Переход России к рыночным отношениям выдвигает на первый план проблемы коренной перестройки учета. Если раньше учетная функция управления сводилась к прямому счетоводству и составлению отчетности, то в новых условиях бухгалтер – это центральная фигура управленческого персонала, он главный консультант директора фирмы, аналитик, финансист. Для выполнения новых функций и, прежде всего, создания учета как средства управления и регулирования использование компьютера, а также современных средств связи и коммуникаций жизненно необходимо.
Бухгалтер должен принимать непосредственное участие в создании компьютерной информационной системы бухгалтерского учета, ставить задачи и контролировать достоверность данных, их соответствие реальным хозяйственным операциям, анализировать бухгалтерскую информацию и исправлять неблагоприятные ситуации.
Новые информационные технологии в бухгалтерском учете на базе современных ПЭВМ, с одной стороны, обеспечивают высокое качество выполняемых работ, а с другой, - создают множество угроз, приводящих к непредсказуемым и даже катастрофическим последствиям. К числу таких угроз относятся следующие: проникновение посторонних лиц в базы учетных данных, повсеместное распространение компьютерных вирусов, ошибочный ввод учетных данных, ошибки в процессе проектирования и внедрения учетных систем и др. Противостоять возможной реализации угроз можно только приняв адекватные меры, которые способствуют обеспечению безопасности учетной информации. В этой связи каждый бухгалтер, использующий в своей работе компьютеры и средства связи, должен знать, от чего защищать информацию и как это делать.
Под защитой учетной информации понимается состояние защищенности информации и поддерживающей ее инфраструктуры (компьютеров, линий связи, систем электропитания и т.п.) от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям этой информации. *
Понятие информационной безопасности учетных данных в узком смысл этого слова подразумевает:
надежность работы компьютера;
сохранность ценных учетных данных;
защиту учетной информации от внесения в нее изменений неуполномоченными лицами;
сохранение документированных учетных сведений в электронной связи.
К объектам информационной безопасности в учете относятся:
информационные ресурсы, содержащие сведения, отнесенные к коммерческой тайне, и конфиденциальную информацию, представленную в виде баз учетных данных ** ;
средства и системы информатизации – технические средства, используемые в информационных процессах (средства вычислительной и организационной техники, информативные и физические поля компьютеров, общесистемное и прикладное программное обеспечение, в целом автоматизированные системы учетных данных предприятий). *
Угроза информационной безопасности бухгалтерского учета заключается в потенциально возможном действии, которое посредством воздействия на компоненты учетной системы может привести к нанесению ущерба владельцам информационных ресурсов или пользователям системы.
Правовой режим информационных ресурсов определяется нормами, устанавливающими:
порядок документирования информации;
право собственности на отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах ** ;
порядок правовой защиты информации.
Основный принцип, нарушаемый при реализации информационной угрозы в бухгалтерском учете, - это принцип документирования информации *** . Учетный документ, полученный из автоматизированной информационной системы учета, приобретает юридическую силу после его подписания должностным лицом в порядке, установленном законодательством Российской Федерации.
Все множество потенциальных угроз в учете по природе их возникновения можно разделить на два класса: естественные (объективные) и искусственные.
Естественные угрозы вызываются объективными причинами, как правило, не зависящими от бухгалтера, ведущими к полному или частичному уничтожению бухгалтерии вместе с ее компонентами. К таким стихийным явлениям относятся: землетрясения, удары молнией, пожары и т.п.
Искусственные угрозы связаны с деятельностью людей. Их можно разделить на непреднамеренные (неумышленные), вызванные способностью сотрудников делать какие-либо ошибки в силу невнимательности, либо усталости, болезненного состояния и т.п. Например, бухгалтер при вводе сведений в компьютер может нажать не ту клавишу, сделать неумышленные ошибки в программе, занести вирус, случайно разгласить пароли.
Преднамеренные (умышленные) угрозы связаны с корыстными устремлениями людей – злоумышленников, намеренно создающих недостоверные документы.
Угрозы безопасности с точки зрения их направленности можно подразделить на следующие группы:
угрозы проникновения и считывания данных из баз учетных данных и компьютерных программ их обработки;
угрозы сохранности учетных данных, приводящие либо к их уничтожению, либо к изменению, в том числе фальсификация платежных документов (платежных требований, поручений и т.п.);
угрозы доступности данных, возникающие, когда пользователь не может получить доступа к учетным данным;
угроза отказа от выполнения операций, когда один пользователь передает сообщение другому, а затем не подтверждает переданные данные.
В зависимости от источника угроз их можно подразделить на внутренние и внешние.
Источником внутренних угроз является деятельность персонала организации. Внешние угрозы приходят извне от сотрудников других организаций, от хакеров и прочих лиц.
Внешние угрозы можно подразделить на:
локальные, которые предполагают проникновение нарушителя на территорию организации и получение им доступа к отдельному компьютеру или локальной сети;
удаленные угрозы характерны для систем, подключенных к глобальным сетям (Internet, система международных банковских расчетов SWIFT и др.).
Такие опасности возникают чаще всего в системе электронных платежей при расчетах поставщиков с покупателями, использовании в расчетах сетей Internet. Источники таких информационных атак могут находиться за тысячи километров. Причем воздействию подвергаются не только ЭВМ, но и бухгалтерская информация.
Умышленными и неумышленными ошибками в учете, приводящими к увеличению учетного риска, являются следующи:
ошибки в записи учетных данных;
неверные коды;
несанкционированные учетные операции;
нарушение контрольных лимитов;
пропущенные учетные записи;
ошибки при обработке или выводе данных;
ошибки при формировании или корректировке справочников;
неполные учетные записи;
неверное отнесение записей по периодам;
фальсификация данных;
нарушение требований нормативных актов;
нарушение принципов учетной политики;
несоответствие качества услуг потребностям пользователей.
Процедуры, в которых обычно возникают ошибки и их типы, представлены в таблице 8 (172).
Для предприятий, учреждений и организаций независимо от форм собственности ключевым вопросом является обеспечение защиты информационных ресурсов, в том числе бухгалтерской информации и отчетности. Программа «1С:Бухгалтерия государственного учреждения 8» редакции 2 соответствует современным требованиям информационной безопасности. О возможностях программы по защите информации рассказывают в статье эксперты 1С.
Актуальность обеспечения защиты информационных ресурсов
Для обеспечения информационной безопасности организации, учреждения, предприятия должны быть созданы такие условия, при которых использование, потеря или искажение любой информации о состоянии организации, в том числе бухгалтерской и финансовой, работниками организации или внешними лицами (пользователями) с высокой степенью вероятности не приведут в обозримом будущем к возникновению угроз прерывания деятельности организации.
Актуальность проблем информационной безопасности на государственном уровне подтверждается принятием Доктрины информационной безопасности в Российской Федерации (утв. Президентом РФ 09.09.2000 № Пр-1895). Одной из составляющих национальных интересов Российской Федерации в информационной сфере является защита информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем, как уже развернутых, так и создаваемых на территории России.
Обеспечение информационной безопасности Российской Федерации в сфере экономики играет ключевую роль в обеспечении национальной безопасности Российской Федерации. Воздействию угроз информационной безопасности Российской Федерации в сфере экономики наиболее подвержены:
- система государственной статистики;
- кредитно - финансовая система;
- информационные и учетные автоматизированные системы подразделений федеральных органов исполнительной власти, обеспечивающих деятельность общества и государства в сфере экономики;
- системы бухгалтерского учета предприятий, учреждений и организаций независимо от формы собственности ;
- системы сбора, обработки, хранения и передачи финансовой, биржевой, налоговой, таможенной информации и информации о внешнеэкономической деятельности государства, а также предприятий, учреждений и организаций независимо от формы собственности.
Угрозами информационной безопасности предприятия, учреждения, организации, связанными с бухгалтерским учетом и отчетностью, являются угрозы:
- целостности бухгалтерской информации и отчетности;
- нарушения конфиденциальности бухгалтерской информации и отчетности;
- нарушения доступности (блокирование) бухгалтерской информации и отчетности;
- достоверности бухгалтерской информации и отчетности;
- содержанию бухгалтерской информации и отчетности, вызванные действием персонала и других лиц;
- вызванные использованием некачественной бухгалтерской информации и отчетности.
Информационная безопасность в «1С:Бухгалтерии государственного учреждения 8»
Программа «1С:Бухгалтерия государственного учреждения 8» редакция 2 (далее - Программа) соответствует современным требованиям информационной безопасности. Для повышения степени защиты от несанкционированного доступа информации, хранящейся в Программе, предусмотрены следующие возможности:
- аутентификация;
Рассмотрим подробнее данные возможности Программы.
Аутентификация
Механизм аутентификации - это один из инструментов администрирования. Он позволяет определить, кто именно из пользователей, перечисленных в списке пользователей системы, подключается к Программе в данный момент, и предотвратить несанкционированный доступ в Программу.
В «1С:Бухгалтерии государственного учреждения 8» редакции 2 поддерживается три вида аутентификации, которые могут использоваться в зависимости от конкретных задач, стоящих перед администратором информационной базы:
- аутентификация 1С:Предприятия - аутентификация по созданному в Программе пользователю и паролю;
- аутентификация операционной системы - в Программе для пользователя выбирается один из пользователей операционной системы. Программа анализирует, от имени какого пользователя операционной системы выполняется подключение к Программе, и на основании этого определяет соответствующего пользователя Программы;
- OpenID-аутентификация - аутентификацию пользователя выполняет внешний OpenID-провайдер, хранящий список пользователей.
Если для пользователя не указан ни один из видов аутентификации, такому пользователю доступ к Программе закрыт.
Если необходимо, чтобы пользователь входил в Программу с паролем, который будет проверяться, следует включить флаг Аутентификация 1С:Предприятия (см. рис. 1). Он включается по умолчанию вместе с флагом Вход в программу разрешен .
Состояние аутентификации «1С:Предприятия» выводится под флагом.
Рис. 1
При создании нового пользователя ему Программой автоматически назначается пустой пароль. Чтобы его изменить, следует воспользоваться командой Установить пароль в карточке пользователя (см. рис. 1).
В форме Установка пароля необходимо ввести Новый пароль для входа в Программу, написать его повторно в поле Подтверждение .
Хороший пароль должен состоять не менее чем из восьми символов, включать в себя заглавные и прописные латинские буквы, цифры, символы (подчеркивание, скобки и т. д.) и быть малопонятным выражением. Нежелательно, чтобы пароль совпадал с именем пользователя, полностью состоял из цифр, содержал понятные слова, чередующиеся группы символов. Примеры хороших паролей: "nj7{jhjibq*Gfhjkm, F5"njnGhkmNj;t{HI. Примеры неудачных паролей: Иванов, qwerty, 12345678, 123123123. Подробнее см. документацию «1С:Предприятие 8.3. Руководство администратора».
В Программе предусмотрена возможность автоматической проверки сложности пароля .
По умолчанию в целях безопасности пароль при вводе не показывается. Для того чтобы видеть, какие символы вводятся, следует включить флаг Показывать новый пароль .
Для автоматической генерации пароля можно воспользоваться кнопкой Создать пароль . Пароль будет создан Программой.
Для сохранения пароля необходимо нажать на кнопку Установить пароль .
После этого состояние аутентификации 1С:Предприятие меняется на Пароль установлен . В карточке пользователя кнопка меняет значение на Сменить пароль .
Для удобства администрирования и обеспечения безопасности у всех пользователей предусмотрен флаг , который нужен, чтобы пользователь сменил пароль, заданный администратором, на свой. При включенном флаге пользователь будет обязан самостоятельно ввести свой пароль, который больше никто не будет знать.
Если флаг Потребовать смену пароля при входе не включен, и установленный ранее пароль не устраивает по каким-то причинам, то можно поменять его в любой момент в карточке пользователя.
Включенный флаг Пользователю запрещено изменять пароль запрещает пользователю, не имеющему полные права, самостоятельно задавать и изменять пароль.
Реквизиты Потребовать смену пароля при входе и Срок действия можно увидеть в карточке пользователя и в отчете Сведения о пользователях (Сведения о внешних пользователях ).
Настройки входа в Программу
В форме Настройки входа (раздел Администрирование , команда панели навигации Настройки пользователей и прав ) раздельно для внутренних и внешних пользователей Программы можно настроить такие параметры как:
- настройка и контроль сложности пароля;
- требование смены пароля по расписанию или вручную. Смена пароля - периодически или по требованию;
- настройка и контроль повторяемости пароля;
- ограничение срока действия учетных записей.
На рисунке 2 представлена настройка для внутренних пользователей.
Рис. 2
Аналогичная настройка предусмотрена для внешних пользователей.
Контроль сложности пароля
При установленном флаге Пароль должен отвечать требованиям сложности программа проверяет, чтобы новый пароль:
- имел не менее 7 символов,
- содержал любые 3 из 4-х типов символов: заглавные буквы, строчные буквы, цифры, специальные символы,
- не совпадал с именем (для входа).
Минимальную длину пароля можно изменить, поставив флаг напротив одноименного поля и указав необходимую длину пароля (рис. 3).
Рис. 3
Смена пароля
Предусмотрено две настройки смены пароля: периодическая или по требованию администратора.
Для периодической смены пароля необходимо ограничить срок действия пароля настройками Минимальный срок действия пароля и Максимальный срок действия пароля . По истечении установленного срока Программа предложит пользователю поменять пароль.
Максимальный срок действия пароля - срок после первого входа с новым паролем, после которого пользователю потребуется сменить пароль, по умолчанию 30 дней.
Минимальный срок действия пароля - срок после первого входа с новым паролем, в течение которого пользователь не может сменить пароль, по умолчанию 1 день.
Для смены пароля по требованию администратору необходимо установить флаг Потребовать установку пароля при входе в карточке пользователя. При первом входе в Программу она потребует сменить пароль, заданный администратором, на свой.
Контроль повторяемости
Чтобы исключить создание пользователями повторяющихся паролей, необходимо включить настройку Запретить повторение пароля среди последних и установить количество последних паролей, с которыми будет сравниваться новый пароль.
Ограничение входа для пользователей
Для защиты от несанкционированного доступа в Программу можно установить ограничение для пользователей, не работающих в программе определенный период времени, например, 45 дней.
По истечении указанного срока программа не позволит пользователю войти в Программу. Открытые сеансы пользователей автоматически завершаются не более чем через 25 минут после того, как вход в Программу был запрещен.
В карточке пользователя, которая доступна в персональных настройках Программы, по гиперссылке Установить ограничения можно указать дополнительные ограничения на вход в Программу (рис. 4).
Рис. 4
С помощью переключателя можно установить ограничение на вход в Программу:
- Согласно общим настройкам входа - установлено по умолчанию;
- Без ограничения срока ;
- Вход разрешен до (следует установить срок - ввести дату вручную или выбрать из календаря с помощью кнопки). Для защиты от несанкционированного доступа к Программе у всех пользователей предусмотрен срок действия, который позволяет автоматически отключить пользователя по достижению указанной даты;
- Запретить вход, если не работает более (следует указать количество дней) - если пользователь не войдет в Программу больше указанного количества дней, то вход в Программу будет невозможен. В этом случае пользователь должен будет обратиться к администратору для возобновления работы в Программе.
Отчет «Сведения о пользователях»
Отчет Сведения о пользователях (рис. 5) предназначен для просмотра сведений о пользователях Программы, включая настройки для входа (свойства пользователя информационной базы). Необходимость в отчете возникает, если требуется выполнить групповой анализ настроек для входа (имени для входа, видов аутентификации и других).
Отчет открывается из списка Пользователи (Внешние пользователи ) по команде Все действия - Сведения о пользователях (Все действия - О внешних пользователях ). В зависимости от вида списка Программа автоматически выбирает нужный вариант отчета.
Сведения о внутренних и внешних пользователях в одном отчете можно открыть через панель действий раздела Администрирование по команде Сведения о пользователях .
Необходимость в отчете возникает, если требуется выполнить групповой анализ настроек для входа (имени для входа, видов аутентификации и других).
Рис. 5
С помощью кнопки Настройки... можно открыть список полей и при необходимости добавить нужные поля в отчет. Например, можно добавить в отчет поля Потребовать смену пароля при входе и Срок действия .
Обеспечение защиты персональных данных
В заключение следует отметить, что управление доступом в Программу - это только один из элементов защиты данных, предоставляемых Программой.
Постановлением Правительства РФ от 01.11.12 № 1119 утверждены Требования к защите персональных данных при их обработке в информационных системах персональных данных, где определены уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных. В соответствии с этими требованиями приказом ФСТЭК России от 18.02.13г. № 21 детализированы состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.
Нормы действующего законодательства о персональных данных предъявляют дополнительные требования и к программным продуктам, в частности, к программному обеспечению, являющемуся средствами защиты информации.
Для обеспечения защиты персональных данных предназначен защищенный программный комплекс (ЗПК) «1С:Предприятие, версия 8.3z», который является сертифицированным ФСТЭК России программным средством общего назначения со встроенными средствами защиты информации от несанкционированного доступа (НСД) к информации, не содержащей сведений, составляющих гостайну.
ЗПК «1С:Предприятие 8.3z» позволяет блокировать:
- запуск COM-объектов, внешних обработок и отчетов, приложений, установленных на сервере 1С:Предприятие;
- использование внешних компонентов 1С:Предприятие;
- обращение к ресурсам Интернет.
Совместное использование типовой «1С:Бухгалтерии государственного учреждения» редакции 2 и ЗПК «1С:Предприятие 8.3z» позволяет создать информационную систему персональных данных всех уровней защищенности, и дополнительная сертификация этого прикладного решения не требуется.
Использование ЗПК«1С:Предприятие 8.3z» совместно с сертифицированными ФСТЭК операционными системами, СУБД и другими сертифицированными средствами позволяет полностью выполнить требования вышеуказанных нормативных документов.
Поскольку «1С:Бухгалтерия государственного учреждения» обеспечивает обмен данными с органами Федерального Казначейства, Налоговыми органами, с информационными системами о государственных и муниципальных платежах (ГИС ГМП), учета федерального имущества (АСУФИ), регистрации и начисления платежей (ИС РНИП) и др. через Интернет, для выполнения требований безопасности объект должен быть обеспечен сертифицированными средствами межсетевого экранирования.
Разумеется, необходимо ежедневно проверять компьютеры, на которых установлена Программа, на наличие вредоносных компьютерных программ с использованием сертифицированных в системе сертификации ФСТЭК России средств антивирусной защиты.
"Финансовая газета. Региональный выпуск", 2008, N 41
В современных условиях нельзя недооценивать важность обеспечения информационной безопасности. Малейшая утечка конфиденциальной информации к конкурентам может привести к большим экономическим потерям для фирмы, остановке производства и даже к банкротству.
Целями информационной безопасности являются: предотвращение утечки, хищения, утраты, искажения, подделки информации; предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации; предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы организации.
К расходам на защиту информации относится в основном приобретение средств, обеспечивающих ее защиту от неправомерного доступа. Средств обеспечения защиты информации множество, условно их можно разделить на две большие группы. Первая - это средства, которые имеют материальную основу, такие, как сейфы, камеры видеонаблюдения, охранные системы и т.д. В бухгалтерском учете они учитываются как основные средства. Вторая - средства, которые не имеют материальной основы, такие, как антивирусные программы, программы ограничения доступа к информации в электронном виде и т.д. Рассмотрим особенности учета таких средств обеспечения информационной безопасности.
При покупке программы для обеспечения защиты информации исключительные права на нее не переходят к покупателю, приобретается лишь защищенная копия программы, копировать или распространять которую покупатель не может. Поэтому при учете таких программ следует руководствоваться гл. VI "Учет операций, связанных с предоставлением (получением) права использования нематериальных активов" нового ПБУ 14/2007 "Учет нематериальных активов".
В редких случаях при приобретении программ защиты информации к фирме переходят исключительные права на данный продукт. В этом случае программа будет учитываться в бухгалтерском учете как нематериальные активы (НМА).
Согласно ПБУ 14/2007 в бухгалтерском учете НМА, предоставленные в пользование на условиях лицензионного соглашения, платежи за право использования которых производятся в виде фиксированного разового платежа и исключительные права на которые не переходят к покупателю, должны учитываться у получателя в составе расходов будущих периодов и отражаться на забалансовом счете (п. 39). При этом срок, в течение которого данные расходы будут списываться на счета затрат, устанавливается лицензионным соглашением. В налоговом учете затраты на приобретение программ для защиты информации для целей налогообложения прибыли учитываются в качестве прочих расходов и списываются аналогично - равными частями в течение срока, установленного в лицензионном соглашении (пп. 26 п. 1 ст. 264 НК РФ).
Если оплата за право использования программного продукта, обеспечивающего информационную защиту, производится в виде периодических платежей, то согласно п. 39 ПБУ 14/2007 они включаются пользователем в расходы отчетного периода, в котором были произведены.
На практике в лицензионном соглашении не всегда указан срок использования программного обеспечения. Когда связь между доходами и расходами не может быть определена четко, в налоговом учете расходы на приобретение программ для защиты информации распределяются налогоплательщиком самостоятельно в целях исчисления налога на прибыль с учетом принципа равномерности признания доходов и расходов (п. 1 ст. 272 НК РФ). В бухгалтерском учете срок, в течение которого данные расходы будут списываться со счета 97, устанавливается руководством предприятия исходя из предполагаемого времени использования программы.
Пример 1 . ОАО "Альфа" приобрело лицензионную копию антивирусной программы у ООО "Бетта" за 118 000 руб., в том числе НДС (18%). Лицензионным соглашением установлен срок использования программы 9 месяцев.
В бухгалтерском учете ОАО "Альфа" программу следует учесть следующим образом:
Д-т 60, К-т 51 - 118 000 руб. - поставщику оплачена стоимость программного обеспечения;
Д-т 60, К-т 97 - 100 000 руб. - полученная программа отражена в качестве расходов будущих периодов;
Д-т 002 - 100 000 руб. - полученная программа отражена на забалансовом счете;
Д-т 19, К-т 60 - 18 000 руб. - выделен НДС;
Д-т 68, К-т 19 - 18 000 руб. - принят к вычету НДС;
Д-т 26 (44), К-т 97 - 11 111,11 руб. (100 000 руб. : 9 мес.) - ежемесячно в течение 9 месяцев стоимость антивирусной программы равными частями списывается на расходы.
Изменим условия примера 1: допустим, ОАО "Альфа" осуществляет платеж не единовременно, а равными частями на протяжении всего срока действия лицензионного договора. Суммы платежей составят 11 800 руб. за каждый месяц, в том числе НДС.
В этом случае в бухгалтерском учете будут сделаны следующие записи:
Д-т 002 - 90 000 руб. (10 000 руб. x 9 мес.) - полученная программа отражена на забалансовом счете;
Д-т 60, К-т 51 - 11 800 руб. - ежемесячно в течение 9 месяцев поставщику оплачивается стоимость программного продукта;
Д-т 19, К-т 60 - 1800 руб. - выделен НДС;
Д-т 26 (44), К-т 60 - 10 000 руб. - стоимость программы списана на расходы;
Д-т 68, К-т 19 - 1800 руб. - принят к вычету НДС.
Часто до истечения лицензионного соглашения компания - разработчик программ информационной защиты выпускает их обновление. В этом случае расходы в бухгалтерском и налоговом учете будут приниматься единовременно по факту обновления.
Также распространена практика, когда компания-разработчик для ознакомления безвозмездно предоставляет свое программное обеспечение организациям на небольшой срок. Для того чтобы правильно отразить безвозмездно полученную программу информационной защиты, ее нужно учесть в составе доходов будущих периодов по рыночной стоимости.
Пример 2 . ООО "Бетта" для ознакомления безвозмездно предоставило ОАО "Альфа" программное обеспечение по информационной безопасности сроком на 3 месяца. Рыночная цена данного программного продукта - 3300 руб.
В бухгалтерском учете ОАО "Альфа" следует сделать следующие записи:
Д-т 97, К-т 98 - 3300 руб. - принято к учету безвозмездно полученное программное обеспечение;
Д-т 98, К-т 91 - 1100 руб. - ежемесячно в течение трех месяцев часть дохода будущих периодов принимается в качестве прочих доходов.
В налоговом учете доходы от безвозмездно полученной программы также будут приниматься в течение трех месяцев (п. 2 ст. 271 НК РФ).
К расходам на защиту информации относятся не только приобретение средств обеспечения информационной безопасности, но также расходы на консультационные (информационные) услуги по защите информации (не связанные с приобретением нематериальных активов, основных средств или других активов организации). Согласно п. 7 ПБУ 10/99 "Расходы организации" затраты на консультационные услуги в бухгалтерском учете включаются в состав расходов по обычным видам деятельности в том отчетном периоде, когда они были произведены. В налоговом учете они относятся к прочим расходам, связанным с производством и реализацией продукции (пп. 15 п. 1 ст. 264 НК РФ).
Пример 3 . ООО "Бетта" оказало консультационные услуги по информационной безопасности ОАО "Альфа" на общую сумму 59 000 руб., в том числе НДС - 9000 руб.
В бухгалтерском учете ОАО "Альфа" должны быть сделаны записи:
Д-т 76, К-т 51 - 59 000 руб. - оплачены консультационные услуги;
Д-т 26 (44), Кт 76 - 50 000 руб. - консультационные услуги по информационной безопасности списаны на расходы по обычным видам деятельности;
Д-т 19, К-т 76 - 9000 руб. - выделен НДС;
Д-т 68, К-т 19 - 9000 руб. - принят к вычету НДС.
Предприятия, применяющие УСН, в качестве расходов, уменьшающих налогооблагаемую базу по налогу на прибыль, согласно пп. 19 п. 1 ст. 346.16 НК РФ смогут принять только затраты на приобретение программ, обеспечивающих информационную безопасность. Расходы на консультационные услуги по информационной безопасности в ст. 346.16 НК РФ не упоминаются, поэтому для целей налогообложения прибыли организации принять их не вправе.
В.Щаников
Ассистент аудитора
департамента аудита
ООО "Бейкер Тилли Русаудит"
Под безопасностью ИС пони043Cается защищенность системы от случайного или преднамеренного вмешательства в нормальный процесс ее функционирования, от попыток хищения (несанкционированного получения) информации, модификации или физического разрушения
ее компонентов.
В условиях использования ИТ под безопасностью понимается состояние защищенности ИС от внутренних и внещних угроз.
Показатель защищенности ИС - характеристика средств системы, влияющая на защищенность и описываемая определенной группой требований, варьируемых по уровню и глубине в зависимости от класса защищенности. правил и практического опыта, на основе которых строятся управление,
защита и распределение конфиденциальной информации.
Методы обеспечения безопасности информации в ИС:
· препятствие;
· управление доступом;
· механизмы шифрования;
· противодействие атакам вредоносных программ;
· регламентация;
· принуждение;
· побуждение.
Препятствие – метод физического преграждения пути злоумышленнику к защищаемой информации (к аппаратуре, носителям информации и т.д.).
Управление доступом – методы защиты информации регулированием использования всех ресурсов ИС и ИТ. Эти методы должны противостоять всем возможным путям несанкционированного доступа к информации.
Управление доступом включает следующие функции зашиты:
· идентификацию пользователей, персонала и ресурсов системы (присвоение каждому объекту персонального идентификатора);
· опознание (установление подлинности) объекта или субъекта по предъявленному им идентификатору;
· проверку полномочий (проверка соответствия дня недели, времени суток, запрашиваемых ресурсов и процедур установленному регламенту);
· разрешение и создание условий работы в пределах установленного регламента;
· регистрацию (протоколирование) обращений к защищаемым ресурсам;
· реагирование (сигнализация, отключение, задержка работ, отказ в запросе и т.п.) при попытках несанкционированных действий.
Механизмы шифрования – криптографическое закрытие информации. Эти методы защиты все шире применяются как при обработке, так и при хранении информации на магнитных носителях. При передаче информации по каналам связи большой протяженности этот метод является единственно надежным.
Противодействие атакам вредоносных программ предполагает комплекс разнообразных мер организационного характера и использование антивирусных программ. Цели принимаемых мер – это уменьшение вероятности инфицирования АИС, выявление фактов заражения системы; уменьшение последствий информационных инфекций, локализация или уничтожение вирусов; восстановление информации в ИС. Овладение этим комплексом мер и средств требует знакомства со специальной литературой.
Регламентация – создание таких условий автоматизированной обработки, хранения и передачи защищаемой информации, при которых нормы и стандарты по защите выполняются в наибольшей степени.
Принуждение – метод защиты, при котором пользователи и персонал ИС вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.
Побуждение – метод защиты, побуждающий пользователей и персонал ИС не нарушать установленные порядки за счет соблюдения сложившихся моральных и этических норм.
Вся совокупность технических средств подразделяется на аппаратные и физические .
Аппаратные средства – устройства, встраиваемые непосредственно в вычислительную технику, или устройства, которые сопрягаются с ней по стандартному интерфейсу.
Физические средства включают различные инженерные устройства и сооружения, препятствующие физическому проникновению злоумышленников на объекты защиты и осуществляющие защиту персонала (личные средства безопасности), материальных средств и финансов, информации от противоправных действий. Примеры физических средств: замки на дверях, решетки на окнах, средства электронной охранной сигнализации и т.п.
Программные средства – это специальные программы и программные комплексы, предназначенные для защиты информации в ИС. Как отмечалось, многие из них слиты с ПО самой ИС.
Из средств ПО системы защиты выделим еще программные средства, реализующие механизмы шифрования (криптографии). Криптография – это наука об обеспечении секретности и/или аутентичности (подлинности) передаваемых сообщений.
Организационные средства осуществляют своим комплексом регламентацию производственной деятельности в ИС и взаимоотношений исполнителей на нормативно-правовой основе таким образом, что разглашение, утечка и несанкционированный доступ к конфиденциальной информации становится невозможным или существенно затрудняется за счет проведения организационных мероприятий. Комплекс этих мер реализуется группой информационной безопасности, но должен находиться под контролем первого руководителя.
Законодательные средства защиты определяются законодательными актами страны, которыми регламентируются правила пользования, обработки и передачи информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил.
Морально-этические средства защиты включают всевозможные нормы поведения (которые традиционно сложились ранее), складываются по мере распространения ИС и ИТ в стране и в мире или специально разрабатываются. Морально-этические нормы могут быть неписаные (например честность) либо оформленные в некий свод (устав) правил или предписаний. Эти нормы, как правило, не являются законодательно утвержденными, но поскольку их несоблюдение приводит к падению престижа организации, они считаются обязательными для исполнения. Характерным примером таких предписаний является Кодекс профессионального поведения членов Ассоциации пользователей ЭВМ США.
ИС финансов.
Финансовые функции заключаются в управлении активами (наличными средствами, ценными бумагами, облигациями), для достижения их максимальной прибыли. Например, управление капитализацией (поиска новых финансовых возможностей при работе с ценными бумагами).
К бухгалтерским функциям относится обслуживание и управление финансовых записей организации (издержки, платежные ведомости, амортизация).
Для финансовых и бухгалтерских функций требуются постоянный мониторинг активов и инвестиций. Поэтому финансовые и бухгалтерские ИС являются системами мониторинга и контроля активов и денежных потоков организации.
На операционном уровне подсистема финансов проводит учет дебиторов и кредиторов.
На уровне знаний формируется и анализируется портфель заказов.
На уровне менеджмента проводится бюджетирование.
На стратегическом уровне проводится долгосрочное планирование прибыли.
Чтобы поддерживать производство, маркетинг и другие виды деятельности, на фирме должно быть достаточно денежных средств, поэтому задача контроля финансовых ресурсов и обеспечение их эффективного использования достаточно актуальны.
Все или почти все менеджеры фирмы несут финансовую ответственность в рамках своих полномочий. Они обязаны соизмерять свои расходы с бюджетными ограничениями данного года. Однако финансовое состояние фирмы волнует не только ее работников. Многие частные лица и организации зорко наблюдают за финансовым положением фирмы, имея в этом свой собственный интерес. Это прежде всего, держатели акций фирмы, финансовые организации, поставщики, конкуренты, правительственные чиновники и т.п. Информационная система финансов фирмы должна удовлетворить информационные потребности как менеджеров фирмы, так и ее окружения в отношении финансового состояния фирмы.
ИС финансов предназначена для обеспечения соответствующей финансовой информацией работников и заинтересованных лиц. Информация при этом может быть представлена в виде периодических и специальных отчетов, результатов математического моделирования, электронной коммуникации и советов экспертной системы (ЭС). Структура ИС финансов изображена на Рис. 16.
Рис. 16. Структура ИС финансов
Также как и другие функциональные подсистемы ИС организации, ИС финансов включает в себя ряд входных и выходных подсистем: бухгалтерскую подсистему и подсистему внешней информации. Третья входная подсистема предназначена для внутреннего аудита (проверки) правильности обработки финансовых данных.
Три выходные подсистемы ИС финансов управляют потоками финансовых средств. Подсистема прогнозирования создана для предвидения поведения фирмы совместно с ее окружением в долгосрочной перспективе. Подсистема управления финансами имеет целью достижение сбалансированности потоков средств, циркулирующих между фирмой и ее окружением. Подсистема контроля призвана контролировать эффективность использования менеджерами всех доступных видов финансовых ресурсов. Выходные подсистемы ИС финансов содержат различные типы программного обеспечения, трансформирующего данные, (содержащиеся в базе данных), в информацию, обеспечивающую поддержку принимаемых решений.
Программное обеспечение ИС финансов более разнообразно, чем для других функциональных подсистем ИС организации. Финансовые менеджеры широко используют электронные таблицы как программные средства повышения персональной производительности труда. Строки в этих таблицах используются для выражения таких финансовых показателей как объем продаж, себестоимость, прибыль, а столбцы - для интерпретации временных периодов (годы, кварталы, месяцы).
^ Входные подсистемы
1. Бухгалтерская ИС.
2. Подсистема внутреннего аудита. Обычно для проверки правильности финансовых расчетов фирмы обращаются к внешним аудиторам, специализирующимся в делах такого рода. Однако часто большие фирмы создают свои собственные подразделения внутреннего аудита и их задачей является своевременная оценка работы фирмы с финансовых позиций.
3. Подсистема внешней информации. Подсистема внешней информации создана для нахождения дополнительных внешних финансовых источников, которые могут быть использованы для финансирования деятельности фирмы. Главными источниками информации при этом оказываются держатели акций фирмы и ее финансовое окружение (банки, поставщики, конкуренты, потребители). Как и аналогичные подсистемы внешней информации других функциональных ИС, подсистема внешней информации ИС финансов получает также информацию от правительственных организаций.
^ Выходные подсистемы
1. Подсистема прогнозирования. Прогнозирование является одним из наиболее ранних количественных приложений в бизнесе. Существует значительное число методов прогнозирования.
2. Регрессионный анализ дает возможность устанавливать взаимосвязь между некоторой независимой переменной и другой, зависимой переменной, поведение которой нам требуется предсказать. Так, например, если считать объем продаж фирмы зависимой переменной, а количество работающих на фирму торговых агентов - независимой переменной, то можно построить линию регрессии, определяющую связь между ними. По линии регрессии, задав любое значение независимой переменной (количество агентов), можно предсказать соответствующее значение зависимой переменной (объем продаж).
3. Подсистема управления финансами Управление потоком средств, следующих из фирмы в ее окружение и из окружения в фирму, преследует две цели:
Убедиться, что поток доходов превышает поток расходов;
Убедиться, что положение фирмы стабильно.
Фирма может показывать вполне приличную годовую прибыль, в то время как некоторые месяцы внутри года оказываются убыточными. Для анализа потока средств, поступающих и уходящих с фирмы каждый месяц, разрабатываются специальные модели, позволяющие получить результат в графической или табличной форме.
4. Подсистема контроля. Менеджеры, имея определенные цели, которых они должны достигнуть в течение текущего периода, могут действовать лишь в рамках установленных для них финансовых ограничений. Такие ограничения формируются бюджетом текущего года. Бюджет фирмы является основой подсистемы контроля ее расходов.
Определение 1
Под защитой бухгалтерской информации подразумевают ее защищенность от случайных или преднамеренных воздействий с целью нанесения ущерба владельцам или пользователям информации.
Угроза безопасности информации по данным бухгалтерского учета может заключаться в возможном воздействии на компоненты бухгалтерской системы, которое нанесет ущерб пользователям системы.
Классификация угроз для данных учета
Можно выделить следующие классификации существующих угроз для бухгалтерской информации. Классификация по признаку их возникновения: искусственные или естественны.
Естественные, или объективные угрозы, то есть независящие от человека – форс-мажорные обстоятельства, стихийные бедствия, наводнения, и пожар, как наиболее частое явление, не с целью предумышленного поджога «рабочего стола с бухгалтерскими документами».
Искусственные, или субъективные угрозы, вызванные действиями или бездействиями сотрудников предприятия. Среди них выделяют:
- Случайные угрозы - ошибки программного обеспечения; сбои в работе, отказы или медленная работа компьютера и систем информационных технологий в целом
- Умышленные угрозы - неправомерный доступ к информации, распространение вирусных программ и т.д.
По признаку источника возникновения угрозы подразделяются на внутренние и внешние. Где к внутренним относят деятельность работников предприятия, к внешним - влияние извне организации: атака хакеров и т.п.
Безопасность бухгалтерской информации
Безопасность данных бухгалтерского учета складывается из следующих аспектов:
- надежность компьютера - не стоит экономить на компьютерах за которыми работают бухгалтера
- сохранность учетных данных учета – должны храниться копии не только систем, но и первичной документации
- защита от внесения изменений неуполномоченными лицами – система установления и применения паролей должна неукоснительно соблюдаться, такие технические шаги, как выключении монитор и закрытие всех рабочих окон в отсутствие работника уже не являются редкостью
Защита бухгалтерской информации
Защита бухгалтерской и финансовой информации компании от несанкционированного доступа подразумевает наличие у защищаемой информации следующих трех основных критериев:
- конфиденциальность - информация должна быть доступна только тем, кто кому она предназначена. Самый простой и понятный пример: конфиденциальность заработной платы.
- Целостность - информация, на основе которой руководители принимают управленческие решения, должна быть достоверной и точной. Примером служат отчеты, которые можно получить из разных книг бухгалтерского учета, в разных форматах и разрезах. И подразумевается, что одни и те же цифры, представленные в разном виде должны быть идентичными
- готовность – информация должны быть доступной, предоставленной по требованию, тогда когда в ней появляется необходимость. Пример: доступ к данным бухгалтерского учета не должен храниться в «одних руках»
Для предотвращения угроз безопасности, и для построения успешной защиты данных бухгалтерского учета, на предприятиях требуется выполнение следующих правил.
Замечание 1
Все сотрудники финансовых служб, главным образом отдела бухгалтерского учета, имеющие доступ и отношение к системам, должны понимать и осознавать свои функции и компетенции. Во многих международных компаниях все потенциальные сотрудники финансовых подразделений, начиная от линейного, младшего бухгалтера, и заканчивая финансовым директором, проходят предварительную проверку, наряду с высшим руководством компании. Обусловлена такая строгость к критериям отбора кандидатов, наличием отрицательного опыта даже имевшего место в другой стране. Потому что самым «слабым звеном» и «непредсказуемыми действиями» обладают и выступают люди - работники компании, а не машины – информационные технологии.
Резервное копирование систем в идеале должно осуществляться каждый день, на практике ночью создаются копии баз данных.
При анализе применяемых мер по контролю к доступу и использованию данных учета, а также при соблюдении правил работы сотрудниками финансовых отделов, защита бухгалтерской информации будет обеспечена.
