Рейтинг пользователей: / 1
ХудшийЛучший 

УДК 004.413.4

Маєвський Д.А., Маєвська О.Ю.

ІНФОРМАЦІЙНА БЕЗПЕКА ОБЛІКОВИХ СИСТЕМ

Одеський національний політехнічний університет

 

  В доповіді аналізуються основні аспекти інформаційної безпеки комп’ютерних облікових систем з точки зору міжнародного стандарту ISO 17799. Наведено рекомендації щодо проектування таких систем за вимогами стандарту.

  In this article the basic aspects of informative safety of the computer registration systems are analysed from the point of view of international standard of ISO 17799. Recommendations over are brought in relation to planning of such systems on the requirements of standard.

У теперішній час інформація з абстрактного поняття перетворилася на дуже цінний товар з властивими будь-якому товару рисами бути втраченим або вкраденим. Але на відміну від звичайного товару, факт крадіжки якого зразу кидається в очі (товару просто нестає), крадіжка інформації зводиться до дуже легкого процесу виготовлення електронної копії. Тобто, користувач інформаційної системи може й не здогадуватись, що його інформація вже стала набутком ще когось.

Інформація в ОІС є найбільш цінною для підприємства та найбільш бажаною для зловмисників, оскільки вона відображає дійсний фінансовий стан підприємства, його грошові стосунки з контрагентами, податковими та державними органами. Втрата або розголошення такої інформації є неприпустимою. Тому першим питанням, яке постає перед будь-якою більш-менш крупною компанією, що намагається автоматизувати свій облік є питання безпеки ОІС.

Основи безпеки інформаційної системи (ІС) не обхідно закладати на етапі її проектування. Саме на цьому етапі повинні формуватись вимоги щодо забезпечення інформаційної безпеки ОІС та накреслюватись шляхи їх реалізації. 

Про важливість інформаційної безпеки говорить той факт, що в 2000 році міжнародним інститутом стандартів ISO розроблено та запроваджено спеціальний стандарт інформаційної безпеки – стандарт ISO 17799 [1]. Цей стандарт встановлює єдині правила та підходи до побудови системи інформаційної безпеки та встановлює можливість аудиту інформаційних систем з точки зору безпеки. Окремим розділом у стандарті виділено управління доступом до ресурсів ІС. Управління доступом передбачає контроль доступу до ресурсів системи та послуг, що надаються, а також протидію несанкціонованої активності у системі. Санкціонований доступ до ресурсів системи має дозволяє забезпечити:

-                        авторизацію користувачів на початку роботи з системою;

-                        встановлення різним користувачам системи різних прав до доступу до її ресурсів;

-                        контроль за діями користувача, що можуть призвести до зміни інформаційної бази;

-                        встановлення кожному користувачеві переліку допустимих операцій, що можуть змінювати стан інформаційної бази;

-                        встановлення меж та контроль доступу до перегляду інформаційних ресурсів користувачами з різними рівнями допуску.

В сучасних ОІС задача забезпечення санкціонування доступу є актуальною [2]. Це пояснюється багаторівневістю секретності інформації у облікових системах. Так, на загальнодоступному рівні знаходиться інформація, що відноситься до загальновідомих показників діяльності підприємства, така, наприклад, як відкриті відомості про підприємство та його керівників, дані державної реєстрації, інформація про ставки податків та зборів, що їх сплачує підприємство, тощо. Доступ до перегляду такої інформації можуть мати усі категорії користувачів.

На захищеному рівні знаходиться закрита інформація, доступ до якої можуть мати лише користувачі з певними правами. До такої інформації відносяться, наприклад, дані бухгалтерського та податкового обліку, що висвітлюють фінансовий стан підприємства, дані, що використовуються для розрахунку собівартості продукції, показники прибутковості, тощо.

У свою чергу, захищений рівень розпадається на ряд підрівнів, доступ до яких відкривається тільки певним посадовим особам підприємства. Наприклад, залишки коштів на банківських рахунках є відкритими для керівника підприємства, головного бухгалтера та бухгалтера по розрахунках. Водночас ця інформація не повинна бути доступною, наприклад, для матеріально-відповідальних осіб на складах.

З метою вирішення питання про рівень доступу користувача до інформаційної бази облікової системи треба провести процедуру авторизації на початку роботи з системою. У відповідності до стандарту ISO 17799 процедура авторизації повинна передбачати наступне:

-                        не відображати дані про систему, доки повністю не завершиться процедура входу;

-                        не виводити повідомлення-підказки під час процедури входу з метою ускладнення роботи незареєстрованих користувачів;

-                        визначати максимально можливу кількість спроб входу до системи та мати можливість припинити сеанс роботи з користувачем, якщо ця кількість перевищена;

-                        визначити максимальний та мінімальний час, що його повинна займати процедура реєстрації та переривати роботу користувача, якщо ці значення перевищені;

-                        вести реєстр спроб входу у систему та всіх спроб, що завершилися некоректно.

Вимоги стандарту що до встановлення кожному користувачеві переліку допустимих операцій та меж доступу до інформаційних ресурсів в облікових системах теж мають свої особливі риси. Той самий користувач у різні моменти часу повинен мати різні права що до доступу до тих самих ресурсів. Типовий приклад – наявність в ОІС так званої «дати заборони проведення» операцій, що можуть змінювати стан інформаційної бази. Справа в тому, що штатним режимом роботи облікової системи є проведення операцій «заднім числом». При такому проведенні дата фактичного вводу операції в систему відрізняється від дати, якою повинна бути зроблена зміна облікових даних. Тобто користувач має змогу втручатись у показники обліку, що були сформовані раніш та змінювати ці показники. Дата заборони проведення встановлює межу, до якої зміна інформації є можливою. Так, наприклад, наприкінці року, згідно з діючого законодавства [3], бухгалтер повинен виконати регламентну операцію – закриття періоду та сформувати баланс. Після цієї операції ніякі втручання в дані закритого періоду неприпустимі. Датою заборони проведення стає останній день закритого року, що повинно призводити до того, що певна категорія користувачів може тільки переглядати інформацію цього періоду, але не може змінювати її. З цього витікає, що встановлення меж та контроль доступу до перегляду інформаційних ресурсів користувачами з різними рівнями допуску в облікових системах повинні носити умовний характер, тобто залежати від певних умов, що склалися на момент запиту.

 

Література:

1. Стандарт ISO 17799 [Електронний ресурс]. Режим доступу: http://www.17799.com/

2. Закон України «Про Основні засади розвитку інформаційного суспільства в Україні на 2007-2015 роки» від 09.01.2007 № 537-V року /  Відомості Верховної Ради України вiд 23.03.2007 - 2007 р., № 12, стор. 511, стаття 102

3. Пархоменко В. Про реформування бухгалтерського обліку в Україні / Пархоменко В. // Бухгалтерський облік і аудит. — 1998. — № 10. — С. 4—7.