Название: Аудит

Жанр: Бухгалтерский учет

Рейтинг:

Просмотров: 5774

9.5. контроль защиты данных асои

Понятие защиты данных ЭВМ включает как разработку и внедрение соответствующих методов защиты, так и постоянное их использование. Внедрение защиты данных начинается с приказа руководителя и заканчивается практическим применением методов защиты. Потребность в защите информации обусловлена централизацией обработки экономической информации на вычислительных центрах коллективного пользования, облегчением доступа к данным благодаря средствам коммуникации с более мощными ЭВМ и более строгой государственной регламентацией секретности, а также рыночными отношениями в хозяйствовании, когда возникает потребность сохранить коммерческую тайну.

Функционирование АСОИ основывается на создании банков информации. Средства связи позволяют эти данные сделать доступными для каждого, кто имеет доступ к общей телефонной линии. Все более растущая концентрация данных вместе с их доступностью благодаря линиям связи повышает потребность в защите информации, а если учитывать, что предприятия стремятся к сохранению коммерческой тайны, то защита данных чрезвычайно необходима.

Мощные ЭВМ создают условия для роста несанкционированного доступа к ресурсам ЭВМ, позволяют выполнять сложные процедуры обработки информации. Например, использование языков запросов систем управления базами данных создает такие возможности, что в течение нескольких минутобеспечиваются действия, для которых необходимы были бы месяцы для проектирования, кодирования, внедрения, тестирования и обработки информации без применения базы данных.

Создание демократического правового государства обусловливает потребность в гарантии прав неприкосновенности лица при обработке на ЭВМ информации о личной жизни, переписке, доходах семьи и пр.

Для осуществления предупредительных функций финансово-хозяйственного контроля и аудита защита данных позволяет избежать злоупотреблений лицами, имеющими доступ к базам данных ЭВМ. Практика показывает, что в условиях АСОИ хищения ценностей осуществляются при участии бухгалтеров и работников вычислительных центров, которые занимаются обработкой экономической информации.

Основной целью защиты данных ЭВМ является предупреждение явлений, негативно влияющих на результаты хозяйствования.

Уничтожение информации — несанкционированное уничтожение информационных ресурсов для сокрытия фактов хищения ценностей. Это касается учетно-экономической информации о расчетах с работниками предприятия, поставщиками, об использовании материальных ценностей, денежных средств и др.

Хищение данных — хищение информации из ЭВМ может осуществляться без разрушения баз данных. В частности, такой информацией являются коды работника предприятия, товарно-материальных ценностей, производственных операций. Имея указанные коды на стадии подготовки данных и обработки их на ЭВМ, нечестные лица могут завышать заработок отдельным работникам, списывать на расходы производства драгоценные металлы и дефицитные материалы, создавать таким образом излишки для последующего расхищения их.

Изменение данных — умышленное искажение данных — включает стирание и замену записей, использование неправильных кодовых обозначений в учете денежных средств и материальных ценностей и др. Например, код табельного номера уволенного работника сохраняют в базе данных и используют для начисления заработной платы подставному лицу с последующим перечислением денег на особый счет в Сбербанке.

Неправильное использование средств АСУ — технические средства и ресурсы ЭВМ нередко используются для обработки информации для других предприятий на так называемых кооперативных началах, когда работники вычислительного центра получают оплату услуг за начисление заработной платы, учет материальных ценностей и средств лично, минуя предприятие, которому принадлежит оборудование вычислительной техники. В результате этой операции амортизация ЭВМ и других технических средств, содержание помещений, энергетические затраты не компенсируются владельцу вычислительного центра.

Защиту данных осуществляет специальное должностное лицо — администратор по защите информации. В его функции входит обеспечение физической и логической защиты информационных ресурсов. Физическая защита охватывает технические средства, зал ЭВМ, линии связи и дистанционные терминалы, логическая — касается самих данных, а также прикладных программ и программного обеспечения операционных систем.

Функции специального администратора предусматривают ответственность за конфиденциальность данных. Без персональной ответственности трудно вводить, осуществлять и контролировать программу защиты информации, которая включает: ответственность работников за сохранность информационных файлов; доведение до сведения руководства случаев нарушения защиты данных; борьбу с нарушителями защиты файлов. Технические средства защиты используются администратором по безопасности для защиты как самих вычислительных установок, так и данных или программ внутри этих установок.

Программные средства защиты данных применяются в условиях работы в режиме реального времени ЭВМ с помощью специальных программ. Средства защиты могут быть встроены в системные пакеты программ, в прикладные системы. Кроме того, выявлением конкретных потребностей могут быть избраны такие средства защиты, которые лучше всего удовлетворяют решение этих проблем.

Программу проверки защиты данных составляют путем имитации с помощью тестов разных вариантов искажения или хищения данных с целью совершения противозаконных действий. Хотя тесты к проверке защиты данных не могут охватить все возможные варианты злоупотреблений, тестирование все же является наиболее радикальным средством создания и эксплуатации программ проверки защиты данных.

Ревизор и аудитор нынешнего и будущих поколений не похожи на своих предшественников. Как функция аудитора-документалиста, так и представление о нем быстро меняются с изменением концепций управления народным хозяйством и ролью в нем финансово-хозяйственного контроля. Поэтому методика защиты данных в АСОИ будет постоянно совершенствоваться по мере выявления новых поколений ЭВМ и развития систем управления данными.

Следовательно, контроль защиты данных ЭВМ создает необходимые предпосылки для избежания искажений информации на стадиях подготовки, обработки и хранения с целью предупреждения злоупотреблений работников и обеспечения сохранности ценностей.