Электронная таблица Microsoft Excel

В настоящее время все  более широко применяется такое  программное средство защиты информации, как электронная (цифровая) подпись. Механизм электронной подписи основан на криптографических алгоритмах шифрования и включает две процедуры: формирование подписи отправителем и ее опознавание (верификацию) получателем. Первая процедура формирует двоичную последовательность (число) на основе содержания сообщения и секретного ключа, известного только отправителю. Это число передастся по сети вместе с сообщением и расшифровывается получателем с помощью другого ключа, известного всем пользователям данного уровня конфиденциальности. Электронная подпись особенно важна для защиты юридической значимости электронных документов (передаваемых по сети приказов, платежных поручений, контрактов и других финансовых, договорных, распорядительных документов). Особенность таких электронных документов заключается в том, что в случае возникновения споров (в том числе и судебных) должна быть обеспечена возможность доказательства истинности того факта, что автор действительно фиксировал акт своего волеизъявления в отчуждаемом электронном документе.

Организационными средствами защиты называются организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации системы. Эти мероприятия должны проводиться на всех стадиях жизненного цикла ЭИС и охватывать все компоненты системы (помещения, технические и программные средства и т.п.).

К законодательным средствам защиты относятся законодательные акты страны, которыми регламентируются правила использования и обработки информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил. В России в настоящее время разработан ряд законов, имеющих отношение к информационной безопасности вообще и защите автоматизированных информационных систем в частности: «О государственной

 

тайне», «О федеральных  органах правительственной связи и информации», «Об участии в международном информационном обмене», «Об авторском праве и смежных правах», «О правовой охране программ для ЭВМ и баз данных», «Об информации, информатизации и защите информации», «Об электронной цифровой подписи», «О коммерческой тайне» (в проекте).

К морально-этическим средствам защиты относятся всевозможные нормы, которые сложились традиционно или складываются по мере распространения ЭВМ в стране или обществе. Эти нормы большей частью не являются обязательными, однако несоблюдение их ведет обычно к потере авторитета, престижа человека или организации. Наиболее показательным примером таких корм является Кодекс профессионального поведения членов американской Ассоциации пользователей ЭВМ.

Все рассмотренные средства защиты делятся на формальные и неформальные. Формальными считаются такие средства, которые выполняют свои защитные функции строго формально, т.е. по заранее предусмотренной процедуре и без непосредственного участия человека. К неформальным средствам отнесены такие, которые либо определяются целенаправленной деятельностью людей, либо регламентируют (непосредственно или косвенно) эту деятельность.

7.4. Комплексный подход к защите информации в автоматизированных системах

В настоящее время принят комплексный  подход к защите информации, суть которого заключается в объединении всех методов и средств защиты информации в единую подсистему защиты информации, создаваемую в рамках конкретной автоматизированной информационной системы.

Основные функции подсистемы защиты информации в ЭИС следующие:

• защита системы от посторонних лиц;
• защита системы от пользователя;
• защита пользователей друг от друга;
• защита пользователя от него самого;
• защита системы от нее самой.

Основное содержание первой функции заключается в создании надежных барьеров на всех потенциальных путях доступа к защищаемой информации

149

 

посторонних лиц (не имеющих непосредственного  отношения к функционированию защищаемой системы).

Сущность второй функции  состоит в том, чтобы механизмы  защиты исключали возможности несанкционированных действий со стороны пользователя в процессе его легальной работы: доступ к данным других пользователей; доступ к общесистемным данным; изменение программ общего пользования и другие действий.

Основное назначение третьей функции  заключается в предупреждении несанкционированного доступа одного пользователя к информации другого пользователя в процессе обработки их в совмещенном режиме.

Защита пользователя от самого себя (четвертая функция) предполагает создание таких условий, при которых никакие возможные ошибки пользователя (ни случайные, ни преднамеренные) не приводили бы к информационному ущербу для него.

Осуществление пятой функции предполагает создание надежных барьеров на путях  утечки, разрушения или модификации  информации, возникающих вследствие ошибок, появляющихся в основных компонентах системы, или вследствие сбоев (случайных или создаваемых преднамеренно людьми).

Чтобы реализовать перечисленные  функции, необходимо выполнить общие  требования к механизму комплексной  защиты. К этим требованиям относятся:

• Адекватность,  т.е.   обеспечение  требуемого  уровня   защиты   (определяется 
  степенью секретности подлежащей обработке информации) при минимальных 
  издержках на создание и эксплуатацию механизма защиты.
• Удобство для пользователей (механизм   защиты   не должен создавать для 
  пользователей трудностей, требующих излишних усилий для их преодоления).
• Минимизация привилегий в доступе, предоставляемых пользователям (каждому 
  пользователю   должны предоставляться только действительно необходимые ему 
  права по обращению к ресурсам системы и данным).
• Полнота контроля, т.е.  обязательный контроль всех обращений к защищаемым 
  данным.
• Наказуемость нарушений (наиболее распространенной мерой наказаний является 
  отказ в доступе к системе).

150

 

• Экономичность механизма (затраты на защиту информации не должны превышать 
  величину ущерба в случае ее утечки или разрушения).

• Несекретность проектирования (механизм защиты должен функционировать 
  достаточно эффективно даже в том случае, если его структура и содержание известны 
  преступнику).

Вопросы для самоконтроля

1. Что такое «конфиденциальная информация»?

2. Раскройте понятие «безопасность информации» в автоматизированной системе.
3. Что такое «угроза безопасности информации»?
4. Назовите объекты воздействия угроз безопасности информации в ЭИС.
5. Назовите основные виды случайных угроз информации в ЭИС.
6. Назовите основные виды преднамеренных угроз информации в ЭИС
7. Раскройте понятие НС Д.
8. Что такое ПЭМИН?
9. Какие типы вредительских программ Вы можете назвать?
10. Назовите   принципиальное   отличие   компьютерных   вирусов   от   программ- 
    троянских коней.
11. К   каким   последствиям   может  привести  реализации  угроз   безопасности информации в ЭИС?

12.Какие классы методов защиты  информации Вы знаете? Приведите  примеры. 13.Какие классы средств защиты информации Вы знаете? Приведите примеры.

14. Что такое «электронная подпись»?
15. Назовите основные классы функций подсистемы защиты информации в ЭИС.
16. Какие из известных Вам программных средств могут быть использованы для 
    защиты данных в ПЭВМ от случайных угроз? от преднамеренных угроз?
17. В чем заключается и как решается проблема защиты юридической значимости 
    электронных документов в ЭИС?
18. Какие законодательные акты Российской Федерации связаны с вопросами защиты 
    информации в автоматизированных информационных системах?

151

 

Приложение

Примеры современных программных средств в экономической сфере

В настоящее время количество программных средств на российском рынке, предназначенных для использования в сфере бизнеса и финансов, измеряется сотнями, и классификация этих средств представляет собой достаточно сложную задачу. Один из подходов к такой классификации представлен классификатором программ в области бизнеса и финансов, который используется при проведении ежегодного международного конкурса Бизнес-Софт. Этот конкурс проводится в России с 1991 г., организаторами его являются ЦИЭС «Бизнес-Программы-Сервис», журнал «Бухгалтерский учет» и еженедельник «Финансовая газета». С материалами конкурса, в том числе и с классификатором, можно познакомиться на сайте WWW.FINSOFT.RU

В данном случае воспользуемся  упрощенным классификатором систем, представленным в табл. 11.1.

Таблица 11.1. Укрупненная классификация программных систем

Локальные системы достаточно успешно справляются с решением отдельных задач учета на, предприятии, но не предоставляют целостной информации для автоматизации управления. Преимуществом этих систем является сравнительно низкая цена и простота внедрения. Локальные (коробочные) системы представляют собой программные средства, распространяемые в виде комплектов магнитных носителей (на оптических дисках) и соответствующей документации. Пользователь

 

самостоятельно может  инсталлировать такое средство в  своей организации и без особых сложностей настроить его на особенности своей работы. Типичным примером такой системы является система «1С: Бухгалтерия» российской фирмы 1С.

Крупные интегрированные  системы представляют собой сложнейшие программные комплексы, ориентированные  на комплексную автоматизацию управления крупными финансово-промышленными структурами. На российском рынке этот вид систем представлен продуктами западных фирм: RЗ (фирма SАР), Огас1е Аррlication (фирма Огас1е), Ваan Midmarket Solution (фирма ВААN). Эти системы достаточно дороги, сложны во внедрении и требуют дорогостоящего обучения персонала организации. Кроме того, они рассчитаны на применение западных стандартов управления предприятиями (МPRII, ERP), которые не соответствуют современным российским реалиям.

Средние интегрированные  системы занимают промежуточное  положение между системами первых двух типов. В этом типе систем на российском рынке доминируют отечественные фирмы-разработчики. Примерами могут служить системы «Галактика» (корпорация «Галактика»), «БЭСТ ПРО» (фирма «Интеллект-сервис»), «1С: Предприятие» (фирма 1С).

Программное средство «1С: Бухгалтерия»

Освоение базовых возможностей программы вполне по силам знакомому  с компьютером бухгалтеру. Процедуры ручного ввода бухгалтерских записей, получения отчетов (оборотно-сальдовой ведомости, Главной книги, шахматного оборотного баланса и пр.) можно начать выполнять практически сразу после установки программы на компьютер. Существуют базовая и профессиональная разновидности этой программы, а также их модификации, предназначенные для работы в локальном и сетевом вариантах.

По мере накопления опыта и изучения документации у бухгалтера возникает естественное желание выполнять более широкий набор действий: вести не только стоимостный, но и натуральный учет, рассчитывать износ основных средств, калькулировать себестоимость, проводить переоценку валютных средств, формировать отчетность и т.п. Однако своеобразие ведения отдельных учетных операций в организациях различного профиля настолько велико, что нет и не может

 

 

 

 

 

153 

быть единственной компьютерной программы, которая могла бы удовлетворить все необходимые потребности. Это тем более невозможно в современных российских условиях, при неустоявшемся законодательстве, когда различные нормативные акты то и дело меняют условия «игры» - от налоговых ставок до методик расчета тех или иных показателей. В этой ситуации разработчики программ автоматизации бухгалтерского учета вынуждены предоставлять пользователю средства программной настройки, с помощью которых он может приспособить программы к собственной учетной специфике и перенастраивать их при изменении «правил игры» государством.

Профессиональная версия «1С: Бухгалтерия» обладает такими возможностями.

Вместе с программой поставляется достаточное количество готовых  к использованию и снабженных подробными методическими указаниями примеров. Пользователи получают полный комплект настроенных квалифицированными аудиторами правил расчеши всех отчетных форм. При этом фирма «1С» гарантирует бесплатную поставку изменений в настройке при изменении отчетных форм. Кроме того, в случае затруднений на помощь могут прийти дилеры фирмы, специализирующиеся не только на продаже, но и сопровождении, настройке, техническом обслуживании и обучении пользователей «1С: Бухгалтерия».

Фирма «1С» предлагает не только программные  средства для автоматизации бухгалтерского учета, но и набор других программных продуктов, таких как «1С: Торговля», «1С: Документооборот», «1С: Электронный справочник бухгалтера».

Система «1С: Предприятие»