Сейдахметова Фавзия Сихимбаевна, Ахметбекова Бибигуль Кенесовна
Отдельные вопросы защиты бухгалтерских данных в информационных систем учета
В современных условиях особую актуальность приобретают проблемы обеспечения сохранности бухгалтерской информации, в целях обеспечения наибольшей степень защиты ее данных. По статистике более 80% компаний и агентств несут финансовые убытки из-за нарушения системы безопасности. Поэтому многие фирмы сейчас занимаются разработкой различных антивирусных программ, систем разграничения доступа к данным, защиты от копирования и т.д. Объясняется это возрастающей необходимостью разработки методов защиты в целях более эффективного функционирования на рынке.Под термином "защита" подразумевается способ обеспечения безопасности в системе обработки данных (СОД). Однако решение данной задачи значительно усложняется при организации компьютерной обработки бухгалтерской информации в условиях коллективного пользования, где сосредотачивается, обрабатывается и накапливается информация различного назначения и принадлежности. В системах коллективного пользования бухгалтерской информацией, имеющих развитую сеть терминалов, основная сложность обеспечения безопасности состоит в том, что потенциальный нарушитель является полноправным абонентом системы. В качестве основных объективных причин, определяющих необходимость обеспечения сохранности информации, можно выделить следующие:
2 Постоянно возрастающие потоки новых видов и объемов информации, которые человек должен воспринимать и перерабатывать в процессе своей деятельности;
3. Необходимость более эффективного использования ресурсов в экономике предприятия, с помощью научных достижений, нацеленных принятия обоснованных решений на различных уровнях управления
4. Высокая степень концентрации информации в центрах ее обработки.
Защита информации бухгалтерского учета обычно сводится к выбору средств контроля за выполнением программ, имеющих доступ к информации, хранимой в СОД. В этой связи при создании информационных систем учета необходима ее нацеленность на защиту пользователей бухгалтерских данных как друг от друга, так и от случайных, и целенаправленных угроз нарушения сохранности данных. Кроме того, принятые механизмы обеспечения сохранности учетной информации должны предоставлять пользователю средства для защиты его программ и данных от него самого. Рост количества абонентов, пользующихся услугами информационной системы взаимное сопряжение различных ЭВМ при обмене информацией с подключенными к ним удаленными абонентскими терминальными устройствами, образуют сложные информационно-вычислительные сети. Поэтому становится невозможным установление несанкционированного доступа к информации Усложнение вычислительного процесса на ЭВМ, работа в мультипрограммном и мультипроцессорном режиме, создают условия для поддержания связи со значительным числом абонентов. Актуальным становится решение проблемы физической защиты информации, и ее сохранения информации от других пользователей или несанкционированного подключения пользователя, специально вклинивающегося в вычислительный процесс.
Следовательно, необходимо установить требования к системе обеспечения сохранности бухгалтерской информации, включая такие пункты как:
- отдельная идентификация индивидуальных пользователей и терминалов;
- создание индивидуальных программ (заданий) по имени и функциям;
Ограничить доступ к информации позволяет совокупность следующих способов:
- иерархическая классификация доступа;
- классификация бухгалтерской информации по важности и месту ее возникновения;
- указание специфических ограничений и приложение их к информационным объектам, например пользователь может осуществлять только чтение файла без права записи в него.
Система обеспечения сохранности информации должна гарантировать, что любое движение данных бухгалтерского учета идентифицируется, авторизуется, обнаруживается и документируется.
К числу организационных требований к системе защиты информации следует отнести:
- осуществление контроля за изменениями в системе программного обеспечения;
- выполнение тестирования и верификации к изменениям в системе программного обеспечения и программах защиты;
- поддерживание взаимного контроля за выполнением правил обеспечения сохранности данных;
- установление ограничений в привилегиях персонала, обслуживающего СОД выполнение гарантийных требований в случае нарушений;
- проведение записей протокола о доступе к системе, а также компетентности обслуживающего персонала.
В этой связи целесообразно разработать и утвердить письменные инструкции:
- на запуск и остановку информационной системы учета;
- на контроль за использованием магнитных лент, дисков, карт, листингов,
- на прослеживание за порядком изменения программного обеспечения и доведение этих изменений до пользователя,
- по процедуре восстановления системы при сбойных ситуациях.
- на политику ограничений при разрешенных визитах в вычислительный центр,
- на определение объема выдаваемой бухгалтерской информации.
При этом важно разработать систему протоколирования использования ЭВМ, ввода данных и вывода результатов, обеспечивая проведение периодической чистки архивов и хранилищ лент, дисков, карт для исключения и ликвидации неиспользуемых; бухгалтерских документов в соответствии с установленными стандартами.
Следует иметь в виду, что все типы защиты взаимосвязаны и при не выполнении своих функций хотя бы одной из них, на нет сводятся усилия других. К преимуществам программных средств защиты можно отнести их невысокую стоимость, простоту разработки.
В последнее время широкое распространение получили так называемы электронные ключи. Это устройство подключается к компьютеру через порт LPT . При этом электронный ключ не мешает нормальной работе параллельного порта и полностью "прозрачен" для принтера и других устройств. Ключи могут соединяться каскадно и в цепочке, а также могут работать совершенно разнотипные ключи, выпущенные разными фирмами.
Причем они могут выполнять различные функции, например, защиту программ от несанкционированном копирования, а также способны обнаруживать факт заражения защищенной программы различными видами файловых вирусов. При использовании электронных ключей для генерации шифровальных ключей отпадает необходимость их запоминать или записывать, а затем вводить с клавиатуры. Ключ не имеет встроенных источников питания и сохраняет записанную в него информацию при отключении от компьютера. Наиболее распространены в настоящее время ключи американской фирмы "Software Security Inc". Эта фирма выпускает ключи для DOS, WINDOWS, UNIX, OS/2, Macintosh. Электронные ключи могут быть как с одноразовой записью, так и перепрограммируемые и могут содержать энергонезависимую память.
Наряду с этим распространены пластиковые идентификационные карты (ИК) с достаточно высоким объемом памяти позволяющие ограничить несанкционированный доступ к бухгалтерской информации. Такой аппаратно - программный комплекс состоит из следующих частей: специальной платы, которая вставляется в слот расширения ПК, устройства считывания информации с ИК и самих ИК; программной части: драйвера для управления платой и устройством считывания с ИК.
В программную часть комплекса может входить также программное обеспечение для организации разграничения доступа к частям и разделам жесткого диска, посредством запрашивания пароля. Таким образом, исключается вход в систему по украденной карточке. Примером подобного аппаратно - программного комплекса защиты может быть разработка фирмы Datamedia. Серия ее компьютеров Netmate оборудована специальным устройством Securecard reader - считыватель карт безопасности. Карты безопасности по исполнению представляют собой один из вариантов кредитных карт. На их магнитном носителе с помощью специальной аппаратуры, которая имеется только в распоряжении администратора, делается запись о пользователе: его имя, пароль и описываются все полномочия, которые он получает при входе в систему. В частности, на карте записано, сколько раз пользователь может пытаться указать пароль при входе. Таким образом, случайная потеря карты безопасности или ее кража не позволяет злоумышленнику получить доступ к компьютеру. Только сознательная передача карты безопасности кому-то одновременно с разглашением пароля может открыть доступ к компьютеру постороннему лицу.
Администратор системы может создать карту безопасности для легальных пользователей. На этой карте помимо уже перечисленной информации описывается профиль пользователя. В нем включаются, например: возможность доступа к программе SETUP, то есть фиксируются такие характеристики компьютера, как экран, количество и типы дисков; также определяется, какие из локальных устройств ( гибкие диски, жесткие диски, последовательные и параллельные порты ) доступны этому пользователю, с каких локальных или сетевых устройств он может загружаться. Здесь предусмотрена трансляция паролей: тот пароль, который назначается пользователю, как правило, легко запоминающийся, но вовсе не тот, с которым работает система. При попытке просто выдернуть карту безопасности из считывателя - доступ к компьютеру блокируется, пока в считыватель не будет вставлена та же карта безопасности. При неправильном указании пароля (если превышено количество попыток, разрешенное для данного пользователя) - машина блокируется, и только администратор сможет "оживить" ее, то есть стимулируется необходимость довести до сведения администрации все случаи нарушения режима секретности.
С точки зрения защиты от вирусов перечисленные системы, тоже важны, поскольку они, кроме идентификации пользователя определенным образом организуют его работу на компьютере, запрещая отдельные опасные действия. ИК могут также использоваться и для хранения ключей шифрования в системах криптографической защиты.
Недостатком такой системы является низкая защищенность ИК с магнитной полосой. Как показывает опыт, информация с них может быть беспрепятственно считана. Причем применение ИК со встроенным чипом из-за высокой стоимости ведет к значительному увеличению затрат на установку системы защиты, Кроме того, дорого обходится и оборудование для считывания информации с ИК. Но, несмотря на высокую стоимость, системы защиты на базе ИК находят широкое применение там, где необходима высокая надежность, например, в коммерческих структурах.
В настоящее время большую популярность завоевало семейство приборов Touch memory (ТМ), производимое фирмой Dallas Semiconductods. Одним из основных отличий приборов Touch Memory от других компактных носителей информации является конструкция корпуса. Помимо защиты стальной корпус выполняет также роль электрических контактов. Приемлемы и массо-габаритные характеристики - таблетка диаметром с небольшую монету и толщиной 5 мм очень подходит для таких применений. Каждый прибор семейства является уникальным, так как имеет свой собственный серийный номер, который записывается в прибор с помощью лазерной установки во время его изготовления и не может быть изменен в течение всего срока службы прибора. В процессе записи и тестирования на заводе гарантируется, что не будет изготовлено двух приборов с одинаковыми серийными номерами.
Таким образом, исключается возможность подделки приборов. Вполне приемлемой при использовании Touch-memory является и цена: она более чем в 4 раза ниже, чем при использовании пластиковых карточек. Приборы Toich Memory представляют собой энергонезависимую статическую память с многократной записью/чтением, которая размещается внутри металлического корпуса. В отличие от обычной памяти с параллельным портом адреса/данных, память приборов Toich Mempry имеет последовательный интерфейс. Данные записываются и считываются в память по одной двунаправленной сигнальной линии. При этом используется широтно-импульсный метод кодирования. Такой цифровой интерфейс позволяет подключать приборы Touch Memory непосредственно к персональным ЭВМ или через микропроцессорный контроллер.
Важной особенностью приборов является низкая потребляемая мощность, что позволяет использовать встроенную в корпусе прибора миниатюрную литиевую батарейку для сохранения информации в памяти в течении 10 лет.
Следует отметить, что меры компьютерной безопасности не ограничиваются только средствами защиты, расположенными в самом компьютере - внутри компьютера, или в виде внешних устройств. Все перечисленные выше программные и аппаратно-программные средства защиты информации становятся эффективными лишь при строгом соблюдении целого ряда административных и организационных мер. Поэтому прежде чем строить систему защиты, необходимо оценить затраты на ее создание и возможные затраты на ликвидацию последствий в случае потери защищаемых бухгалтерских данных.