Лекции готовые в Moodle. Информационные процессы в экономике. Основные тенденции развития информатизации в экономике
Скачать 3.34 Mb.
|
Защита системы «клиент—банк». Уровни зашиты. Перед передачей в банк документов по каналам связи осуществляется кодирование данных. Подготовленные документы «подписываются» лицами, имеющими право первой и второй подписи. Для подписи документов ответственное лицо вводит известный только ему пароль, реализующий функцию электронной подписи. После получения документов в банке электронная подпись расшифровывается и сверяется с фамилиями ответственных лиц из карточки клиента. Электронная подпись является критерием при разрешении возможных конфликтов клиента с банком: так как пароль, необходимый для формирования электронной подписи известен только клиенту, ее невозможно подделать. Уровни защиты системы «клиент-банк» - это: защита АРМ клиента; защита АРМ банка; защита на этапе передачи документов между АРМ банка и клиента; протоколирование. Технология контроля программно-компьютерных комплексов банка включает ряд контрольных процедур, которые должны регулярно выполняться. Процедура администрирования вычислительной сети банка. В ее рамках проверяется наличие официально утвержденного администратора сети, топологической схемы вычислительной сети, а также расположение и наличие сетевого оборудования и разграничение прав доступа в вычислительную сеть банка. Процедура контроля за соблюдением порядка предоставления сотрудникам прав доступа и его документальное оформление, а также наличие парольной зашиты и соблюдение прав пользователей сети. Заключается в проверке отсутствия в вычислительной системе возможности прямого доступа к ее компонентам, наличия необходимых документов, определяющих порядок разрешения доступа и принципы безопасности, наличия реального разграничения прав пользователей вычислительной сетью банка. Процедура контроля обеспечения бесперебойной работы компьютерных и сетевых систем банка. Контроль на наличие плана обеспечения бесперебойной работы банка, в том числе с учетом необходимости эвакуации персонала и оборудования в случае возникновения чрезвычайной ситуации. Процедура контроля конфигурации и эксплуатации рабочих станций и серверов банка, а также разграничения доступа к ним сотрудников банка. Проверка наличия необходимой документации, невозможности проникновения (в том числе и на физическом уровне) в рабочие станции и серверы, а также оборудование серверных помещений герметичными зонами. Процедура контроля за эксплуатацией автоматизированных банковских систем и обеспечения надежности их функционирования. Контроль эксплуатационной поддержки со стороны разработчиков данных программных систем, а также полноты использования указанных систем в деятельности банка. Процедура контроля администрирования системы операционного дня банка. Контролируется порядок доступа к системе операционного дня банка и разграничение нрав доступа, функционирование системы безопасности данной системы, наличие контрольных программных средств, исключающих ручную корректировку базы данных операционного дня. Должны также проверяться механизмы резервирования и восстановления системы. Процедура контроля модуля парольной зашиты и подключения локальной банковской сети к Интернету. Контроль модулем парольной защиты выполнения функции адекватной зашиты от несанкционированного доступа к вычислительной сети банка, в том числе через Интернет. Для этого необходимо обследовать организацию рабочих мест, с которых имеется доступ к сети Интернет, а также использование специальных программ, контролирующих доступ из внешних сетей в онлайновом режиме. Процедура контроля администрирования подготовки СНИФТ-сообщений, системы «клиент-банк» и работы в аналогичных системах удаленного обслуживания. Проверяется соблюдение установленного порядка обмена сообщениями, соблюдение прав пользователей в указанных системах, правил обмена ключами, наличие и эффективность средств криптографической защиты. Процедура контроля организации работы с банковскими картами. Исследуется организация электронного документооборота между пользователями карт и банком, механизмы выполнения проводок, порядок работы банкоматов. Процедура контроля работы антивирусных программ, а также соблюдение порядка закупки необходимого оборудования и программного обеспечения. Контроль за наличием необходимого антивирусного программного обеспечения, а также за соблюдением обязательных процедур при покупке аппаратуры и программного обеспечения (порядок выбора контрагента, у которого закупается оборудование, проверка его деловой репутации, проведение тендеров при значительных суммах покупки и т.д.). Безопасность информации в системах «Клиент - Банк онлайн» Защита информации в системах «Клиент - Банк онлайн» обеспечивается шифрованием персональных данных (протокол SSL), использованием электронной подписи и электронного ключа eToken, в который может быть встроен криптографический микропроцессор. Использование ключа обеспечивает двухфакторную аутентификацию пользователей при подписи документов. Данная процедура проверки позволяет достоверно убедиться в том, что абонент, предъявивший электронный ключ eToken, является его законным владельцем eToken также служит для формирования аналога собственноручной подписи документов, защищающего электронный документ от подделки и обеспечивающего целостность, авторство и конфиденциальность подписываемых документов [132]. Индивидуальные особенности АБС RS-BankV.6 предусматривает [225]: Трехзвенная архитектура, посредством которой исключается физический доступ пользователей к базе данных. Гибкая система управления доступом (СУД). Для каждого пользователя можно настроить индивидуальную структуру меню, указать перечень доступных подсистем и модулей, а также списки клиентов, счетов и других объектов системы, с которыми ему разрешено работать. Предусмотрены средства протоколирования и аудита. Принцип непрерывного электронного документооборота. Конфиденциальность информации и подтверждение авторства здесь обеспечивает электронная цифровая подпись (ЭЦП), налагаемая на документы. Поддерживаются все наиболее распространенные в России криптографические системы. Правила формирования паролей (минимальная длина пароля и частота его замены как по времени, так и по числу входов) гибко настраиваются для каждого пользователя. Система либо разрешает пользователю менять пароли самостоятельно, либо накладывает запрет на эти действия. Она контролирует качество пароля, в частности следит за тем, чтобы в него входили не только буквенные или числовые символы, но и, например, их сочетание, а также за тем, чтобы новый пароль не совпадал с прежним и т.д. Блокировка профиля и клавиатуры при длительном отсутствии пользователя. Если после ввода пароля пользователь не заходит в систему в течение определенного времени, то доступ автоматически будет запрещен. Если же сотрудник на какое-то время прервет работу (не нажмет ни одной клавиши в течение индивидуально заданного промежутка времени), то система автоматически заблокирует клавиатуру (разблокировать ее можно будет, введя логин и пароль). Применяемый механизм шифрования каналов обеспечивает безопасность передачи данных между удаленными терминалами и сервером приложений. В ИБС RS-BankV.6 предусмотрена возможность использования других сертифицированных средств шифрования. Очевидно, что абсолютной защиты от угроз для АБС не существует! Компьютерные злоумышленники и состоянии взломать практически любую систему. Однако непрерывная работа по поддержанию достаточного уровня ИБ может существенно осложнить и/или свести к минимуму возможности кибермошенников [98]. Целесообразно строить многоуровневую, «эшелонированную» систему защиты, в которой различные барьеры в виде политик, методов, процедур, средств разного уровня работают совместно: - проводить с клиентами кредитных организаций, пожелавших использовать для выполнения своих операций технологии ДБО, разъяснительную работу по хранению носителей с конфиденциальной информацией, а также информировать о наиболее распространенных способах мошенничества в системах ДБО. -совершенствовать способы регулирования и надзора со стороны регулирующих органов за использованием кредитными организациями технологии ДБО (включая возможность использования в целях легализации преступных доходов). Безопасность информации в электронной коммерции. Интернет-коммерция - это не просто создание онлайнового буклета или электронного магазина; за этим должны стоять отлаженные технологии работы с клиентами, и все должно базироваться на наработанном ранее опыте, бизнес-процессах и инфраструктуре их обслуживания. Технологии интернет-коммерции позволяют не только знать, но и предвосхищать потребности клиентов, и только при такой организации работы можно будет с уверенностью смотреть в будущее. Вооружившись знанием специфики Интернета как виртуального делового пространства, фирмы могут браться за разработку тактики и стратегии ведения бизнеса на конкретных рынках. Основные принципы построения электронной коммерции: общерыночность - непрерывность деятельности хозяйственных субъектов и защищенность системы от ряда факторов; гибкость, адаптивность систем возможность адаптации системы к различным изменениям; модульность - наращивание новых информационных технологий, добавление новых эффективных подсистем, внедрение инноваций в реализацию коммерческой деятельности; непрерывное поддержание качества информации и продуктов, циркулирующих в системах электронной коммерции; использование унифицированных электронных документов для поддержания деловой коммуникации; законность транзакций; непротиворечивость различных компонентов систем электронной коммерции. Тем, кто собирается заниматься электронным бизнесом, торгуя в розницу через Интернет, следует аккуратнее относиться к организации дела. Рекламную кампанию необходимо проводить осторожно, по мере готовности логистики, иначе можно просто не справиться с потоком заказов. Развитие электронной коммерции в любой стране зависит от двух факторов - экономического состояния и уровня образования. Электронная торговля будет хорошо приживаться в странах с высокой покупательной способностью граждан, так как компании, ведущие бизнес в Интернете, по-прежнему ориентируются в первую очередь на людей с хорошим образованием и определенным достатком. В то же время развитие электронной торговли в ряде стран будет усложняться высоким уровнем бюрократии и низкой защищенностью электронной коммерции. Обеспечение экономической безопасности электронной коммерции в первую очередь связало с защитой информационных технологий, применяемых в ней, т.е. с обеспечением информационной безопасности. Интеграция бизнес-процессов в Интернете приводит к кардинальному изменению обеспечения безопасности. Права и ответственность, подтвержденные электронный документом, требуют всесторонней защиты от совокупности угроз как отправителя документа, так и его получателя. К сожалению, руководители предприятий электронной коммерции начинают в должной степени осознавать серьезность информационных угроз и важность защиты ресурсов только после того, как они подвергнутся информационным атакам. Среди основных требований к проведению коммерческих операций - конфиденциальность, целостность, аутентификация, авторизация, гарантии и сохранение тайны. Ключевые проблемы в области безопасности электронного бизнеса включают: защиту информации при ее передаче по каналам связи; защиту компьютерных систем, баз данных и электронного документооборота; обеспечение долгосрочного хранения информации в электронном виде; обеспечение безопасности транзакций, секретность коммерческой информации, аутентификацию, защиту интеллектуальной собственности и др. Существует несколько видов угроз электронной коммерции: проникновение в систему извне; несанкционированный доступ внутри компании: преднамеренный перехват и чтение информации; преднамеренное нарушение данных или сетей; неправильная (с мошенническими целями) идентификация пользователя; взлом программно-аппаратной зашиты; несанкционированный доступ пользователя из одной сети в другую; вирусные атаки; отказ в обслуживании; финансовое мошенничество. Для противодействия этим угрозам используется ряд методов, основанных на различных технологиях: шифрование, цифровые подписи, проверяющие подлинность личности отправителя и получателя, технологии с использованием электронных ключей; брандмауэры; виртуальные и частные сети. Ни один из методов защиты не является универсальным; например, брандмауэры не осуществляют проверку па наличие вирусов и не способны обеспечить целостность данных. Не существует абсолютно надежного способа противодействия взлому автоматической зашиты, и ее взлом - это лишь вопрос времени, которое, в свою очередь, зависит от ее качества. Программное и аппаратное обеспечение для защиты соединений и приложений в Интернете разрабатывается уже давно, хотя внедряются новые технологии несколько неравномерно. На каждом этапе компанию, ведущую электронную коммерцию, подстерегают: подмена веб-страницы сервера электронного магазина (переадресация запросов на другой сервер), делающая доступными сведения о клиенте, особенно о его кредитных картах, сторонним лицам; создание ложных заказов и разнообразные формы мошенничества со стороны сотрудников электронного магазина; например, манипуляции с базами данных (статистика свидетельствует о том, что больше половины компьютерных инцидентов связано с деятельностью собственных сотрудников); перехват данных, передаваемых по сетям электронной коммерции; проникновение злоумышленников во внутреннюю сеть компании и компрометация компонентов электронного магазина; реализация атак «отказ в обслуживании» и нарушение функционирования или вывода из строя узла электронной коммерции. Компания может потерять доверие клиентов, деньги от потенциальных и/или несовершенных сделок, нарушается деятельность электронного магазина, затрачивает время, деньги и человеческие ресурсы на восстановление функционирования. Конечно, угрозы, связанные с перехватом передаваемой через Интернет информации, присуши не только сфере электронной коммерции. Особое значение имеет то, что в системах электронной коммерции обращаются экономически важные сведения: номера кредитных карт, счетов, содержание договоров и т.п. На первый взгляд, может показаться, что каждый подобный инцидент - не более чем внутреннее дело конкретного субъекта электронного бизнеса. Однако вспомним 2000-й год, который был ознаменован случаями массового выхода из строя ведущих серверов электронного бизнеса, деятельность которых носит поистине общенациональный характер: Yahoo!, eBay, Amazon, Buy, CNN, ZDNet, Datek и E*Trade. Расследование, проведенное ФБР, показало, что указанные серверы вышли из строя из-за многократно возросшего числа направленных в их адрес запросов на обслуживание в результате реализованных DoS-атак. Например, потоки запросов на сервер Buy превысили средние показатели в 24 раза, а предельные - в 8 раз. По разным оценкам, экономический ущерб, понесенный американской экономикой от этих акций, колеблется вокруг полуторамиллиардной отметки [119]. Обеспечение безопасности является не только необходимым условием успешного ведения электронного бизнеса, но и фундаментом для доверительных отношений между контрагентами. Сама суть электронного бизнеса предполагает активный информационный обмен, проведение транзакций через незащищенную сеть общего доступа, которые попросту невозможны без доверительных отношений между субъектами бизнеса. Поэтому обеспечение безопасности имеет комплексный характер, включая такие задачи, как доступ к Web-серверам и Web-приложениям, аутентификация и авторизация пользователей, обеспечение целостности и конфиденциальности данных, реализация электронной цифровой подписи и проч. С ростом коммерциализации Интернет вопросам защиты передаваемой по сети информации уделяется все больше внимания. Специализированные протоколы, предназначенные для организации защищенного взаимодействия через Интернет (например, SET, SOCKS5, SSL, SHTTP и др.), получили широкое признание во всем мире и успешно используются зарубежными разработчиками для создания банковских и торговых электронных систем на базе Интернет. За рубежом решением проблемы информационной безопасности электронного бизнеса занимается независимый консорциум – Internet Security Task Force (ISTF) - общественная организация, состоящая из представителей и экспертов компаний- поставщиков средств информационной безопасности, электронного бизнеса и провайдеров Интернет-услуг. Консорциум ISTF выделяет двенадцать областей информационной безопасности, на которых в первую очередь должно быть сосредоточено внимание организаторов электронного бизнеса: механизм объективного подтверждения идентифицирующей информации; право на персональную, частную информацию; определение атак; контроль потенциально опасного содержимого; контроль доступа; администрирование; реакция на события и др. Известно, что надежно защититься от многих угроз позволяет применение алгоритмов электронной цифровой подписи (ЭЦП), однако это справедливо только в том случае, если в эти алгоритмы вплетены обоснованные протоколы взаимодействия, юридически верную конструкцию отношений и логически замкнутую систему доверия. В основе защиты информации лежит простая логика процессов вычисления цифровой подписи и ее проверки парой соответствующих ключей, впрочем, логика, базирующаяся на фундаментальных математических исследованиях. Вычислить цифровую подпись может только владелец закрытого ключа, а проверить - каждый, у кого имеется открытый ключ, соответствующий закрытому ключу. Безусловно, обеспечением информационной безопасности должны заниматься специалисты в данной области, но руководители органов государственной власти, предприятий и учреждений независимо от форм собственности, отвечающие за экономическую безопасность тех или иных хозяйственных субъектов, должны постоянно держать данный вопросы в поле своего зрения. Для них ниже приведены основные функциональные компоненты организации комплексной системы информационной безопасности: коммуникационные протоколы; средства криптографии; механизмы авторизации и аутентификации, средства контроля доступа к рабочим местам из сетей общего пользования; антивирусные комплексы; программы обнаружения атак и аудита; средства централизованного управления контролем доступа пользователей, а также безопасного обмена пакетами данных и сообщений любых приложений по открытым сетям. В Интернет уже давно существует целый ряд комитетов, в основном, из организаций- добровольцев, которые осторожно проводят предлагаемые технологии через процесс стандартизации. Эти комитеты, составляющие основную часть Рабочей группы инженеров Интернета (Internet Engineering Task Force, IETF) провели стандартизацию нескольких важных протоколов, ускоряя их внедрение в Интернете. Такие протоколы, как семейство TCP/IP для передачи данных, SMTP (Simple Mail Transport Protocol) и РОР (Post Office Protocol) для электронной почты, а так же SNMP(Simple Network Management Protocol) для управления сетью - непосредственные результаты усилий IETF. Тип применяемого продукта защиты зависит от нужд компании [121]. К сожалению, в России пока еще с большой осторожностью относятся к возможности внедрения Интернет в те сферы деятельности, которые связаны с передачей, обработкой и хранением конфиденциальной информации. Подобная осторожность объясняется не только консервативностью отечественных финансовых структур, опасающихся открытости и доступности Интернет, но, отчасти, и тем, что большинство программных средств защиты информации западных фирм-производителей поступают на наш рынок с экспортными ограничениями, касающимися реализованных в них криптографических алгоритмов. Например, в экспортных вариантах программного обеспечения WWW-серверов и браузеров таких производителей, как Microsoft и Netscape Communications, имеются ограничения на длину ключа для одноключевых и двухключевых алгоритмов шифрования, используемых протоколом SSL, что не обеспечивает полноценной защиты при работе в Интернет. Однако приложения электронной коммерции, кроме внутренних угроз, подвержены также и внешней опасности, исходящей от Интернет. И поскольку нерационально присваивать каждому анонимному посетителю отдельный идентификатор входа (так как приложение при этом не увеличивается), компаниям необходимо использовать другой вид аутентификации. Кроме того, необходимо подготовить сервера к отражению атак. И, наконец, следует соблюдать исключительную осторожность по отношению к критическим данным - например, таким, как номера кредитных карт. Шифрование данных На бизнес-сайте обрабатывается чувствительная информация (например, номера кредитных карточек потребителей). Передача такой информации по Интернет без какой-либо защиты может привести к непоправимым последствиям. Любой злоумышленник может подслушать передачу и получить таким образом доступ к конфиденциальной информации. Поэтому данные необходимо «цифровать и передавать по защищенному каналу. Для реализации защищенной передачи данных используют протокол Secure Sockets Layer (SSL). Для реализации этой функциональности необходимо приобрести цифровой сертификат и установить его на ваш(и) сервер(а). За цифровым сертификатом можно обратиться в один из органов сертификации. К общеизвестным коммерческим сертификационным организациям относятся: VerySign, CyberTrust, GTE. SSL представляет собой схему для таких протоколов, как HTTP (называемого HTTPS в случае его защищенности), FTP и NNTP. При использовании SSL для передачи данных: данные зашифрованы; между сервером-источником и сервером назначения установлено защищенное соединение; активирована аутентификация сервера. Когда пользователь отправляет номер кредитной карточки с применением протокола SSL, данные немедленно шифруются, так что хакер не может видеть их содержание. SSL не зависит от сетевого протокола. Программное обеспечение сервера Netscape обеспечивает также аутентификацию - сертификаты и цифровую подпись, удостоверяя личность пользователя и целостность сообщений и гарантируя, что сообщение не меняло своего маршрута. Аутентификация подразумевает подтверждение личности пользователя и цифровой подписи для проверки подлинности документов, участвующих в обмене информацией и финансовых операциях. Цифровая подпись представляет собой данные, которые могут быть приложены к документу во избежание подлога. Выявление вторжений Системы выявления вторжений (Internet Detection Systems, IDS) могут, идентифицировать схемы или следы атак, генерировать аварийные сигналы для предупреждения операторов и побуждать маршрутизаторы прерывать соединение с источниками незаконного вторжения. Эти системы могут также предотвращать попытки вызвать отказ от обслуживания. Защита данных сайта Для защиты данных сайта необходимо проанализировать данные, используемые сайтом, и определить политику безопасности. Эти данные могут представлять собой HTML- код, подробности о клиентах и продуктах, хранящиеся в базе данных, каталоги, пароли и другую аутентификационную информацию. Вот несколько основных принципов, которые можно использовать при определении политики безопасности данных: Необходимо держать чувствительные данные за внутренним брандмауэром, в защищенной внутренней сети. К чувствительным данным должно быть обеспечено минимальное число точек доступа. При этом необходимо помнить, что добавление уровней безопасности и усложнение доступа в систему влияет на работу системы в целом. Базы данных, хранящие низко чувствительные данные, могут располагаться на серверах DMZ. Пароли могут храниться после преобразования с помощью односторонних алгоритмов. Однако это делает невозможным реализацию общепринятой возможности обрабатывать сообщения типа «Я забыл мой пароль, пожалуйста, вышлите мне его по электронной почте», хотя при этом можно создать новый пароль и высылать его в качестве альтернативы. Чувствительная информация - такая, как номера кредитных карт - может храниться в базах данных и после шифрования. Расшифровывать ее каждый раз при возникновении такой необходимости могут только авторизованные пользователи и приложения. Однако это также влияет на скорость работы системы в целом. Можно защитить данные сайта и с помощью компонент среднего яруса. Эти компоненты могут быть запрограммированы для аутентификации пользователей, разрешая доступ к базе данных и ее компонентам только авторизованным пользователям и защищая их от внешних угроз. Можно реализовать дополнительные функции безопасности серверной части системы. Например, для предотвращения несанкционированного внутреннего доступа к базе данных можно использовать пользовательские функции безопасности SQL-Server. Не менее важно защищать и резервные копии, содержащие информацию о потребителях. Ситуация усугубляется еще и тем, что каждую неделю обнаруживаются все новые и новые способы проникновения или повреждения данных, следить за появлением которых в состоянии только профессиональные организации, специализирующиеся на информационной безопасности. Интеграция коммерции в Интернет сулит кардинальное изменение положения с обеспечением безопасности. С ростом коммерциализации Интернет вопросам защиты передаваемой по сети информации уделяется все больше внимания. Поэтому прогресс в области безопасности информации во многом определяет развитие процесса электронной коммерции. Обеспечение компьютерной безопасности учетной информации Бухгалтер должен принимать непосредственное участие в создании компьютерной информационной системы бухгалтерского учета, ставить задачи и контролировать достоверность данных, их соответствие реальным хозяйственным операциям, анализировать бухгалтерскую информацию и исправлять неблагоприятные ситуации. Новые информационные технологии в бухгалтерском учете на базе современных ПЭВМ, с одной стороны, обеспечивают высокое качество выполняемых работ, а с другой, - создают множество угроз, приводящих к непредсказуемым и даже катастрофическим последствиям. К числу таких угроз относятся следующие: проникновение посторонних лиц в базы учетных данных, повсеместное распространение компьютерных вирусов, ошибочный ввод учетных данных, ошибки в процессе проектирования и внедрения учетных систем и др. Противостоять возможной реализации угроз можно только приняв адекватные меры, которые способствуют обеспечению безопасности учетной информации. В этой связи каждый бухгалтер, использующий в своей работе компьютеры и средства связи, должен знать, от чего защищать информацию и как это делать. Под защитой учетной информации понимается состояние защищенности информации и поддерживающей ее инфраструктуры (компьютеров, линий связи, систем электропитания и т.п.) от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям этой информации. Понятие информационной безопасности учетных данных в узком смысле этого слова подразумевает: надежность работы компьютера; сохранность ценных учетных данных; защиту учетной информации от внесения в нее изменений неуполномоченными лицами; сохранение документированных учетных сведений в электронной связи. К объектам информационной безопасности в учете относятся: - информационные ресурсы, содержащие сведения, отнесенные к коммерческой тайне, и конфиденциальную информацию, представленную в виде баз учетных данных; средства и системы информатизации - технические средства, используемые в информационных процессах (средства вычислительной и организационной техники, информативные и физические поля компьютеров, общесистемное и прикладное программное обеспечение, в целом автоматизированные системы учетных данных предприятий). Угроза информационной безопасности бухгалтерского учета заключается в потенциально возможном Действии, которое посредством воздействия на компоненты учетной системы может привести к нанесению ущерба владельцам информационных ресурсов или пользователям системы. Правовой режим информационных ресурсов определяется нормами, устанавливающими: порядок документирования информации; право собственности на отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах***; категорию информации по уровни доступа к ней; порядок правовой защиты информации. Основный принцип, нарушаемый при реализации информационной угрозы в бухгалтерском учете, - это принцип документирования информации****. Учетный документ, полученный из автоматизированной информационной системы учета, приобретает юридическую силу после его подписания должностным лицом в порядке, установленном законодательством Российской Федерации. Все множество потенциальных угроз в учете по природе их возникновения можно разделить на два класса: естественные (объективные) и искусственные. Естественные угрозы вызываются объективными причинами, как правило, не зависящими от бухгалтера, ведущими к полному или частичному уничтожению бухгалтерии вместе с ее компонентами. К таким стихийным явлениям относятся: землетрясения, удары молнией, пожары и т.п. Искусственные угрозы связаны с деятельностью людей. Их можно разделить на непреднамеренные (неумышленные), вызванные способностью сотрудников делать какие- либо ошибки в силу невнимательности, либо усталости, болезненного состояния и т.п. Например, бухгалтер при вводе сведений в компьютер может нажать не ту клавишу, сделать неумышленные ошибки в программе, занести вирус, случайно разгласить пароли. Преднамеренные (умышленные) угрозы связаны с корыстными устремлениями людей - злоумышленников, намеренно создающих недостоверные документы. Пользователь (потребитель) информации - субъект, обращающийся к информационной системе или посреднику за получением необходимой ему информации и пользующийся ею. Угрозы безопасности с точки зрения их направленности можно подразделить на следующие группы: угрозы проникновения и считывания данных из баз учетных данных и компьютерных программ их обработки; угрозы сохранности учетных данных, приводящие либо к их уничтожению, либо к изменению, в том числе фальсификация платежных документов (платежных требований, поручений и т.п.); угрозы доступности данных, возникающие, когда пользователь не может получить доступа к учетным данным; угроза отказа от выполнения операций, когда один пользователь передает сообщение другому, а затем не подтверждает переданные данные. В зависимости от источника угроз их можно подразделить на внутренние и внешние. Источником внутренних угроз является деятельность персонала организации. Внешние угрозы приходят извне от сотрудников других организаций, от хакеров и прочих лиц. Внешние угрозы можно подразделить на: локальные, которые предполагают проникновение нарушителя на территорию организации и получение им доступа к отдельному компьютеру или локальной сети; удаленные угрозы характерны для систем, подключенных к глобальным сетям (Internet, система международных банковских расчётов SWIFT и др.). Такие опасности возникают чаще всего в системе электронных платежей при расчетах поставщиков с покупателями, использовании в расчетах сетей Internet. Источники таких информационных атак могут находиться за тысячи километров. Причем воздействию подвергаются не только компьютеры, но и бухгалтерская информация. Умышленными и неумышленными ошибками в учете, приводящими к увеличению учетного риска, являются следующие: - ошибки в записи учетных данных; неверные коды; несанкционированные учетные операции; нарушение контрольных лимитов; пропущенные учетные записи; ошибки при обработке или выводе данных; ошибки при формировании или корректировке справочников; неполные учетные записи; неверное отнесение записей по периодам; фальсификация данных; нарушение требований нормативных актов; нарушение принципов учетной политики; несоответствие качества услуг потребностям пользователей. Процедуры, в которых обычно возникают ошибки и их типы, представлены в таблице 8.1. |