Інформаційні технології в організації бухгалтерського обліку та аудиту - Івахненков С.В. - Організаційні заходи контролю КІСП

Сутність проблеми захисту та безпеки даних у КІСП полягає в забезпеченні всього комплексу організаційно-технічних, організаційно-режимних заходів та кадрової роботи, що спрямована на збереження комерційної таємниці і належного контролю роботи працівників підприємства (рис. 4.26).

Отже, як видно із схеми, специфіка використання обчислювальної техніки передбачає особливі методи забезпечення захисту інформації в КІСП.

Якщо до впровадження КІСП уся інформація про роботу підприємства була "розкидана" по окремих документах, папках

Рис. 4.26. Порядок забезпечення безпеки інформації в бухгалтерії

тощо, то з початком комп'ютерної інформаційної системи вся інформація концентрується в одному місці — у базі даних сервера (тобто на твердому диску якогось комп'ютера). Оскільки це місце відоме всім працівникам, інформація стає доступною невизначеному колу осіб. Тому слід за допомогою особливих внутрішніх положень (наказів, інструкцій) обмежити доступ сторонніх осіб до інформації, яка є комерційною таємницею підприємства, а також встановити або передбачити механізм перевірки звітної інформації, що виходить за межі підприємства. Наприклад, в інформації з фінансової звітності, що оприлюднюється, не

має бути зайвих деталей, не передбачених законодавством або угодою з користувачами звітності. Необхідною є також ґрунтовна кадрова робота з персоналом, яка полягає, з одного боку, у забезпеченні фізичної безпеки працівників, охороні приміщення та документів, у роз'яснювальній роботі, а з іншого — у забезпеченні суворого нагляду за діями персоналу.

Великі підприємства із розвинутими КІСП мають скласти власні внутрішні стандарти з організації безпеки та захисту інформації. Загалом у таких стандартах мають бути вимоги до нормативно-правової бази, до систем розмежування доступу, контролю цілісності, криптографічного захисту інформації, а також до механізмів фізичного захисту компонентів автоматизованої системи. Крім того, стандарт має охоплювати вимоги із забезпечення безперервності захисту, наприклад вимоги до порядку і періодичності перегляду правил категоризації чи інформації привілеїв користувачів.

Залежно від виду загрози безпеці КІСП можна застосовувати різні засоби контролю і захисту.

Несанкціонованих змін даних можна уникнути лише за допомогою захисту від доступу до них осіб, котрі не мають на це права. Доступу до апаратної частини можна запобігти, визначивши приміщення, у які можуть входити тільки особи з особливими перепустками. Організації, які експлуатують великі комп'ютери, використовують саме такий вид захисту даних. При доступі до даних через невеликі термінали і персональні комп'ютери такий спосіб не використовується, і навряд чи можливий. Тому небезпека маніпуляцій даними бухгалтерського обліку в таких випадках значно більша, ніж у приміщеннях з обмеженим доступом.

Саме тому Положення про міжнародну аудиторську практику 1001 "Середовище КІС — автономні мікрокомп'ютери" одним із способів забезпечення безпеки вказує обмеження доступу до комп'ютерів — за допомогою дверних замків та інших засобів безпеки в неробочий час. Можуть застосовуватися додаткові способи забезпечення безпеки, наприклад:

• зберігання комп'ютера в сейфі або захисному чохлі;

• використання сигналізації, яка починає діяти тоді, коли комп'ютер відключається або пересувається зі свого місця;

• прикріплення комп'ютера до столу;

• замикаючий механізм для контролю доступу до кнопки увімкнення.

Ці заходи не виключають крадіжки комп'ютера, але підвищують ефективність контролю за несанкціонованим доступом.

До комп'ютера має бути обмежений доступ як осіб, котрі безпосередньо не пов'язані з роботою, так і програм, які не мають відношення до виконання поставлених завдань, особливо ігрових програм, які можуть внести до комп'ютера програми-руйнів-ники (так звані комп'ютерні віруси). Комп'ютер має замикатися на ключ, що знижує ймовірність доступу до нього сторонніх осіб. Усі програми, котрі завантажуються в комп'ютер, слід перевіряти на наявність комп'ютерних вірусів за допомогою спеціальних антивірусних програм.

Дані необхідно захищати також від несанкціонованого використання. У бухгалтерському обліку організації частково зберігаються дані, які стосуються різних юридичних і фізичних осіб, наприклад співробітників, постачальників, клієнтів, кредиторів та дебіторів. Ці дані у зв'язку із Законом про захист інформації можуть зберігатися і перероблятися тільки за певних умов і мають бути недоступні для неуповноважених осіб.

З метою запобігання розголошення змісту такої інформації необхідно вжити заходів, які б підвищували відповідальність працівників за розголошення такої інформації третім особам. Насамперед, бухгалтерську інформацію (окрім фінансової звітності, яку треба оприлюднювати) слід кваліфікувати як комерційну таємницю підприємства. Для цього підприємство має:

• юридично закріпити за собою право на комерційну таємницю, тобто зафіксувати таке право в статуті підприємства;

• визначити обсяг та склад відомостей, що становлять комерційну таємницю;

• організувати її захист.

Належить встановити, хто визначає порядок захисту комерційної таємниці, а також закріпити право керівника підприємства вимагати від працівників, допущених до комерційної інформації, дотримання встановленого порядку та правил її зберігання.

Великою проблемою є захист інформації в разі випадкового або навмисного пошкодження технічних засобів чи електронних носіїв інформації. Розв'язання цієї проблеми полягає у створенні кількох резервних копій одночасно, час зберігання яких залежить від того терміну, протягом якого буде коригуватися масив даних. Такий спосіб зберігання резервних копій масивів стали називати "зберіганням інформації в поколіннях". Звичайно зберігають три покоління масиву (у разі появи четвертої копії першу копію знищують) [38]. їх зберігають протягом тривалого часу і використовують як довідки для проведення аудиту або для відновлення інформації.

Крім застосування засобів захисту, що вбудовуються в програмне забезпечення (паролі, шифрування даних тощо), також має бути передбачено організаційні й адміністративні заходи. Служба безпеки підприємства зобов'язана стежити за тим, щоб унеможливити акустичне прослуховування приміщення бухгалтерії, наявність підслуховуючих пристроїв у комп'ютерах, обчислювальних мережах, телефонах, копіювальній техніці тощо.

Бухгалтерська інформація містить майже всі відомості про діяльність підприємства, тому вона часто є об'єктом уваги конкурентів. Саме тому бухгалтерська інформація має бути першочерговим об'єктом захисту. Однак комп'ютерні програми бухгалтерського обліку, які пропонують на ринку, мають різні можливості щодо захисту даних. Так, у програмах "Соло для бухгалтера с компьютером" та "Финансьі без проблем" взагалі немає системи контролю доступу. У програмах "Парус", "1С: Бухгал-терия" така система має вигляд паролю для входу в програму. Програми "Толстьгй Ганс" та "1С: Бухгалтерия" дають можливість організувати доступ до окремих ділянок обліку — до каси, розрахунку заробітної плати, складського обліку тощо — визначених осіб, котрі мають свої паролі. Це дозволяє не лише захистити підприємство від несанкціонованого знімання комерційної інформації, а й уберегти його від шахрайства персоналу, що має безпосереднє відношення до роботи бухгалтерії. Однак самі файли баз даних і в цьому разі часто бувають незахищеними і їх може викрасти особа з мінімальними комп'ютерними навичками.