Một số vấn đề lựa chọn về bảo vệ dữ liệu kế toán trong hệ thống thông tin kế toán. Phương pháp và phương tiện bảo vệ thông tin kinh tế Phương pháp bảo vệ thông tin kế toán

Đối với các doanh nghiệp, cơ quan, tổ chức, bất kể hình thức sở hữu, vấn đề then chốt là đảm bảo bảo vệ nguồn thông tin, trong đó có thông tin kế toán và báo cáo. Chương trình “1C: Kế toán tổ chức công 8” phiên bản 2 đáp ứng yêu cầu bảo mật thông tin hiện đại. Các chuyên gia 1C nói về khả năng của chương trình bảo vệ thông tin trong bài viết.

Sự liên quan của việc đảm bảo bảo vệ tài nguyên thông tin

Để đảm bảo an ninh thông tin của một tổ chức, cơ quan, doanh nghiệp, phải tạo ra các điều kiện theo đó việc sử dụng, làm mất hoặc bóp méo bất kỳ thông tin nào về tình trạng của tổ chức, bao gồm cả thông tin kế toán và tài chính, bởi nhân viên của tổ chức hoặc người bên ngoài ( người dùng) với mức độ xác suất cao sẽ không dẫn đến sự xuất hiện của các mối đe dọa làm gián đoạn hoạt động của tổ chức trong tương lai gần.

Sự liên quan của các vấn đề an ninh thông tin ở cấp tiểu bang được xác nhận bằng việc áp dụng Học thuyết An toàn Thông tin ở Liên bang Nga (được Tổng thống Liên bang Nga phê duyệt ngày 9 tháng 9 năm 2000 số Pr-1895). Một trong những thành phần lợi ích quốc gia của Liên bang Nga trong lĩnh vực thông tin là bảo vệ các nguồn thông tin khỏi bị truy cập trái phép, đảm bảo an ninh cho các hệ thống thông tin và viễn thông, cả những hệ thống đã được triển khai và đang được tạo ra ở Nga.

Đảm bảo an ninh thông tin của Liên bang Nga trong lĩnh vực kinh tế đóng vai trò then chốt trong việc đảm bảo an ninh quốc gia của Liên bang Nga. Những đối tượng sau đây dễ bị ảnh hưởng nhất bởi các mối đe dọa đối với an ninh thông tin của Liên bang Nga trong lĩnh vực kinh tế:

hệ thống thống kê nhà nước;
hệ thống tín dụng và tài chính;
hệ thống thông tin và kế toán tự động của các cơ quan hành pháp liên bang nhằm đảm bảo các hoạt động của xã hội và nhà nước trong lĩnh vực kinh tế;
hệ thống kế toán cho doanh nghiệp, cơ quan, tổ chức, không phân biệt hình thức sở hữu;
hệ thống thu thập, xử lý, lưu trữ và truyền tải thông tin tài chính, chứng khoán, thuế, hải quan và thông tin về hoạt động kinh tế đối ngoại của nhà nước, cũng như các doanh nghiệp, cơ quan, tổ chức, bất kể hình thức sở hữu của họ.

Các mối đe dọa đến an toàn thông tin của doanh nghiệp, cơ quan, tổ chức liên quan đến kế toán và báo cáo là các mối đe dọa:

tính trung thực của thông tin kế toán và báo cáo;
vi phạm bí mật thông tin kế toán và báo cáo;
vi phạm khả năng tiếp cận (chặn) thông tin và báo cáo kế toán;
độ tin cậy của thông tin và báo cáo kế toán;
nội dung thông tin và báo cáo kế toán do hành động của nhân viên và người khác gây ra;
do sử dụng thông tin và báo cáo kế toán kém chất lượng.

Bảo mật thông tin trong “1C: Kế toán tổ chức công 8”

Chương trình “1C: Kế toán tổ chức công 8” phiên bản 2 (sau đây gọi tắt là Chương trình) đáp ứng các yêu cầu bảo mật thông tin hiện đại. Để tăng mức độ bảo vệ chống truy cập trái phép vào thông tin được lưu trữ trong Chương trình, các tính năng sau được cung cấp:

xác thực;

Chúng ta hãy xem xét kỹ hơn các tính năng này của Chương trình.

Xác thực

Cơ chế xác thực là một trong những công cụ quản trị. Nó cho phép bạn xác định người dùng nào được liệt kê trong danh sách người dùng hệ thống hiện đang kết nối với Chương trình và ngăn chặn việc truy cập trái phép vào Chương trình.

Trong "1C: Kế toán tổ chức công 8" phiên bản 2, ba loại xác thực được hỗ trợ, có thể được sử dụng tùy thuộc vào nhiệm vụ cụ thể mà người quản trị cơ sở thông tin phải đối mặt:

xác thực 1C:Doanh nghiệp- xác thực bằng người dùng và mật khẩu được tạo trong Chương trình;
xác thực hệ điều hành- trong Chương trình, một trong những người dùng hệ điều hành được chọn làm người dùng. Chương trình thay mặt cho người dùng hệ điều hành nào thực hiện kết nối với Chương trình và dựa vào đó xác định người dùng tương ứng của Chương trình;
Xác thực OpenID- xác thực người dùng được thực hiện bởi nhà cung cấp OpenID bên ngoài lưu trữ danh sách người dùng.

Nếu không có loại xác thực nào được chỉ định cho người dùng thì quyền truy cập vào Chương trình của người dùng đó sẽ bị từ chối.

Nếu người dùng cần vào Chương trình bằng mật khẩu sẽ được kiểm tra, cờ sẽ được bật Xác thực 1C:Doanh nghiệp(xem hình 1). Nó được bật theo mặc định cùng với cờ Đăng nhập vào chương trình được phép.

Trạng thái xác thực 1C:Enterprise được hiển thị dưới cờ.

Cơm. 1

Khi một người dùng mới được tạo, Chương trình sẽ tự động gán cho anh ta một mật khẩu trống. Để thay đổi nó, sử dụng lệnh Đặt mật khẩu trong thẻ người dùng (xem Hình 1).

Trong hình dạng của Đặt mật khẩu phải được nhập mật khẩu mớiđể vào Chương trình, hãy viết lại vào trường Xác nhận.

Một mật khẩu tốt phải dài ít nhất tám ký tự, bao gồm chữ cái Latinh viết hoa và viết thường, số, ký hiệu (dấu gạch dưới, dấu ngoặc đơn, v.v.) và không rõ ràng. Việc mật khẩu trùng với tên người dùng là điều không mong muốn, bao gồm toàn số, chứa các từ dễ hiểu hoặc các nhóm ký tự xen kẽ. Ví dụ về mật khẩu tốt: "nj7(jhjibq*Gfhjkm, F5"njnGhkmNj;t(HI. Ví dụ về mật khẩu xấu: Ivanov, qwerty, 12345678, 123123123. Để biết thêm chi tiết, hãy xem tài liệu "1C:Enterprise 8.3. Hướng dẫn của quản trị viên".

Chương trình mang đến cơ hội tự động kiểm tra độ phức tạp của mật khẩu.

Theo mặc định, vì lý do bảo mật, mật khẩu không được hiển thị khi nhập. Để xem những ký tự nào đang được nhập, bạn nên bật cờ Hiển thị mật khẩu mới.

Để tự động tạo mật khẩu, bạn có thể sử dụng nút Tạo một mật khẩu. Mật khẩu sẽ được tạo bởi Chương trình.

Để lưu mật khẩu của bạn, hãy nhấp vào nút Đặt mật khẩu.

Sau đó, trạng thái xác thực 1C:Enterprise thay đổi thành Đã đặt mật khẩu. Trong thẻ người dùng, nút này thay đổi giá trị của nó thành Đổi mật khẩu.

Để dễ quản trị và bảo mật, tất cả người dùng đều có cờ , điều này cần thiết để người dùng thay đổi mật khẩu do quản trị viên đặt thành mật khẩu của chính mình. Khi cờ này được bật, người dùng sẽ được yêu cầu nhập mật khẩu của chính mình mà không ai khác biết.

Nếu lá cờ Yêu cầu thay đổi mật khẩu khi đăng nhập chưa được bật và mật khẩu đã đặt trước đó không phù hợp với bạn vì lý do nào đó, bạn có thể thay đổi mật khẩu đó bất kỳ lúc nào trong thẻ người dùng.

Cờ đã bật Người dùng bị cấm thay đổi mật khẩu cấm người dùng không có toàn quyền thiết lập và thay đổi mật khẩu một cách độc lập.

Vật dụng cần thiết Yêu cầu thay đổi mật khẩu khi đăng nhập Và hiệu lực có thể được nhìn thấy trong thẻ người dùng và trong báo cáo Thông tin người dùng (Thông tin về người dùng bên ngoài).

Cài đặt đăng nhập chương trình

Trong hình dạng của Cài đặt đăng nhập(chương Sự quản lý, lệnh thanh điều hướng Cài đặt người dùng và quyền) riêng cho người dùng nội bộ và bên ngoài của Chương trình, bạn có thể định cấu hình các tham số sau:

thiết lập và kiểm soát độ phức tạp của mật khẩu;
yêu cầu thay đổi mật khẩu theo lịch trình hoặc thủ công. Thay đổi mật khẩu - định kỳ hoặc theo yêu cầu;
thiết lập và kiểm soát việc lặp lại mật khẩu;
giới hạn thời hạn hiệu lực của tài khoản.

Hình 2 thể hiện thiết lập cho người dùng nội bộ.

Cơm. 2

Cài đặt tương tự được cung cấp cho người dùng bên ngoài.

Kiểm soát độ phức tạp của mật khẩu

Khi cờ được đặt Mật khẩu phải đáp ứng yêu cầu phức tạp chương trình sẽ kiểm tra mật khẩu mới:

có ít nhất 7 ký tự,
chứa 3 trong 4 loại ký tự: chữ hoa, chữ thường, số, ký tự đặc biệt,
không khớp với tên (để đăng nhập).

Có thể thay đổi độ dài mật khẩu tối thiểu bằng cách chọn hộp bên cạnh trường cùng tên và chỉ định độ dài mật khẩu cần thiết (Hình 3).

Cơm. 3

Đổi mật khẩu

Có hai cài đặt để thay đổi mật khẩu: định kỳ hoặc theo yêu cầu của quản trị viên.

Để thay đổi mật khẩu định kỳ, bạn phải giới hạn ngày hết hạn mật khẩu bằng cách sử dụng cài đặt Thời hạn hiệu lực của mật khẩu tối thiểu Và Hiệu lực mật khẩu tối đa. Sau khi hết thời gian quy định, Chương trình sẽ nhắc người dùng thay đổi mật khẩu.

Thời hạn hiệu lực của mật khẩu tối đa là khoảng thời gian sau lần đăng nhập đầu tiên bằng mật khẩu mới, sau đó người dùng sẽ cần thay đổi mật khẩu, theo mặc định là 30 ngày.

Thời hạn hiệu lực của mật khẩu tối thiểu là khoảng thời gian sau lần đăng nhập đầu tiên bằng mật khẩu mới mà người dùng không thể thay đổi mật khẩu, theo mặc định là 1 ngày.

Để thay đổi mật khẩu theo yêu cầu, quản trị viên phải đặt cờ Yêu cầu mật khẩu khi đăng nhập trong thẻ người dùng. Khi bạn vào Chương trình lần đầu tiên, nó sẽ yêu cầu bạn thay đổi mật khẩu do quản trị viên đặt thành mật khẩu của riêng bạn.

Kiểm soát độ lặp lại

Để ngăn người dùng tạo mật khẩu trùng lặp, bạn phải bật cài đặt Ngăn chặn việc lặp lại mật khẩu giữa những mật khẩu gần đây và đặt số lượng mật khẩu gần đây mà mật khẩu mới sẽ được so sánh.

Hạn chế đăng nhập của người dùng

Để bảo vệ khỏi việc truy cập trái phép vào Chương trình, bạn có thể đặt giới hạn đối với những người dùng không làm việc trong Chương trình trong một khoảng thời gian nhất định, chẳng hạn như 45 ngày.

Sau khi hết thời gian quy định, chương trình sẽ không cho phép người dùng vào Chương trình. Phiên người dùng mở sẽ tự động chấm dứt không quá 25 phút sau khi đăng nhập vào Chương trình bị từ chối.

Trong thẻ người dùng, có sẵn trong cài đặt cá nhân của Chương trình, thông qua siêu liên kết Đặt hạn chế Bạn có thể chỉ định các hạn chế bổ sung khi tham gia Chương trình (Hình 4).

Cơm. 4

Sử dụng nút chuyển, bạn có thể đặt hạn chế khi tham gia Chương trình:

Theo cài đặt đăng nhập chung- được cài đặt theo mặc định;
Không giới hạn thời gian;
Được phép vào cho đến khi(bạn phải đặt thời hạn - nhập ngày theo cách thủ công hoặc chọn từ lịch bằng nút). Để bảo vệ khỏi việc truy cập trái phép vào Chương trình, tất cả người dùng đều có thời hạn hiệu lực cho phép người dùng tự động bị ngắt kết nối khi đến một ngày nhất định;
Từ chối nhập cảnh nếu không hoạt động nữa(số ngày phải được chỉ định) - nếu người dùng không tham gia Chương trình quá số ngày đã chỉ định thì việc tham gia Chương trình sẽ không thể thực hiện được. Trong trường hợp này, người dùng sẽ phải liên hệ với quản trị viên để tiếp tục công việc trong Chương trình.

Báo cáo chi tiết người dùng

Báo cáo Thông tin người dùng(Hình 5) nhằm mục đích xem thông tin về người dùng Chương trình, bao gồm cài đặt đăng nhập (thuộc tính người dùng cơ sở thông tin). Nhu cầu về báo cáo sẽ phát sinh nếu bạn cần thực hiện phân tích nhóm về cài đặt đăng nhập (tên đăng nhập, loại xác thực, v.v.).

Báo cáo mở ra từ danh sách Người dùng (Người sử dụng bên ngoài) theo lệnh Tất cả hành động - Thông tin người dùng (Mọi hành động-Giới thiệu về người dùng bên ngoài). Tùy thuộc vào loại danh sách, Chương trình sẽ tự động chọn tùy chọn báo cáo mong muốn.

Thông tin về người dùng nội bộ và bên ngoài trong một báo cáo có thể được mở thông qua bảng hành động của phần Sự quản lý theo lệnh Thông tin người dùng.

Nhu cầu về báo cáo sẽ phát sinh nếu bạn cần thực hiện phân tích nhóm về cài đặt đăng nhập (tên đăng nhập, loại xác thực, v.v.).

Cơm. 5

Sử dụng một nút Cài đặt... Bạn có thể mở danh sách các trường và nếu cần, hãy thêm các trường bắt buộc vào báo cáo. Ví dụ: bạn có thể thêm các trường vào báo cáo Yêu cầu thay đổi mật khẩu khi đăng nhập Và hiệu lực.

Đảm bảo bảo vệ dữ liệu cá nhân

Tóm lại, cần lưu ý rằng kiểm soát quyền truy cập vào Chương trình chỉ là một trong những yếu tố bảo vệ dữ liệu do Chương trình cung cấp.

Nghị định của Chính phủ Liên bang Nga ngày 1 tháng 11 năm 2012 số 1119 đã phê chuẩn các Yêu cầu bảo vệ dữ liệu cá nhân trong quá trình xử lý dữ liệu cá nhân trong hệ thống thông tin dữ liệu cá nhân, xác định mức độ bảo mật dữ liệu cá nhân trong quá trình xử lý thông tin dữ liệu cá nhân hệ thống tùy thuộc vào các mối đe dọa đối với tính bảo mật của dữ liệu này. Theo các yêu cầu này, theo lệnh của FSTEC Nga ngày 18 tháng 2 năm 2013. Số 21 nêu chi tiết thành phần và nội dung của các biện pháp tổ chức và kỹ thuật nhằm đảm bảo an toàn cho dữ liệu cá nhân trong quá trình xử lý chúng trong hệ thống thông tin dữ liệu cá nhân.

Các quy định của pháp luật hiện hành về dữ liệu cá nhân áp đặt các yêu cầu bổ sung đối với các sản phẩm phần mềm, đặc biệt là đối với phần mềm là phương tiện bảo vệ thông tin.

Để đảm bảo bảo vệ dữ liệu cá nhân, gói phần mềm được bảo vệ (ZPK) “1C:Enterprise, phiên bản 8.3z” được thiết kế, đây là phần mềm đa năng được chứng nhận bởi FSTEC của Nga với các phương tiện tích hợp để bảo vệ thông tin khỏi các hành vi trái phép. quyền truy cập (NSD) vào thông tin không chứa thông tin cấu thành bí mật nhà nước.

ZPK "1C:Enterprise 8.3z" cho phép bạn chặn:

khởi chạy các đối tượng COM, xử lý và báo cáo bên ngoài, các ứng dụng được cài đặt trên máy chủ 1C:Enterprise;
sử dụng các thành phần 1C:Enterprise bên ngoài;
truy cập vào tài nguyên Internet.

Việc sử dụng kết hợp tiêu chuẩn “1C: Kế toán tổ chức công” phiên bản 2 và ZPK “1C: Enterprise 8.3z” cho phép bạn tạo một hệ thống thông tin về dữ liệu cá nhân ở mọi cấp độ bảo mật và không cần chứng nhận bổ sung cho giải pháp ứng dụng này.

Việc sử dụng ZPK "1C:Enterprise 8.3z" cùng với các hệ điều hành, DBMS và các công cụ được chứng nhận khác được FSTEC chứng nhận cho phép bạn tuân thủ đầy đủ các yêu cầu của các tài liệu quy định trên.

Vì “1C: Kế toán tổ chức công” đảm bảo trao đổi dữ liệu với cơ quan Kho bạc Liên bang, cơ quan thuế, hệ thống thông tin về thanh toán của tiểu bang và thành phố (GIS GMP), kế toán tài sản liên bang (ASUFI), đăng ký và tích lũy thanh toán (IS RNIP), vv thông qua Internet, để đáp ứng yêu cầu bảo mật, cơ sở phải được cung cấp các công cụ tường lửa được chứng nhận.

Tất nhiên, cần phải kiểm tra hàng ngày các máy tính được cài đặt Chương trình để biết sự hiện diện của các chương trình máy tính độc hại sử dụng các công cụ bảo vệ chống vi-rút được chứng nhận trong hệ thống chứng nhận FSTEC của Nga.

Sự khác biệt trong tổ chức quá lớn nên việc thể hiện ra đã là một điều xấu hổ, tốt hơn hết là đừng thể hiện ra chút nào. Việc hành động và phân bổ nguồn lực để giải quyết vấn đề như bảo vệ thông tin trong kế toán là điều hợp lý. Bài viết này mô tả một giải pháp cụ thể cho một công ty hoặc bộ phận nhỏ. Với sự gia tăng đáng kể về số lượng việc làm, cần phải thay đổi khái niệm này, mặc dù có thể giữ lại một số yếu tố.

Chúng tôi có quyền bảo vệ tài sản của mình và thông tin chúng tôi nắm giữ là tài sản của chúng tôi. Điều quan trọng nhất ở đây cũng chính là trách nhiệm của chúng ta. Nếu bản thân một công ty không quan tâm đến vấn đề bảo mật thông tin thì việc đổ lỗi cho các quyền bị vi phạm bởi các dịch vụ khác nhau thường là vô nghĩa. Chúng ta phải nắm lấy nó và làm điều đó. Hãy tự mình thực hiện, đừng thuê ngoài – đây là sự an toàn của bạn. Và nó không khó. Nơi để bắt đầu? Làm thế nào để bắt đầu? Vì vậy, nếu chúng ta quyết định rằng mình có trách nhiệm và sẵn sàng bảo vệ thì chúng ta cần đảm bảo rằng hình thức bảo vệ thông tin này trong kế toán không mất nhiều thời gian, hiệu quả, không tốn kém và tốt nhất là miễn phí. Chính những tiêu chí này mà chúng tôi sẽ được hướng dẫn khi chọn một công cụ cụ thể, cũng như triển khai toàn bộ khái niệm này.

Hãy quyết định về tình hình.

Để hiểu rõ hơn những gì chúng tôi muốn làm, tôi sẽ đưa ra một tình huống có thể dễ dàng phát sinh ở bất kỳ văn phòng nào (vì chúng tôi đang ở Nga). Chúng tôi đang ngồi uống trà - cửa bị phá, những thanh niên giận dữ chạy vào phòng, rõ ràng là có ý đồ làm chúng tôi khó chịu. Vì vậy chúng ta phải nghỉ ngơi. Về mặt văn hóa, mọi người yêu cầu chúng tôi đặt tách trà xuống và tránh xa máy tính, vì đồng đội của họ đang ngủ và thấy họ có thể đảm nhận công việc của chúng tôi, đọc những gì họ viết ở đó... Chưa hết, kể từ khi bà của một trong số họ cũng quan tâm, họ đương nhiên muốn lấy hết máy tính của chúng tôi để đọc.

Chính trong tình huống này, chúng tôi sẽ cố gắng đảm bảo rằng bà của họ hài lòng với TV. Chúng tôi cũng sẽ đảm bảo rằng vào những thời điểm khác (khi không có ai ở đó) những người yêu văn xuôi và thơ ca cùng người thân của họ đến với chúng tôi chỉ để trả tiền cho một cánh cửa bị hỏng.

Chúng ta đang che giấu điều gì?

Chúng ta cần hiểu rõ ràng điều gì có giá trị hoặc là mối đe dọa đối với chúng ta. Chúng tôi che giấu thông tin gì và tại sao? Không có ích gì khi che giấu mọi thứ. Điều này sẽ kéo dài khung thời gian của cùng một bản sao lưu. Thông tin phải được cấu trúc rõ ràng và phải có sự hiểu biết về cái gì ở đâu. Có phải tất cả các xe ô tô đều cần phải được nhập vào hệ thống?

Mục tiêu chính là ngăn chặn việc thu giữ thông tin xâm phạm, ngăn chặn khả năng sao chép và không nên có máy tính đang hoạt động ở nơi làm việc. Đảm bảo tính an toàn và khả năng tiếp cận thông tin.

Chúng tôi xây dựng Kết quả cuối cùng lý tưởng (IFR).

– thông tin có thể truy cập dễ dàng;

– thông tin không thể được mang theo bên mình hoặc dễ dàng sao chép;

– hệ thống cũng hoạt động khi bạn vắng mặt, thông báo cho bạn về các điều kiện bên ngoài;

– hệ thống không sợ cháy nổ và loại bỏ vật lý phương tiện hệ thống;

– hệ thống có điều khiển từ xa (nó không hoạt động hoàn hảo - vẫn sẽ có điều khiển).

– kiểm toán viên của chúng ta sẽ thấy những chiếc ô tô “trống” và một bức tranh như thế này:

Vì mục đích của bài viết này, chúng tôi sẽ không đề cập đến các máy chủ từ xa ở Malaysia hoặc các quốc gia khác. Đây là một giải pháp tốt, nhưng chúng tôi muốn xem xét tình huống khi tất cả các bộ phận của hệ thống được đặt trong một (hoặc) một số phòng.

Chúng tôi xác định mâu thuẫn:

– máy tính nên hoạt động và không nên hoạt động;
– thông tin có thể lấy được và không lấy được;
– thông tin có thể bị lấy đi và không thể bị lấy đi;
– thông tin có thể và không thể bị phá hủy;
– chúng ta không nên chạm vào máy tính – và chúng ta không cần phải làm vậy!

Sau khi loại bỏ cả năm mâu thuẫn, chúng ta sẽ hình thành một hệ thống làm việc để lưu trữ và sử dụng thông tin, đồng thời hạn chế quyền truy cập vào thông tin đó.
Vì những mục đích này, chúng tôi sử dụng các công cụ sau mà chúng tôi tích hợp vào hệ thống:
1. TrueCrypt – một chương trình miễn phí để mã hóa: toàn bộ đĩa, đĩa hệ thống, vùng đĩa, vùng chứa tệp.
2.Sao lưu tiện dụng – một chương trình sao lưu cấu trúc tập tin. Bạn có thể sử dụng nó qua mạng, đặt tác vụ - thu thập tệp và thư mục từ nhiều máy khác nhau, lưu trữ, mã hóa, v.v. Chi phí có thể được tìm thấy trên torrent.
3. Ổ cắm GSM - Bật và tắt nguồn từ xa qua SMS. Giá dao động từ 2400 chà. lên tới 10.000 chà. mỗi ổ cắm hoặc phi công. Số lượng ổ cắm sẽ tùy thuộc vào mục tiêu bạn đặt ra (một hoặc hai mươi máy; với cách tiếp cận tối giản, bạn có thể phân phối nguồn cho 3 máy tính, nhưng chú ý đến nguồn điện của máy; chúng tôi không kết nối màn hình và máy in với ổ cắm) . Khi lựa chọn, chú ý đến tính dễ vận hành và chất lượng tiếp nhận.
4 . CC U825 – Bộ điều khiển GSM – được phát triển bởi các thợ thủ công Tula của chúng tôi (có rất nhiều thiết bị tương tự, nhưng giá cả/chất lượng/độ tin cậy). Tôi khuyên dùng hệ thống đa mạch đặc biệt này - hệ thống tương tự trẻ hơn đã hoạt động cho chúng tôi trong vài năm mà không có cảnh báo sai. Nguồn điện và giá độc lập.. 7000 rúp. Ngoài ra còn có CCU422 - chi phí thấp hơn nhưng giảm đáng kể số lượng mạch và độ sâu điều chỉnh.
5 . Kn sợ hãi hoảng loạn - không bắt buộc. Nếu bạn không muốn gặp rắc rối với mạch bổ sung trong CCU, hãy mua cả mạch này. Nó có giá tương đương với một ổ cắm GSM. Ý nghĩa là gửi một tin nhắn SMS đến một số số được lập trình sẵn với nội dung soạn sẵn.
6. Kame máy chủ ry và video – đây là theo ý của bạn. Các tùy chọn này giúp xác nhận xâm nhập từ xa chính xác hơn. Chúng tôi sẽ không chạm vào họ.

Chúng tôi sẽ phân tích từng công cụ một cách riêng biệt - từ “nó trông như thế nào” cho đến thiết lập.

Phần này đang được phát triển và sẽ sớm ra mắt

(Phần đầu tiên);
TrueCrypt – mã hóa phân vùng đĩa hệ thống (phần thứ hai);
;
ổ cắm GSM;
CCU825;
Nút hoảng loạn;
máy ảnh và máy chủ video (tôi sẽ không xem xét);
Hệ thống tích hợp.

Quy định: Phần quan trọng nhất của hệ thống. Những gì nên được bao gồm:

- tất cả nhân viên liên quan đến hệ thống phải hiểu họ đang làm gì trong hoàn cảnh khó khăn, căng thẳng (và đúng như vậy - tay sẽ bắt đầu run, đầu không suy nghĩ, chân sẽ nhường bước - đây là một kế toán chết tiệt, không phải Iron Felix Edmundovich khó quên và được kính trọng). Hiểu để bạn có thể bấm vào nơi cần bấm và gọi cho người cần gọi. Thậm chí còn tốt hơn nếu chỉ định tiền thưởng - ai đến trước sẽ nhận được 100 đô la. Chỉ cần đừng đánh giá quá cao phí bảo hiểm, nếu không kế toán sẽ tiếp cận nó như một quy trình kinh doanh và bắt đầu tự gọi họ.
– nên giải quyết tình huống mỗi tháng một lần, chẳng hạn như vào buổi tối, thứ Sáu thứ ba hàng tháng. Sẽ mất vài phút, tối đa một giờ. Và ban quản lý sẽ ngủ yên hơn.
– hiểu số dư trên thẻ SIM trong mô-đun GSM. Phụ thuộc nhiều vào gói cước đã chọn và số lượng cảnh báo SMS. Cũng từ ổ cắm bạn chọn (cần có cách kiểm tra số dư mà không cần tháo thẻ SIM ra khỏi ổ cắm và không cần lắp vào điện thoại). Nên gửi SMS cho nhiều nhân viên để dự phòng và giảm thiểu rủi ro như “Tôi quên điện thoại ở nhà”. Kiểm soát mỗi tháng một lần - chúng tôi báo cáo tiền.
– kiểm tra xem bản sao lưu tiện dụng của chúng tôi có ghi các kho lưu trữ sao lưu theo vòng tròn thành mười phần không? Có bất kỳ lỗi nào trong các nhiệm vụ của chương trình không? Nếu có thì chúng tôi sửa nó. Cũng mỗi tháng một lần.
- gửi SMS hoặc tắt tất cả các xe bằng nút hoảng loạn. Bật nó lên. Không có gì hoạt động. Màn hình đen khắp nơi - một câu chuyện cổ tích! Không phải ở khắp mọi nơi? Hãy cùng tìm hiểu lý do - chúng tôi đã ghi lại khoảnh khắc này bằng các cảnh báo hàng tháng. Chúng tôi đã tìm ra nó. Nhập mật khẩu, gắn vít. Chúng tôi bắt đầu sao lưu. Mọi thứ đều ổn - một câu chuyện cổ tích!
– chúng tôi kiểm tra cẩn thận (QUAN TRỌNG – Tôi đã gặp phải điều này nhiều lần) – có phải tất cả các máy tính đều được kết nối với ổ cắm GSM và chỉ sau đó mới gặp lỗi? Còn ngược lại thì sao? Nó sẽ không tắt nếu ngược lại. Hãy sửa nó.
– chúng tôi bổ nhiệm một người chịu trách nhiệm về các quy định, cấp phó, cấp phó của anh ta – nói chung, trong mọi trường hợp bên ngoài, các quy định phải được tuân thủ. Nếu không thì nó không còn là một hệ thống nữa.

Nhược điểm của hệ thống.

– sự phụ thuộc của hệ thống vào việc khởi động lại, máy móc sau khi được bật là tập hợp các bộ phận thay thế, không phải là máy tính. Bạn phải nhập mật khẩu theo cách thủ công và gắn đĩa. Vì vậy, lời khuyên là không nên tắt chút nào (theo ý của bạn).
– sự phụ thuộc của hệ thống vào thông tin liên lạc GSM – chúng tôi khuyên bạn nên kiểm tra ngay chất lượng thu sóng của một nhà khai thác mạng di động cụ thể. Nếu không có tín hiệu, thì bạn cần đảm bảo có một tín hiệu - ăng-ten ngoài, v.v. Nếu không, bạn sẽ không thể tắt máy tính và kết quả là dữ liệu từ chúng có thể được sao chép ngay trước mặt bạn.
– chi phí hàng tháng cho SMS là rất ít (thậm chí có thể bỏ qua), nếu bạn chọn đúng gói cước và nhà điều hành.
– sự phụ thuộc vào việc tuân thủ các quy định (bạn có quy định không?). Hệ thống nên được kiểm tra toàn bộ khoảng mỗi tháng một lần, dựa trên kinh nghiệm, các cài đặt sao lưu và thực tế triển khai chúng phải được theo dõi. Bởi vì mặc dù mọi thứ đều tự động, nhưng mỗi công cụ riêng lẻ đều có mức độ hoạt động không gặp sự cố riêng (Handy có thể bị treo - mặc dù tôi chưa thấy nó trong thực tế nhưng ổ cắm bắt đầu hoạt động không ổn định). Sẽ tốt hơn nếu gặp phải điều gì đó như thế này trong quá trình kiểm tra định kỳ hơn là trong một tình huống khác.

Liên kết yếu nhất.

Người lao động. Có thể không tiếp tục, nhưng.. ở đây tôi sẽ gọi cho quản trị viên hệ thống (việc phân bổ quyền cho người dùng và ai có thể thực hiện những việc nằm ngoài phạm vi của bài viết này). Tôi sẽ chỉ nói rằng tôi sẽ rất chu đáo khi tiếp cận câu hỏi cấp quyền truy cập cho ai và mật khẩu cho ai - có thể chỉ là những người khác nhau. Lĩnh vực ở đây quá rộng để có thể suy luận tổng quát. Tôi để điều này cho lương tâm của người quản lý. Cũng như lập bản vẽ và thực hiện bảo trì định kỳ.

Định nghĩa 1

Dưới bảo vệ thông tin kế toán ngụ ý sự bảo vệ khỏi những ảnh hưởng vô tình hoặc cố ý nhằm mục đích gây thiệt hại cho chủ sở hữu hoặc người sử dụng thông tin.

Mối đe dọa đối với tính bảo mật của thông tin dựa trên dữ liệu kế toán có thể bao gồm tác động có thể xảy ra đối với các bộ phận của hệ thống kế toán, gây tổn hại cho người sử dụng hệ thống.

Phân loại các mối đe dọa đối với dữ liệu kế toán

Có thể phân loại các mối đe dọa hiện có đối với thông tin kế toán sau đây. Phân loại dựa trên sự xuất hiện của chúng: nhân tạo hoặc tự nhiên.

Các mối đe dọa tự nhiên hoặc khách quan, tức là không phụ thuộc vào con người - bất khả kháng, thiên tai, lũ lụt, hỏa hoạn là trường hợp thường xuyên xảy ra nhất, không nhằm mục đích cố tình đốt cháy “máy tính để bàn có chứng từ kế toán”.

Các mối đe dọa nhân tạo hoặc chủ quan do hành động hoặc không hành động của nhân viên doanh nghiệp gây ra. Trong số đó có:

Các mối đe dọa ngẫu nhiên - lỗi phần mềm; trục trặc, trục trặc hoặc hoạt động chậm của máy tính và hệ thống công nghệ thông tin nói chung
Các mối đe dọa có chủ ý - truy cập trái phép vào thông tin, phát tán các chương trình vi-rút, v.v.

Dựa trên nguồn xuất hiện của chúng, các mối đe dọa được chia thành bên trong và bên ngoài. Trường hợp hoạt động của nhân viên doanh nghiệp được coi là nội bộ và ảnh hưởng từ bên ngoài tổ chức được coi là bên ngoài: các cuộc tấn công của tin tặc, v.v.

Bảo mật thông tin kế toán

Việc bảo mật dữ liệu kế toán bao gồm các khía cạnh sau:

độ tin cậy của máy tính - bạn không nên tiết kiệm đồ trên máy tính được kế toán sử dụng
sự an toàn của thông tin kế toán - không chỉ các bản sao của hệ thống mà còn cả tài liệu chính phải được lưu trữ
bảo vệ chống lại những thay đổi của những người không được ủy quyền - hệ thống thiết lập và sử dụng mật khẩu phải được tuân thủ nghiêm ngặt; các bước kỹ thuật như tắt màn hình và đóng tất cả các cửa sổ làm việc khi không có nhân viên không còn là hiếm

Bảo vệ thông tin kế toán

Bảo vệ thông tin tài chính và kế toán của công ty khỏi bị truy cập trái phép ngụ ý rằng thông tin được bảo vệ có ba tiêu chí chính sau:

tính bảo mật - thông tin chỉ nên được cung cấp cho những người mà nó hướng tới. Ví dụ đơn giản và dễ hiểu nhất: bảo mật tiền lương.
Tính toàn vẹn - thông tin trên cơ sở đó các nhà quản lý đưa ra quyết định quản lý phải đáng tin cậy và chính xác. Một ví dụ là các báo cáo có thể được lấy từ các sổ sách kế toán khác nhau, ở các định dạng và phần khác nhau. Và được hiểu rằng những con số giống nhau được trình bày dưới các hình thức khác nhau phải giống hệt nhau
Tính sẵn có – thông tin phải có thể truy cập được, được cung cấp theo yêu cầu, khi cần thiết. Ví dụ: việc truy cập dữ liệu kế toán không nên được thực hiện “một tay”

Để ngăn chặn các mối đe dọa bảo mật và xây dựng biện pháp bảo vệ thành công dữ liệu kế toán, doanh nghiệp yêu cầu tuân thủ các quy tắc sau.

Lưu ý 1

Tất cả nhân viên dịch vụ tài chính, chủ yếu ở bộ phận kế toán, những người có quyền truy cập và tiếp cận hệ thống phải hiểu rõ vai trò cũng như năng lực của mình. Ở nhiều công ty quốc tế, tất cả nhân viên tiềm năng của bộ phận tài chính, từ cấp trên, kế toán cấp dưới và cuối cùng là giám đốc tài chính, đều được sàng lọc trước, cùng với ban quản lý cấp cao của công ty. Sự khắt khe như vậy trong tiêu chí lựa chọn ứng viên là do đã có những trải nghiệm tiêu cực, thậm chí từng xảy ra ở quốc gia khác. Bởi vì “mắt xích yếu nhất” và “những hành động khó lường” chính là con người - nhân viên công ty chứ không phải máy móc - công nghệ thông tin.

Lý tưởng nhất là hệ thống nên được sao lưu hàng ngày; trong thực tế, các bản sao cơ sở dữ liệu được tạo vào ban đêm.

Bằng cách phân tích các biện pháp được áp dụng để kiểm soát việc truy cập và sử dụng dữ liệu kế toán, cũng như bằng cách tuân thủ các quy tắc làm việc của nhân viên bộ phận tài chính, việc bảo vệ thông tin kế toán sẽ được đảm bảo.

Quá trình chuyển đổi sang quan hệ thị trường của Nga làm nảy sinh các vấn đề về tái cơ cấu triệt để hệ thống kế toán. Nếu trước đây chức năng kế toán của quản lý được giảm xuống chỉ còn ghi sổ kế toán và báo cáo trực tiếp thì trong điều kiện mới, kế toán là nhân vật trung tâm của ban quản lý, anh ta là cố vấn chính cho giám đốc công ty, nhà phân tích và nhà tài chính. Để thực hiện các chức năng mới và trên hết là tạo ra kế toán như một phương tiện quản lý và điều tiết, việc sử dụng máy tính cũng như các phương tiện liên lạc và liên lạc hiện đại là rất quan trọng.

Kế toán viên phải trực tiếp tham gia vào việc tạo ra hệ thống thông tin kế toán trên máy tính, đặt ra nhiệm vụ và giám sát độ tin cậy của dữ liệu, sự tuân thủ của chúng với các giao dịch kinh doanh thực tế, phân tích thông tin kế toán và khắc phục các tình huống bất lợi.

Công nghệ thông tin mới trong kế toán trên nền tảng máy tính cá nhân hiện đại một mặt đảm bảo chất lượng thực hiện công việc cao, mặt khác tạo ra nhiều mối đe dọa dẫn đến những hậu quả khó lường, thậm chí là thảm khốc. Đến số những mối đe dọa như vậy bao gồm những điều sau: sự xâm nhập của những người không có thẩm quyền vào cơ sở dữ liệu thông tin xác thực, sự lây lan rộng rãi của virus máy tính, nhập sai thông tin xác thực, lỗi trong thiết kế và triển khai hệ thống kế toán, v.v. Việc thực hiện các mối đe dọa có thể chỉ có thể được chống lại bằng cách thực hiện các biện pháp thích hợp giúp đảm bảo an toàn thông tin kế toán. Về vấn đề này, mọi kế toán viên sử dụng máy tính và thông tin liên lạc trong công việc của mình đều phải biết cách bảo vệ thông tin khỏi những gì và cách thực hiện.

Việc bảo vệ thông tin kế toán đề cập đến tình trạng bảo mật thông tin và cơ sở hạ tầng hỗ trợ thông tin (máy tính, đường dây liên lạc, hệ thống cung cấp điện, v.v.) khỏi những tác động vô tình hoặc cố ý mang tính chất tự nhiên hoặc nhân tạo có thể gây thiệt hại cho chủ sở hữu hoặc người sử dụng. của thông tin này. *

Khái niệm bảo mật thông tin bằng chứng xác thực theo nghĩa hẹp bao hàm:

độ tin cậy của máy tính;

sự an toàn của thông tin xác thực có giá trị;

bảo vệ thông tin kế toán khỏi những thay đổi do những người không có thẩm quyền thực hiện;

bảo quản thông tin kế toán được ghi chép trong thông tin điện tử.

Đối tượng bảo mật thông tin trong kế toán bao gồm:

nguồn thông tin chứa thông tin thuộc diện bí mật kinh doanh và thông tin mật được trình bày dưới dạng cơ sở dữ liệu kế toán**;

công cụ và hệ thống tin học hóa - phương tiện kỹ thuật được sử dụng trong các quy trình thông tin (thiết bị máy tính và tổ chức, thông tin và lĩnh vực vật lý của máy tính, phần mềm ứng dụng và toàn hệ thống, nói chung là hệ thống dữ liệu kế toán doanh nghiệp tự động). *

Mối đe dọa đối với an toàn thông tin kế toán là một hành động tiềm ẩn, thông qua tác động của nó đến các bộ phận của hệ thống kế toán, có thể dẫn đến thiệt hại cho chủ sở hữu tài nguyên thông tin hoặc người sử dụng hệ thống.

Chế độ pháp lý về nguồn lực thông tin được xác định bởi các nguyên tắc thiết lập:

thủ tục ghi chép thông tin;

quyền sở hữu các tài liệu riêng lẻ và mảng tài liệu riêng lẻ, tài liệu và mảng tài liệu trong hệ thông thông tin**;

thủ tục pháp lý để bảo vệ thông tin.

Nguyên tắc chính bị vi phạm khi thực hiện đe dọa thông tin trong kế toán là nguyên tắc thông tin tài liệu ***. Chứng từ kế toán nhận được từ hệ thống thông tin kế toán tự động sẽ có hiệu lực pháp lý sau khi được một quan chức ký theo cách thức được quy định bởi pháp luật Liên bang Nga.

Toàn bộ các mối đe dọa tiềm ẩn trong kế toán, tùy theo tính chất xuất hiện của chúng, có thể được chia thành hai loại: tự nhiên (khách quan) Và nhân tạo.

Các mối đe dọa tự nhiên do nguyên nhân khách quan, thường nằm ngoài khả năng kiểm soát của người kế toán, dẫn đến sự phá hủy toàn bộ hoặc một phần bộ phận kế toán cùng các bộ phận của nó. Những hiện tượng tự nhiên như vậy bao gồm: động đất, sét đánh, hỏa hoạn, v.v.

Những mối đe dọa nhân tạo gắn liền với hoạt động của con người. Chúng có thể được chia thành vô ý (không chủ ý), gây ra bởi khả năng nhân viên mắc bất kỳ sai lầm nào do thiếu chú ý, hoặc mệt mỏi, bệnh tật, v.v. Ví dụ, một nhân viên kế toán khi nhập thông tin vào máy tính có thể bấm nhầm phím, vô tình mắc lỗi trong chương trình, đưa virus vào máy tính hoặc vô tình tiết lộ mật khẩu.

Cố ý (cố ý) các mối đe dọa gắn liền với khát vọng ích kỷ của con người - những kẻ tấn công cố tình tạo ra các tài liệu sai lệch.

Các mối đe dọa an ninh xét theo trọng tâm của chúng có thể được chia thành các nhóm sau:

các mối đe dọa xâm nhập và đọc dữ liệu từ cơ sở dữ liệu thông tin xác thực và các chương trình máy tính để xử lý chúng;

các mối đe dọa đối với sự an toàn của thông tin xác thực, dẫn đến việc phá hủy hoặc sửa đổi chúng, bao gồm cả việc làm giả chứng từ thanh toán (yêu cầu thanh toán, lệnh, v.v.);

các mối đe dọa về tính khả dụng của dữ liệu xảy ra khi người dùng không thể truy cập thông tin xác thực;

Đe dọa từ chối thực hiện các hoạt động khi một người dùng truyền tin nhắn cho người khác và sau đó không xác nhận dữ liệu đã truyền.

Tùy thuộc vào nguồn gốc của các mối đe dọa, chúng có thể được chia thành Nội bô và ngoại bộ.

Nguồn mối đe dọa nội bộ là hoạt động của nhân sự trong tổ chức. Các mối đe dọa bên ngoài đến từ bên ngoài từ nhân viên của các tổ chức khác, từ tin tặc và những người khác.

Các mối đe dọa bên ngoài có thể được chia thành:

cục bộ, liên quan đến việc kẻ xâm nhập vào lãnh thổ của tổ chức và giành quyền truy cập vào một máy tính riêng hoặc mạng cục bộ;

Các mối đe dọa từ xa là điển hình cho các hệ thống được kết nối với mạng toàn cầu (Internet, hệ thống ngân hàng quốc tế SWIFT, v.v.).

Những mối nguy hiểm như vậy thường phát sinh trong hệ thống thanh toán điện tử trong các cuộc dàn xếp giữa nhà cung cấp và người mua cũng như việc sử dụng mạng Internet trong các cuộc dàn xếp. Nguồn của các cuộc tấn công thông tin như vậy có thể ở cách xa hàng nghìn km. Hơn nữa, không chỉ máy tính mà cả thông tin kế toán cũng bị ảnh hưởng.

Những sai sót kế toán cố ý và vô ý làm tăng rủi ro kế toán bao gồm:

lỗi trong việc ghi thông tin xác thực;

mã không chính xác;

giao dịch kế toán trái phép;

vi phạm giới hạn kiểm soát;

tài khoản bị bỏ lỡ;

lỗi trong quá trình xử lý hoặc xuất dữ liệu;

lỗi trong việc hình thành hoặc chỉnh sửa thư mục;

tài khoản không đầy đủ;

phân công hồ sơ không chính xác cho các giai đoạn;

giả mạo dữ liệu;

vi phạm các yêu cầu quy định;

vi phạm chính sách kế toán;

sự khác biệt giữa chất lượng dịch vụ và nhu cầu của người sử dụng.

Quy trình thường xảy ra lỗi và loại lỗi được trình bày trong Bảng 8 (172).

Để nâng cao hiệu quả hoạt động của công ty và ngăn chặn hành vi trộm cắp, kế toán phải tạo ra một hệ thống kiểm soát nội bộ. Mặc dù có rất nhiều ấn phẩm về lĩnh vực này, vấn đề kiểm soát nội bộ trong nhiều nguồn về kế toán và kiểm toán được coi là tách biệt với vấn đề bảo mật thông tin.

Hệ thống kế toán hiện đại có đặc điểm là có một số đặc điểm yêu cầu bảo vệ thông tin kế toán:

Những đổi mới về mặt lập pháp kéo theo những thay đổi lớn cả trong lĩnh vực kế toán và lĩnh vực tin học hóa (chuyển kế toán sang sơ đồ tài khoản mới, thực thi Bộ luật thuế, v.v.). Nếu không có phần cứng và phần mềm hiện đại, kế toán viên khó có thể thu được thông tin kế toán đáng tin cậy và kịp thời. Và công nghệ máy tính trong kế toán cũng làm phát sinh những mối đe dọa thông tin mới;

Hệ thống thông tin kế toán thuộc lớp các thực thể phức tạp và năng động được xây dựng theo kiến trúc máy khách-máy chủ đa cấp có hỗ trợ giao tiếp với các thành phần từ xa. Những mối nguy hiểm rình rập cả bên trong và bên ngoài hệ thống;

có thể có lỗi cố ý hoặc vô ý trong phần mềm gây ra vấn đề về bảo mật;

sự phức tạp của kế toán tự động đòi hỏi phải đánh giá độ tin cậy của hệ thống, tức là. các thuộc tính của nó để thực hiện các chức năng cụ thể đồng thời đảm bảo sự an toàn và độ tin cậy của thông tin.

Thông tin xác thực không an toàn dẫn đến sai sót nghiêm trọng trong hệ thống quản lý doanh nghiệp:

nhiều tình tiết quản lý không có giấy tờ;

ban quản lý thiếu một bức tranh tổng thể về những gì đang xảy ra trong các đơn vị cơ cấu riêng lẻ;

sự chậm trễ trong việc thu thập thông tin có liên quan tại thời điểm đưa ra quyết định;

những bất đồng giữa các đơn vị cơ cấu và những người thực hiện riêng lẻ cùng thực hiện công việc do thiếu thông tin lẫn nhau;

quá tải thông tin;

tăng khung thời gian thu thập thông tin hồi tố tích lũy tại doanh nghiệp;

khó khăn trong việc thu thập thông tin về trạng thái hiện tại của tài liệu hoặc quy trình kinh doanh;

rò rỉ thông tin do lưu trữ vô tổ chức khối lượng lớn tài liệu.

Công nghệ thông tin mới trong kế toán dựa trên máy tính cá nhân hiện đại, một mặt đảm bảo chất lượng công việc được thực hiện cao, mặt khác tạo ra nhiều mối đe dọa về những hậu quả khó lường, thậm chí là thảm khốc. Những mối đe dọa như vậy bao gồm: sự xâm nhập của những người không được ủy quyền vào cơ sở dữ liệu thông tin xác thực, vi-rút máy tính, nhập sai thông tin xác thực, lỗi trong thiết kế và triển khai hệ thống kế toán, v.v. Các mối đe dọa chỉ có thể được giải quyết bằng cách thực hiện các biện pháp thích hợp giúp đảm bảo an ninh kế toán thông tin. Về vấn đề này, mọi kế toán viên sử dụng máy tính và thông tin liên lạc trong công việc của mình đều phải biết cách bảo vệ thông tin khỏi những gì và cách thực hiện.

Việc bảo vệ thông tin kế toán có nghĩa là không thể xảy ra các tác động vô tình hoặc cố ý mang tính chất tự nhiên hoặc nhân tạo lên thông tin đó, gây thiệt hại cho chủ sở hữu hoặc người sử dụng thông tin này.

Khái niệm “bảo mật thông tin xác thực” theo nghĩa hẹp của từ này hàm ý:

độ tin cậy của máy tính;

sự an toàn của thông tin xác thực có giá trị;

bảo vệ thông tin kế toán khỏi những thay đổi do những người không có thẩm quyền thực hiện;

bảo quản thông tin kế toán được ghi chép trong thông tin điện tử.

Thoạt nhìn, có vẻ như “bảo mật thông tin” và “bảo vệ an ninh thông tin” là một. Tuy nhiên, không phải vậy. Bảo mật thông tin có nghĩa là bảo vệ thông tin khỏi nhiều mối đe dọa, bao gồm cả sự biến dạng, phá hủy có chủ ý và vô ý, v.v. Bảo mật thông tin là việc bảo vệ một đối tượng, bao gồm cả hệ thống thông tin của nó, khỏi mọi ảnh hưởng thù địch, đặc biệt là từ virus máy tính, khỏi lỗi, truy cập trái phép đến cơ sở dữ liệu, v.v.

Trước khi thiết kế bất kỳ hệ thống bảo mật nào, chúng tôi sẽ xác định những gì được tính đến và ai (cái gì) cần được bảo vệ.

Đối tượng bảo mật thông tin trong kế toán bao gồm cả nguồn thông tin chứa thông tin được coi là bí mật kinh doanh và thông tin mật được trình bày dưới dạng cơ sở dữ liệu kế toán cũng như các công cụ, hệ thống công nghệ thông tin - phương tiện kỹ thuật được sử dụng trong quá trình xử lý thông tin (máy tính và thiết bị tổ chức), thông tin mang tính thông tin. và các lĩnh vực vật lý của máy tính, phần mềm ứng dụng và toàn hệ thống, nói chung là hệ thống kế toán doanh nghiệp tự động).

Nguy cơ mất an toàn thông tin kế toán nằm ở khả năng tác động đến các thành phần của hệ thống kế toán, có thể gây thiệt hại cho chủ sở hữu tài nguyên thông tin hoặc người sử dụng hệ thống.

Chế độ pháp lý về nguồn lực thông tin được xác định bởi các nguyên tắc thiết lập:

thủ tục ghi chép thông tin;

quyền sở hữu từng tài liệu và mảng tài liệu riêng lẻ, tài liệu, mảng tài liệu trong hệ thống thông tin;

thủ tục pháp lý để bảo vệ thông tin.

Nguyên tắc chính bị vi phạm khi thực hiện đe dọa thông tin trong kế toán là ghi chép thông tin. Chứng từ kế toán nhận được từ hệ thống thông tin kế toán tự động sẽ có hiệu lực pháp lý sau khi được một quan chức ký theo cách thức được quy định bởi pháp luật Liên bang Nga.

Toàn bộ các mối đe dọa tiềm ẩn trong kế toán, tùy theo tính chất xuất hiện của chúng, có thể được chia thành hai loại: tự nhiên (khách quan) và nhân tạo.

Nguy cơ tự nhiên là do nguyên nhân khách quan, thường nằm ngoài khả năng kiểm soát của người kế toán, dẫn đến sự phá hủy toàn bộ hoặc một phần bộ phận kế toán cùng với các bộ phận của nó: động đất, hỏa hoạn, v.v..

Các mối đe dọa do con người tạo ra có liên quan đến hoạt động của con người. Chúng có thể được chia thành vô ý (không chủ ý), gây ra bởi khả năng nhân viên mắc bất kỳ sai lầm nào do thiếu tập trung hoặc mệt mỏi, bệnh tật, v.v. Ví dụ: khi nhập thông tin vào máy tính, bấm nhầm phím, vô tình mắc lỗi chương trình, đưa virus vào máy tính hoặc vô tình để lộ mật khẩu.

Các mối đe dọa có chủ ý (có chủ ý) gắn liền với khát vọng ích kỷ của con người - những kẻ tấn công cố tình tạo ra các tài liệu sai lệch.

Các mối đe dọa an ninh xét theo trọng tâm của chúng có thể được chia thành các nhóm sau:

các mối đe dọa xâm nhập và đọc dữ liệu từ cơ sở dữ liệu thông tin xác thực và các chương trình máy tính để xử lý chúng;

các mối đe dọa về tính khả dụng của dữ liệu xảy ra khi người dùng không thể truy cập thông tin xác thực;

Đe dọa từ chối hoạt động khi một người dùng gửi tin nhắn cho người khác và sau đó không xác nhận dữ liệu đã truyền.

Tùy thuộc vào nguồn gốc của các mối đe dọa, chúng có thể được chia thành bên trong và bên ngoài.

Nguồn gốc của các mối đe dọa nội bộ là các hoạt động của nhân viên tổ chức. Các mối đe dọa bên ngoài đến từ bên ngoài từ nhân viên của các tổ chức khác, từ tin tặc và các cá nhân khác.

Các mối đe dọa bên ngoài có thể được chia thành:

đến các mạng cục bộ, có liên quan đến sự xâm nhập của kẻ xâm nhập vào lãnh thổ của tổ chức và giành quyền truy cập vào một máy tính hoặc mạng cục bộ riêng biệt;

từ xa, điển hình cho các hệ thống được kết nối với mạng toàn cầu (Internet, hệ thống thanh toán ngân hàng quốc tế SWIFT, v.v.).

Những mối nguy hiểm như vậy phát sinh thường xuyên nhất trong hệ thống thanh toán điện tử khi thực hiện thanh toán giữa nhà cung cấp và người mua và sử dụng Internet trong thanh toán. Nguồn của các cuộc tấn công thông tin như vậy có thể ở cách xa hàng nghìn km. Không chỉ máy tính mà cả thông tin kế toán cũng bị ảnh hưởng.

Những sai sót kế toán cố ý và vô ý làm tăng rủi ro kế toán như sau:

lỗi trong việc ghi thông tin xác thực;

mã không chính xác;

giao dịch kế toán trái phép;

vi phạm giới hạn kiểm soát;

tài khoản bị bỏ lỡ;

lỗi trong quá trình xử lý hoặc xuất dữ liệu;

lỗi trong việc hình thành hoặc chỉnh sửa thư mục;

tài khoản không đầy đủ;

phân công hồ sơ không chính xác cho các giai đoạn;

giả mạo dữ liệu;

vi phạm các yêu cầu quy định;

vi phạm chính sách kế toán;

sự khác biệt giữa chất lượng dịch vụ và nhu cầu của người sử dụng.

Trong điều kiện xử lý dữ liệu trên PC, hậu quả của một lỗi lặp đi lặp lại hoặc kỹ thuật áp dụng không chính xác có thể rất thảm khốc.

Các quy trình thường xảy ra lỗi và loại của chúng được trình bày trong Bảng. 5.2.

Sự phổ biến của công nghệ máy tính đã giúp giảm mạnh các lỗi không chủ ý (số học), nhưng lại tạo thêm điều kiện cho việc xảy ra các lỗi cố ý liên quan đến gian lận.

Cần phải hiểu thông tin cần được bảo vệ khỏi ai. Thường thì mối nguy hiểm đến từ việc nhân viên công ty hành động không đơn độc mà thông đồng với những kẻ tấn công khác.

Động cơ và mục tiêu của tội phạm máy tính có thể khác nhau: tư lợi, mong muốn gây tổn hại, trả thù, côn đồ hoặc mong muốn kiểm tra khả năng và kỹ năng máy tính của một người.

Bảng 5.2. Nơi xảy ra sai sót kế toán Phạm vi chuyển đổi số liệu kế toán Loại lỗi Sơ cấp Kế toán hệ thống (thu thập rút gọn, khái quát hóa đăng ký kết luận) Lỗi ghi sổ kế toán + dữ liệu Mã sai + + - Kế toán trái phép + + hoạt động Vi phạm giới hạn kiểm soát + + Bỏ sót hồ sơ kế toán + + + Lỗi trong quá trình xử lý hoặc + + xuất dữ liệu Lỗi trong việc hình thành hoặc chỉnh sửa danh mục + + - nick Hồ sơ không đầy đủ + + + Phân bổ hồ sơ không chính xác + + + theo kỳ Làm giả dữ liệu + + + Vi phạm quy định yêu cầu về định mức + + + của hành vi trọng yếu Vi phạm nguyên tắc kế toán + + + của chính sách mới Không nhất quán giữa chất lượng dịch vụ + + + nhu cầu của người dùng Các biện pháp pháp lý nhằm tạo ra và duy trì thái độ tiêu cực trong xã hội đối với các hành vi vi phạm và vi phạm an ninh thông tin đưa vào Chương 28 “Các tội phạm trong lĩnh vực thông tin máy tính” của Tiêu đề IX Bộ luật Hình sự.

Các tội phạm trong lĩnh vực thông tin máy tính là: Truy cập trái phép vào thông tin máy tính (Điều 272 Bộ luật Hình sự); tạo ra, sử dụng và phát tán các chương trình máy tính độc hại (Điều 273 Bộ luật Hình sự); vi phạm các quy định về vận hành máy tính, hệ thống máy tính hoặc mạng máy tính (Điều 274 Bộ luật Hình sự).

Việc bảo vệ thông tin trong hệ thống kế toán tự động dựa trên các nguyên tắc cơ bản sau:

đảm bảo tách biệt về mặt vật lý các khu vực dành cho xử lý thông tin được phân loại và không được phân loại;

đảm bảo bảo vệ thông tin bằng mật mã;

đảm bảo xác thực thuê bao và cài đặt thuê bao;

đảm bảo sự khác biệt trong việc tiếp cận thông tin của các đối tượng và quá trình của họ;

bảo đảm thiết lập tính xác thực và toàn vẹn của thông điệp dạng văn bản khi được truyền qua các kênh truyền thông;

đảm bảo bảo vệ các thiết bị, phương tiện kỹ thuật của hệ thống, cơ sở nơi đặt chúng khỏi bị rò rỉ thông tin mật qua các kênh kỹ thuật;

đảm bảo bảo vệ công nghệ mã hóa, thiết bị, phần cứng và phần mềm khỏi bị rò rỉ thông tin qua các dấu trang phần cứng và phần mềm;

đảm bảo kiểm soát tính toàn vẹn của phần mềm và phần thông tin của hệ thống tự động;

chỉ sử dụng sự phát triển trong nước làm cơ chế bảo vệ;

bảo đảm các biện pháp bảo vệ tổ chức và chế độ. Nên sử dụng các biện pháp bổ sung để đảm bảo an ninh thông tin liên lạc trong hệ thống;

tổ chức bảo vệ thông tin về cường độ, thời lượng và lưu lượng trao đổi thông tin;

việc sử dụng các kênh và phương pháp truyền tải và xử lý thông tin gây khó khăn cho việc ngăn chặn.

Bảo vệ thông tin khỏi bị truy cập trái phép nhằm mục đích hình thành ba thuộc tính chính của thông tin được bảo vệ:

tính bảo mật (thông tin mật chỉ được phép tiếp cận đối với những người có mục đích sử dụng thông tin đó);

tính toàn vẹn (thông tin làm cơ sở cho các quyết định quan trọng được đưa ra phải đáng tin cậy, chính xác và được bảo vệ đầy đủ khỏi những biến dạng vô ý và có ác ý có thể xảy ra);

sẵn sàng (thông tin và dịch vụ thông tin phải có sẵn và sẵn sàng phục vụ các bên liên quan bất cứ khi nào họ cần).

Để đảm bảo việc bảo vệ thông tin kế toán, các rào cản, kiểm soát truy cập, che đậy, quy định, ép buộc và xúi giục được sử dụng.

Một chướng ngại vật phải được coi là một phương pháp chặn vật lý đường dẫn của kẻ tấn công đến thông tin tài khoản được bảo vệ. Phương pháp này được thực hiện bởi hệ thống truy cập của doanh nghiệp, bao gồm cả sự hiện diện của an ninh ở lối vào nó, chặn đường đi của những người không được phép đến bộ phận kế toán, bàn thu ngân, v.v.

Kiểm soát truy cập là một phương pháp bảo vệ thông tin kế toán và báo cáo, được thực hiện thông qua:

nhận dạng người dùng hệ thống thông tin (mỗi người dùng nhận được mã định danh cá nhân của riêng mình);

xác thực - thiết lập tính xác thực của một đối tượng hoặc chủ thể bằng mã định danh do nó trình bày (được thực hiện bằng cách so sánh mã định danh đã nhập với mã định danh được lưu trong bộ nhớ máy tính);

kiểm tra thẩm quyền - kiểm tra sự tuân thủ của các nguồn lực được yêu cầu và các hoạt động được thực hiện theo các nguồn lực được phân bổ và các thủ tục được phép;

đăng ký yêu cầu tài nguyên được bảo vệ;

thông báo và phản hồi các nỗ lực thực hiện các hành động trái phép.

Masking là phương pháp bảo vệ bằng mật mã (mã hóa) thông tin trong hệ thống thông tin tự động của doanh nghiệp.

Cưỡng bức - bảo vệ thông tin kế toán do mối đe dọa về trách nhiệm vật chất, hành chính hoặc hình sự.

Động lực là để bảo vệ thông tin bằng cách đảm bảo rằng người dùng tuân thủ các tiêu chuẩn đạo đức và đạo đức đã được thiết lập trong nhóm doanh nghiệp. Ví dụ, ở Hoa Kỳ, các phương tiện luân lý và đạo đức bao gồm, đặc biệt là Quy tắc ứng xử nghề nghiệp dành cho các thành viên của Hiệp hội người dùng máy tính.

Hiệu lực pháp lý của một tài liệu được lưu trữ, xử lý và truyền đi bằng hệ thống viễn thông và tự động có thể được xác nhận bằng chữ ký số điện tử. Khi truyền văn bản (lệnh thanh toán, hợp đồng, lệnh) qua mạng máy tính cần chứng minh sự thật là văn bản đó thực sự do chính tác giả tạo ra và gửi đi, không bị người nhận hoặc bất kỳ bên thứ ba nào làm sai lệch, sửa đổi. Ngoài ra, người gửi còn có nguy cơ từ chối quyền tác giả để giảm bớt trách nhiệm truyền tải tài liệu. Để bảo vệ khỏi những mối đe dọa như vậy, hoạt động trao đổi tài liệu tài chính sử dụng phương thức xác thực tin nhắn khi các bên thiếu tin tưởng lẫn nhau. Tài liệu (tin nhắn) được bổ sung chữ ký số và khóa mật mã bí mật. Việc giả mạo chữ ký mà những người không được ủy quyền không biết về khóa sẽ bị loại trừ và chữ ký đó thể hiện rõ ràng quyền tác giả.

Hiệu lực pháp lý của chữ ký số điện tử được công nhận nếu hệ thống thông tin tự động có chứa các công cụ phần mềm và phần cứng đảm bảo nhận dạng chữ ký và tuân thủ chế độ đã thiết lập cho việc sử dụng chúng. Kế toán (người dùng) ký các tài liệu bằng chữ ký số điện tử bằng khóa cá nhân mà chỉ mình anh ta biết, chuyển chúng theo sơ đồ luồng tài liệu và hệ thống phần cứng và phần mềm xác minh chữ ký. Các tài liệu bí mật có thể được mã hóa bằng các khóa riêng lẻ và kẻ tấn công không thể truy cập được. Hệ thống này dựa trên các tiêu chuẩn và quy chuẩn của công việc văn phòng, thực tiễn tổ chức ghi chép tài liệu và giám sát hành động của người thực hiện trong các cơ cấu thuộc bất kỳ hình thức sở hữu nào (nhà nước và ngoài nhà nước).

Bảo mật thông tin xác thực giúp có thể:

cung cấp nhận dạng/xác thực người dùng;

xác định các quyền chức năng cho mỗi người dùng - quyền thực hiện các chức năng hệ thống nhất định (đặc biệt là quyền truy cập vào các nhật ký tài liệu nhất định);

xác định mức độ bảo mật cho từng tài liệu và cho mỗi người dùng - quyền truy cập vào các tài liệu có mức độ bảo mật khác nhau;

đảm bảo tính bảo mật của tài liệu bằng cách mã hóa chúng, cũng như mã hóa tất cả thông tin được truyền qua các kênh liên lạc mở (ví dụ: qua e-mail); mã hóa được thực hiện bằng các công cụ mật mã được chứng nhận;