Контроль защиты данных АСОИ

Общая теория аудита / Компьютерные технологии обработки информации и их применение в контрольно-аудиторском процессе / Контроль защиты данных АСОИ

Страница 1

Понятие защиты данных ЭВМ включает как разработку и внедрение соответствующих методов защиты, так и постоянное их использование. Внедрение защиты данных начинается с приказа руководителя и заканчивается практическим применением методов защиты. Потребность в защите информации обусловлена централизацией обработки экономической информации на вычислительных центрах коллективного пользования, облегчением доступа к данным благодаря средствам коммуникации с более мощными ЭВМ и более строгой государственной регламентацией секретности, а также рыночными отношениями в хозяйствовании, когда возникает потребность сохранить коммерческую тайну.

Функционирование АСОИ основывается на создании банков информации. Средства связи позволяют эти данные сделать доступными для каждого, кто имеет доступ к общей телефонной линии. Все более растущая концентрация данных вместе с их доступностью благодаря линиям связи повышает потребность в защите информации, а если учитывать, что предприятия стремятся к сохранению коммерческой тайны, то защита данных чрезвычайно необходима.

Мощные ЭВМ создают условия для роста несанкционированного доступа к ресурсам ЭВМ, позволяют выполнять сложные процедуры обработки информации. Например, использование языков запросов систем управления базами данных создает такие возможности, что в течение нескольких минут обеспечиваются действия, для которых необходимы были бы месяцы для проектирования, кодирования, внедрения, тестирования и обработки информации без применения базы данных.

Создание демократического правового государства обусловливает потребность в гарантии прав неприкосновенности лица при обработке на ЭВМ информации о личной жизни, переписке, доходах семьи и пр.

Для осуществления предупредительных функций финансово-хозяйственного контроля и аудита защита данных позволяет избежать злоупотреблений лицами, имеющими доступ к базам данных ЭВМ. Практика показывает, что в условиях АСОИ хищения ценностей осуществляются при участии бухгалтеров и работников вычислительных центров, которые занимаются обработкой экономической информации.

Основной целью защиты данных ЭВМ является предупреждение явлений, негативно влияющих на результаты хозяйствования.

Уничтожение информации

— несанкционированное уничтожение информационных ресурсов для сокрытия фактов хищения ценностей. Это касается учетно-экономической информации о расчетах с работниками предприятия, поставщиками, об использовании материальных ценностей, денежных средств и др.

Хищение данных

— хищение информации из ЭВМ может осуществляться без разрушения баз данных. В частности, такой информацией являются коды работника предприятия, товарно-материальных ценностей, производственных операций. Имея указанные коды на стадии подготовки данных и обработки их на ЭВМ, нечестные лица могут завышать заработок отдельным работникам, списывать на расходы производства драгоценные металлы и дефицитные материалы, создавать таким образом излишки для последующего расхищения их.

Изменение данных

— умышленное искажение данных — включает стирание и замену записей, использование неправильных кодовых обозначений в учете денежных средств и материальных ценностей и др. Например, код табельного номера уволенного работника сохраняют в базе данных и используют для начисления заработной платы подставному лицу с последующим перечислением денег на особый счет в Сбербанке.

Неправильное использование средств АСУ —

технические средства и ресурсы ЭВМ нередко используются для обработки информации для других предприятий на так называемых кооперативных началах, когда работники вычислительного центра получают оплату услуг за начисление заработной платы, учет материальных ценностей и средств лично, минуя предприятие, которому принадлежит оборудование вычислительной техники. В результате этой операции амортизация ЭВМ и других технических средств, содержание помещений, энергетические затраты не компенсируются владельцу вычислительного центра.