care alcătuiesc multe tabele este determinată de configurația baza de informații). Egalitatea lungimii înregistrării calculată pe baza descrierii câmpurilor se verifică pentru lungimea înregistrării declarată în antet. Lungimea reală a fișierului este comparată cu valoarea obținută pe baza informațiilor despre lungimea antetului, lungimea înregistrării și numărul acestora. Apariția unui mesaj de eroare irecuperabil la acest nivel, de regulă, indică faptul că procedura de restructurare nu a fost efectuată după efectuarea modificărilor configurației. După ce analiza antetului este finalizată, procedura scanează toate înregistrările și verifică conținutul fiecărui câmp al înregistrării în ceea ce privește tipul acestui câmp.
Conținutul tabelelor derivate este determinat de starea tabelelor de bază și poate fi complet restaurat la efectuarea procedurilor de recalculare a totalurilor. În timpul testării celui de-al doilea nivel, se scanează înregistrările tabelelor de bază și se verifică corectitudinea conținutului câmpurilor din punctul de vedere al sistemului 1C:Enterprise, și nu gestionarea bazei de date în format dbf, așa cum sa întâmplat la nivelul anterior. După scanarea tuturor înregistrărilor din tabel, acesta este reindexat. Tot la acest nivel este bifată legătura logică „jurnal document – document – parte tabelară a documentului”.
Integritatea logică a tabelelor incluse în infobază se realizează printr-un set de verificări de al treilea nivel. La acest nivel se testează legăturile interne ale tabelelor definite de sistemul 1C:Enterprise, se verifică existența efectivă a elementelor de date care sunt referite în câmpurile de înregistrare. Tot la acest nivel se realizeaza analiza inregistrarilor despre detaliile periodice ale directoarelor si conturilor contabile (daca este instalata componenta „Contabilitate”).
La finalul verificărilor se face o recalculare completă a rezultatelor. Compoziția specifică a totalurilor recalculate depinde de compoziția componentelor instalate și de setul de tipuri utilizate de cei testați. baza de informatii obiecte.
6.8 Subsistemul de înregistrare și contabilitate
proiectarea sistemului de securitate a informațiilor
Acest subsistem este implementat și folosind instrumentele încorporate ale sistemului 1C Accounting 7.7. Înregistrarea și contabilitatea sunt efectuate folosind modul special Monitor.
Monitor utilizator este un instrument suplimentar conceput pentru a administra sistemul 1C:Enterprise.
Monitorul vă permite să vizualizați lista utilizatorilor activi, adică acei utilizatori care lucrează în prezent cu baza de informații. În plus, monitorul vă permite să analizați jurnalul acțiunilor efectuate de utilizatori pentru orice perioadă de timp (istoric de lucru al utilizatorului).
Pentru a apela funcțiile principale ale Monitorului utilizatorului în modul de lansare „Monitor”, utilizați elementele „Utilizatori activi” și „Jurnal de înregistrare” din coloana „Monitor” din meniul principal sau butoanele corespunzătoare din bara de instrumente. Lucrați cu aceste funcții în același mod ca în modul de lansare 1C:Enterprise.
Arhivarea jurnalelor
Pe lângă funcțiile de bază (vizualizarea listei de utilizatori activi și a jurnalului de înregistrare), funcția de arhivare este disponibilă în modul de lansare Monitor. jurnalul de înregistrare.
Jurnalul de înregistrare este menținut de sistem într-un fișier special 1CV7.MLG situat în directorul SYSLOG subordonat directorului infobase. Acest jurnal se numește „actual”. Când un număr mare de utilizatori lucrează intens pe o perioadă lungă de timp, jurnalul curent poate avea suficient marime mare. Arhivarea jurnalului vă permite să reduceți dimensiunea jurnalului curent prin plasarea unei părți sau a întregului jurnal într-o arhivă. Arhiva stochează datele de jurnal într-o formă comprimată. Fișierele de arhivă sunt, de asemenea, stocate în directorul SYSLOG.
Modul de vizualizare a jurnalului are capacitatea de a afișa evenimente din jurnalul curent, precum și evenimente din acele perioade care sunt arhivate. În acest caz, dacă intervalul selectat pentru vizualizare include perioadele pentru care evenimentele au fost plasate în arhivă, atunci extragerea datelor din arhivă are loc automat. Desigur, la accesarea datelor de arhivă pentru extragere informatie necesara se va cheltui timp suplimentar.
Pentru a apela funcția de arhivare a jurnalelor, selectați elementul de meniu „Arhivare jurnal” din coloana „Monitor” a meniului principal sau apăsați butonul corespunzător din bara de instrumente.
Modul de arhivare poate fi apelat numai dacă niciun utilizator nu mai lucrează cu această bază de informații în niciun mod de pornire 1C:Enterprise.
Când este apelat modul de arhivare, apare un dialog în care este setată perioada pentru care datele de jurnal ar trebui să fie arhivate. Partea superioară a casetei de dialog afișează datele de început și de sfârșit ale jurnalului curent.
Arhivarea se realizează întotdeauna pornind de la cele mai vechi evenimente ale jurnalului curent: de fapt, limita de început a perioadei arhivate este întotdeauna determinată de începutul jurnalului curent. Fereastra de dialog stabilește limita de sfârșit a perioadei de arhivare.
Concluzie
În lumea modernă, resursa informațională a devenit una dintre cele mai puternice pârghii ale dezvoltării economice. Deținerea de informații de calitatea cerută în la fix iar la locul potrivit este cheia succesului în orice fel de activitate economică. Deținerea în monopol a anumitor informații se dovedește adesea a fi un avantaj competitiv decisiv și astfel predetermina prețul ridicat al factorului informațional. Adopție pe scară largă calculatoare personale a adus nivelul de informatizare a vieţii afacerilor la un nivel calitativ nou. În zilele noastre este greu de imaginat o firmă sau o întreprindere (inclusiv cele mai mici) care să nu fie înarmată mijloace moderne prelucrarea si transmiterea informatiilor. Într-un PC, suporturile de date acumulează cantități semnificative de informații care sunt de mare valoare pentru proprietarul său.
Cu toate acestea, crearea unei industrii de prelucrare a informațiilor, oferind premise obiective pentru o creștere grandioasă a eficienței vieții umane, dă naștere la întreaga linie probleme complexe și de amploare. Una dintre aceste probleme este menținerea sigură a siguranței și starea stabilită a utilizării informațiilor care circulă și prelucrate în sistemele informaționale distribuite.
În cadrul acesteia termen de hârtie a fost proiectat un sistem de securitate a informatiei pentru departamentul de contabilitate al societatii comerciale Ves-trade.
În timpul lucrărilor de curs au fost rezolvate următoarele sarcini:
1. a fost examinată infrastructura existentă a compartimentului de contabilitate al societății comerciale „Wes-trade” și s-au determinat datele inițiale pentru proiectarea sistemului de securitate a informațiilor;
2. cerințele minime sunt definite pe baza nevoilor de securitate a informațiilor;
3. Conceptul IS dezvoltat;
4. se analizează riscurile;
5. a fost elaborată politica SI și au fost selectate soluții pentru asigurarea politicii SI;
6. structura sistemului IS a fost dezvoltată;
7. Sunt luate în considerare tipurile și funcțiile instrumentelor de securitate a informațiilor.
Lista bibliografică
1. Document de orientare Mijloace informatică. Protecție împotriva accesului neautorizat la informații. Indicatori de securitate împotriva accesului neautorizat la informații din 30 martie 1992.
2. Gryaznov E.S., Panasenko S.A. Securitatea rețelelor locale. - M.: Manual Vuzovsky, 2006.- 525 p.
3. Kozlachkov P.S. Principalele direcții de dezvoltare a sistemelor de securitate a informațiilor. . - M.: finanţe şi statistică, 2004. - 736 p.
4. Levakov G. N. Anatomia securității informațiilor. - M.: TK Velby, editura Prospekt, 2004.- 256 p.
5. Sokolov D.N., Stepanyuk A.D. Protecție împotriva terorismului informatic. - M.: BHV-Petersburg, Arlit, 2002.- 456 p.
6. Sych O.S. Integrat protectie antivirus retea locala. - M.: finanţe şi statistică, 2006. - 736 p.
7. Shvetsova N. D. Sisteme tehnice de securitate: realități actuale. - Sankt Petersburg: Peter, 2004. - 340 p.
Găzduit pe Allbest.ru
Documente similare
Organizarea contabilității pe exemplul întreprinderii „Goliat-Vita” SRL, care se ocupă cu producția de mobilier și prelucrarea lemnului. Automatizarea sistemului de contabilitate a informațiilor contabile al întreprinderii. Structura si intocmirea situatiilor financiare.
raport de practică, adăugat la 12.05.2015
Doctrina securității informațiilor Federația Rusă. Verificarea sistemelor informatice utilizate de firma cu evaluarea ulterioara a riscurilor de defectiuni in functionarea acestora. Legea „Cu privire la datele cu caracter personal”. Împărțirea auditului activ în extern și intern.
prezentare, adaugat 27.01.2011
Conceptul și obiectivele unui audit de securitate a informațiilor. Analiza riscurilor informaționale ale întreprinderii și metodele de evaluare a acestora. Criterii de evaluare a fiabilității sistemelor informatice. Tipurile și conținutul standardelor IS. Instrumente software pentru auditarea IS.
teză, adăugată 24.06.2015
Studiul organizării muncii a departamentului de contabilitate al unei societăți comerciale pe exemplul SRL „TK Karel-Impex”. Analiza tehnicilor și formelor de contabilitate. Conținutul planului de conturi de lucru și caracteristicile contabile Baniși decontări cu persoane responsabile.
raport de practică, adăugat la 02.11.2011
Principalele activități din domeniul auditului securității informațiilor ca o verificare a conformității organizației și a eficacității protecției informațiilor cu cerințele și/sau standardele stabilite. Etapele auditului expert. Conceptul de audit al spațiilor alocate.
prelegere, adăugată 10.08.2013
Definirea unui sistem informatic corporativ, elemente de baza si compozitie. Definiție și funcții, caracteristici ale dezvoltării unui sistem electronic de gestionare a documentelor. Clasificarea EDMS în funcție de locul de dezvoltare și de funcționalitate. Principalele avantaje și dezavantaje.
prezentare, adaugat 23.01.2017
Sarcini care sunt rezolvate în timpul auditului securității sistemului informațional. Etapele auditului expert. Test de penetrare (pentest) în sistemul informaţional: obiecte, etape. Scopul auditării aplicațiilor web. Audit pentru conformitatea cu standardele.
raport de practică, adăugat la 22.09.2011
Esența și conceptul de sistem informațional. Caracteristicile sistemelor informatice contabile. Cerințe software și procesul de dezvoltare a sistemului informațional. Caracteristicile programelor de automatizare a contabilității OOO „Uralkonfi”.
lucrare de termen, adăugată 14.03.2012
Contabilitatea de gestiune ca parte integrantă a sistemului informațional al întreprinderii. Tipuri, principii, scopuri și metode de contabilitate de gestiune, cerințe pentru informațiile furnizate. Diferențele și relația dintre management și contabilitatea financiară.
lucrare de termen, adăugată 12.12.2010
Caracteristici ale construcției procesului contabil ca un singur sistem informațional. Conceptul, esența și metodologia expertizei economice criminalistice. Formarea unei structuri raționale a aparatului contabil. Obiecte și subiecte ale expertizei contabile criminalistice.
"Ziar financiar. Număr regional", 2008, N 41
În condițiile moderne, importanța securității informațiilor nu poate fi subestimată. Cea mai mică scurgere de informații confidențiale către concurenți poate duce la pierderi economice mari pentru companie, oprirea producției și chiar falimentul.
Obiectivele securității informațiilor sunt: prevenirea scurgerilor, furtului, pierderii, denaturării, falsificării informațiilor; prevenirea acțiunilor neautorizate de distrugere, modificare, denaturare, copiere, blocare a informațiilor; prevenirea altor forme de interferență ilegală cu resursele informaționale și sistemele informaționale ale organizației.
Costurile de protecție a informațiilor includ în principal achiziționarea de instrumente care asigură protecția acestora împotriva accesului neautorizat. Există multe mijloace de asigurare a securității informațiilor, acestea pot fi împărțite condiționat în două grupuri mari. Primul este mijloacele care au o bază materială, cum ar fi seifuri, camere CCTV, sisteme de securitate etc. În contabilitate, acestea sunt tratate ca active fixe. Al doilea este mijloacele care nu au o bază materială, cum ar fi programe antivirus, programe de restricționare a accesului la informații în formă electronică etc. Luați în considerare caracteristicile contabilității pentru astfel de mijloace de asigurare a securității informațiilor.
La achiziționarea unui program pentru a asigura protecția informațiilor, drepturile exclusive asupra acestuia nu trec cumpărătorului, se achiziționează doar o copie protejată a programului, pe care cumpărătorul nu o poate copia sau distribui. Prin urmare, atunci când luăm în considerare astfel de programe, ar trebui să ne ghidăm de Ch. VI „Contabilitatea tranzacțiilor legate de acordarea (primirea) dreptului de utilizare a imobilizărilor necorporale” din noul PBU 14/2007 „Contabilitatea imobilizărilor necorporale”.
În cazuri rare, la achiziționarea de software de securitate a informațiilor, compania dobândește drepturi exclusive asupra acestui produs. În acest caz, programul va fi contabilizat în contabilitate ca imobilizări necorporale (IA).
Conform PBU 14/2007 în contabilitatea imobilizărilor necorporale prevăzute pentru utilizare în condițiile acord de licențiere, plățile pentru dreptul de utilizare care sunt efectuate sub forma unei plăți fixe unice și drepturi exclusive asupra cărora nu sunt transferate cumpărătorului, ar trebui să fie contabilizate de către destinatar ca parte a cheltuielilor amânate și reflectate în off- bilanţ (punctul 39). Totodată, perioada în care aceste costuri vor fi anulate în conturile de cheltuieli este stabilită prin contractul de licență. În contabilitatea fiscală, costurile achiziției de programe de protecție a informațiilor în scopul impozitului pe profit se contabilizează ca alte cheltuieli și se anulează în același mod - în rate egale în termenul stabilit în contractul de licență (clauza 26 clauza 1 art. 264 din impozitul pe profit). Codul Federației Ruse).
Dacă plata dreptului de utilizare a unui produs software care asigură protecția informațiilor se face sub formă de plăți periodice, atunci în conformitate cu paragraful 39 din PBU 14/2007 acestea sunt incluse de către utilizator în cheltuielile perioadei de raportare în care acestea au fost facute.
În practică, acordul de licență nu specifică întotdeauna perioada de utilizare a software-ului. Atunci când relația dintre venituri și cheltuieli nu poate fi clar definită, în contabilitatea fiscală, costurile achiziției de programe de protecție a informațiilor sunt distribuite de către contribuabil în mod independent în vederea calculării impozitului pe venit, ținând cont de principiul recunoașterii uniforme a veniturilor și cheltuielilor (clauza 1, articolul 272 din Codul fiscal al Federației Ruse). În contabilitate, perioada în care aceste costuri vor fi debitate din contul 97 este stabilită de conducerea întreprinderii pe baza timpului estimat de utilizare a programului.
Exemplul 1. SA „Alfa” a achiziționat o copie licențiată program antivirus de la Betta LLC pentru 118.000 de ruble, inclusiv TVA (18%). Contractul de licență stabilește perioada de utilizare a programului pentru 9 luni.
În contabilitatea Alfa OJSC, programul ar trebui să fie luat în considerare după cum urmează:
Dt 60, Kt 51 - 118.000 de ruble. - furnizorul a fost plătit pentru costul software-ului;
Dt 60, Kt 97 - 100.000 de ruble. - programul primit este reflectat ca cheltuieli amânate;
Dr. 002 - 100.000 de ruble. - programul primit se reflectă în contul în afara soldului;
Dt 19, Kt 60 - 18.000 de ruble. - TVA alocat;
Dt 68, Kt 19 - 18.000 de ruble. - acceptat pentru deducere TVA;
Dt 26 (44), Kt 97 - 11.111,11 ruble. (100.000 de ruble: 9 luni) - în fiecare lună timp de 9 luni, costul programului antivirus este anulat în părți egale cu cheltuielile.
Să schimbăm condițiile exemplului 1: să presupunem că Alfa OJSC efectuează o plată nu o dată, ci în rate egale pe toată durata contractului de licență. Sumele de plată se vor ridica la 11.800 de ruble. pe lună, inclusiv TVA.
În acest caz, în contabilitate se vor face următoarele înregistrări:
Dr. 002 - 90.000 de ruble. (10.000 de ruble x 9 luni) - programul primit este reflectat în contul în afara soldului;
Dt 60, Kt 51 - 11.800 de ruble. - lunar timp de 9 luni costul produsului software este plătit furnizorului;
Dt 19, Kt 60 - 1800 de ruble. - TVA alocat;
Dt 26 (44), Kt 60 - 10.000 de ruble. - costul programului este anulat drept cheltuieli;
Dt 68, Kt 19 - 1800 de ruble. - acceptat pentru deducere TVA.
Adesea, înainte de expirarea acordului de licență, compania de dezvoltare de software protectia informatiilor lansează o actualizare. În acest caz, cheltuielile în contabilitate și contabilitate fiscală vor fi acceptate la un moment dat la momentul actualizării.
De asemenea, este o practică obișnuită ca o companie de dezvoltare să furnizeze software-ul său organizațiilor pentru o perioadă scurtă de timp pentru revizuire gratuită. Pentru a reflecta corect programul de securitate a informatiilor primit gratuit, acesta trebuie inclus in venitul amanat la valoarea de piata.
Exemplul 2. OOO „Betta” a furnizat software-ul JSC „Alfa” pentru securitatea informațiilor pentru o perioadă de 3 luni gratuit. Prețul de piață al acestui produs software este de 3300 de ruble.
În evidențele contabile ale Alfa OJSC trebuie făcute următoarele înregistrări:
Dt 97, Kt 98 - 3300 de ruble. - software-ul primit gratuit este acceptat pentru contabilitate;
Dt 98, Kt 91 - 1100 de ruble. - lunar timp de trei luni, o parte din venitul amanat este acceptata ca alte venituri.
În contabilitatea fiscală, veniturile dintr-un program primit gratuit vor fi, de asemenea, acceptate în termen de trei luni (clauza 2, articolul 271 din Codul Fiscal al Federației Ruse).
Costurile de protecție a informațiilor includ nu numai achiziția de instrumente de securitate a informațiilor, ci și costurile serviciilor de consultanță (informații) pentru protecția informațiilor (care nu sunt legate de achiziția de active necorporale, active fixe sau alte active ale organizației). Conform paragrafului 7 din PBU 10/99 „Cheltuielile organizației”, costurile serviciilor de consultanță în contabilitate sunt incluse în costurile activităților obișnuite din perioada de raportare în care au fost suportate. În contabilitatea fiscală, acestea se referă la alte cheltuieli asociate cu producția și vânzarea produselor (clauza 15, clauza 1, articolul 264 din Codul Fiscal al Federației Ruse).
Exemplul 3. SRL „Betta” a oferit servicii de consultanță privind securitatea informațiilor SA „Alfa” pentru o sumă totală de 59.000 de ruble, inclusiv TVA - 9.000 de ruble.
În evidențele contabile ale Alfa OJSC trebuie făcute următoarele înregistrări:
Dt 76, Kt 51 - 59.000 de ruble. - servicii de consultanță plătite;
Dt 26 (44), Ct 76 - 50.000 de ruble. - serviciile de consultanta privind securitatea informatiei sunt anulate drept cheltuieli pentru activitati obisnuite;
Dt 19, Kt 76 - 9000 de ruble. - TVA alocat;
Dt 68, Kt 19 - 9000 de ruble. - acceptat pentru deducere TVA.
Întreprinderile care aplică sistemul de impozitare simplificat ca cheltuieli care reduc baza impozabilă a impozitului pe venit, în conformitate cu paragrafele. 19 p. 1 art. 346.16 din Codul fiscal al Federației Ruse vor putea accepta doar costurile achiziției de programe care asigură securitatea informațiilor. Cheltuieli pentru serviciile de consultanță privind securitatea informațiilor la art. 346.16 din Codul fiscal al Federației Ruse nu sunt menționate, prin urmare, în scopul impozitării profiturilor, organizațiile nu au dreptul să le accepte.
V.Schanikov
Asistent auditor
departamentul de audit
SRL „Baker Tilly Rusaudit”
Noile tehnologii informaționale în managementul financiar bazate pe PC-uri moderne, pe de o parte, oferă calitate superioară pe de altă parte, ele creează multe amenințări care duc la consecințe imprevizibile și chiar catastrofale. Aceste amenințări includ următoarele: pătrunderea persoanelor neautorizate în bazele de date contabile și financiare, omniprezente virusi informatici, introducerea eronată a datelor financiare, erori în procesul de proiectare și implementare a sistemelor economice etc. Este posibilă contracararea posibilei implementări a amenințărilor doar prin luarea de măsuri adecvate care să contribuie la asigurarea securității informațiilor financiare. În acest sens, fiecare finanțator care folosește computere și comunicații în munca sa trebuie să știe de ce să protejeze informațiile și cum să o facă.
Protecția informațiilor financiare este înțeleasă ca starea de protecție a informațiilor și a infrastructurii de suport ale acesteia (calculatoare, linii de comunicații, sisteme de alimentare cu energie electrică etc.) împotriva efectelor accidentale sau intenționate de natură naturală sau artificială, prejudiciate proprietarilor sau utilizatorii acestor informații.
Conceptul de securitate informațională a datelor financiare în sensul restrâns al cuvântului implică:
fiabilitatea computerului;
siguranța acreditărilor valoroase;
protecția informațiilor contabile împotriva modificărilor acestora de către persoane neautorizate;
păstrarea informaţiei contabile documentate în comunicarea electronică.
Potrivit experților americani, eliminarea protecției informațiilor din rețelele de calculatoare va duce la ruinarea a 20% dintre companiile mijlocii în câteva ore, 40% dintre companiile mijlocii și 16% dintre companiile mari vor eșua în câteva zile, 33% dintre bănci vor „exploda” în 2-5 ore, 50% dintre bănci - în 2-3 zile.
Obiectele de securitate a informațiilor în gestionarea fluxului de numerar includ:
resurse informaționale care conțin informații clasificate ca secrete comerciale și informații confidențiale prezentate sub formă de baze de date de date contabile și analitice;
mijloace și sisteme de informatizare - mijloace tehnice utilizate în procesele informaționale (echipamente informatice și organizaționale, domenii informative și fizice ale calculatoarelor, sisteme generale și software de aplicație, în general, sisteme automatizate de contabilitate și date financiare ale întreprinderilor).
Amenințarea la adresa securității informaționale a managementului financiar constă într-o acțiune potențial posibilă care, prin impactul asupra componentelor sistemului contabil, poate duce la prejudicii proprietarilor resurselor informaționale sau utilizatorilor sistemului.
Regimul juridic al resurselor informaționale este determinat de regulile care stabilesc:
procedura de documentare a informatiilor;
proprietatea asupra documentelor individuale și a rețelelor individuale de documente, documente și rețele de documente în sistemele informaționale;
categorie de informații în funcție de nivelul de acces la acestea;
ordinul de protectie legala a informatiilor.
Principalul principiu încălcat în timpul implementării unei amenințări informaționale în managementul financiar este principiul documentării informațiilor. Un document primit de la un sistem informatic contabil automat dobândește forță juridică după ce este semnat de un funcționar în modul prevăzut de legislația Federației Ruse.
Toate gata potenţiale ameninţăriîn managementul financiar, prin natura apariției lor, ele pot fi împărțite în două clase: naturale (obiective) și artificiale.
Amenințările naturale sunt cauzate de motive obiective, de regulă, care nu depind de contabil și finanțator, ducând la distrugerea totală sau parțială a contabilității împreună cu componentele acesteia. Astfel de fenomene naturale includ: cutremure, fulgere, incendii etc.
Amenințările create de om sunt asociate cu activitățile umane. Ele pot fi împărțite în cele neintenționate (neintenționate), cauzate de capacitatea angajaților de a face orice greșeală din cauza neatenției, sau a oboselii, a bolii etc. De exemplu, atunci când introduceți informații într-un computer, un contabil poate apăsa tasta greșită, poate face erori neintenționate în program, introduce un virus sau dezvăluie accidental parole.
Amenințările deliberate (deliberate) sunt asociate cu aspirațiile egoiste ale oamenilor - intruși care creează în mod intenționat documente nesigure.
Amenințările de securitate în ceea ce privește direcția lor pot fi împărțite în următoarele grupuri:
amenințări de infiltrare și citire a datelor din bazele de date de acreditări și programe de calculator prelucrarea acestora;
amenințări la adresa siguranței acreditărilor, ducând fie la distrugerea, fie la modificarea acestora, inclusiv la falsificarea documentelor de plată (cereri de plată, instrucțiuni etc.);
amenințările privind disponibilitatea datelor care apar atunci când un utilizator nu poate accesa acreditările;
amenințarea cu refuzul de a efectua operațiuni, atunci când un utilizator trimite un mesaj altuia și apoi nu confirmă datele transmise.
În funcție de sursa amenințărilor, acestea pot fi împărțite în interne și externe.
Sursa amenințărilor interne sunt activitățile personalului organizației. Amenințările externe vin din exterior de la angajații altor organizații, de la hackeri și alții.
Amenințările externe pot fi împărțite în:
locale, care implică intrarea intrusului pe teritoriul organizației și obținerea accesului la un computer separat sau la o rețea locală;
amenințările de la distanță sunt tipice pentru sistemele conectate la rețele globale(Internet, sistemul bancar internațional SWIFT etc.).
Astfel de pericole apar cel mai adesea în sistem plăți electroniceîn aşezările furnizorilor cu cumpărătorii, utilizarea reţelelor de internet în aşezări. Surse de astfel de atacuri informaţionale poate fi la mii de mile depărtare. Mai mult, nu doar computerele sunt afectate, ci și informațiile contabile.
Erorile intenționate și neintenționate în contabilitate, care conduc la creșterea riscului contabil, sunt următoarele:
erori în scrierea acreditărilor;
coduri incorecte;
operațiuni contabile neautorizate;
încălcarea limitelor de control;
ratat Conturi;
erori în prelucrarea sau ieșirea datelor;
erori la formarea sau corectarea directoarelor;
conturi incomplete;
atribuirea incorectă a înregistrărilor pe perioade;
falsificarea datelor;
încălcarea cerințelor actelor normative;
încălcarea politicilor contabile;
inconsecvența calității serviciilor cu nevoile utilizatorilor.
Datele contabile și financiare neprotejate duc la deficiențe serioase în sistemul de management al întreprinderii:
multe episoade de control nedocumentate;
lipsa unei imagini complete a managementului a ceea ce se întâmplă la întreprindere în diviziile structurale individuale;
întârzieri în obținerea informațiilor relevante la momentul deciziei;
dezacorduri între diviziile structurale și executanții individuali care prestează munca în comun, care decurg din conștientizarea reciprocă slabă a stării proceselor de afaceri;
plângeri din partea angajaților de la toate nivelurile cu privire la supraîncărcarea de informații;
termene inacceptabile pentru elaborarea și distribuirea documentelor de afaceri;
termeni lungi obtinerea de informatii retroactive acumulate la intreprindere;
dificultăți în obținerea de informații despre starea actuală a unui document sau a unui proces de afaceri;
scurgeri de informații nedorite rezultate din stocarea dezordonată a unor volume mari de documente.
Un pericol deosebit sunt informațiile care constituie secrete comerciale și care au legătură cu informațiile contabile și de raportare (date despre parteneri, clienți, bănci, informatii analitice privind activitatea de piata). Pentru ca aceste informații și informații similare să fie protejate, este necesar să se întocmească acorduri cu angajații departamentelor de contabilitate, serviciilor financiare și altor departamente economice care să indice o listă de informații care nu fac obiectul dezvăluirii publice.
Protecția informațiilor în sistemele contabile și financiare automatizate se bazează pe următoarele principii de bază:
Asigurarea separarii fizice a zonelor destinate prelucrarii informatiilor clasificate si neclasificate.
Asigurarea protecției criptografice a informațiilor.
Asigurarea autentificării abonaților și a setărilor abonaților.
Asigurarea diferențierii accesului subiecților și proceselor acestora la informații.
Asigurarea stabilirii autenticității și integrității mesajelor documentare în timpul transmiterii acestora pe canalele de comunicare.
Asigurarea protecției împotriva declinărilor de responsabilitate privind paternitatea și conținutul documentelor electronice.
Asigurarea protectiei echipamentelor si mijloace tehnice sistem, sediul în care se află, de la scurgerea de informații confidențiale prin canale tehnice.
Asigurarea protecției tehnologiei, echipamentelor, hardware-ului și software-ului de criptare împotriva scurgerilor de informații din cauza erorilor hardware și software.
Asigurarea controlului integrității software-ului și a părții informaționale sistem automatizat.
Utilizarea doar a dezvoltărilor interne ca mecanisme de protecție.
Asigurarea masurilor organizatorice si de protectie a regimului. Este recomandabil să folosiți și măsuri suplimentare pentru a asigura securitatea comunicațiilor în sistem.
Organizarea protecției informațiilor despre intensitatea, durata și traficul schimbului de informații.
Utilizarea canalelor și metodelor de transmitere și procesare a informațiilor care fac dificilă interceptarea.
Protecția informațiilor împotriva accesului neautorizat are ca scop formarea a trei proprietăți principale ale informațiilor protejate:
confidențialitate (informațiile clasificate ar trebui să fie disponibile numai persoanei căreia îi sunt destinate);
integritate (informațiile pe baza cărora se iau deciziile importante trebuie să fie de încredere, exacte și pe deplin protejate de posibile distorsiuni neintenționate și rău intenționate);
disponibilitatea (informațiile și serviciile de informații conexe ar trebui să fie disponibile, gata să deservească părțile interesate ori de câte ori este nevoie).
Metodele de asigurare a protecției informațiilor contabile sunt: obstacole; controlul accesului, mascarea, reglementarea, constrângerea, stimularea.
Un obstacol ar trebui considerat o metodă de blocare fizică a căii atacatorului către informațiile contabile protejate. Această metodă este implementată de sistemul de acces al întreprinderii, inclusiv prezența securității la intrarea în aceasta, blocarea drumului persoanelor neautorizate către departamentul de contabilitate, casierie etc.
Controlul accesului este o metodă de protejare a informațiilor contabile și de raportare, implementată prin:
identificarea utilizatorilor sistemului informatic. (Fiecare utilizator primește propriul său identificator personal);
autentificare - stabilirea autenticității unui obiect sau subiect prin identificatorul care li se prezintă (realizată prin compararea identificatorului introdus cu cel stocat în memoria computerului);
verificări de autorizare - verificarea conformității resurselor solicitate și a operațiunilor efectuate cu resursele alocate și procedurile admise;
înregistrarea apelurilor către resurse protejate;
informarea și răspunsul la încercările de acțiuni neautorizate. (Criptografia este o metodă de protecție prin transformarea informațiilor (criptare)).
Mascare - o metodă de protecție criptografică a informațiilor într-un sistem informatic automat al unei întreprinderi;
Coerciția este o metodă de protejare a informațiilor din cauza amenințării răspunderii materiale, administrative sau penale. Acesta din urmă este implementat de trei articole din Codul penal:
„Accesul ilegal la informații informatice” (articolul 272);
„Crearea, utilizarea și distribuirea de programe rău intenționate pentru calculatoare” (articolul 273);
Încălcarea regulilor de funcționare a calculatoarelor, sistemelor informatice sau a rețelelor acestora. (Articolul 274).
Motivația este o metodă de protejare a informațiilor prin respectarea standardelor morale și etice stabilite în echipa întreprinderii de către utilizatori. Mijloacele morale și etice includ, în special, Codul de conduită profesională pentru membrii Asociației Utilizatorilor de Calculatoare din SUA.
Forța juridică a unui document stocat, prelucrat și transmis prin intermediul sistemelor automate și de telecomunicații poate fi confirmată electronic. semnatura digitala.
La transferul documentelor (ordine de plată, contracte, comenzi) de către retele de calculatoare este necesară dovada faptului că documentul a fost creat și trimis efectiv de autor și nu a fost falsificat sau modificat de către destinatar sau orice terț. În plus, există amenințarea cu refuzul dreptului de autor de către expeditor pentru a se elibera de responsabilitatea transmiterii documentului. Pentru a proteja împotriva unor astfel de amenințări, în practica schimbului de documente financiare, metodele de autentificare a mesajelor sunt utilizate în absența încrederii între părți. Documentul (mesajul) este completat cu o semnătură digitală și o cheie criptografică secretă. Falsificarea semnăturilor fără cunoașterea cheii de către persoane neautorizate este exclusă și indică irefutabil calitatea de autor.
Forța juridică a semnăturii digitale electronice este recunoscută dacă în sistemul informatic automatizat există instrumente software și hardware care asigură identificarea semnăturii și conformitatea. regim stabilit utilizarea lor. Contabilul (utilizatorul) semnează documente cu semnătură digitală electronică folosind o cheie privată cunoscută doar de el, le transferă în conformitate cu schema fluxului de lucru, iar sistemul hardware-software verifică semnătura. Documentele confidențiale pot fi criptate cu chei individuale și sunt inaccesibile intrușilor. Sistemul se bazează pe standardele interneși normele muncii de birou, practica organizării contabilității documentelor și controlul acțiunilor executanților în structuri de orice formă de proprietate (de stat și nestatali).
Securitatea datelor financiare face posibilă:
furnizați identificarea/autentificarea utilizatorului;
definiți pentru fiecare utilizator drepturi funcționale - drepturile de a îndeplini anumite funcții ale sistemului (în special, de a accesa anumite jurnale de înregistrare a documentelor);
determina nivelul de confidentialitate pentru fiecare document, iar pentru fiecare utilizator - drepturi de acces la documente de diferite niveluri de confidentialitate;
confirmați autoritatea utilizatorului folosind mecanismul semnatura electronica;;
asigura confidențialitatea documentelor prin criptarea acestora, precum și criptarea tuturor informațiilor transmise canale deschise comunicații (de exemplu, e-mail); criptarea se realizează folosind certificate mijloace criptografice;
înregistrați toate acțiunile utilizatorului în jurnalele de audit (în jurnalul de audit de conectare și deconectare, jurnalul operațiunilor finalizate).
Falsificarea semnăturii fără cunoașterea cheii de către atacatori este exclusă. Când protejați informațiile contabile, trebuie respectat următorul principiu: dacă evaluați informațiile la 100.000 de ruble, atunci nu ar trebui să cheltuiți 150.000 de ruble pentru a le proteja.
Controalele în sistemele financiare automatizate sunt plasate în acele puncte în care riscul posibil se poate transforma în pierderi.
Asemenea puncte sunt numite „puncte de risc” sau „puncte de control”. Acestea sunt punctele în care controlul va fi cel mai eficient și, în același timp, cel mai economic. Dar oricât de eficiente ar fi controalele, acestea nu pot oferi o garanție de 100%, în special din cauza unor erori neintenționate atunci când o persoană în loc de numărul 3 formează numărul 9 sau invers.