12.6. Защита финансовой информации
Новые информационные технологии в управлении финансами на базе современных ПЭВМ, с одной стороны, обеспечивают высокое качество выполняемых работ, а с другой, – создают множество угроз, приводящих к непредсказуемым и даже катастрофическим последствиям.
К числу таких угроз относятся следующие: проникновение посторонних лиц в базы учетных и финансовых данных, повсеместное распространение компьютерных вирусов, ошибочный ввод финансовых данных, ошибки в процессе проектирования и внедрения экономических систем и др. Противостоять возможной реализации угроз можно только приняв адекватные меры, которые способствуют обеспечению безопасности финансовой информации. В этой связи каждый финансист, использующий в своей работе компьютеры и средства связи, должен знать, от чего защищать информацию и как это делать.Под защитой финансовой информации понимается состояние защищенности информации и поддерживающей ее инфраструктуры (компьютеров, линий связи, систем электропитания и т.п.) от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям этой информации.
Понятие информационной безопасности финансовых данных в узком смысле этого слова подразумевает:
· надежность работы компьютера;
· сохранность ценных учетных данных;
· защиту учетной информации от внесения в нее изменений неуполномоченными лицами;
· сохранение документированных учетных сведений в электронной связи.
По мнению американских специалистов, снятие защиты информации с компьютерных сетей приведет к разорению 20% средних компаний в течение нескольких часов, 40% средних и 16% крупных компаний потерпят крах через несколько дней, 33% банков «лопнут» за 2-5 часов, 50% банков – через 2-3 дня.
К объектам информационной безопасности в управлении денежными потоками относятся:
· информационные ресурсы, содержащие сведения, отнесенные к коммерческой тайне, и конфиденциальную информацию, представленную в виде баз учетно-аналитических данных;
· средства и системы информатизации – технические средства, используемые в информационных процессах (средства вычислительной и организационной техники, информативные и физические поля компьютеров, общесистемное и прикладное программное обеспечение, в целом автоматизированные системы учетных и финансовых данных предприятий)[4].
Угроза информационной безопасности финансового менеджмента заключается в потенциально возможном действии, которое посредством воздействия на компоненты учетной системы может привести к нанесению ущерба владельцам информационных ресурсов или пользователям системы.
Правовой режим информационных ресурсов определяется нормами, устанавливающими:
· порядок документирования информации;
· право собственности на отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах[5];
· категорию информации по уровню доступа к ней;
· порядок правовой защиты информации.
Основный принцип, нарушаемый при реализации информационной угрозы в финансовом менеджменте, – это принцип документирования информации[6]. Документ, полученный из автоматизированной информационной системы учета, приобретает юридическую силу после его подписания должностным лицом в порядке, установленном законодательством Российской Федерации.
Все множество потенциальных угроз в финансовом менеджменте по природе их возникновения можно разделить на два класса: естественные (объективные) и искусственные.
Естественные угрозы вызываются объективными причинами, как правило, не зависящими от бухгалтера и финансиста, ведущими к полному или частичному уничтожению бухгалтерии вместе с ее компонентами. К таким стихийным явлениям относятся: землетрясения, удары молнией, пожары и т.п.
Искусственные угрозы связаны с деятельностью людей. Их можно разделить на непреднамеренные (неумышленные), вызванные способностью сотрудников делать какие-либо ошибки в силу невнимательности, либо усталости, болезненного состояния и т.п. Например, бухгалтер при вводе сведений в компьютер может нажать не ту клавишу, сделать неумышленные ошибки в программе, занести вирус, случайно разгласить пароли.
Преднамеренные (умышленные) угрозы связаны с корыстными устремлениями людей – злоумышленников, намеренно создающих недостоверные документы.
Угрозы безопасности с точки зрения их направленности можно подразделить на следующие группы:
· угрозы проникновения и считывания данных из баз учетных данных и компьютерных программ их обработки;
· угрозы сохранности учетных данных, приводящие либо к их уничтожению, либо к изменению, в том числе фальсификация платежных документов (платежных требований, поручений и т.п.);
· угрозы доступности данных, возникающие, когда пользователь не может получить доступа к учетным данным;
· угроза отказа от выполнения операций, когда один пользователь передает сообщение другому, а затем не подтверждает переданные данные.
В зависимости от источника угроз их можно подразделить на внутренние и внешние.
Источником внутренних угроз является деятельность персонала организации. Внешние угрозы приходят извне от сотрудников других организаций, от хакеров и прочих лиц.
Внешние угрозы можно подразделить на:
· локальные, которые предполагают проникновение нарушителя на территорию организации и получение им доступа к отдельному компьютеру или локальной сети;
· удаленные угрозы характерны для систем, подключенных к глобальным сетям (Internet, система международных банковских расчетов SWIFT и др.).
Такие опасности возникают чаще всего в системе электронных платежей при расчетах поставщиков с покупателями, использовании в расчетах сетей Internet. Источники таких информационных атак могут находиться за тысячи километров. Причем воздействию подвергаются не только ЭВМ, но и бухгалтерская информация.
Умышленными и неумышленными ошибками в учете, приводящими к увеличению учетного риска, являются следующие:
· ошибки в записи учетных данных;
· неверные коды;
· несанкционированные учетные операции;
· нарушение контрольных лимитов;
· пропущенные учетные записи;
· ошибки при обработке или выводе данных;
· ошибки при формировании или корректировке справочников;
· неполные учетные записи;
· неверное отнесение записей по периодам;
· фальсификация данных;
· нарушение требований нормативных актов;
· нарушение принципов учетной политики;
· несоответствие качества услуг потребностям пользователей.
Незащищенные учетные и финансовые данные приводят к серьезным недостаткам в системе управления предприятием:
· множеству недокументированных эпизодов управления;
· отсутствию у руководства целостной картины происходящего на предприятии в отдельных структурных подразделениях;
· задержки в получении актуальной на момент принятия решения информации;
· разногласиям между структурными подразделениями и отдельными исполнителями, совместно выполняющими работу, проистекающими из-за плохой взаимной информированности о состоянии деловых процессов;
· жалобам сотрудников всех уровней на информационные перегрузки;
· неприемлемым срокам разработки и рассылки деловых документов;
· длительным срокам получения ретроспективной информации, накопленной на предприятии;
· сложностям получения информации о текущем состоянии документа или делового процесса;
· нежелательной утечке информации, происходящей вследствие неупорядоченного хранения больших объемов документов.
Особую опасность представляют сведения, составляющие коммерческую тайну и относящиеся к учетной и отчетной информации (данные о партнерах, клиентах, банках, аналитическая информация о деятельности на рынке)[7]. Чтобы эта и аналогичная информация была защищена, необходимо оформить договора с сотрудниками бухгалтерии, финансовых служб и других экономических подразделений с указанием перечня сведений, не подлежащих огласке.
Защита информации в автоматизированных учетных и финансовых системах строится исходя из следующих основных принципов:
1. Обеспечение физического разделения областей, предназначенных для обработки секретной и несекретной информации.
2. Обеспечение криптографической защиты информации.
3. Обеспечение аутентификации абонентов и абонентских установок.
4. Обеспечение разграничения доступа субъектов и их процессов к информации.
5. Обеспечение установления подлинности и целостности документальных сообщений при их передаче по каналам связи.
6. Обеспечение защиты от отказов от авторства и содержания электронных документов.
7. Обеспечение защиты оборудования и технических средств системы, помещений, где они размещаются, от утечки конфиденциальной информации по техническим каналам.
8. Обеспечение защиты шифротехники, оборудования, технических и программных средств от утечки информации за счет аппаратных и программных закладок.
9. Обеспечение контроля целостности программной и информационной части автоматизированной системы.
10. Использование в качестве механизмов защиты только отечественных разработок.
11. Обеспечение организационно-режимных мер защиты. Целесообразно использование и дополнительных мер по обеспечению безопасности связи в системе.
12. Организация защиты сведений об интенсивности, продолжительности и трафиках обмена информации.
13. Использование для передачи и обработки информации каналов и способов, затрудняющих перехват.
Защита информации от несанкционированного доступа направлена на формирование у защищаемой информации трех основных свойств:
· конфиденциальность (засекреченная информация должна быть доступна только тому, кому она предназначена);
· целостность (информация, на основе которой принимаются важные решения, должна быть достоверной, точной и полностью защищенной от возможных непреднамеренных и злоумышленных искажений);
· готовность (информация и соответствующие информационные службы должны быть доступны, готовы к обслуживанию заинтересованных лиц всегда, когда в них возникает необходимость).
Методами обеспечения защиты учетной информации являются: препятствия; управление доступом, маскировка, регламентация, принуждение, побуждение.
Препятствием нужно считать метод физического преграждения пути злоумышленника к защищаемой учетной информации. Этот метод реализуется пропускной системой предприятия, включая наличие охраны на входе в него, преграждение пути посторонних лиц в бухгалтерию, кассу и пр.
Управлением доступом является метод защиты учетной и отчетной информации, реализуемой за счет:
· идентификации пользователей информационной системы. (Каждый пользователь получает собственный персональный идентификатор);
· аутентификации – установления подлинности объекта или субъекта по предъявленному им идентификатору (осуществляется путем сопоставления введенного идентификатора с хранящимся в памяти компьютера);
· проверки полномочий – проверки соответствия запрашиваемых ресурсов и выполняемых операций по выделенным ресурсам и разрешенным процедурам;
· регистрации обращений к защищаемым ресурсам;
· информирования и реагирования при попытках несанкционированных действий. (Криптография – способ защиты с помощью преобразования информации (шифрования)).
Маскировка – метода криптографической защиты информации в автоматизированной информационной системе предприятия;
Принуждение – метод защиты информации ввиду угрозы материальной, административной или уголовной ответственности. Последнее реализуется тремя статьями Уголовного кодекса:
«Неправомерный доступ к компьютерной информации» (ст. 272);
«Создание, использование и распространение вредоносных программ для ЭВМ» (ст. 273);
Нарушение правил эксплуатации ЭВМ, систем ЭВМ или их сетей. (ст. 274).
Побуждение – метод защиты информации путем соблюдения пользователями сложившихся морально-этических норм в коллективе предприятия. К морально-этическим средствам относятся, в частности, Кодекс профессионального поведения членов ассоциации пользователей ЭВМ в США.
Юридическая сила документа, хранимого, обрабатываемого и передаваемого с помощью автоматизированных и телекоммуникационных систем, может подтверждаться электронной цифровой подписью.
При передаче документов (платежных поручений, контрактов, распоряжений) по компьютерным сетям необходимо доказательство истинности того, что документ был действительно создан и отправлен автором, а не фальсифицирован или модифицирован получателем или каким-либо третьим лицом. Кроме того, существует угроза отрицания авторства отправителем с целью снятия с себя ответственности за передачу документа. Для защиты от таких угроз в практике обмена финансовыми документами используются методы аутентификации сообщений при отсутствии у сторон доверия друг к другу. Документ (сообщение) дополняется цифровой подписью и секретным криптографическим ключом. Подделка подписей без знания ключа посторонними лицами исключается и неопровержимо свидетельствует об авторстве.
Юридическая сила электронной цифровой подписи признается при наличии в автоматизированной информационной системе программно-технических средств, обеспечивающих идентификацию подписи, и соблюдении установленного режима их использования. Бухгалтер (пользователь) подписывает электронной цифровой подписью с использованием личного ключа, известного только ему, документы, передает их в соответствии со схемой документооборота, а аппаратно-программная система производит проверку подписи. Конфиденциальные документы могут шифроваться на индивидуальных ключах и недоступны для злоумышленников. Система основывается на отечественных стандартах и нормах делопроизводства, практике организации учета документов и контроля действий исполнителей в структурах любой формы собственности (государственной и негосударственной).
Защищенность финансовых данных дает возможность:
· обеспечить идентификацию/аутентификацию пользователя;
· определить для каждого пользователя функциональные права – права на выполнение тех или иных функций системы (в частности, на доступ к тем или иным журналам регистрации документов);
· определить для каждого документа уровень конфиденциальности, а для каждого пользователя – права доступа к документам различного уровня конфиденциальности;
· подтвердить авторство пользователя с помощью механизма электронной подписи;;
· обеспечить конфиденциальность документов путем их шифрования, а также шифрования всей информации, передающейся по открытым каналам связи (например, по электронной почте); шифрование производится с использованием сертифицированных криптографических средств;
· протоколировать все действия пользователей в журналах аудита (в журнале аудита входа и выхода из системы, журнале совершенных операций).
Подделка подписи без знания ключа злоумышленниками исключается. При защите учетной информации нужно соблюдать следующий принцип: если вы оцениваете информацию в 100000 рублей, то тратить 150000 рублей на ее защиту не стоит.
Средства контроля в автоматизированных финансовых системах размещаются в тех точках, где возможный риск способен обернуться убытками.
Такие точки называются «точками риска», или «контрольными точками». Это те точки, где контроль будет наиболее эффективным и вместе с тем наиболее экономичным. Но как бы ни были эффективны средства контроля, они не могут обеспечить стопроцентную гарантию, в частности, в силу неумышленных ошибок, когда человек вместо цифры 3 набирает цифру 9 или наоборот.