Автоматизированные системы в бухгалтерском учёте

 

 

 

 

 

 

                                            Рис.1

 

 

 

 

2  Принципы построения системы безопасности БУИС предприятия.

 

Сами принципы безопасности БУИС предприятия опираются на те же понятия, на которых базируется безопасность автоматизированной информационной системы.

Система обеспечения информационной безопасности АИС должна решать следующие  задачи с целью противодействия основным угрозам:

• Управление доступом пользователей к ресурсам БУИС.
• Защита данных, передаваемых по каналам связи.
• Регистрация, сбор, хранение, обработка и выдача сведений обо всех событиях, происходящих в системе и имеющих отношение к ее безопасности.
• Контроль работы пользователей системы со стороны администрации и оперативное оповещение администратора безопасности о попытках несанкционированного доступа к ресурсам системы.
• Обеспечение замкнутой среды проверенного программного обеспечения с целью защиты от бесконтрольного внедрения в систему потенциально опасных программ (в которых могут содержаться вредоносные закладки или опасные ошибки) и средств преодоления системы защиты, а также от внедрения и распространения компьютерных вирусов.
• Контроль и поддержание целостности критичных ресурсов системы защиты; управление средствами защиты.

Уязвимости могут использоваться злоумышленниками для реализации информационных атак на ресурсы АС. Согласно разработанной  классификации любая атака в  общем случае может быть разделена  на четыре стадии:

- стадия рекогносцировки. На этом этапе нарушитель осуществляет сбор данных об объекте атаки, на основе которых планируются дальнейшие стадии атаки. Примерами такой информации являются: тип и версия операционной системы (ОС), установленной на узлах АС, список пользователей, зарегистрированных в системе, сведения об используемом прикладном ПО и др. При этом в качестве объектов атак могут выступать рабочие станции пользователей, серверы, а также коммуникационное оборудование АС;

- стадия вторжения в АС. На этом этапе нарушитель получает несанкционированный доступ к ресурсам тех узлов АС, по отношению к которым совершается атака; стадия атакующего воздействия на АС. Данный этап направлен на достижение нарушителем тех целей, ради которых предпринималась атака. Примерами таких действий могут являться нарушение работоспособности АС, кража конфиденциальной информации, хранимой в системе, удаление или модификация данных системы и др. При этом атакующий может также осуществлять действия, которые могут быть направлены на удаление следов его присутствия в АС;

стадия дальнейшего развития атаки. На этом этапе выполняются  действия, которые направлены на продолжение  атаки на ресурсы других узлов  АС.

Схематично стадии жизненного цикла информационной атаки изображены на рис. 2.

 

                                   Рис. 2

Различают внешнюю и внутреннюю безопасность АИС. Внешняя безопасность включает защиту АС от стихийных бедствий (пожар, землетрясение и т.п.) и  от проникновения в систему злоумышленников  извне. Внутренняя безопасность заключается  в создании надежных и удобных  механизмов регламентации деятельности всех ее законных пользователей и  обслуживающего персонала.

 

3 Меры противодействия угрозам безопасности

По способам осуществления  все меры обеспечения безопасности компьютерных систем подразделяются на: законодательные (правовые), административные (организационные), процедурные и  программно-технические.

К законодательным мерам  защиты относятся действующие в  стране нормативно-правовые акты, регламентирующие правила обращения с информацией, закрепляющие права и обязанности  участников информационных отношений  в процессе ее обработки и использования, а также устанавливающие ответственность  за нарушения этих правил. Важное значение имеют стандарты в области  защиты информации (в первую очередь, международные). Среди этих стандартов выделяются «Оранжевая книга», рекомендации X.800 и «Общие критерии оценки безопасности информационных технологий» (Common Criteria for IT Security Evaluation).

«Оранжевая книга» — крупнейший базовый стандарт. В ней даются важнейшие понятия, определяются основные сервиса безопасности и предлагается метод классификации информационных систем по требованиям безопасности.

Рекомендации X.800 в основном посвящены вопросам защиты сетевых  конфигураций. Они предлагают развитый набор сервисов и механизмов безопасности.

Кроме этого «Общие критерии»  содержат сведения о том, каким образом  могут быть достигнуты цели безопасности при современном уровне информационных технологий и позволяют сертифицировать  систему защиты (ей присваивается  определенный уровень безопасности).

Осенью 2006 года в России был  принят национальный стандарт ГОСТ Р  ИСО/МЭК 17799-2005 «Информационная технология — Практические правила управления информационной безопасностью», соотвествующий международному стандарту ИСО 17799. Стандарт представляет собой перечень мер, необходимых  для обеспечения информационной безопасности организации, включая  действия по созданию и внедрению  системы управления информационной безопасности, которая строится таким  же образом и на тех же принципах, что и система менеджмента  качества, и совместима с ней.

• Административные меры защиты — меры организационного характера, регламентирующие процессы функционирования АИС, деятельность персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности. Они включают:
• Подбор и подготовку персонала системы. Организацию охраны и пропускного режима. Организацию учета, хранения, использования и уничтожения документов и носителей с информацией. Распределение реквизитов разграничения доступа (паролей, ключей шифрования и т.д.).

В составе административных мер защиты важную роль играет формирование программы работ в области  информационной безопасности и обеспечение  ее выполнения (для этого необходимо выделять необходимые ресурсы и  контролировать состояние дел). Основой  программы является политика безопасности организации — совокупность руководящих  принципов, правил, процедур и практических приёмов в области безопасности, которыми руководствуется организация в своей деятельности. Разработка политики безопасности включает определение следующих основных моментов:

— какие данные и насколько  серьезно необходимо защищать;

— кто и какой ущерб  может нанести организации в  информационном аспекте;

— основные риски и способы  их уменьшения до приемлемой величины.

С практической точки зрения политику безопасности можно условно  разделить на три уровня: верхний, средний и нижний.

К верхнему уровню относятся  решения, затрагивающие организацию  в целом (как правило, носят общий  характер и исходят от руководства). Например, цели организации в области  информационной безопасности, программа  работ в области информационной безопасности (с назначением ответственных  за ее реализацию).

К среднему уровню относятся  вопросы, касающиеся отдельных аспектов информационной безопасности, но важные для различных систем, эксплуатируемых  организацией (например, использование  на работе персональных ноутбуков, установка  непроверенного программного обеспечения, работа с Интернетом и т.д.).

Политика безопасности нижнего  уровня касается конкретных сервисов и должна быть наиболее детальной. Часто  правила достижения целей политики безопасности нижнего уровня заложены в эти сервисы на уровне реализации

Меры процедурного уровня — отдельные мероприятия, выполняемые  на протяжении всего жизненного цикла  АИС. Они ориентированы на людей (а не на технические средства) и  подразделяются на:

— управление персоналом;

— физическая защита;

— поддержание работоспособности;

— реагирование на нарушения  режима безопасности;

— планирование восстановительных  работ.

Программно-технические  меры защиты основаны на использовании  специальных аппаратных средств  и программного обеспечения, входящих в состав АИС и выполняющих  функции защиты: шифрование, аутентификацию, разграничение доступа к ресурсам, регистрацию событий, поиск и  удаление вирусов и т.д.

В последнее время стала  активно развиваться интегральная информационная безопасность (ИИБ). Под  интегральной безопасностью понимается такое состояние условий функционирования человека, объектов и технических  средств, при котором они надежно  защищены от всех возможных видов  угроз в ходе непрерывного процесса подготовки, хранения, передачи и обработки  информации.

 Интегральная безопасность  информационных систем включает  в себя следующие составляющие:

• физическая безопасность (защита зданий, помещений, подвижных средств, людей, а также аппаратных средств — компьютеров, носителей информации, сетевого оборудования, кабельного хозяйства, поддерживающей инфраструктуры);
• безопасность связи (защита каналов связи от внешних воздействий любого рода);
• безопасность программного обеспечения (защита от вирусов, логических бомб, несанкционированного изменения конфигурации);
• безопасность данных (обеспечение конфиденциальности, целостности и доступности данных).

 Задача обеспечения  информационной безопасности появилась  вместе с проблемой передачи  и хранения информации. В настоящее  время можно выделить три подхода к решению обеспечения информационной безопасности:

• первый (частный) подход основывается на решении частных задач обеспечения информационной безопасности. Этот подход является малоэффективным, но достаточно часто используется, так как не требует больших финансовых и интеллектуальных затрат.
• второй (комплексный) подход основывается на решении комплекса частных задач по единой программе. Этот подход в настоящее время является основным.
• третий (интегральный) подход основан на интеграции различных подсистем связи, подсистем обеспечения безопасности в единую систему с общими техническими средствами, каналами связи, программным обеспечением и базами данных.

 Третий подход направлен  на достижение интегральной информационной  безопасности. Понятие интегральной  безопасности предполагает обязательную  непрерывность процесса обеспечения  безопасности как во времени,  так и в пространстве (по всему  технологическому циклу деятельности) с обязательным учетом всех  возможных видов угроз (несанкционированный  доступ, съем информации, терроризм,  пожар, стихийные бедствия и  т.п.).

 Интегральный подход  к проблеме информационной безопасности, безусловно, является наиболее перспективным,  однако его применение невозможно  без развитой инфраструктуры, значительных  материальных и интеллектуальных  затрат и высокого уровня технических  средств. Эти обстоятельства сдерживают  развитие интегральной безопасности.

 В какой бы форме  ни применялся интегральный подход, он связан с решением ряда  сложных разноплановых частных  задач в их тесной взаимосвязи.  Наиболее очевидными из них  являются задачи ограничения  доступа к информации, технического  и криптографического закрытия  информации, ограничения уровней паразитных излучений технических средств, технической укрепленности объектов, охраны и оснащения их тревожной сигнализацией.

 Необходимым условием  реализации интегрального подхода  является блокирование всех технических  каналов утечки и несанкционированного  доступа к информации, поэтому  для создания эффективных систем  безопасности, в первую очередь,  необходимо исследовать возможные  каналы утечки и их характеристики.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

ЗАКЛЮЧЕНИЕ

 

Актуальные информационные ресурсы и правильно спроектированные АИС не только позволяют настраивать  порядок работы с системой на уровне разграничения прав доступа, но и  будут являться сегодня базой  для продуктивной работы бухгалтера любого уровня и во всех предметных областях. Выходные данные, своевременно полученные в достаточных условиях, необходимы при планировании, внутреннем аудите, экономическом анализе и составлении бизнес-планов, а также при решении правовых и иных вопросов.

В данной контрольной  работе рассматривалась бухгалтерская информационная система, представляющая собой модель системы управления, через которую проходит формализованная и частично формализованная информация, а также какие ИС должна решать задачи с целью противодействия основным угрозам.

Было выяснено, что меры защиты, основанные на использовании специальных аппаратных средств и программного обеспечения, входящих в состав БУИС выполняют функции защиты: шифрование, аутентификацию, разграничение доступа к ресурсам, регистрацию событий, поиск и удаление вирусов. 
                                    Список используемой литературы