Методы и средства защиты учетно-аналитической информации в условиях автоматизации бухгалтерского учета

Министерства  образования Республики Беларусь

Учреждение  образование «Белорусский Государственный

Университет Транспорта» 
 
 
 

Кафедра: «Бухгалтерский учет, анализ и аудит» 
 
 

Реферат 

По дисциплине: «Бухгалтерский учет в системе автоматизированной обработки информации.» 
 

На тему: «Методы и средства защиты учетно-аналитической                                                                                                        информации в условиях автоматизации  бухгалтерского учета» 
 
 
 
 
 
 
 
 

Проверила: Выполнил:

Борисенко Е.В. Студ.гр.ИГБ-33

      Баллыев А.Х. 
 
 
 

Гомель 2011

    Комплексная система безопасности состоит из следующих:

    Классификация информационных объектов Обрабатываемые данные могут классифицироваться согласно различным категориям информационной безопасности : требованиям к их доступности (безотказности служб), целостности, конфиденциальности.

• Политика ролей Ролями называются характерные наборы функций и степени ответственности, свойственные теми или иными группами лиц. Четкое определение ролей, классификация их уровней доступа и ответственности, составление списка соответствия персонала тем или иным ролям делает политику безопасности в отношении рабочих и служащих предприятия четкой, ясной и легкой для исполнения и проверки.
• Создание политики информационной безопасности Методика создания политики безопасности предприятия состоит из учета основных (наиболее опасных) рисков информационных атак, современной ситуации, факторов непреодолимой силы и генеральной стоимости проекта.
• Методы обеспечения безотказности Безотказность сервисов и служб хранения данных достигается с помощью систем самотестирования и внесения избыточности на различных уровнях : аппаратном, программном, информационном.

    Требования  к защите информации от несанкционированного доступа. Защита информации может быть:

• программная (открытие документов только для чтения и т.п.);
• техническая (электронные ключи);
• организационная (пароли, замки, сигнализации в помещении).

    Для сохранности информации необходимо предусмотреть использование блоков бесперебойного питания для защиты данных от повреждения в случае отключения питания, для надёжного хранения данных необходимо производить ежедневное резервное копирование БД на несколько дисков. Требования к средствам защиты от внешних воздействий. Средства АРМК (Автоматизированные рабочие места) должны обладать радиоэлектронной защитой. Уровень радиопомех, создаваемых техническими средствами во время работы, а также в моменты включения и выключения, не должен превышать значений, утвержденных Государственной комиссией по радиочастотам. Также необходима защита средств АРМК от внешних воздействий (молний, взрывов и т.д.). Необходимо применение экранирования помещений от индустриальных помех и электромагнитных полей.

         Политика ролей: Функции каждого человека, так или иначе связанного с конфиденциальной информацией на предприятии, можно классифицировать и в некотором приближении формализовать. Подобное общее описание функций оператора носит название роли. В зависимости от размеров предприятия некоторые из перечисленных ниже ролей могут отсутствовать вообще, а некоторые могут совмещаться одним и тем же физическим лицом.

    Специалист по информационной безопасности играет основную роль в разработке и поддержании политики безопасности предприятия. Он проводит расчет и перерасчет рисков, отвественен за поиск самой свежей информации об обнаруженных уязвимостях в используемом в фирме программном обеспечении и в целом в стандартных алгоритмах.

    Владелец информации – лицо, непосредственно работающее с данной информацией, (не нужно путать с оператором). Зачастую только он в состоянии реально оценить класс обрабатываемой информации, а иногда и рассказать о нестандартных методах атак на нее (узкоспецифичных для этого вида данных). Владелец информации не должен участвовать в аудите системы безопасности. 

    Поставщик  аппаратного и программного обеспечения.  Обычно стороннее лицо, которое  несет ответственность перед  фирмой за поддержание должного  уровня информационной безопасности в поставляемых им продуктов.

       Разработчик системы и/или программного  обеспечения играет основную  роль в уровне безопасности  разрабатываемой системы. На этапах  планирования и разработки должен  активно взаимодействовать со  специалистами по информационной безопасности.

        Линейный менеджер или менеджер отдела является промежуточным звеном между операторами и специалистами по информационной безопасности. Его задача – своевременно и качественно инструктировать подчиненный ему персонал обо всех требованиях службы безопасности и следить за ее их выполнением на рабочих местах. Линейные менеджеры должны быть осведомлены о всей политике безопасности предприятия, но доводить до сведения подчиненных только те ее аспекты, которые непосредственно их касаются.

        Операторы – лица, ответственные только за свои поступки. Они не принимают никаких решений и ни за кем не наблюдают. Они должны быть осведомлены о классе конфиденциальности информации, с которой они работают, и о том, какой ущерб будет нанесен фирмы при ее раскрытии.

      Аудиторы – внешние специалисты или фирмы, нанимаемые предприятием для периодической (довольно редкой) проверки организации и функционирования всей системы безопасности.

Создание  политики информационной безопасности:

    Политика безопасности – это комплекс превентивных мер по защите конфиденциальных данных и информационных процессов на предприятии. Политика безопасности включает в себя требования в адрес персонала, менеджеров и технических служб. Основные направления разработки политики безопасности :

• определение какие данные и насколько серьезно необходимо защищать,
• определение кто и какой ущерб может нанести фирме в информационном аспекте,
• вычисление рисков и определение схемы уменьшения их до приемлемой величины.

        Существуют две системы оценки текущей ситуации в области информационной безопасности на предприятии. Они получили образные названия "исследование снизу вверх" и "исследование сверху вниз". Первый метод достаточно прост, требует намного меньших капитальных вложений, но и обладает меньшими возможностями. Он основан на известной схеме : "Вы – злоумышленник. Ваши действия ?". То есть служба информационной безопасности, основываясь на данных о всех известных видах атак, пытается применить их на практике с целью проверки, а возможно ли такая атака со стороны реального злоумышленника.

       Метод "сверху вниз" представляет  собой, наоборот, детальный анализ  всей существующей схемы хранения  и обработки информации. Первым  этапом этого метода является, как и всегда, определение, какие информационные объекты и потоки необходимо защищать. Далее следует изучение текущего состояния системы информационной безопасности с целью определения, что из классических методик защиты информации уже реализовано, в каком объеме и на каком уровне. На третьем этап производится классификация всех информационных объектов на классы в соответствии с ее конфиденциальностью, требованиями к доступности и целостности (неизменности).

     Далее  следует выяснение насколько  серьезный ущерб может принести  фирме раскрытие или иная атака на каждый конкретный информационный объект. Этот этап носит название "вычисление рисков". В первом приближении риском называется произведение "возможного ущерба от атаки" на "вероятность такой атаки".

Методы  обеспечения безотказности:

    Методы  поддержания безотказности являются  смежной областью в схемах  комплексной информационной безопасности  предприятия. Основным методом  в этой сфере является внесение  избыточности. Она может реализовываться  в системе на трех уровнях : уровне данных (или информации), уровне сервисов (или приложений) и уровне аппаратного обеспечения.

      Внесение избыточности на уровне  данных практикуется достаточно  давно : это резервное копирование и помехоустойчивое кодирование. Резервное копирование выполняется обычно при хранении информации на современных запоминающих устройствах (поскольку для них в аварийной ситуации характерен выход из строя больших блоков данных целиком – трудновосстановимое с помощью помехоустойчивого кодирование повреждение). А вот использование кодов с обнаружением и некоторым потенциалом для исправления ошибок получило широкое применение в средствах телекоммуникации.

Внесение избыточности на уровне приложений используется гораздо  реже. Однако, многие, особенно сетевые, службы изначально поддерживают возможность работы с резервным или вообще с неограниченным заранее неизвестным количеством альтернативных служб. Введение такой возможности рекомендуется при разработке программного обеспечения, однако, сам процесс автоматического переключения на альтернативную службу должен подтвержаться криптографическим обменом первоначальной (установочной) информацией. Это необходимо делать для того, чтобы злоумышленник не мог, выведя из строя реальный сервис, навязать Вашей программе свой сервис с фальсифицированной информацией.

            Внесение избыточности на аппаратном  уровне реализуется обычно в  отношении периферийных устройств  (накопители на гибких и жестких  дисках, сетевые и видео- адаптеры, мониторы, устройства ввода информации  от пользователя). Это связано с тем, что дублирование работы основных компонентов ЭВМ (процессора, ОЗУ) гораздо проще выполнить, установив просто полноценную дублирующую ЭВМ с теми же функциями. Для автоматического определения работоспособности ЭВМ в программное обеспечение встраиваются либо 1) проверка контрольных сумм информации, либо 2) тестовые примеры с заведомо известным результатом, запускаемые время от времени, либо 3) монтирование трех и более дублирующих устройств и сверка их выходных результаты по мажоритарному правилу (каких результатов больше – те и есть правильные, а машины, выдавшие не такие результаты, выведены из строя).