МАРК РЕГНЕРУС ДОСЛІДЖЕННЯ: Наскільки відрізняються діти, які виросли в одностатевих союзах
РЕЗОЛЮЦІЯ: Громадського обговорення навчальної програми статевого виховання ЧОМУ ФОНД ОЛЕНИ ПІНЧУК І МОЗ УКРАЇНИ ПРОПАГУЮТЬ "СЕКСУАЛЬНІ УРОКИ" ЕКЗИСТЕНЦІЙНО-ПСИХОЛОГІЧНІ ОСНОВИ ПОРУШЕННЯ СТАТЕВОЇ ІДЕНТИЧНОСТІ ПІДЛІТКІВ Батьківський, громадянський рух в Україні закликає МОН зупинити тотальну сексуалізацію дітей і підлітків Відкрите звернення Міністру освіти й науки України - Гриневич Лілії Михайлівні Представництво українського жіноцтва в ООН: низький рівень культури спілкування в соціальних мережах Гендерна антидискримінаційна експертиза може зробити нас моральними рабами ЛІВИЙ МАРКСИЗМ У НОВИХ ПІДРУЧНИКАХ ДЛЯ ШКОЛЯРІВ ВІДКРИТА ЗАЯВА на підтримку позиції Ганни Турчинової та права кожної людини на свободу думки, світогляду та вираження поглядів
Контакти
Тлумачний словник Авто Автоматизація Архітектура Астрономія Аудит Біологія Будівництво Бухгалтерія Винахідництво Виробництво Військова справа Генетика Географія Геологія Господарство Держава Дім Екологія Економетрика Економіка Електроніка Журналістика та ЗМІ Зв'язок Іноземні мови Інформатика Історія Комп'ютери Креслення Кулінарія Культура Лексикологія Література Логіка Маркетинг Математика Машинобудування Медицина Менеджмент Метали і Зварювання Механіка Мистецтво Музика Населення Освіта Охорона безпеки життя Охорона Праці Педагогіка Політика Право Програмування Промисловість Психологія Радіо Регилия Соціологія Спорт Стандартизація Технології Торгівля Туризм Фізика Фізіологія Філософія Фінанси Хімія Юриспунденкция |
|
|||||||||||||||||
Організаційні заходи контролю КІСПРис. 4.25. Складові аудиту в умовах застосування КІСП Виник навіть спеціальний термін – комп’ютерний аудит. Під комп’ютерним аудитом мають на увазі оцінку поточного стану комп’ютерної системи на відповідність деякому стандарту чи запропонованим вимогам [31]. Цей термін використовують спеціалісти із загальної безпеки комп’ютерних інформаційних систем. Здебільшого комп’ютерний аудит потрібний, коли автоматизована система призначена для обробки конфіденційної чи секретної інформації. Саме до таких належать комп’ютерні системи бухгалтерського обліку. Для кожної категорії інформації на підприємстві внутрішніми стандартами визначають нижню межу рівня безпеки автоматизованої системи. Проведення комп’ютерного аудиту корисно також після побудови автоматизованої системи та підсистеми її безпеки на етапі приймання в експлуатацію для оцінки ступеня дотримання висунутих до неї вимог. Основні параметри, за якими має здійснюватися перевірка КІСП щодо захисту та безпеки даних, наведено в табл. 4.9. Таблиця 4.9. Параметри надійності програмних систем для ведення 1 бухгалтерського обліку
Положення про міжнародну аудиторську практику 1008 “Оцінка ризиків та система внутрішнього контролю – характеристика КІС та пов’язані з ними питання”, передбачає, зокрема, те, що в КІСП наявна вразливість засобів зберігання даних і програм: великі обсяги даних і комп’ютерні програми, котрі використовують для обробки інформації, можуть зберігатися на портативних або вбудованих носіях інформації, на таких як магнітні диски і плівка. Саме ці носії інформації можуть украсти, загубити, навмисно або випадково знищити. Комп’ютерні системи більш відкриті для доступу до даних, тому в них мають чітко розмежовуватися повноваження і права доступу до інформації, а також має бути введено систему захисту від несанкціонованого доступу. Відповідно до Національного нормативу № 31 “Вплив системи електронної обробки даних на оцінку систем бухгалтерського обліку і внутрішнього контролю” під час оцінки ризику в системах, у яких використовується електронна обробка даних (ЕОД), аудиторам необхідно звертати увагу на методи управління, за яких передбачається обмеження доступу до бази даних, наприклад, захист бази даних від несанкціонованого втручання. Аудитор зобов’язаний виявити слабкі місця контролю КІСП – розглянути як апаратні, так і програмні засоби контролю, а також організаційні заходи, наприклад перевірку цілісності даних і відсутність комп’ютерних вірусів. Найактуальнішим питанням, яке постає з відмовою від паперових бухгалтерських документів при застосуванні КІСП, є розробка способів юридичного підтвердження достовірності даних, що реєструються. Розв’язання цього питання можливе при розробці комп’ютерних облікових програм шляхом: • проектування спеціальних засобів блокування введення даних у разі пропуску будь-яких реквізитів; • наявності в програмі засобів ідентифікації особи, котра працює з терміналом; • спеціальних засобів захисту інформації. Так, у системі комп’ютеризації документообігу Work Expeditor процесі руху документа формують журнал, у якому фіксуються час, дії та імена користувачів, котрі працювали з документом [5, с. 331]. Додаткові спеціальні засоби захисту інформації дозволять вносити зміни або виправлення тільки тій особі, яка їх вперше зареєструвала на електронному носії. Аудитору також необхідно проаналізувати систему контролю підготовки бухгалтерських даних, перевірити, які заходи вжито клієнтом для запобігання помилкам і фальсифікаціям. Слід зазначити способи організації контролю повноти та правильності введення первинної інформації в інформаційну базу, контролю обробки і висновку даних, дати оцінку їхньої достатності й ефективності. У мережевих системах з багатьма користувачами об’єктом уваги має бути контроль передачі даних. Основні поняття стосовно надійності програмних інформаційних систем [9] уперше було визначено в опублікованій у 1983 р. “Оранжевій книзі” Міністерства оборони США. Безпечна інформаційна система визначається в ній як “система, яка керує за допомогою відповідних засобів доступом до інформації так, що тільки належним чином авторизовані особи одержують право читати, записувати, створювати та знищувати інформацію”. У Законі України “Про захист інформації в автоматизованих системах” сказано, що захист інформації – це, передусім, комплекс організаційно-технічних заходів, спрямованих на запобігання втрат інформації внаслідок як ненавмисних або навмисних дій, так і несанкціонованого її зняття, а також на запобігання шахрайству з метою розкрадання майнових та грошових цінностей суб’єктів господарської діяльності. На жаль, у Законі немає переліку конкретних заходів, тому їх розробка лягає як на розробників, так і на користувачів комп’ютерних систем. Захищеною інформаційною системою можна вважати інформаційну систему, яка відповідає певним вимогам і в якій реалізовано комплекс заходів захисту. Універсальний перелік вимог до захищених систем складати недоцільно через різноманітність самих систем і різноманітність імовірних загроз. Проте є кілька базових вимог, без задоволення яких систему не можна вважати захищеною. Отже, безпечною є інформаційна система, яка задовольняє такі вимоги: цілісність інформації (information integrity). Відповідає стану системи, коли інформація є вчасною, точною, повною і змістовною. Повністю забезпечити її майже неможливо, тому часто її розбивають на цілісність інформації та цілісність системи. Цілісність інформації – це вимога, щоб інформацію змінювали тільки в установленому порядку. Цілісність системи – це вимога, щоб система виконувала функції, яких від неї вимагають, зазначеним способом і без навмисного або незумисного неавторизованого втручання; доступність системи (system availability) – це вимога, щоб система працювала коректно і не відмовляла в доступі легальному користувачеві; конфіденційність системи (system privacy) – це вимога, щоб до приватної або конфіденційної інформації, яка міститься в системі, не мали доступу нелегальні (неуповноважені) користувачі. Ефективний контроль, конфіденційність або захист важливих програм та даних від недозволеного доступу і модифікації з боку користувачів може забезпечити криптографія. Найчастіше її використовують тоді, коли важливі дані передаються по комунікаційних лініях. Криптографія – це зворотний (тобто такий, який має обернений) процес перетворення програм та даних у форму, непридатну для обробки. Шифрування і розшифрування даних потребує використання спеціальних програм і шифрувального ключа, відомого тільки користувачам, яким дозволено доступ до програм та інформації. Інколи до трьох основних вимог додають ще забезпечення відповідальності (поп-rериdіаtіоп). Ця вимога полягає в тому, що користувач не може відмовитися від авторства посланого ним повідомлення або виконаної дії. Важливість наведених вимог не однакова для різних інформаційних систем. Якщо для інформаційних систем режимних державних організацій на першому місці стоїть конфіденційність, а цілісність розуміють винятково як незмінність інформації, то для комерційних структур важливіше за все цілісність (актуальність) і доступність даних та послуг з їх обробки. Порівняно з державними комерційні організації більш відкриті і більш динамічні, тому ймовірні загрози для них відрізняються і кількісно, і якісно. Для забезпечення названих вимог до безпечної інформаційної системи використовують такі засоби захисту. Підзвітність (протоколювання). Мета підзвітності – у кожний момент часу знати, хто працює в системі і що він робить. У безпечній системі обов’язково мають фіксуватися всі події, що стосуються безпеки. До таких подій відносять: вхід у систему (успішний або ні); вихід із системи; звернення до віддаленої системи; операції з файлами (відкриття, закриття, перейменування, знищення); зміну привілеїв або інших атрибутів безпеки (режим доступу, рівень надійності користувача тощо). Ведення протоколів обов’язково доповнюють аналізом реєстраційної інформації. До ключових засобів підзвітності належать ідентифікація і аутентифікація. Ідентифікація дозволяє впізнати користувача системи (і визначити, чи користувався він системою раніше). Ідентифікація – це засоби, за допомогою яких користувач надає системі інформацію про себе. Аутентифікація – це процес достовірної перевірки відповідності когось чи чогось. Вона підтверджує, ким є користувач, а також його права в системі. Іншими словами, аутентифікація – це підтвердження правильності ідентифікації. Можливі два види віддаленої аутентифікації: коли комп’ютер аутентифікує інший комп’ютер; коли комп’ютер виконує якісь операції для користувача, якщо той передасть пароль. Порушення в роботі комп’ютерної системи можуть виникати через проблеми з живленням і помилки апаратного чи програмного забезпечення. Помилка в апаратній частині може полягати у виході з ладу електронної чи механічної частини. Щоб уникнути цієї небезпеки, потрібно дублювати критичні вузли системи. Ще одним засобом проти подібних загроз є резервне копіювання даних. Як правило, в організаціях через відносно короткі проміжки часу роблять копії масивів даних і забезпечують їх надійне збереження. Такий захист доречний і в разі пожеж та затоплень. Тому копії й оригінали слід зберігати в різних місцях. Програмні помилки також становлять небезпеку для роботи системи. Зокрема, програма може бути несумісна з операційною системою. Крім того, програма може бути інфікована вірусами. Сутність проблеми захисту та безпеки даних у КІСП полягає в забезпеченні всього комплексу організаційно-технічних, організаційно-режимних заходів та кадрової роботи, що спрямована на збереження комерційної таємниці і належного контролю роботи працівників підприємства (рис. 4.26).
Рис. 4.26. Порядок забезпечення безпеки інформації в бухгалтерії Отже, як видно із схеми, специфіка використання обчислювальної техніки передбачає особливі методи забезпечення захисту інформації в КІСП. Якщо до впровадження КІСП уся інформація про роботу підприємства була “розкидана” по окремих документах, папках тощо, то з початком комп’ютерної інформаційної системи вся інформація концентрується в одному місці – у базі даних сервера (тобто на твердому диску якогось комп’ютера). Оскільки це місце відоме всім працівникам, інформація стає доступною невизначеному колу осіб. Тому слід за допомогою особливих внутрішніх положень (наказів, інструкцій) обмежити доступ сторонніх осіб до інформації, яка є комерційною таємницею підприємства, а також встановити або передбачити механізм перевірки звітної інформації, що виходить за межі підприємства. Наприклад, в інформації з фінансової звітності, що оприлюднюється, не має бути зайвих деталей, не передбачених законодавством або угодою з користувачами звітності. Необхідною є також ґрунтовна кадрова робота з персоналом, яка полягає, з одного боку, у забезпеченні фізичної безпеки працівників, охороні приміщення та документів, у роз’яснювальній роботі, а з іншого – у забезпеченні суворого нагляду за діями персоналу. Великі підприємства із розвинутими КІСП мають скласти власні внутрішні стандарти з організації безпеки та захисту інформації. Загалом у таких стандартах мають бути вимоги до нормативно-правової бази, до систем розмежування доступу, контролю цілісності, криптографічного захисту інформації, а також до механізмів фізичного захисту компонентів автоматизованої системи. Крім того, стандарт має охоплювати вимоги із забезпечення безперервності захисту, наприклад вимоги до порядку і періодичності перегляду правил катетеризації чи інформації привілеїв користувачів. Залежно від виду загрози безпеці КІСП можна застосовувати різні засоби контролю і захисту. Несанкціонованих змін даних можна уникнути лише за допомогою захисту від доступу до них осіб, котрі не мають на це права. Доступу до апаратної частини можна запобігти, визначивши приміщення, у які можуть входити тільки особи з особливими перепустками. Організації, які експлуатують великі комп’ютери, використовують саме такий вид захисту даних. При доступі до даних через невеликі термінали і персональні комп`ютери такий спосіб не використовується, і навряд чи можливий. Тому небезпека маніпуляцій даними бухгалтерського обліку в таких випадках значно більша, ніж у приміщеннях з обмеженим доступом. Саме тому Положення про міжнародну аудиторську практику 1001 “Середовище КІС – автономні мікрокомп’ютери” одним із способів забезпечення безпеки вказує обмеження доступу до комп’ютерів – за допомогою дверних замків та інших засобів безпеки в неробочий час. Можуть застосовуватися додаткові способи забезпечення безпеки, наприклад: • зберігання комп’ютера в сейфі або захисному чохлі; • використання сигналізації, яка починає діяти тоді, коли комп’ютер відключається або пересувається зі свого місця; • прикріплення комп’ютера до столу; • замикаючий механізм для контролю доступу до кнопки увімкнення. Ці заходи не виключають крадіжки комп’ютера, але підвищують ефективність контролю за несанкціонованим доступом. До комп’ютера має бути обмежений доступ як осіб, котрі безпосередньо не пов’язані з роботою, так і програм, які не мають відношення до виконання поставлених завдань, особливо ігрових програм, які можуть внести до комп’ютера програми-руйнівники (так звані комп’ютерні віруси). Комп’ютер має замикатися на ключ, що знижує ймовірність доступу до нього сторонніх осіб. Усі програми, котрі завантажуються в комп’ютер, слід перевіряти на наявність комп’ютерних вірусів за допомогою спеціальних антивірусних програм. Дані необхідно захищати також від несанкціонованого використання. У бухгалтерському обліку організації частково зберігаються дані, які стосуються різних юридичних і фізичних осіб, наприклад співробітників, постачальників, клієнтів, кредиторів та дебіторів. Ці дані у зв’язку із Законом про захист інформації можуть зберігатися і перероблятися тільки за певних умов і мають бути недоступні для неуповноважених осіб. З метою запобігання розголошення змісту такої інформації необхідно вжити заходів, які б підвищували відповідальність працівників за розголошення такої інформації третім особам. Насамперед, бухгалтерську інформацію (окрім фінансової звітності, яку треба оприлюднювати) слід кваліфікувати як комерційну таємницю підприємства. Для цього підприємство має: • юридичне закріпити за собою право на комерційну таємницю, тобто зафіксувати таке право в статуті підприємства; • визначити обсяг та склад відомостей, що становлять комерційну таємницю; • організувати її захист. Належить встановити, хто визначає порядок захисту комерційної таємниці, а також закріпити право керівника підприємства вимагати від працівників, допущених до комерційної інформації, дотримання встановленого порядку та правил її зберігання. Великою проблемою є захист інформації в разі випадкового або навмисного пошкодження технічних засобів чи електронних носіїв інформації. Розв’язання цієї проблеми полягає у створенні кількох резервних копій одночасно, час зберігання яких залежить від того терміну, протягом якого буде коригуватися масив даних. Такий спосіб зберігання резервних копій масивів стали називати “беріганням інформації в поколіннях” Звичайно зберігають три покоління масиву (у разі появи четвертої копії першу копію знищують) [38]. Їх зберігають протягом тривалого часу і використовують як довідки для проведення аудиту або для відновлення інформації. Крім застосування засобів захисту, що вбудовуються в програмне забезпечення (паролі, шифрування даних тощо), також має бути передбачено організаційні й адміністративні заходи. Служба безпеки підприємства зобов’язана стежити за тим, щоб унеможливити акустичне прослуховування приміщення бухгалтерії, наявність підслуховуючих пристроїв у комп’ютерах, обчислювальних мережах, телефонах, копіювальній техніці тощо. Бухгалтерська інформація містить майже всі відомості про діяльність підприємства, тому вона часто є об’єктом уваги конкурентів. Саме тому бухгалтерська інформація має бути першочерговим об’єктом захисту. Однак комп’ютерні програми бухгалтерського обліку, які пропонують на ринку, мають різні можливості щодо захисту даних. Так, у програмах “Соло для бухгалтера с компьютером» та «Финансы без проблем» взагалі немає системи контролю доступу. У програмах “Парус”, “1С: Бухгалтерия” така система має вигляд паролю для входу в програму. Програми “Толстый Ганс» та “1С: Бухгалтерия” дають можливість організувати доступ до окремих ділянок обліку – до каси, розрахунку заробітної плати, складського обліку тощо – визначених осіб, котрі мають свої паролі. Це дозволяє не лише захистити підприємство від несанкціонованого знімання комерційної інформації, а й уберегти його від шахрайства персоналу, що має безпосереднє відношення до роботи бухгалтерії. Однак самі файли баз даних і в цьому разі часто бувають незахищеними і їх може викрасти особа з мінімальними комп’ютерними навичками. Читайте також:
|
||||||||||||||||||
|