<<
>>

12.6. Защита финансовой информации

Новые информационные технологии в управлении финансами на базе современных ПЭВМ, с одной стороны, обеспечивают высокое качество выполняемых работ, а с другой, – создают множество угроз, приводящих к непредсказуемым и даже катастрофическим последствиям.

К числу таких угроз относятся следующие: проникновение посторонних лиц в базы учетных и финансовых данных, повсеместное распространение компьютерных вирусов, ошибочный ввод финансовых данных, ошибки в процессе проектирования и внедрения экономических систем и др. Противостоять возможной реализации угроз можно только приняв адекватные меры, которые способствуют обеспечению безопасности финансовой информации. В этой связи каждый финансист, использующий в своей работе компьютеры и средства связи, должен знать, от чего защищать информацию и как это делать.

Под защитой финансовой информации понимается состояние защищенности информации и поддерживающей ее инфраструктуры (компьютеров, линий связи, систем электропитания и т.п.) от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям этой информации.

Понятие информационной безопасности финансовых данных в узком смысле этого слова подразумевает:

· надежность работы компьютера;

· сохранность ценных учетных данных;

· защиту учетной информации от внесения в нее изменений неуполномоченными лицами;

· сохранение документированных учетных сведений в электронной связи.

По мнению американских специалистов, снятие защиты информации с компьютерных сетей приведет к разорению 20% средних компаний в течение нескольких часов, 40% средних и 16% крупных компаний потерпят крах через несколько дней, 33% банков «лопнут» за 2-5 часов, 50% банков – через 2-3 дня.

К объектам информационной безопасности в управлении денежными потоками относятся:

· информационные ресурсы, содержащие сведения, отнесенные к коммерческой тайне, и конфиденциальную информацию, представленную в виде баз учетно-аналитических данных;

· средства и системы информатизации – технические средства, используемые в информационных процессах (средства вычислительной и организационной техники, информативные и физические поля компьютеров, общесистемное и прикладное программное обеспечение, в целом автоматизированные системы учетных и финансовых данных предприятий)[4].

Угроза информационной безопасности финансового менеджмента заключается в потенциально возможном действии, которое посредством воздействия на компоненты учетной системы может привести к нанесению ущерба владельцам информационных ресурсов или пользователям системы.

Правовой режим информационных ресурсов определяется нормами, устанавливающими:

· порядок документирования информации;

· право собственности на отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах[5];

· категорию информации по уровню доступа к ней;

· порядок правовой защиты информации.

Основный принцип, нарушаемый при реализации информационной угрозы в финансовом менеджменте, – это принцип документирования информации[6]. Документ, полученный из автоматизированной информационной системы учета, приобретает юридическую силу после его подписания должностным лицом в порядке, установленном законодательством Российской Федерации.

Все множество потенциальных угроз в финансовом менеджменте по природе их возникновения можно разделить на два класса: естественные (объективные) и искусственные.

Естественные угрозы вызываются объективными причинами, как правило, не зависящими от бухгалтера и финансиста, ведущими к полному или частичному уничтожению бухгалтерии вместе с ее компонентами. К таким стихийным явлениям относятся: землетрясения, удары молнией, пожары и т.п.

Искусственные угрозы связаны с деятельностью людей. Их можно разделить на непреднамеренные (неумышленные), вызванные способностью сотрудников делать какие-либо ошибки в силу невнимательности, либо усталости, болезненного состояния и т.п. Например, бухгалтер при вводе сведений в компьютер может нажать не ту клавишу, сделать неумышленные ошибки в программе, занести вирус, случайно разгласить пароли.

Преднамеренные (умышленные) угрозы связаны с корыстными устремлениями людей – злоумышленников, намеренно создающих недостоверные документы.

Угрозы безопасности с точки зрения их направленности можно подразделить на следующие группы:

· угрозы проникновения и считывания данных из баз учетных данных и компьютерных программ их обработки;

· угрозы сохранности учетных данных, приводящие либо к их уничтожению, либо к изменению, в том числе фальсификация платежных документов (платежных требований, поручений и т.п.);

· угрозы доступности данных, возникающие, когда пользователь не может получить доступа к учетным данным;

· угроза отказа от выполнения операций, когда один пользователь передает сообщение другому, а затем не подтверждает переданные данные.

В зависимости от источника угроз их можно подразделить на внутренние и внешние.

Источником внутренних угроз является деятельность персонала организации. Внешние угрозы приходят извне от сотрудников других организаций, от хакеров и прочих лиц.

Внешние угрозы можно подразделить на:

· локальные, которые предполагают проникновение нарушителя на территорию организации и получение им доступа к отдельному компьютеру или локальной сети;

· удаленные угрозы характерны для систем, подключенных к глобальным сетям (Internet, система международных банковских расчетов SWIFT и др.).

Такие опасности возникают чаще всего в системе электронных платежей при расчетах поставщиков с покупателями, использовании в расчетах сетей Internet. Источники таких информационных атак могут находиться за тысячи километров. Причем воздействию подвергаются не только ЭВМ, но и бухгалтерская информация.

Умышленными и неумышленными ошибками в учете, приводящими к увеличению учетного риска, являются следующие:

· ошибки в записи учетных данных;

· неверные коды;

· несанкционированные учетные операции;

· нарушение контрольных лимитов;

· пропущенные учетные записи;

· ошибки при обработке или выводе данных;

· ошибки при формировании или корректировке справочников;

· неполные учетные записи;

· неверное отнесение записей по периодам;

· фальсификация данных;

· нарушение требований нормативных актов;

· нарушение принципов учетной политики;

· несоответствие качества услуг потребностям пользователей.

Незащищенные учетные и финансовые данные приводят к серьезным недостаткам в системе управления предприятием:

· множеству недокументированных эпизодов управления;

· отсутствию у руководства целостной картины происходящего на предприятии в отдельных структурных подразделениях;

· задержки в получении актуальной на момент принятия решения информации;

· разногласиям между структурными подразделениями и отдельными исполнителями, совместно выполняющими работу, проистекающими из-за плохой взаимной информированности о состоянии деловых процессов;

· жалобам сотрудников всех уровней на информационные перегрузки;

· неприемлемым срокам разработки и рассылки деловых документов;

· длительным срокам получения ретроспективной информации, накопленной на предприятии;

· сложностям получения информации о текущем состоянии документа или делового процесса;

· нежелательной утечке информации, происходящей вследствие неупорядоченного хранения больших объемов документов.

Особую опасность представляют сведения, составляющие коммерческую тайну и относящиеся к учетной и отчетной информации (данные о партнерах, клиентах, банках, аналитическая информация о деятельности на рынке)[7]. Чтобы эта и аналогичная информация была защищена, необходимо оформить договора с сотрудниками бухгалтерии, финансовых служб и других экономических подразделений с указанием перечня сведений, не подлежащих огласке.

Защита информации в автоматизированных учетных и финансовых системах строится исходя из следующих основных принципов:

1. Обеспечение физического разделения областей, предназначенных для обработки секретной и несекретной информации.

2. Обеспечение криптографической защиты информации.

3. Обеспечение аутентификации абонентов и абонентских установок.

4. Обеспечение разграничения доступа субъектов и их процессов к информации.

5. Обеспечение установления подлинности и целостности документальных сообщений при их передаче по каналам связи.

6. Обеспечение защиты от отказов от авторства и содержания электронных документов.

7. Обеспечение защиты оборудования и технических средств системы, помещений, где они размещаются, от утечки конфиденциальной информации по техническим каналам.

8. Обеспечение защиты шифротехники, оборудования, технических и программных средств от утечки информации за счет аппаратных и программных закладок.

9. Обеспечение контроля целостности программной и информационной части автоматизированной системы.

10. Использование в качестве механизмов защиты только отечественных разработок.

11. Обеспечение организационно-режимных мер защиты. Целесообразно использование и дополнительных мер по обеспечению безопасности связи в системе.

12. Организация защиты сведений об интенсивности, продолжительности и трафиках обмена информации.

13. Использование для передачи и обработки информации каналов и способов, затрудняющих перехват.

Защита информации от несанкционированного доступа направлена на формирование у защищаемой информации трех основных свойств:

· конфиденциальность (засекреченная информация должна быть доступна только тому, кому она предназначена);

· целостность (информация, на основе которой принимаются важные решения, должна быть достоверной, точной и полностью защищенной от возможных непреднамеренных и злоумышленных искажений);

· готовность (информация и соответствующие информационные службы должны быть доступны, готовы к обслуживанию заинтересованных лиц всегда, когда в них возникает необходимость).

Методами обеспечения защиты учетной информации являются: препятствия; управление доступом, маскировка, регламентация, принуждение, побуждение.

Препятствием нужно считать метод физического преграждения пути злоумышленника к защищаемой учетной информации. Этот метод реализуется пропускной системой предприятия, включая наличие охраны на входе в него, преграждение пути посторонних лиц в бухгалтерию, кассу и пр.

Управлением доступом является метод защиты учетной и отчетной информации, реализуемой за счет:

· идентификации пользователей информационной системы. (Каждый пользователь получает собственный персональный идентификатор);

· аутентификации – установления подлинности объекта или субъекта по предъявленному им идентификатору (осуществляется путем сопоставления введенного идентификатора с хранящимся в памяти компьютера);

· проверки полномочий – проверки соответствия запрашиваемых ресурсов и выполняемых операций по выделенным ресурсам и разрешенным процедурам;

· регистрации обращений к защищаемым ресурсам;

· информирования и реагирования при попытках несанкционированных действий. (Криптография – способ защиты с помощью преобразования информации (шифрования)).

Маскировка – метода криптографической защиты информации в автоматизированной информационной системе предприятия;

Принуждение – метод защиты информации ввиду угрозы материальной, административной или уголовной ответственности. Последнее реализуется тремя статьями Уголовного кодекса:

«Неправомерный доступ к компьютерной информации» (ст. 272);

«Создание, использование и распространение вредоносных программ для ЭВМ» (ст. 273);

Нарушение правил эксплуатации ЭВМ, систем ЭВМ или их сетей. (ст. 274).

Побуждение – метод защиты информации путем соблюдения пользователями сложившихся морально-этических норм в коллективе предприятия. К морально-этическим средствам относятся, в частности, Кодекс профессионального поведения членов ассоциации пользователей ЭВМ в США.

Юридическая сила документа, хранимого, обрабатываемого и передаваемого с помощью автоматизированных и телекоммуникационных систем, может подтверждаться электронной цифровой подписью.

При передаче документов (платежных поручений, контрактов, распоряжений) по компьютерным сетям необходимо доказательство истинности того, что документ был действительно создан и отправлен автором, а не фальсифицирован или модифицирован получателем или каким-либо третьим лицом. Кроме того, существует угроза отрицания авторства отправителем с целью снятия с себя ответственности за передачу документа. Для защиты от таких угроз в практике обмена финансовыми документами используются методы аутентификации сообщений при отсутствии у сторон доверия друг к другу. Документ (сообщение) дополняется цифровой подписью и секретным криптографическим ключом. Подделка подписей без знания ключа посторонними лицами исключается и неопровержимо свидетельствует об авторстве.

Юридическая сила электронной цифровой подписи признается при наличии в автоматизированной информационной системе программно-технических средств, обеспечивающих идентификацию подписи, и соблюдении установленного режима их использования. Бухгалтер (пользователь) подписывает электронной цифровой подписью с использованием личного ключа, известного только ему, документы, передает их в соответствии со схемой документооборота, а аппаратно-программная система производит проверку подписи. Конфиденциальные документы могут шифроваться на индивидуальных ключах и недоступны для злоумышленников. Система основывается на отечественных стандартах и нормах делопроизводства, практике организации учета документов и контроля действий исполнителей в структурах любой формы собственности (государственной и негосударственной).

Защищенность финансовых данных дает возможность:

· обеспечить идентификацию/аутентификацию пользователя;

· определить для каждого пользователя функциональные права – права на выполнение тех или иных функций системы (в частности, на доступ к тем или иным журналам регистрации документов);

· определить для каждого документа уровень конфиденциальности, а для каждого пользователя – права доступа к документам различного уровня конфиденциальности;

· подтвердить авторство пользователя с помощью механизма электронной подписи;;

· обеспечить конфиденциальность документов путем их шифрования, а также шифрования всей информации, передающейся по открытым каналам связи (например, по электронной почте); шифрование производится с использованием сертифицированных криптографических средств;

· протоколировать все действия пользователей в журналах аудита (в журнале аудита входа и выхода из системы, журнале совершенных операций).

Подделка подписи без знания ключа злоумышленниками исключается. При защите учетной информации нужно соблюдать следующий принцип: если вы оцениваете информацию в 100000 рублей, то тратить 150000 рублей на ее защиту не стоит.

Средства контроля в автоматизированных финансовых системах размещаются в тех точках, где возможный риск способен обернуться убытками.

Такие точки называются «точками риска», или «контрольными точками». Это те точки, где контроль будет наиболее эффективным и вместе с тем наиболее экономичным. Но как бы ни были эффективны средства контроля, они не могут обеспечить стопроцентную гарантию, в частности, в силу неумышленных ошибок, когда человек вместо цифры 3 набирает цифру 9 или наоборот.

<< | >>
Источник: Кокин А.С., Ясенев В.Н., Яшина Н.И.. Методология и практика финансового менеджмента: Учебно-методиче­ское пособие. В 3 ч. Ч. III. — Н. Новгород: Нижегородский государственный университет им. Н.И. Лобачевского,2006. — 216 с.. 2006

Еще по теме 12.6. Защита финансовой информации:

  1. Е.Ф. Борисов. Хрестоматия по экономической теории / Сост. Е.Ф. Борисов. - М.: Юристъ, 2000. - 536 с., 2000