Шляхи удосконалення захисту інформації

Залежно від виду загрози безпеці КІСП можна застосовувати різні засоби контролю і захисту.

Несанкціонованих змін даних можна уникнути лише за допомогою захисту від доступу до них осіб, які не мають на це права. Доступу до апаратної частини можна запобігти, визначивши приміщення, у які можуть входити тільки особи з особливими перепустками. При доступі до даних через невеликі термінали і персональні комп'ютери такий спосіб не використовується, і навряд чи можливий. Тому небезпека маніпуляцій даними в таких випадках значно більша, ніж у приміщеннях з обмеженим доступом.

Можуть застосовуватися додаткові способи забезпечення безпеки, наприклад:

зберігання комп'ютера в сейфі або захисному чохлі;

- використання сигналізації, яка починає діяти тоді, коли комп'ютер відключається або пересувається зі свого місця;

- прикріплення комп'ютера до столу;

- замикаючий механізм для контролю доступу до кнопки увімкнення.

Ці заходи не виключають крадіжки комп'ютера, але підвищують ефективність контролю за несанкціонованим доступом.

До комп'ютера мас бути обмежений доступ як осіб, які безпосередньо не пов'язані з роботою, так і програм, які не мають відношення до виконання поставлених завдань, особливо ігрових програм, які можуть внести до комп'ютера віруси. Комп'ютер повинен блокуватись користувачем, що знижує ймовірність доступу до нього сторонніх осіб. Усі програми, які завантажуються в комп'ютер, необхідно перевіряти на наявність комп'ютерних вірусів за допомогою спеціальних антивірусних програм.

Дані необхідно захищати також від несанкціонованого використання. У бухгалтерському обліку підприємства частково зберігаються дані, то стосуються різних юридичних і фізичних осіб, наприклад співробітників, постачальників, клієнтів, кредиторів та дебіторів. Ці дані у зв'язку із Законом "Про захист інформації в автоматизованих системах" можуть зберігатися і оброблятися тільки за певних умов і мають бути недоступні для неуповноважених осіб.

З метою запобігання розголошення змісту такої інформації необхідно вжити заходів, які б підвищували відповідальність працівників за розголошення такої інформації третім особам. Насамперед, бухгалтерську інформацію (окрім фінансової звітності, яку слід оприлюднювати) варто кваліфікувати як комерційну таємницю підприємства. Для цього підприємство має:

- юридично закріпити за собою право на комерційну таємницю, тобто зафіксувати таке право в статуті підприємства;

- визначній обсяг та склад відомостей, що становлять комерційну таємницю;

- організувати її захист.

Належить встановити, хто визначає порядок захисту комерційної таємниці, а також закріпити право керівника підприємства вимагати від працівників, допущених до комерційної інформації, дотримання встановленого порядку та правил її зберігання.

Великою проблемою є захист інформації в разі випадкового або навмисного пошкодження технічних засобів чи електронних носіїв інформації. Розв'язання цієї проблеми полягає у створенні кількох резервних копій одночасно, час зберігання яких залежить від того терміну, протягом якого буде коригуватися масив даних.

Крім застосування засобів захисту, вбудованих в програмне забезпечення (паролі, шифрування даних тощо), також має бути передбачено організаційні й адміністративні заходи. Служба безпеки підприємства зобов'язана стежити за тим, щоб унеможливити акустичне прослуховування приміщення бухгалтерії, наявність підслуховуючих пристроїв у комп'ютерах, обчислювальних мережах, телефонах, копіювальній техніці тощо.

Бухгалтерська інформація містить майже всі відомості про діяльність підприємства, тому вона часто є об'єктом уваги конкурентів. Саме тому бухгалтерська інформація мас бути першочерговим об'єктом захисту. Однак комп'ютерні програми бухгалтерського обліку, які пропонують на ринку, мають різні можливості щодо захисту даних. Так, у програмах "Соло для бухгалтера с комп'ютером та "Финансы без проблем" взагалі немає системи контролю доступу. У програмах "Парус", "1C: Бухгалтерия" така система має вигляд паролю для входу в програму. Програми "Толстый Ганс" та "1C: Бухгалтерия" дають можливість організувати доступ до окремих ділянок обліку - до каси, розрахунку заробітної плати, складського обліку тощо - визначених осіб, які мають свої паролі. Це дозволяє не лише захистити підприємство від несанкціонованого доступу комерційної інформації, але й уберегти його від шахрайства персоналу, що має безпосереднє відношення до роботи бухгалтерії. Однак самі файли баз даних часто бувають незахищеними і їх може викрасти особа з мінімальними комп'ютерними навичками.

У Законі України "Про захист інформації в автоматизованих системах" відмічено, що захист інформації - це, передусім, комплекс організаційно-технічних заходів, спрямованих на запобігання втрат інформації внаслідок як ненавмисних або навмисних дій, так і несанкціонованого її зняття, а також на запобігання шахрайству з метою розкрадання майнових та грошових цінностей суб'єктів господарювання.

Захищеною інформаційною системою можна вважати інформаційну систему, яка відповідає певним вимогам і в якій реалізовано комплекс заходів захисту. Універсальний перелік вимог до захищених систем складати недоцільно через різноманітність самих систем і різноманітність імовірних загроз. Проте є кілька базових вимог, без задоволення яких систему не можна вважати захищеною.

Отже, безпечною є інформаційна система, яка задовольняє таким вимогам:

- цілісність інформації. Відповідає, стану системи, коли інформація є вчасною, точною, повною і змістовною. Повністю забезпечити її майже неможливо, тому часто виділяють цілісність інформації та цілісність системи. Цілісність інформації - це вимога зміни інформації тільки у встановленому порядку. Цілісність системи - це вимога виконання системою функцій, яких від неї вимагають, зазначеним способом і без навмисного або незумисного неавторизованого втручання;

- доступність системи - це вимога конкретної роботи, щоб система не відмовляла в доступі легальному користувачу;

- конфіденційність системи - це вимога відсутності доступу нелегальним користувачам до конфіденційної інформації, що міститься в системі.

Інколи окрім трьох основних вимог виділяють ще й забезпечення відповідальності. Ця вимога полягає в тому, що користувач не може відмовитися від авторства відісланого ним повідомлення або виконаної дії.

Важливість наведених вимог не однакова для різних інформаційних систем. Якщо для інформаційних систем державних установ на першому місці стоїть конфіденційність, а цілісність розуміють винятково як незмінність інформації, то для комерційних структур важливішою за все є цілісність (актуальність) і доступність даних та послуг з їх обробки. Порівняно з державними структурами комерційні більш відкриті і більш динамічні, тому ймовірні загрози для них відрізняються і кількісно, і якісно.