Несмотря на предпринимаемые дорогостоящие методы, функционирование компьютерных информационных систем обнаружило слабые места в защите информации. Неизбежным следствием стали постоянно увеличивающиеся расходы и усилия на защиту информации. Однако для того, чтобы принятые меры оказались эффективными, необходимо определить, что такое угроза безопасности информации, выявить возможные каналы утечки информации и пути несанкционированного доступа к защищаемым данным.
Под угрозой безопасности информации, понимается действие или событие, которое может привести к разрушению, искажению или несанкционированному использованию информационных ресурсов, включая хранимую, передаваемую и обрабатываемую информацию, а также программные и аппаратные средства.
Угрозы принято делить на случайные, или непреднамеренные, и умышленные. Источником первых могут быть ошибки в программном обеспечении, выходы из строя аппаратных средств, неправильные действия пользователей или администрации и т.п. Умышленные угрозы, в отличие от случайных, преследуют цель нанесения ущерба пользователям АИТ и, в свою очередь, подразделяются на активные и пассивные.
Пассивные угрозы, как правило, направлены на несанкционированное использование информационных ресурсов, не оказывая при этом влияния на ее функционирование. Пассивной угрозой является, например, попытка получения информации, циркулирующей в каналах, посредством их прослушивания.
Активные угрозы имеют целью нарушение нормального процесса функционирования посредством целенаправленного воздействия на аппаратные, программные и информационные ресурсы. К активным угрозам относятся, например, разрушение или радиоэлектронное подавление линий связи, вывод из строя ПЭВМ или ее операционной системы, искажение сведений в базах данных или в системной информации в компьютерных технологиях и т.д. Источниками активных угроз могут быть непосредственные действия злоумышленников, программные вирусы и т.п.
К основным угрозам безопасности информации относят:
· раскрытие конфиденциальной информации;
· компрометация информации;
· несанкционированное использование информационных ресурсов;
· ошибочное использование информационных ресурсов;
· несанкционированный обмен информацией;
· отказ от информации;
· отказ в обслуживании.
Средствами реализации угрозы раскрытия конфиденциальной информации могут быть несанкционированный доступ к базам данных, прослушивание каналов и т.п. В любом случае получение информации, являющейся достоянием некоторого лица (группы лиц) другими лицами, наносит ее владельцам существенный ущерб.
Компрометация информации, как правило, реализуется посредством внесения несанкционированных изменений в базы данных, результате чего ее потребитель вынужден либо отказаться от нее, либо предпринимать дополнительные усилия для выявления изменений и восстановления истинных сведений. В случае использования скомпрометированной информации потребитель подвергается опасности принятия неверных решений со всеми вытекающими сюда последствиями.
Несанкционированное использование информационных ресурсов, с одной стороны, является средством раскрытия или компрометации информации, а с другой – имеет самостоятельное значение, поскольку, даже не касаясь пользовательской или системной информации, может нанести определенный ущерб абонентам и администрации. Этот ущерб может варьироваться в весьма широких пределах – от сокращения поступления финансовых средств до полного выхода АИТ из строя.
Ошибочное использование информационных ресурсов, будучи санкционированным, тем не менее, может привести к разрушению, раскрытию или компрометации указанных ресурсов. Данная угроза чаще всего является следствием ошибок, имеющихся в программном обеспечении АИТ.
Несанкционированный обмен информацией между абонентами может привести к получению одним из них сведений, доступ к которым ему запрещен, что по своим последствиям равносильно раскрытию содержания банковской информации.
Отказ от информации состоит в непризнании получателем или отправителем этой информации фактов ее получения или отправки. В условиях банковской деятельности это, в частности, позволяет одной из сторон расторгать заключенные финансовые соглашения «техническим» путем, формально не отказываясь от них и нанося тем самым второй стороне значительный ущерб.
Отказ в обслуживании представляет собой весьма существенную и распространенную угрозу, источником которой является сама АИТ. Подобный отказ особенно опасен в ситуациях, когда задержка с предоставлением ресурсов абоненту может привести к тяжелым для него последствиям. Так, отсутствие у пользователя данных, необходимых для принятия решения, в течение периода времени, когда это решение еще возможно эффективно реализовать, может стать причиной его нерациональных или даже антимонопольных действий.
Наиболее распространенными путями несанкционированного доступа к информации, сформулированными на основе анализа зарубежной печати, являются:
· перехват электронных излучений;
· принудительное электромагнитное облучение (подсветка) линий связи с целью получения паразитной модуляции несущей;
· применение подслушивающих устройств (закладок);
· дистанционное фотографирование;
· перехват акустических излучений и восстановление текста принтера;
· хищение носителей информации и документальных отходов;
· чтение остаточной информации в памяти системы после выполнения санкционированных запросов;
· копирование носителей информации с преодолением мер защиты;
· маскировка под зарегистрированного пользователя;
· мистификация (маскировка под запросы системы);
· использование программных ловушек;
· использование недостатков языков программирования и операционных систем;
· включение в библиотеки программ специальных блоков типа «Троянский конь»;
· незаконное подключение к аппаратуре и линиям связи;
· злоумышленный вывод из строя механизмов защиты;
· внедрение и использование компьютерных вирусов.
Особую опасность в настоящее время представляет проблема компьютерных вирусов, так как с учетом большого числа разновидностей вирусов надежной зашиты против них разработать не удается. Все остальные пути несанкционированного доступа поддаются надежной блокировке при правильно разработанной и реализуемой на практике системе обеспечения безопасности.
6. Автоматизированные информационные технологии в бухгалтерском учете
Этапы автоматизации бухгалтерского учета в России.
В мире существует более тысячи тиражируемых бухгалтерских пакетов различной мощности и стоимости, однако российские бухгалтеры и предприниматели предпочитают отечественные пакеты, как наиболее подходящие для условий переходной экономики и быстрой смены законодательных актов, регулирующих порядок бухгалтерского учета.
Автоматизация бухгалтерского учета в России происходила в несколько этапов. Первый этап разработки программ автоматизации бухгалтерского учета совпал по времени с перестройкой, когда в России появилась реальная потребность в программных продуктах такого типа для нужд малых предприятий и кооперативов, обслуживания временных трудовых коллективов и других новых субъектов бухгалтерского учета. Этот период характеризовался массовым ввозом в нашу страну персональных компьютеров, что в значительной степени обусловило выбор последних в качестве основной аппаратной платформы для бухгалтерских разработок. Большинство программ создавалось в виде АРМ (автоматизированных рабочих мест) и предназначалось для эксплуатации на автономных компьютерах. В это время были популярны первые бухгалтерские программы: «Финансы без проблем» («Хакерс Дизайн»), «Турбо-бухгалтер» («ДИЦ»), «Парус» («Парус»).
Второй этап был связан с развитием коммерческих структур и началом приватизации. Десятки тысяч создаваемых ТОО, АОЗТ и кооперативов нуждались в бухгалтерском учете. На волне всеобщей коммерциализации наблюдался бурный рост тиражируемых разработок, в значительной степени вытеснивших заказные. Энтузиастов-одиночек и временные трудовые коллективы сменили профессиональные группы специалистов, объединившихся в собственные компании, которые хотели получать прибыль с продаваемого тиража бухгалтерских программ. Именно тогда были образованы сегодняшние фирмы-лидеры: «1С», «Диасофт», «Омега», R-Style Software Lab.
Третий этап развития бухгалтерских систем характеризуется созданием интегрированных программных средств, объединяющих несколько предметных областей автоматизации.
Требования к бухгалтерской системе
Хорошие бухгалтерские системы вне зависимости от их масштаба, программно – аппаратной платформы и стоимости должны обеспечивать качественное ведение учета, быть надежными и удобными в эксплуатации.
Они должны безошибочно производить арифметические расчеты; обеспечивать подготовку, заполнение, проверку и распечатку первичных и отчетных документов произвольной формы; осуществлять безошибочный перенос данных из одной печатной формы в другую; производить накопление итогов и исчисление процентов произвольной степени сложности; обеспечивать обращение к данным и отчетам за прошлые периоды (вести архив).
В зависимости от особенностей учета на предприятии базы данных могут иметь раз личную структуру, но в обязательном порядке должны соответствовать структуре принятого плана счетов, задающего основные параметры настройки системы на конкретную учетную деятельность. Модули системы, обеспечивающие проведение расчетов, суммирование итогов и начисление процентов, должны использовать расчетные нормативы, которые приняты в текущее время.
Надежность системы в компьютерном плане означает защищенность ее от случайных сбоев и в некоторых случаях от умышленной порчи данных. Как известно, современные персональные компьютеры являются достаточно открытыми, поэтому нельзя достоверно гарантировать защиту чисто на физическом уровне. Важно, чтобы после сбоя разрушенную базу данных можно было легко восстановить, а работу системы возобновить в кратчайшие сроки.