3. Угрозы доступности данных.

Возникают в том случае, когда объект (пользователь или процесс) не получает доступа к законно выделенным ему службам или ресурсам. Эта угроза реализуется захватом всех ресурсов, блокированием линий связи несанкционированным объектом в результате передачи по ним своей информации или исключением необходимой системной информации.

Эта угроза может привести к ненадежности или плохому качеству обслуживания в системе и, следовательно, потенциально будет влиять на достоверность и своевременность доставки информации.

4. Угрозы отказа от выполнения транзакций.

Возникают в том случае, когда легальный пользователь передает или принимает информацию, а потом отрицает это, чтобы снять с себя ответственность.

Угрозы информационной безопасности могут обуславливаться как человеческими факторами, так и человеко-машинными и машинными факторами.

Человеческие факторы свою очередь подразделяются на: пассивные угрозы (угрозы, вызванные деятельностью, носящей случайный, неумышленный характер) и активные угрозы (угрозы, обусловленные умышленными, преднамеренными действиями людей).

Человеко-машинные и машинные факторы подразделяются на:

Пассивные угрозы. Это угрозы, связанные:

с ошибками процесса проектирования, разработки и изготовления систем и их компонентов;

с ошибками в работе аппаратуры из-за некачественного ее изготовления; с ошибками процесса подготовки и обработки информации.

Активные угрозы. Это: угрозы, связанные с несанкционированным доступом к ресурсам информационной системы;

угрозы, реализуемые бесконтактным способом (сбор электромагнитных излучений, перехват сигналов, наводимых в цепях, визуально-оптические способы добычи информации, подслушивание служебных разговоров и т. п.).

Вот основная информация по угрозам, можно было конечно много еще чего написать и про угрозы молний и ураганов – но это все мелочи, от которых достаточно просто защититься, главная угроза, практически в любой системе был и остается человек.

№28. Программно-технические меры информационной безопасности. Законодательный уровень информационной безопасности.

ИБ – это свойство защищенности И от нежелательного для соответствующих субъектов информационных отношений ее разглашения, искажения, утраты или снижения степени доступности И, а также незаконного ее тиражирования. Это состояние защищенности не является фиксированным, его постоянно необходимо поддерживать: проверять, настраивать, испытывать, правильно эксплуатировать. Одним из важнейших аспектов проблемы обеспечения безопасности компьютерных систем является определение, анализ и классификация возможных угроз безопасности автоматизированных систем. Под угрозой обычно понимают потенциально возможное событие, действие (воздействие), процесс или явление, которое может привести к нанесению ущерба чьим-либо интересам. Основными видами угроз безопасности АС и И являются: стихийные бедствия и аварии; сбои и отказы оборудования АС; последствия ошибок проектирования и разработки компонентов АС; ошибки эксплуатации; преднамеренные действия нарушителей и злоумышленников. Основные уровни защиты ИС: 1. Законодательный (правовой) – законодательная база регулируется Конституцией РФ. 2. Организационный – подбор персонала, организация работ. 3. Инженерно-технический – охрана, наличие защищенных окон, средства противодействия. Методы обеспечения ИБ: 1. Средства идентификации и аутентификации. При попытке доступа к информационным активам функция идентификации дает ответ на вопрос: "Кто выN" и "Где выN" - являетесь ли вы авторизованным пользователем сети. Функция авторизации отвечает за то, к каким ресурсам конкретный пользователь имеет доступ. Функция администрирования заключается в наделении пользователя определенными идентификационными особенностями в рамках данной сети и определении объема допустимых для него действий. 2. Средства шифрования И, хранящейся на компьютерах и передаваемой по сетям. Системы шифрования позволяют минимизировать потери в случае несанкционированного доступа к Д, хранящимся на жестком диске или ином носителе, а также перехвата И при ее пересылке по электронной почте или передаче по сетевым протоколам. Задача данного средства защиты - обеспечение конфиденциальности. 3. Межсетевые экраны. Межсетевой экран представляет собой систему или комбинацию систем, образующую между двумя или более сетями защитный барьер, предохраняющий от несанкционированного попадания в сеть или выхода из нее пакетов данных. Основной принцип действия межсетевых экранов - проверка каждого пакета данных на соответствие входящего и исходящего IP-адреса базе разрешенных адресов. Таким образом, межсетевые экраны значительно расширяют возможности сегментирования информационных сетей и контроля за циркулированием Д. 4. Виртуальные частные сети. Их использование позволяет решить проблемы конфиденциальности и целостности Д при их передаче по открытым коммуникационным каналам. 5. Средства контентной фильтрации. Эффективное средство защиты от потери конфиденциальной информации - фильтрация содержимого входящей и исходящей электронной почты. Проверка самих почтовых сообщений и вложений в них на основе правил, установленных в организации. Средства контентной фильтрации позволяют проверять файлы всех распространенных форматов, в том числе сжатые и графические. При этом пропускная способность сети практически не меняется. 6. Инструменты проверки целостности содержимого дисков. Все изменения на рабочей станции или на сервере могут быть отслежены администратором сети благодаря технологии проверки целостности содержимого жесткого диска. Это позволяет обнаруживать любые действия с файлами и идентифицировать активность вирусов, несанкционированный доступ или кражу Д. 7. Средства антивирусной защиты. Современные антивирусные технологии позволяют выявить практически все уже известные вирусные программы через сравнение кода подозрительного файла с образцами, хранящимися в антивирусной базе. Кроме того, разработаны технологии моделирования поведения, позволяющие обнаруживать вновь создаваемые вирусные программы. Обнаруживаемые объекты могут подвергаться лечению, изолироваться или удаляться. Защита от вирусов может быть установлена на рабочие станции, файловые и почтовые сервера, межсетевые экраны, работающие под практически любой из распространенных операционных систем (Windows, Unix и Linux-системы, Novell) на процессорах различных типов. 8.Системы обнаружения уязвимостей сетей и анализаторы сетевых атак. Подобные программные средства безопасно моделируют распространенные атаки и способы вторжения и определяют, что именно хакер может увидеть в сети и как он может использовать ее ресурсы. 9. Резервное архивирование. В деле обеспечения ИБ успех может принести только комплексный подход. Для защиты интересов субъектов информационных отношений необходимо сочетать меры следующих уровней: законодательного; административного; процедурного; программно-технического. Законодательный уровень является важнейшим для обеспечения ИБ. Самое важное на законодательном уровне - создать механизм, позволяющий согласовать процесс разработки законов с реалиями и прогрессом информационных технологий. Законы не могут опережать жизнь, но важно, чтобы отставание не было слишком большим, так как на практике, помимо прочих отрицательных моментов, это ведет к снижению ИБ. Есть система законов, направленная на защиту информации: закон «О связи», закон «О защите авторских прав». В современном мире глобальных сетей нормативно-правовая база должна быть согласована с международной практикой. Особое внимание следует обратить на то, что желательно привести российские стандарты и сертификационные нормативы в соответствие с международным уровнем информационных технологий вообще и ИБ в частности. Есть целый ряд оснований для того, чтобы это сделать. Одно из них - необходимость защищенного взаимодействия с зарубежными организациями и зарубежными филиалами российских компаний. Второе (более существенное) - доминирование аппаратно-программных продуктов зарубежного производства.

В литературе предлагается следующая классификация средств защиты информации.[11]

Средства защиты от несанкционированного доступа (НСД):

Средства авторизации;

Мандатное управление доступом;

Избирательное управление доступом;

Управление доступом на основе ролей;

Журналирование (так же называется Аудит).

Системы анализа и моделирования информационных потоков (CASE-системы).

Системы мониторинга сетей:

Системы обнаружения и предотвращения вторжений (IDS/IPS).

Системы предотвращения утечек конфиденциальной информации (DLP-системы).

Анализаторы протоколов.

Антивирусные средства.

Межсетевые экраны.

Криптографические средства:

Шифрование;

Цифровая подпись.

Системы резервного копирования.

Системы бесперебойного питания:

Источники бесперебойного питания;

Резервирование нагрузки;

Генераторы напряжения.

Системы аутентификации:

Пароль;

Ключ доступа (физический или электронный);

Сертификат;

Биометрия.

Средства предотвращения взлома корпусов и краж оборудования.

Средства контроля доступа в помещения.

Инструментальные средства анализа систем защиты:

Мониторинговый программный продукт.

В деле обеспечения информационной безопасности успех может принести только комплексный подход. Мы уже указывали, что для защиты интересов субъектов информационных отношений необходимо сочетать меры следующих уровней:

• Законодательного;

• Административного (приказы и другие действия руководства организаций, связанных с защищаемыми информационными системами);

• Процедурного (меры безопасности, ориентированные на людей);

• Программно-технического.

Законодательный уровень является важнейшим для обеспечения информационной безопасности. Большинство людей не совершают противоправных действий не потому, что это технически невозможно, а потому, что это осуждается и/или наказывается обществом, потому, что так поступать не принято.

Мы будем различать на законодательном уровне две группы мер:

• Меры, направленные на создание и поддержание в обществе негативного (в том числе с применением наказаний) отношения к нарушениям и нарушителям информационной безопасности (назовем их мерами ограничительной направленности);

• Направляющие и координирующие меры, способствующие повышению образованности общества в области информационной безопасности, помогающие в разработке и распространении средств обеспечения информационной безопасности (меры созидательной направленности).

На практике обе группы мер важны в равной степени, но хотелось бы выделить аспект осознанного соблюдения норм и правил ИБ. Это важно для всех субъектов информационных отношений, поскольку рассчитывать только на защиту силами правоохранительных органов было бы наивно. Необходимо это и тем, в чьи обязанности входит наказывать нарушителей, поскольку обеспечить доказательность при расследовании и судебном разбирательстве компьютерных преступлений без специальной подготовки невозможно.

Самое важное (и, вероятно, самое трудное) на законодательном уровне - создать механизм, позволяющий согласовать процесс разработки законов с реалиями и прогрессом информационных технологий. Законы не могут опережать жизнь, но важно, чтобы отставание не было слишком большим, так как на практике, помимо прочих отрицательных моментов, это ведет к снижению информационной безопасности.

8.2 Обзор российского законодательства в области информационной безопасности

Основным законом Российской Федерации является Конституция, принятая 12 декабря 1993 года.

В соответствии со статьей 24 Конституции, органы государственной власти и органы местного самоуправления, их должностные лица обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом.

Статья 41 гарантирует право на знание фактов и обстоятельств, создающих угрозу для жизни и здоровья людей, статья 42 - право на знание достоверной информации о состоянии окружающей среды.

В принципе, право на информацию может реализовываться средствами бумажных технологий, но в современных условиях наиболее практичным и удобным для граждан является создание соответствующими законодательными, исполнительными и судебными органами информационных серверов и поддержание доступности и целостности представленных на них сведений, то есть обеспечение их (серверов) информационной безопасности.

Статья 23 Конституции гарантирует право на личную и семейную тайну, на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, статья 29 - право свободно искать, получать, передавать, производить и распространять информацию любым законным способом. Современная интерпретация этих положений включает обеспечение конфиденциальности данных, в том числе в процессе их передачи по компьютерным сетям, а также доступ к средствам защиты информации.

В Гражданском кодексе Российской Федерации (в своем изложении мы опираемся на редакцию от 15 мая 2001 года) фигурируют такие понятия, как банковская, коммерческая и служебная тайна. Согласно статье 139, информация составляет служебную или коммерческую тайну в случае, когда информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании, и обладатель информации принимает меры к охране ее конфиденциальности. Это подразумевает, как минимум, компетентность в вопросах ИБ и наличие доступных (и законных) средств обеспечения конфиденциальности.

Весьма продвинутым в плане информационной безопасности является Уголовный кодекс Российской Федерации (редакция от 14 марта 2002 года). Глава 28 - "Преступления в сфере компьютерной информации" - содержит три статьи:

• статья 272. Неправомерный доступ к компьютерной информации;

• статья 273. Создание, использование и распространение вредоносных программ для ЭВМ;

• статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети.

Первая имеет дело с посягательствами на конфиденциальность, вторая - с вредоносным ПО, третья - с нарушениями доступности и целостности, повлекшими за собой уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ. Включение в сферу действия УК РФ вопросов доступности информационных сервисов представляется нам очень своевременным.

Статья 138 УК РФ, защищая конфиденциальность персональных данных, предусматривает наказание за нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений. Аналогичную роль для банковской и коммерческой тайны играет статья 183 УК РФ.

Интересы государства в плане обеспечения конфиденциальности информации нашли наиболее полное выражение в Законе "О государственной тайне" (с изменениями и дополнениями от 6 октября 1997 года). В нем гостайна определена как защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации. Там же дается определение средств защиты информации. Согласно данному Закону, это технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну; средства, в которых они реализованы, а также средства контроля эффективности защиты информации. Подчеркнем важность последней части определения.

№29 Понятие бухгалтерских информационных систем. Основы построения автоматизированных информационных систем бух. Учета.

АИС – это система, в которой информационный процесс управления автоматизирован за счет применения специальных методов обработки Д, использующих комплекс вычислительных, коммуникационных и других технических средств, в целях получения и доставки результативной И пользователю-специалисту для выполнения возложенных на него функций управления. Решения в системе управления принимаются людьми на основе И, являющейся продуктом ИС. Одно из важнейших мест в ИС предприятий занимает функция БУ. Для выполнения в полном объеме функций БУ в управлении предприятием и для составления отчетности, предоставляемой внешним пользователям, необходимо осуществлять сбор, регистрацию, передачу, накопление, хранение и обработку учетных Д. Для реализации этого информационного процесса требуются соответствующие формы организации работы, технические средства, методы и способы преобразования Д, а также персонал определенной квалификации. Все это составляет автоматизированную ИС БУ, которая является неотъемлемой частью АИС предприятия. АИС_БУ – это система, в которой информационный процесс БУ автоматизирован за счет применения специальных методов обработки Д, использующих комплекс вычислительных, коммуникационных и других технических средств, в целях получения и доставки И, необходимой специалистам- бухгалтерам для выполнения функций управленческого и финансового учета. По сравнению с определением АИС, здесь ограничивается предметная область, в качестве которой выступает БУ как функция управления предприятием. АИС-БУ как составная часть АИС содержит три основные компоненты: информацию как предмет и продукт труда; средства, методы и способы переработки информации; персонал, который реализует информационный процесс учета, используя имеющиеся средства обработки информации. Процедуры сбора, регистрации, передачи, накопления, хранения и обработки И составляют информационный процесс БУ. С технологической точки зрения процедуры информационного процесса детализируются, выстраиваются в определенной последовательности в технологический процесс и реализуются посредством технических и программных средств, методов и способов преобразования И, что и составляет информационную технологию конкретной предметной области. Для реализации информационной технологии АИС-БУ имеет набор компонент, которые называются обеспечивающими. К обеспечивающим компонентам АИС-БУ относятся: информационное, техническое, математическое, программное, лингвистическое, организационное, технологическое, правовое и методическое обеспечение. Функциональная часть АИС-БУ отражает задачи, призванные формировать полную и достоверную И о производственно-хозяйственной деятельности предприятия и его имущественном положении, необходимую внутренним и внешним пользователям. Традиционно в ИС_БУ выделяются комплексы задач учета: основных средств, материальных ценностей, труда и заработной платы. Для АИС-БУ характерны развитые внутренние и внешние информационные связи. Внутренние информационные связи существуют между задачами внутри отдельных комплексов, а также между самими комплексами. Внешние информационные связи АИС-БУ проявляются в использовании данных ИС других подразделений предприятия, а также внешних организаций.

№30 Понятие банковских информационных систем. Основы построения автоматизированных информационных систем бухгалтерского учета.

Информационная банковская технология - процесс преобразования банковской И на основе методов сбора, регистрации, передачи, хранения и обработки данных в целях обеспечения подготовки, принятия и реализации управленческого решения с использованием средств персональной и вычислительной техники. В финансово-кредитной системе ИБТ способствуют своевременному и качественному выполнению банковских функций, а также значительно повышают уровень управления как банковской системой в целом, так и каждым банком и являются практической реализацией ИБС, но сама технология без соответствующей системы будет неэффективна, а в современных условиях и нежизнеспособна. Структуризация ИБС предусматривает выделение элементов по функциональным признакам объекта, например выделение модулей системы (модуль расчетно-кассового обслуживания, модуль учета коммерческих кредитов, модуль учета депозитов и т.д.). Таким образом, структура современной ИБС представляет собой набор функциональных модулей, построенных в едином технологическом ключе, объединенных вокруг единого финансового ядра и работающих на единой аппаратно-программной платформе. Принципы построения систем автоматизации в банках: 1.Комплексный подход в охвате широкого спектра банковских функций с их полной интеграцией. 2. Модульный принцип построения, позволяющий легко конфигурировать системы под конкретный заказ с последующим наращиванием. 3.Открытость технологий, способных взаимодействовать с различными внешними системами (системы телекоммуникации, финансового анализа), обеспечивать выбор программно-технической платформы и переносимость ее на другие аппаратные средства. 4. Многопользовательский доступ к данным в реальном времени и реализация функций в едином информационном пространстве. 5. Моделирование банка и его бизнес-процессов, возможность алгоритмических настроек бизнес-процессов. 6. Непрерывное развитие и совершенствование системы на основе ее реинжиниринга бизнес-процессов. 7. Принцип безопасности. При построении ИБС необходимо значительное внимание уделять вопросам безопасности и надежности функционирования системы. Современные ИБС построены по принципу распределенной обработки Д, поэтому они содержат мощные технические и программные средства, БД, а также средства телекоммуникации, создающие корпоративное информационное пространство банка. Отдельные компоненты системы по каналам связи обмениваются между собой данными, поэтому необходимо обеспечить надежность функционирования не только каждого из них, но и всей ИБС в целом. Под безопасностью ИБС понимается защищенность системы от случайного или преднамеренного вмешательства в нормальный процесс ее функционирования, а также от попыток хищения, модификации или разрушения ее компонентов. 8. Принцип эффективности. При внедрении ИБТ необходимо помнить и об эффективности. Автоматизация не должна быть разорительной для банка. Стоимость технологии не должна превышать эффект от ее внедрения. Поэтому при выборе технологии следует учитывать объем информации, наличие филиалов и отделений, количество клиентов и оказываемых услуг, необходимость взаимодействия с внешними системами, наличие возможности обмена данными с локальным программным обеспечением и системами, которые уже используются в кредитной организации.

№31 1С:Бухгалтерия 8. Общие принципы ведения учета

Основная задача "1С:Бухгалтерии 8" - это ведение учета и подготовка отчетности. Принципы ведения бухгалтерского учета, реализованные в "1С:Бухгалтерии 8", отвечают высоким требованиям надежности и эффективности, полностью соответствуют российскому законодательству и обеспечивают потребности бизнеса.В состав прикладного решения включен план счетов бухгалтерского учета, настроенный в соответствии с Приказом Минфина РФ "Об утверждении плана счетов бухгалтерского учета финансово-хозяйственной деятельности организаций и инструкции по его применению" от 31 октября 2000г. № 94н.Состав счетов, настройки аналитического, валютного, количественного, налогового учета, а также учета по подразделениям, позволяют учесть требования законодательства.Пользователь может самостоятельно управлять методикой учета в рамках настройки учетной политики и создавать новые субсчета. Изменения, вносимые в план счетов, сохраняются и после обновления программы.В традиционном бухгалтерском учете проводки используются для отражения хозяйственных операций только на счетах бухгалтерского учета. В прикладном решении "1С:Бухгалтерия 8" функции проводки расширены: проводка может использоваться для отражения хозяйственных операций в аналитическом учете. Это достигается путем использования в проводке дополнительных реквизитов — субконто. Субконто — это объект аналитического учета, например, контрагент, склад, работник и др. Виды субконто прикрепляются к счетам бухгалтерского учета непосредственно в плане счетов. Основным способом ведения учета в "1С:Бухгалтерии 8" является регистрация фактов хозяйственной деятельности с помощью документов. Альтернативным способом ведения учета является регистрация хозяйственных фактов с использованием типовых операций и ввода операций вручную. Существуют разнообразные способы для оптимизации текущей работы бухгалтеров. К этим способам можно отнести механизмы быстрого заполнения документов, Центр антикризисного управления, Монитор бухгалтера, Панель функций, Экспресс-проверка ведения учета. Для просмотра результатов текущей бухгалтерской работы предназначены стандартные отчеты. Стандартные отчеты являются эффективным механизмом использования сводных и детализированных данных бухгалтерского и налогового учета в текущей работе.

№32 1С:Бухгалтерия 8. Учет торговых операций

В конфигурации реализовано отражение в бухгалтерском учете следующих видов торговых операций:

оптовая торговля;

комиссионная торговля (включая торговлю по договору субкомиссии);

розничная торговля.

Хозяйственные операции регистрируются вводом в информационную базу соответствующих документов: "Поступление товаров и услуг", "Реализация товаров и услуг", "Очет о розничных продажах" и др. Бухгалтерские проводки формируются по документам автоматически, причем в качестве реквизитов проводки — бухгалтерских счетов и субконто — используются реквизиты документа.Для изменения реквизита проводки следует изменить реквизит документа и перепровести документ — заново сформировать его проводки.

Конфигурация содержит множество встроенных механизмов для ускорения и упрощения работы пользователя. Многие реквизиты документа, которые затем становятся реквизитами проводок, вносятся в документ по умолчанию — автоматически. При автоматическом формировании проводок по торговым операциям обеспечен обособленный учет авансов и возвратной тары, что соответствует требования российского бухгалтерского законодательства. Учтены особенности розничной торговли в автоматизированных и неавтоматизированных торговых точках, особенности комиссионной торговли, включая торговлю по договорам субкомиссии. Благодаря высокой степени автоматизации документы учета торговых операций могут вводить в информационную базу данных сотрудниками, не являющимися бухгалтерами. При этом функция бухгалтера может быть сведена к контролю за базовыми установками информационной системы, регулирующими отражение торговых операций в бухгалтерском учете.