BSoD 

Методы средства защиты бухгалтерской информации. Обеспечение компьютерной безопасности учетной информации


Ф.С.Сейдахметова –д.э.н., профессор

Б.К.Ахметбекова. – соискатель

ЕНУ им.Л.Гумилева

Отдельные вопросызащитыбухгалтерских данных

в информационных систем учета

В современных условиях особую актуальность приобретают проблемыобеспечениясохранности бухгалтерской информации, в целях обеспечениянаибольшей степень защитыееданных. По статистикеболее 80% компаний и агентств несут финансовые убытки из-занарушениясистемы безопасности. Поэтому многиефирмысейчасзанимаютсяразработкой различных антивирусныхпрограмм,системразграничениядоступа к данным, защитыоткопированияит.д.Объясняетсяэтовозрастающей необходимостью разработки методовзащиты в целях болееэффективного функционирования на рынке.

Под термином "защита" подразумевается способ обеспечения безопасностивсистеме обработки данных (СОД).Однако решение данной задачизначительноусложняетсяпри организациикомпьютернойобработки бухгалтерской информациивусловияхколлективногопользования, где сосредотачивается, обрабатывается инакапливаетсяинформацияразличногоназначенияи принадлежности. В системах коллективногопользования бухгалтерской информацией,имеющихразвитуюсетьтерминалов, основнаясложность обеспечениябезопасности состоит в том, что потенциальный нарушитель является полноправным абонентом системы. Вкачествеосновныхобъективныхпричин,определяющих необходимостьобеспечениясохранности информации,можновыделитьследующие:

1.Увеличивающие темпы роста количественного икачественного применения ЭВМ и расширениеобластейих использования;

2 Постоянно возрастающие потоки новых видов и объемов информации,которые человек должен воспринимать и перерабатыватьвпроцессе своей деятельности;

3.Необходимость более эффективного использованияресурсоввэкономике предприятия,с помощью научных достижений, нацеленныхпринятия обоснованных решенийнаразличныхуровняхуправления

4. Высокая степень концентрацииинформациивцентрах ее обработки.

Защита информации бухгалтерского учета обычно сводится к выбору средствконтролязавыполнениемпрограмм,имеющихдоступк информации,хранимойвСОД.В этой связи при создании информационных систем учета необходимаее нацеленностьна защитупользователей бухгалтерскихданныхкакдруготдруга, такиотслучайных,и целенаправленныхугрознарушениясохранности данных. Кроме того,принятыемеханизмыобеспечения сохранностиучетной информации должны предоставлятьпользователюсредствадлязащиты его программ и данныхотнегосамого. Рост количестваабонентов, пользующихся услугами информационной системывзаимноесопряжениеразличных ЭВМ при обмене информацией с подключенными к ним удаленными абонентскими терминальнымиустройствами,образуютсложные информационно-вычислительныесети. Поэтому становится невозможнымустановление несанкционированногодоступак информации Усложнение вычислительного процессанаЭВМ,работавмультипрограммноми мультипроцессорном режиме,создают условия для поддержания связи созначительным числомабонентов.Актуальным становится решение проблемыфизическойзащитыинформации,и ее сохраненияинформацииотдругихпользователейили несанкционированногоподключенияпользователя,специально вклинивающегося в вычислительный процесс.

Следовательно, необходимо установить требованияксистемеобеспечениясохранности бухгалтерской информации, включая такие пункты как:

Отдельнаяидентификацияиндивидуальных пользователей итерминалов;

Создание индивидуальныхпрограмм (заданий) по имениифункциям;

Контроль бухгалтерскихданныхпри необходимости до уровня записиилиэлемента.

Ограничитьдоступ к информации позволяет совокупностьследующихспособов:

Иерархическая классификация доступа;

Классификациябухгалтерской информацииповажностииместу ее возникновения;

Указание специфических ограничений и приложение ихк информационным объектам,напримерпользовательможет осуществлятьтолькочтениефайлабезправазаписи в него.

Системаобеспечениясохранности информациидолжнагарантировать,чтолюбоедвижениеданных бухгалтерского учета идентифицируется, авторизуется, обнаруживается и документируется.

К числу организационныхтребований ксистеме защиты информации следует отнести:

Ограничение к доступу к вычислительной системе(регистрацияисопровождениепосетителей);

Осуществлениеконтролязаизменениямивсистеме программного обеспечения;

Выполнение тестирования и верификации к изменениям в системепрограммногообеспеченияипрограммахзащиты;

Поддерживаниевзаимного контроля за выполнением правилобеспечениясохранностиданных;

Установление ограничений впривилегиях персонала, обслуживающего СОД выполнение гарантийных требований в случае нарушений;

Проведениезаписей протоколаодоступексистеме, а также компетентности обслуживающего персонала.

В этой связи целесообразно разработать и утвердить письменные инструкции:

На запуск и остановку информационной системы учета;

На контроль за использованием магнитных лент, дисков, карт,листингов,

На прослеживание за порядком измененияпрограммного обеспечения и доведение этих изменений до пользователя,

Попроцедуре восстановлениясистемыприсбойныхситуациях.

На политикуограниченийприразрешенныхвизитах в вычислительный центр,

На определениеобъемавыдаваемой бухгалтерской информации.

При этом важно разработать систему протоколирования использования ЭВМ, ввода данных и вывода результатов, обеспечивая проведение периодической чистки архивов ихранилищлент,дисков, картдляисключенияиликвидации неиспользуемых;бухгалтерских документов в соответствии с установленными стандартами.

Следуетиметьввиду,чтовсетипызащиты взаимосвязаны и при не выполнении своих функций хотя бы одной из них, нанет сводятся усилия других. К преимуществам программных средствзащитыможноотнестиих невысокую стоимость, простоту разработки.

Впоследнеевремяширокое распространениеполучилитак называемы электронныеключи . Этоустройство подключаетсяккомпьютеру через порт LPT . Приэтомэлектронныйключнемешает нормальной работе параллельного порта и полностью "прозрачен" для принтераидругихустройств. Ключи могут соединяться каскадно и в цепочке, а также могут работать совершенноразнотипныеключи,выпущенныеразными фирмами.

Причем они могутвыполнять различные функции,например, защитупрограммотнесанкционированном копирования, а также способныобнаруживатьфактзаражениязащищеннойпрограммы различнымивидамифайловых вирусов. Прииспользовании электронныхключейдлягенерациишифровальных ключей отпадает необходимостьихзапоминатьилизаписывать, а затем вводить с клавиатуры.Ключнеимеетвстроенныхисточниковпитанияи сохраняетзаписаннуювнегоинформациюприотключенииот компьютера.Наиболеераспространены в настоящее время ключи американскойфирмы"Software Security Inc". Эта фирма выпускает ключидляDOS, WINDOWS, UNIX, OS/2, Macintosh. Электронные ключи могут быть каксодноразовой записью,такиперепрограммируемые и могут содержатьэнергонезависимую память.

Наряду с этимраспространены пластиковые идентификационные карты (ИК) с достаточновысокимобъемомпамяти позволяющие ограничитьнесанкционированный доступ к бухгалтерской информации. Такойаппаратно-программный комплекссостоит из следующих частей: специальнойплаты,котораявставляетсявслот расширения ПК, устройствасчитыванияинформации с ИК и самих ИК;программной части:драйверадля управления платой и устройством считываниясИК.

Впрограммнуючасть комплекса может входить такжепрограммноеобеспечениедляорганизации разграничения доступакчастями разделам жесткого диска, посредством запрашиванияпароля. Таким образом, исключается входвсистемупоукраденной карточке. Примером подобного аппаратно - программногокомплекса защиты может быть разработка фирмы Datamedia. Серия еекомпьютеровNetmateоборудованаспециальнымустройством Securecardreader-считывателькартбезопасности.Карты безопасностипоисполнению представляют собойодин из вариантов кредитных карт. Наих магнитномносителеспомощьюспециальнойаппаратуры, которая имеетсятольков распоряжении администратора, делается запись о пользователе:егоимя,парольиописываютсявсе полномочия, которыеонполучаетпри входе в систему. В частности, на карте записано,сколько раз пользователь может пытаться указать пароль при входе. Таким образом, случайная потеря карты безопасности или еекражанепозволяетзлоумышленникуполучитьдоступк компьютеру. Только сознательная передача картыбезопасностикому-тоодновременнос разглашением пароля можетоткрытьдоступккомпьютерупостороннемулицу.

Администраторсистемы можетсоздатькарту безопасности для легальных пользователей.На этой карте помимо уже перечисленной информации описываетсяпрофильпользователя.Внем включаются, например: возможностьдоступа к программе SETUP, то есть фиксируются такие характеристикикомпьютера,как экран, количество и типы дисков; такжеопределяется, какие из локальных устройств (гибкие диски, жесткиедиски,последовательные и параллельные порты) доступны этомупользователю,скаких локальных или сетевых устройств он можетзагружаться. Здесь предусмотрена трансляция паролей: тот пароль, которыйназначаетсяпользователю,какправило,легко запоминающийся,но вовсе не тот, с которым работает система. При попыткепростовыдернутькартубезопасностииз считывателя - доступккомпьютеру блокируется, пока в считыватель не будетвставленатажекартабезопасности.Принеправильном указаниипароля(если превышено количество попыток, разрешенное дляданногопользователя)-машинаблокируется,итолько администраторсможет"оживить"ее,тоестьстимулируется необходимостьдовестидосведенияадминистрациивсеслучаи нарушениярежимасекретности.

С точки зрения защиты от вирусов перечисленныесистемы,тожеважны,посколькуони,кроме идентификациипользователяопределеннымобразом организуют его работунакомпьютере,запрещая отдельные опасные действия. ИК могут также использоваться и для хранения ключейшифрованиявсистемахкриптографическойзащиты.

НедостаткомтакойсистемыявляетсянизкаязащищенностьИК с магнитнойполосой.Какпоказывает опыт, информация с них может бытьбеспрепятственносчитана.Причем применениеИК со встроенным чипомиз-за высокойстоимостиведет к значительному увеличению затрат на установку системы защиты, Кроме того, дорого обходитсяиоборудованиедлясчитыванияинформации с ИК. Но,несмотряна высокую стоимость, системы защиты на базе ИК находят широкоеприменениетам,гденеобходимавысокаянадежность, например,вкоммерческихструктурах.

Внастоящеевремя большую популярность завоевало семейство приборов Touch memory (ТМ) ,производимоефирмой Dallas Semiconductods.Однимизосновных отличийприборовTouchMemoryотдругих компактных носителей информацииявляетсяконструкция корпуса. Помимо защиты стальной корпусвыполняет также роль электрических контактов. Приемлемы и массо-габаритныехарактеристики-таблеткадиаметром с небольшую монетуитолщиной5 мм очень подходит для таких применений.Каждый прибор семейства является уникальным, так как имеетсвойсобственныйсерийныйномер, который записывается в приборспомощью лазерной установки во время его изготовления и неможетбытьизмененв течение всего срока службы прибора. В процессезаписиитестирования на заводе гарантируется, что не будет изготовлено двух приборов с одинаковыми серийными номерами.

Такимобразом,исключается возможность подделки приборов. Вполне приемлемойприиспользованииTouch-memory является и цена: она болеечемв4разаниже,чемпри использовании пластиковых карточек.ПриборыToichMemoryпредставляютсобой энергонезависимуюстатическуюпамятьсмногократной записью/чтением,котораяразмещаетсявнутриметаллического корпуса.Вотличиеотобычнойпамятиспараллельным портом адреса/данных,памятьприборовToichMempry имеет последовательный интерфейс. Данные записываются и считываются в память по одной двунаправленной сигнальной линии. Приэтом используетсяширотно-импульсныйметодкодирования.Такойцифровойинтерфейспозволяет подключатьприборыTouchMemory непосредственно к персональным ЭВМиличерез микропроцессорный контроллер.

Важной особенностью приборовявляетсянизкаяпотребляемаямощность, что позволяет использоватьвстроеннуювкорпусе прибора миниатюрную литиевую батарейкудлясохраненияинформациив памяти в течении 10 лет.

Следует отметить, что меры компьютерной безопасности не ограничиваютсятолькосредствами защиты, расположенными в самом компьютере - внутри компьютера, или в виде внешних устройств. Все перечисленныевышепрограммные и аппаратно-программные средства защиты информациистановятсяэффективнымилишьпри строгом соблюдении целого рядаадминистративныхиорганизационныхмер.Поэтому преждечемстроить систему защиты, необходимооценить затраты на ее создание и возможные затраты на ликвидациюпоследствий в случае потери защищаемых бухгалтерских данных.

Для предприятий, учреждений и организаций независимо от форм собственности ключевым вопросом является обеспечение защиты информационных ресурсов, в том числе бухгалтерской информации и отчетности. Программа «1С:Бухгалтерия государственного учреждения 8» редакции 2 соответствует современным требованиям информационной безопасности. О возможностях программы по защите информации рассказывают в статье эксперты 1С.

Актуальность обеспечения защиты информационных ресурсов

Для обеспечения информационной безопасности организации, учреждения, предприятия должны быть созданы такие условия, при которых использование, потеря или искажение любой информации о состоянии организации, в том числе бухгалтерской и финансовой, работниками организации или внешними лицами (пользователями) с высокой степенью вероятности не приведут в обозримом будущем к возникновению угроз прерывания деятельности организации.

Актуальность проблем информационной безопасности на государственном уровне подтверждается принятием Доктрины информационной безопасности в Российской Федерации (утв. Президентом РФ 09.09.2000 № Пр-1895). Одной из составляющих национальных интересов Российской Федерации в информационной сфере является защита информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем, как уже развернутых, так и создаваемых на территории России.

Обеспечение информационной безопасности Российской Федерации в сфере экономики играет ключевую роль в обеспечении национальной безопасности Российской Федерации. Воздействию угроз информационной безопасности Российской Федерации в сфере экономики наиболее подвержены:

  • система государственной статистики;
  • кредитно - финансовая система;
  • информационные и учетные автоматизированные системы подразделений федеральных органов исполнительной власти, обеспечивающих деятельность общества и государства в сфере экономики;
  • системы бухгалтерского учета предприятий, учреждений и организаций независимо от формы собственности ;
  • системы сбора, обработки, хранения и передачи финансовой, биржевой, налоговой, таможенной информации и информации о внешнеэкономической деятельности государства, а также предприятий, учреждений и организаций независимо от формы собственности.

Угрозами информационной безопасности предприятия, учреждения, организации, связанными с бухгалтерским учетом и отчетностью, являются угрозы:

  • целостности бухгалтерской информации и отчетности;
  • нарушения конфиденциальности бухгалтерской информации и отчетности;
  • нарушения доступности (блокирование) бухгалтерской информации и отчетности;
  • достоверности бухгалтерской информации и отчетности;
  • содержанию бухгалтерской информации и отчетности, вызванные действием персонала и других лиц;
  • вызванные использованием некачественной бухгалтерской информации и отчетности.

Информационная безопасность в «1С:Бухгалтерии государственного учреждения 8»

Программа «1С:Бухгалтерия государственного учреждения 8» редакция 2 (далее - Программа) соответствует современным требованиям информационной безопасности. Для повышения степени защиты от несанкционированного доступа информации, хранящейся в Программе, предусмотрены следующие возможности:

  • аутентификация;

Рассмотрим подробнее данные возможности Программы.

Аутентификация

Механизм аутентификации - это один из инструментов администрирования. Он позволяет определить, кто именно из пользователей, перечисленных в списке пользователей системы, подключается к Программе в данный момент, и предотвратить несанкционированный доступ в Программу.

В «1С:Бухгалтерии государственного учреждения 8» редакции 2 поддерживается три вида аутентификации, которые могут использоваться в зависимости от конкретных задач, стоящих перед администратором информационной базы:

  • аутентификация 1С:Предприятия - аутентификация по созданному в Программе пользователю и паролю;
  • аутентификация операционной системы - в Программе для пользователя выбирается один из пользователей операционной системы. Программа анализирует, от имени какого пользователя операционной системы выполняется подключение к Программе, и на основании этого определяет соответствующего пользователя Программы;
  • OpenID-аутентификация - аутентификацию пользователя выполняет внешний OpenID-провайдер, хранящий список пользователей.

Если для пользователя не указан ни один из видов аутентификации, такому пользователю доступ к Программе закрыт.

Если необходимо, чтобы пользователь входил в Программу с паролем, который будет проверяться, следует включить флаг Аутентификация 1С:Предприятия (см. рис. 1). Он включается по умолчанию вместе с флагом Вход в программу разрешен .

Состояние аутентификации «1С:Предприятия» выводится под флагом.


Рис. 1

При создании нового пользователя ему Программой автоматически назначается пустой пароль. Чтобы его изменить, следует воспользоваться командой Установить пароль в карточке пользователя (см. рис. 1).

В форме Установка пароля необходимо ввести Новый пароль для входа в Программу, написать его повторно в поле Подтверждение .

Хороший пароль должен состоять не менее чем из восьми символов, включать в себя заглавные и прописные латинские буквы, цифры, символы (подчеркивание, скобки и т. д.) и быть малопонятным выражением. Нежелательно, чтобы пароль совпадал с именем пользователя, полностью состоял из цифр, содержал понятные слова, чередующиеся группы символов. Примеры хороших паролей: "nj7{jhjibq*Gfhjkm, F5"njnGhkmNj;t{HI. Примеры неудачных паролей: Иванов, qwerty, 12345678, 123123123. Подробнее см. документацию «1С:Предприятие 8.3. Руководство администратора».

В Программе предусмотрена возможность автоматической проверки сложности пароля .

По умолчанию в целях безопасности пароль при вводе не показывается. Для того чтобы видеть, какие символы вводятся, следует включить флаг Показывать новый пароль .

Для автоматической генерации пароля можно воспользоваться кнопкой Создать пароль . Пароль будет создан Программой.

Для сохранения пароля необходимо нажать на кнопку Установить пароль .

После этого состояние аутентификации 1С:Предприятие меняется на Пароль установлен . В карточке пользователя кнопка меняет значение на Сменить пароль .

Для удобства администрирования и обеспечения безопасности у всех пользователей предусмотрен флаг , который нужен, чтобы пользователь сменил пароль, заданный администратором, на свой. При включенном флаге пользователь будет обязан самостоятельно ввести свой пароль, который больше никто не будет знать.

Если флаг Потребовать смену пароля при входе не включен, и установленный ранее пароль не устраивает по каким-то причинам, то можно поменять его в любой момент в карточке пользователя.

Включенный флаг Пользователю запрещено изменять пароль запрещает пользователю, не имеющему полные права, самостоятельно задавать и изменять пароль.

Реквизиты Потребовать смену пароля при входе и Срок действия можно увидеть в карточке пользователя и в отчете Сведения о пользователях (Сведения о внешних пользователях ).

Настройки входа в Программу

В форме Настройки входа (раздел Администрирование , команда панели навигации Настройки пользователей и прав ) раздельно для внутренних и внешних пользователей Программы можно настроить такие параметры как:

  • настройка и контроль сложности пароля;
  • требование смены пароля по расписанию или вручную. Смена пароля - периодически или по требованию;
  • настройка и контроль повторяемости пароля;
  • ограничение срока действия учетных записей.

На рисунке 2 представлена настройка для внутренних пользователей.


Рис. 2

Аналогичная настройка предусмотрена для внешних пользователей.

Контроль сложности пароля

При установленном флаге Пароль должен отвечать требованиям сложности программа проверяет, чтобы новый пароль:

  • имел не менее 7 символов,
  • содержал любые 3 из 4-х типов символов: заглавные буквы, строчные буквы, цифры, специальные символы,
  • не совпадал с именем (для входа).

Минимальную длину пароля можно изменить, поставив флаг напротив одноименного поля и указав необходимую длину пароля (рис. 3).


Рис. 3

Смена пароля

Предусмотрено две настройки смены пароля: периодическая или по требованию администратора.

Для периодической смены пароля необходимо ограничить срок действия пароля настройками Минимальный срок действия пароля и Максимальный срок действия пароля . По истечении установленного срока Программа предложит пользователю поменять пароль.

Максимальный срок действия пароля - срок после первого входа с новым паролем, после которого пользователю потребуется сменить пароль, по умолчанию 30 дней.

Минимальный срок действия пароля - срок после первого входа с новым паролем, в течение которого пользователь не может сменить пароль, по умолчанию 1 день.

Для смены пароля по требованию администратору необходимо установить флаг Потребовать установку пароля при входе в карточке пользователя. При первом входе в Программу она потребует сменить пароль, заданный администратором, на свой.

Контроль повторяемости

Чтобы исключить создание пользователями повторяющихся паролей, необходимо включить настройку Запретить повторение пароля среди последних и установить количество последних паролей, с которыми будет сравниваться новый пароль.

Ограничение входа для пользователей

Для защиты от несанкционированного доступа в Программу можно установить ограничение для пользователей, не работающих в программе определенный период времени, например, 45 дней.

По истечении указанного срока программа не позволит пользователю войти в Программу. Открытые сеансы пользователей автоматически завершаются не более чем через 25 минут после того, как вход в Программу был запрещен.

В карточке пользователя, которая доступна в персональных настройках Программы, по гиперссылке Установить ограничения можно указать дополнительные ограничения на вход в Программу (рис. 4).


Рис. 4

С помощью переключателя можно установить ограничение на вход в Программу:

  • Согласно общим настройкам входа - установлено по умолчанию;
  • Без ограничения срока ;
  • Вход разрешен до (следует установить срок - ввести дату вручную или выбрать из календаря с помощью кнопки). Для защиты от несанкционированного доступа к Программе у всех пользователей предусмотрен срок действия, который позволяет автоматически отключить пользователя по достижению указанной даты;
  • Запретить вход, если не работает более (следует указать количество дней) - если пользователь не войдет в Программу больше указанного количества дней, то вход в Программу будет невозможен. В этом случае пользователь должен будет обратиться к администратору для возобновления работы в Программе.

Отчет «Сведения о пользователях»

Отчет Сведения о пользователях (рис. 5) предназначен для просмотра сведений о пользователях Программы, включая настройки для входа (свойства пользователя информационной базы). Необходимость в отчете возникает, если требуется выполнить групповой анализ настроек для входа (имени для входа, видов аутентификации и других).

Отчет открывается из списка Пользователи (Внешние пользователи ) по команде Все действия - Сведения о пользователях (Все действия - О внешних пользователях ). В зависимости от вида списка Программа автоматически выбирает нужный вариант отчета.

Сведения о внутренних и внешних пользователях в одном отчете можно открыть через панель действий раздела Администрирование по команде Сведения о пользователях .

Необходимость в отчете возникает, если требуется выполнить групповой анализ настроек для входа (имени для входа, видов аутентификации и других).


Рис. 5

С помощью кнопки Настройки... можно открыть список полей и при необходимости добавить нужные поля в отчет. Например, можно добавить в отчет поля Потребовать смену пароля при входе и Срок действия .

Обеспечение защиты персональных данных

В заключение следует отметить, что управление доступом в Программу - это только один из элементов защиты данных, предоставляемых Программой.

Постановлением Правительства РФ от 01.11.12 № 1119 утверждены Требования к защите персональных данных при их обработке в информационных системах персональных данных, где определены уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных. В соответствии с этими требованиями приказом ФСТЭК России от 18.02.13г. № 21 детализированы состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.

Нормы действующего законодательства о персональных данных предъявляют дополнительные требования и к программным продуктам, в частности, к программному обеспечению, являющемуся средствами защиты информации.

Для обеспечения защиты персональных данных предназначен защищенный программный комплекс (ЗПК) «1С:Предприятие, версия 8.3z», который является сертифицированным ФСТЭК России программным средством общего назначения со встроенными средствами защиты информации от несанкционированного доступа (НСД) к информации, не содержащей сведений, составляющих гостайну.

ЗПК «1С:Предприятие 8.3z» позволяет блокировать:

  • запуск COM-объектов, внешних обработок и отчетов, приложений, установленных на сервере 1С:Предприятие;
  • использование внешних компонентов 1С:Предприятие;
  • обращение к ресурсам Интернет.

Совместное использование типовой «1С:Бухгалтерии государственного учреждения» редакции 2 и ЗПК «1С:Предприятие 8.3z» позволяет создать информационную систему персональных данных всех уровней защищенности, и дополнительная сертификация этого прикладного решения не требуется.

Использование ЗПК«1С:Предприятие 8.3z» совместно с сертифицированными ФСТЭК операционными системами, СУБД и другими сертифицированными средствами позволяет полностью выполнить требования вышеуказанных нормативных документов.

Поскольку «1С:Бухгалтерия государственного учреждения» обеспечивает обмен данными с органами Федерального Казначейства, Налоговыми органами, с информационными системами о государственных и муниципальных платежах (ГИС ГМП), учета федерального имущества (АСУФИ), регистрации и начисления платежей (ИС РНИП) и др. через Интернет, для выполнения требований безопасности объект должен быть обеспечен сертифицированными средствами межсетевого экранирования.

Разумеется, необходимо ежедневно проверять компьютеры, на которых установлена Программа, на наличие вредоносных компьютерных программ с использованием сертифицированных в системе сертификации ФСТЭК России средств антивирусной защиты.

В организации расходится настолько значительно, что это уже стыдно показывать, а лучше вообще не показывать. Есть смысл принять меры и выделить ресурсы для решения такой задачи, как защита информации в бухгалтерском учете. В данной статье описано конкретное решение для небольшой фирмы или подразделения. При значительном увеличении рабочих мест стоит менять концепцию, хотя некоторые элементы можно оставить.

У нас есть право защищать нашу собственность, а находящаяся у нас информация – наша собственность. Самое главное здесь – это еще и наша ответственность. Если фирма сама не позаботиться об информационной безопасности – пенять на попранные различными службами права, зачастую бессмысленно. Надо брать и делать. Самому брать и делать, не перекладывать на аутсорсинг – это Ваша безопасность. И это не сложно. С чего начать? Как начать? Итак, если мы решаем, что ответственны и готовы защищать, тогда нужно сделать так, чтобы подобного рода защита информации в бухгалтерском учете не отнимала много времени, была эффективна и стоила не дорого, а желательно бесплатно. Именно этими критериями мы будем руководствоваться при выборе того или иного инструмента, а также реализации концепции в целом.

Определяемся с ситуацией.

Для более четкого понимания, что же мы хотим сделать – приведу ситуацию, которая может легко сложиться в любом офисе (потому, что мы в России). Сидим, пьем чай – дверь выбивают, в комнату вбегают напущено злые молодые люди, с явным намереньем сделать нам неприятно. Таки мы вынуждены прерваться. Люди культурно просят нас поставить чашки с чаем и подальше отодвинуться от компьютеров, поскольку их товарищи спали и видели, как смогут занять наши рабочие места, на предмет почитать что же там пишут… И таки поскольку, бабушке одного из них тоже интересно, то они естественно хотят забрать на почитать все наши компьютеры.

Вот именно для такой ситуации и будем стараться, чтобы их бабушка довольствовалась телевизором. А также позаботимся, чтобы к нам и в другое время (когда никого нет) любители прозы и поэзии со своими родственниками приходили только для оплаты сломанной двери.

Что мы прячем?

Надо четко понять, что именно представляет ценность или угрозу для нас. Какую именно информацию мы скрываем и зачем. Нет никакого смысла прятать все. Это растянет временные рамки того же бэкапа. Информация должна быть четко структурирована и понимание что где лежит, должно присутствовать. Все ли машины нужно заводить в систему?

Основная цель – не допустить изъятия компрометирующей информации, не допустить возможности копирования и желательно вообще не иметь исправных компьютеров на рабочем месте. Обеспечить сохранность и доступность информации.

Формулируем Идеальный Конечный Результат (ИКР).

– информация легко доступна;

– информацию нельзя унести с собой или легко скопировать;

– система так же работает в ваше отсутствие, информируя Вас о внешних условиях;

– системе не страшен пожар и физическое изъятие носителей системы;

– система имеет удаленное управление (идеально не получается – управление все равно будет).

– наши ревизоры должны лицезреть «пустые» машины и картинку вроде этой:

В рамках данной статьи не будем касаться удаленных серверов в Малайзии или других странах. Это хорошее решение, но мы хотим рассмотреть именно ситуацию, когда все части системы находятся в одном (или) нескольких помещениях.

Выявляем противоречия:

– компьютеры должны работать и не должны работать;
– информацию можно извлечь и нельзя извлечь;
– информацию можно унести и нельзя унести;
– информацию можно уничтожить и нельзя уничтожить;
– мы не должны касаться компьютеров – а нам и не надо!


Устранив, все пять противоречий, мы сформируем рабочую систему для хранения и использования информации, а также ограничим к ней доступ.
Для этих целей используем следующие инструменты, которые интегрируем в систему:
1. TrueCrypt бесплатная программа для шифрования: дисков целиком, системных дисков, областей дисков, файловых контейнеров.
2. Handy Backup – программа для резервного копирования файловой структуры. Можно использовать по сети, ставить задачи – собирать файлы и папки с различных машин, архивировать, шифровать и прочее. Стоимость можно узнать на торрентах.
3. GSM розетки – для удаленного включения и выключения питания по смс. Разброс цен от 2400 руб. до 10 000 руб. за розетку или пилот. Количество розеток будет зависеть от целей, которые вы ставите (одна машина или двадцать, при минималистичном подходе можно развести питание на 3 компа, но обратите внимание на мощности машин, мониторы и принтеры в розетки не подключаем). При выборе обратите внимание на удобство управления и качество приема.
4 . CC U825 – GSM контроллер – разработка наших Тульских умельцев (есть море аналогов, но цена/ качество/ надежность). Рекомендую именно данную многоконтурную систему – несколько лет у нас проработал младший аналог без ложных срабатываний. Независимый источник питания и цена.. 7000 рублей. Есть еще CCU422 – стоит дешевле, но сильно урезана по количеству контуров и глубине настройки.
5 . Кн опка паники – опционально. Если не хотите заморочек с дополнительным контуром в CCU приобретите еще и ее. Стоит как GSM розетка примерно. Смысл – посылает на несколько заранее запрограммированных номеров SMS, с заранее подготовленным текстом.
6. Каме ры и видеосервер – это на Ваше усмотрение. Данные опции помогают более точно удаленно подтвердить проникновение. Мы их касаться не будем.

Разберем каждый инструмент отдельно – от «как выглядит» до настройки.

Данный раздел в находится в разработке и будет доступен в ближайшее время

(первая часть);
TrueCrypt – шифрование системного раздела диска (вторая часть);
;
GSM розетки;
CCU825;
Кнопка паники;
камеры и видеосервер (не буду рассматривать);
Интеграция системы.



Регламент.Самая важная часть системы. Что должно входить:


– все сотрудники, имеющие отношение к системе должны понимать, что они делают в сложной, стрессовой ситуации (а так оно и есть – руки начнут дрожать, голова перестанет соображать, ноги подкашиваться – это ж блин бухгалтерши, а не незабвенный и всеми горяче уважаемый Железный Феликс Эдмундович). Понимать так, чтобы нажать туда, куда надо нажать, и позвонить тому, кому надо позвонить. Еще лучше назначить премию – кто первый, тому 100 долларов. Только особо премию не завышайте, а то бухгалтер подойдет как к бизнес процессу – сама их вызывать начнет.
– желательно раз в месяц отрабатывать ситуацию, например, вечером, каждую третью пятницу месяца. По времени займет минуты, максимум час. А спать руководство будет спокойнее.
– понимание остатков на сим-картах в GSM модулях. Сильно зависит от выбранного тарифного плана и количества смс оповещений. Так же от выбранных Вами розеток (должен быть способ проверить баланс, не вынимая симку из розетки и не вставляя ее в телефон). СМС должны отправляться нескольким сотрудникам, чтобы иметь избыточнось и снизить риски а-ля «телефон дома забыл». Контроль раз в месяц – докладываем деньги.
– проверяем, пишет ли наш handy backup резервные архивы по кругу в десяти частях? Нет ли ошибок в задачах программы. Если есть – исправляем. Так же раз в месяц.
– отправляем смс, или гасим тревожной кнопкой все машины. Включаем. Ничего не работает. Везде черный экран – сказка! Не везде? Разбираемся почему – этот момент мы и вылавливали ежемесячными тревогами. Разобрались. Вводим пароли, монтируем винты. Запускаем резервное копирование. Все работает – сказка!
– внимательно проверяем (ВАЖНО – много раз сталкивался) – все ли компьютеры подключены к GSM розетке, а только потом к упсу? Как, наоборот? Он же не выключиться, если наоборот. Исправляем.
– назначаем ответственного за регламент, его заместителя, заместителя заместителя – в общем, при любых внешних обстоятельствах регламент должен выполняться. Иначе это уже не система.

Недостатки системы.

– зависимость системы от перезагрузки, машины после включения представляют собой набор запчастей, а не компьютеры. Надо руками вводить пароли, монтировать диски. Так что желательно чтобы они вообще не выключались (на ваше усмотрение).
– зависимость системы от GSM связи – рекомендуем сразу проверить качество приема конкретного сотового оператора. Если сигнала нет, значит, надо сделать чтобы был – внешняя антенна и т.д. Иначе вы не сможете погасить компьютеры и как следствие прямо при Вас можно переписать с них данные.
– ежемесячные затраты на СМС, очень немного (даже можно было бы пренебречь), при выборе правильного тарифа и оператора.
– зависимость от соблюдения регламента (у Вас он вообще есть?). Система должна проверяться полностью примерно раз в месяц, исходя из опыта, отслеживаться настройки бэкапов и сам факт их проведения. Поскольку хоть все и автоматически, но каждый инструмент в отдельности имеет свой уровень безотказной работы (Handy может зависнуть – хотя на практике не видел, розетка нестабильно начать работать). Лучше с подобным столкнуться при регламентной проверке, нежели в иной ситуации.

Самое слабое звено.

Сотрудники. Можно было бы и не продолжать, но.. вот здесь я бы позвал сисадмина (распределение прав пользователям и кто что может делать – выходит за рамки данной статьи). Скажу только, что я бы с большой продуманностью подходил к вопросу кому давать доступ и кому пароли – может как раз разным людям. Здесь слишком широкое поле, для обобщенных рассуждений. Оставляю это на совести руководителя. Так же как составление и проведение регламентных работ.

Бывает так, что налоговый и финансовый учет в организации расходится настолько значительно, что это уже стыдно показывать, а лучше вообще не показывать. Есть смысл принять меры и выделить ресурсы для решения такой задачи. В данной статье описано конкретное решение для небольшой фирмы или подразделения. При значительном увеличении рабочих мест стоит менять концепцию, хотя некоторые элементы можно оставить.

У нас есть право защищать нашу собственность, а находящаяся у нас информация - наша собственность. Самое главное здесь - это еще и наша ответственность. Если фирма сама не позаботиться об информационной безопасности - пенять на попранные различными службами права, зачастую бессмысленно. Надо брать и делать. Самому брать и делать, не перекладывать на аутсорсинг - это Ваша безопасность. И это не сложно. С чего начать? Как начать? Итак, если мы решаем, что ответственны и готовы защищать, тогда нужно сделать так, чтобы подобного рода защита не отнимала много времени, была эффективна и стоила не дорого, а желательно бесплатно. Именно этими критериями мы будем руководствоваться при выборе того или иного инструмента, а также реализации концепции в целом.

Определяемся с ситуацией.

Для более четкого понимания, что же мы хотим сделать - приведу ситуацию, которая может легко сложиться в любом офисе (потому, что мы в России). Сидим, пьем чай - дверь выбивают, в комнату вбегают напущено злые молодые люди, с явным намереньем сделать нам неприятно. Таки мы вынуждены прерваться. Люди культурно просят нас поставить чашки с чаем и подальше отодвинуться от компьютеров, поскольку их товарищи спали и видели, как смогут занять наши рабочие места, на предмет почитать что же там пишут… И таки поскольку, бабушке одного из них тоже интересно, то они естественно хотят забрать на почитать все наши компьютеры.

Вот именно для такой ситуации и будем стараться, чтобы их бабушка довольствовалась телевизором. А также позаботимся, чтобы к нам и в другое время (когда никого нет) любители прозы и поэзии со своими родственниками приходили только для оплаты сломанной двери.

Что мы прячем?

Надо четко понять, что именно представляет ценность или угрозу для нас. Какую именно информацию мы скрываем и зачем. Нет никакого смысла прятать все. Это растянет временные рамки того же бэкапа. Информация должна быть четко структурирована и понимание что где лежит, должно присутствовать. Все ли машины нужно заводить в систему?

Основная цель - не допустить изъятия компрометирующей информации, не допустить возможности копирования и желательно вообще не иметь исправных компьютеров на рабочем месте. Обеспечить сохранность и доступность информации.

Формулируем Идеальный Конечный Результат (ИКР)

Информация легко доступна;

Информацию нельзя унести с собой или легко скопировать;

Система так же работает в ваше отсутствие, информируя Вас о внешних условиях;

Системе не страшен пожар и физическое изъятие носителей системы;

Система имеет удаленное управление (идеально не получается - управление все равно будет).

Наши ревизоры должны лицезреть «пустые» машины и картинку вроде этой:

В рамках данной статьи не будем касаться удаленных серверов в Малайзии или других странах. Это хорошее решение, но мы хотим рассмотреть именно ситуацию, когда все части системы находятся в одном (или) нескольких помещениях.

Выявляем противоречия:

Компьютеры должны работать и не должны работать;
- информацию можно извлечь и нельзя извлечь;
- информацию можно унести и нельзя унести;
- информацию можно уничтожить и нельзя уничтожить;
- мы не должны касаться компьютеров - а нам и не надо!

Устранив, все пять противоречий, мы сформируем рабочую систему для хранения и использования информации, а также ограничим к ней доступ.
Для этих целей используем следующие инструменты, которые интегрируем в систему:

1. TrueCrypt - бесплатная программа для шифрования: дисков целиком, системных дисков, областей дисков, файловых контейнеров.
2. Handy Backup - программа для резервного копирования файловой структуры. Можно использовать по сети, ставить задачи - собирать файлы и папки с различных машин, архивировать, шифровать и прочее. Стоимость можно узнать на торрентах.
3. GSM розетки - для удаленного включения и выключения питания по смс. Разброс цен от 2400 руб. до 10 000 руб. за розетку или пилот. Количество розеток будет зависеть от целей, которые вы ставите (одна машина или двадцать, при минималистичном подходе можно развести питание на 3 компа, но обратите внимание на мощности машин, мониторы и принтеры в розетки не подключаем). При выборе обратите внимание на удобство управления и качество приема.
4 . CC U825 - GSM контроллер - разработка наших Тульских умельцев (есть море аналогов, но цена/ качество/ надежность). Рекомендую именно данную многоконтурную систему - несколько лет у нас проработал младший аналог без ложных срабатываний. Независимый источник питания и цена.. 7000 рублей. Есть еще CCU422 - стоит дешевле, но сильно урезана по количеству контуров и глубине настройки.
5 . Кн опка паники - опционально. Если не хотите заморочек с дополнительным контуром в CCU приобретите еще и ее. Стоит как GSM розетка примерно. Смысл - посылает на несколько заранее запрограммированных номеров SMS, с заранее подготовленным текстом.
6. Каме ры и видеосервер - это на Ваше усмотрение. Данные опции помогают более точно удаленно подтвердить проникновение. Мы их касаться не будем.

Разберем каждый инструмент отдельно - от «как выглядит» до настройки.

Раздел интеграции системы находится в разработке и будет доступен на нашем сайте аудиторской фирмы в ближайшее время

TrueCrypt
Handy Backup
GSM розетки
CCU825
Кнопка паники
камеры и видеосервер (не буду рассматривать)
Интеграция системы.

Регламент.Самая важная часть системы. Что должно входить:

Все сотрудники, имеющие отношение к системе должны понимать, что они делают в сложной, стрессовой ситуации (а так оно и есть - руки начнут дрожать, голова перестанет соображать, ноги подкашиваться - это ж блин бухгалтерши, а не незабвенный и всеми горяче уважаемый Железный Феликс Эдмундович). Понимать так, чтобы нажать туда, куда надо нажать, и позвонить тому, кому надо позвонить. Еще лучше назначить премию - кто первый, тому 100 долларов. Только особо премию не завышайте, а то бухгалтер подойдет как к бизнес процессу - сама их вызывать начнет.
- желательно раз в месяц отрабатывать ситуацию, например, вечером, каждую третью пятницу месяца. По времени займет минуты, максимум час. А спать руководство будет спокойнее.
- понимание остатков на сим-картах в GSM модулях. Сильно зависит от выбранного тарифного плана и количества смс оповещений. Так же от выбранных Вами розеток (должен быть способ проверить баланс, не вынимая симку из розетки и не вставляя ее в телефон). СМС должны отправляться нескольким сотрудникам, чтобы иметь избыточнось и снизить риски а-ля «телефон дома забыл». Контроль раз в месяц - докладываем деньги.
- проверяем, пишет ли наш handy backup резервные архивы по кругу в десяти частях? Нет ли ошибок в задачах программы. Если есть - исправляем. Так же раз в месяц.
- отправляем смс, или гасим тревожной кнопкой все машины. Включаем. Ничего не работает. Везде черный экран - сказка! Не везде? Разбираемся почему - этот момент мы и вылавливали ежемесячными тревогами. Разобрались. Вводим пароли, монтируем винты. Запускаем резервное копирование. Все работает - сказка!
- внимательно проверяем (ВАЖНО - много раз сталкивался) - все ли компьютеры подключены к GSM розетке, а только потом к упсу? Как, наоборот? Он же не выключиться, если наоборот. Исправляем.
- назначаем ответственного за регламент, его заместителя, заместителя заместителя - в общем, при любых внешних обстоятельствах регламент должен выполняться. Иначе это уже не система.

Недостатки системы.

Зависимость системы от перезагрузки, машины после включения представляют собой набор запчастей, а не компьютеры. Надо руками вводить пароли, монтировать диски. Так что желательно чтобы они вообще не выключались (на ваше усмотрение).
- зависимость системы от GSM связи - рекомендуем сразу проверить качество приема конкретного сотового оператора. Если сигнала нет, значит, надо сделать чтобы был - внешняя антенна и т.д. Иначе вы не сможете погасить компьютеры и как следствие прямо при Вас можно переписать с них данные.
- ежемесячные затраты на СМС, очень немного (даже можно было бы пренебречь), при выборе правильного тарифа и оператора.
- зависимость от соблюдения регламента (у Вас он вообще есть?). Система должна проверяться полностью примерно раз в месяц, исходя из опыта, отслеживаться настройки бэкапов и сам факт их проведения. Поскольку хоть все и автоматически, но каждый инструмент в отдельности имеет свой уровень безотказной работы (Handy может зависнуть - хотя на практике не видел, розетка нестабильно начать работать). Лучше с подобным столкнуться при регламентной проверке, нежели в иной ситуации.

Самое слабое звено

Сотрудники. Можно было бы и не продолжать, но.. вот здесь я бы позвал сисадмина (распределение прав пользователям и кто что может делать - выходит за рамки данной статьи). Скажу только, что я бы с большой продуманностью подходил к вопросу кому давать доступ и кому пароли - может как раз разным людям. Здесь слишком широкое поле, для обобщенных рассуждений. Оставляю это на совести руководителя. Так же как составление и проведение регламентных работ.

Заключение

В данной статья мы изложили примерный инструментарий, который целесообразно (с позиций цена/качество/надежность) использовать для решения задачи защиты и сохранности информации организации. Мы не претендуем на оригинальность в этом жанре и изложили чисто практические приемы, чтобы Вы могли обдумать варианты и сразу их реализовать. Ваши задачи могут быть сложнее или проще, но мы надеемся, что тот набор инструментов, которые мы здесь описали, поможет Вам в их решении.

С уважением, Независимый консультант

Павел Иванович Егоров.

Переход России к рыночным отношениям выдвигает на первый план проблемы коренной перестройки учета. Если раньше учетная функция управления сводилась к прямому счетоводству и составлению отчетности, то в новых условиях бухгалтер – это центральная фигура управленческого персонала, он главный консультант директора фирмы, аналитик, финансист. Для выполнения новых функций и, прежде всего, создания учета как средства управления и регулирования использование компьютера, а также современных средств связи и коммуникаций жизненно необходимо.

Бухгалтер должен принимать непосредственное участие в создании компьютерной информационной системы бухгалтерского учета, ставить задачи и контролировать достоверность данных, их соответствие реальным хозяйственным операциям, анализировать бухгалтерскую информацию и исправлять неблагоприятные ситуации.

Новые информационные технологии в бухгалтерском учете на базе современных ПЭВМ, с одной стороны, обеспечивают высокое качество выполняемых работ, а с другой, - создают множество угроз, приводящих к непредсказуемым и даже катастрофическим последствиям. К числу таких угроз относятся следующие: проникновение посторонних лиц в базы учетных данных, повсеместное распространение компьютерных вирусов, ошибочный ввод учетных данных, ошибки в процессе проектирования и внедрения учетных систем и др. Противостоять возможной реализации угроз можно только приняв адекватные меры, которые способствуют обеспечению безопасности учетной информации. В этой связи каждый бухгалтер, использующий в своей работе компьютеры и средства связи, должен знать, от чего защищать информацию и как это делать.

Под защитой учетной информации понимается состояние защищенности информации и поддерживающей ее инфраструктуры (компьютеров, линий связи, систем электропитания и т.п.) от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям этой информации. *

Понятие информационной безопасности учетных данных в узком смысл этого слова подразумевает:

надежность работы компьютера;

сохранность ценных учетных данных;

защиту учетной информации от внесения в нее изменений неуполномоченными лицами;

сохранение документированных учетных сведений в электронной связи.

К объектам информационной безопасности в учете относятся:

информационные ресурсы, содержащие сведения, отнесенные к коммерческой тайне, и конфиденциальную информацию, представленную в виде баз учетных данных ** ;

средства и системы информатизации – технические средства, используемые в информационных процессах (средства вычислительной и организационной техники, информативные и физические поля компьютеров, общесистемное и прикладное программное обеспечение, в целом автоматизированные системы учетных данных предприятий). *

Угроза информационной безопасности бухгалтерского учета заключается в потенциально возможном действии, которое посредством воздействия на компоненты учетной системы может привести к нанесению ущерба владельцам информационных ресурсов или пользователям системы.

Правовой режим информационных ресурсов определяется нормами, устанавливающими:

порядок документирования информации;

право собственности на отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах ** ;

порядок правовой защиты информации.

Основный принцип, нарушаемый при реализации информационной угрозы в бухгалтерском учете, - это принцип документирования информации *** . Учетный документ, полученный из автоматизированной информационной системы учета, приобретает юридическую силу после его подписания должностным лицом в порядке, установленном законодательством Российской Федерации.

Все множество потенциальных угроз в учете по природе их возникновения можно разделить на два класса: естественные (объективные) и искусственные.

Естественные угрозы вызываются объективными причинами, как правило, не зависящими от бухгалтера, ведущими к полному или частичному уничтожению бухгалтерии вместе с ее компонентами. К таким стихийным явлениям относятся: землетрясения, удары молнией, пожары и т.п.

Искусственные угрозы связаны с деятельностью людей. Их можно разделить на непреднамеренные (неумышленные), вызванные способностью сотрудников делать какие-либо ошибки в силу невнимательности, либо усталости, болезненного состояния и т.п. Например, бухгалтер при вводе сведений в компьютер может нажать не ту клавишу, сделать неумышленные ошибки в программе, занести вирус, случайно разгласить пароли.

Преднамеренные (умышленные) угрозы связаны с корыстными устремлениями людей – злоумышленников, намеренно создающих недостоверные документы.

Угрозы безопасности с точки зрения их направленности можно подразделить на следующие группы:

угрозы проникновения и считывания данных из баз учетных данных и компьютерных программ их обработки;

угрозы сохранности учетных данных, приводящие либо к их уничтожению, либо к изменению, в том числе фальсификация платежных документов (платежных требований, поручений и т.п.);

угрозы доступности данных, возникающие, когда пользователь не может получить доступа к учетным данным;

угроза отказа от выполнения операций, когда один пользователь передает сообщение другому, а затем не подтверждает переданные данные.

В зависимости от источника угроз их можно подразделить на внутренние и внешние.

Источником внутренних угроз является деятельность персонала организации. Внешние угрозы приходят извне от сотрудников других организаций, от хакеров и прочих лиц.

Внешние угрозы можно подразделить на:

локальные, которые предполагают проникновение нарушителя на территорию организации и получение им доступа к отдельному компьютеру или локальной сети;

удаленные угрозы характерны для систем, подключенных к глобальным сетям (Internet, система международных банковских расчетов SWIFT и др.).

Такие опасности возникают чаще всего в системе электронных платежей при расчетах поставщиков с покупателями, использовании в расчетах сетей Internet. Источники таких информационных атак могут находиться за тысячи километров. Причем воздействию подвергаются не только ЭВМ, но и бухгалтерская информация.

Умышленными и неумышленными ошибками в учете, приводящими к увеличению учетного риска, являются следующи:

ошибки в записи учетных данных;

неверные коды;

несанкционированные учетные операции;

нарушение контрольных лимитов;

пропущенные учетные записи;

ошибки при обработке или выводе данных;

ошибки при формировании или корректировке справочников;

неполные учетные записи;

неверное отнесение записей по периодам;

фальсификация данных;

нарушение требований нормативных актов;

нарушение принципов учетной политики;

несоответствие качества услуг потребностям пользователей.

Процедуры, в которых обычно возникают ошибки и их типы, представлены в таблице 8 (172).