Автоматизированные системы в бухгалтерском учёте

СОДЕРЖАНИЕ

    Введение                                                                                                              3

1. Автоматизированные системы в бухгалтерском учёте                           4
2. Принципы построения системы  безопасности  БУИС                              предприятия                                                                                                     11              
3. Меры противодействия угрозам безопасности                                        13   

Заключение                                                                                                       19

     Список используемой литературы                                                                 20

ВВЕДЕНИЕ

Автоматизация производственных процессов, а также обеспечение безопасности к ним, стало распространённым явлением. Автоматизация облегчает и ускоряет работу.

Автоматизация — одно из направлений научно-технического прогресса, применение саморегулирующих технических средств, экономико-математических методов и систем управления, освобождающих  человека от участия в процессах  получения, преобразования, передачи и  использования энергии, материалов или информации, существенно уменьшающих  степень этого участия или  трудоемкость выполняемых операций.

Один из способов автоматизации, это внедрение автоматизированных информационных систем в деятельность производства. Это позволяет автоматизировать либо часть действий производства, либо всё производство целиком. Всё  зависит от масштабов системы  и масштабов предприятия.

В условиях усиления конкурентной борьбы базой для эффективной  работы специалиста во всех предметных областях являются автоматизированные информационные системы (АИС), которые  дают возможность принимать обоснованные своевременные управленческие решения, а система обеспечения информационной безопасности АИС решает задачи с целью противодействия основным угрозам.

В данной контрольной работе  рассматривается основа построения системы БУИС предприятия, а также основы построения её безопасности.

1 Автоматизированные системы в  бухгалтерском учёте

Если представить, что  бухгалтерский учет – это упорядоченная  система сбора, измерения, регистрации, обобщения информации с количественной и качественной стороны, а также  система обработки и получения  информации в денежном выражении  об имуществе, обязательствах и хозяйственных  операциях хозяйствующего субъекта и их движении, то станет ясно, что  бухгалтерский учет должен быть сплошным и непрерывным. Он должен:

• формировать повышение качества экономической информации, ее объективность, полноту использования безусловного достоверного и непротиворечивого оперативного получения исходной информации, актуальность, своевременность, устойчивость, адекватность информации;
• обеспечивать постоянной информацией внутренних и внешних пользователей, руководителей и специалистов во всех сферах хозяйственной деятельности.

Бухгалтерский учёт нужно  автоматизировать – это понимает любой бухгалтер. Это вызвано  следующими факторами:

• задачи бухгалтерского учёта хорошо структурированы, имеют известный и несложный алгоритм решения с преобладанием арифметических операций;
• бухгалтерский учёт собирает и регистрирует информацию обо всех хозяйственных операциях, которая необходима и остальным управленческим структурам предприятия;
• автоматизация бухгалтерского учёта стала неотложной задачей, так как внешние пользователи бухгалтерской информации, которым бухгалтерия должна представлять свои отчёты (Пенсионный фонд, налоговые органы), требуют их в электронной форме, на машиночитаемых носителях. Принятый Государственной Думой закон об электронной подписи только усиливает эту тенденцию.

С помощью автоматизированных информационных систем в пределах функций  бухгалтерского учета можно полностью  регламентировать автоматизированное получение данных, необходимых как  для ведения оперативного, аналитического, управленческого, статистического, финансового  и стратегического учета, так  и для составления форм бухгалтерской, финансовой, консолидированной, оперативной, статистической, балансовой отчетности, т. е. получать юридически обоснованные данные, необходимые пользователям  для выработки и принятия решений, а также для системного контроля за ходом производственных и иных процессов.

Создание автоматизированных информационных систем в бухгалтерском  учете – довольно сложный процесс, требующий:

• систематизации потоков экономической информации;
• использования автоматизированных рабочих мест (АРМ) с соответствующей топологией;
• применения таких программных продуктов, которые обеспечивали бы моделирование обобщающих показателей для оценки результативности в автоматическом режиме. Организация в развитии автоматизированных информационных систем в бухгалтерском учете основывается, прежде всего, на совокупности данных в обеспечивающих подсистемах, иерархии управления, агрегировании информации, согласованности обновления информации общего доступа в подсистемах.

Каждая из ранее названных  подсистем имеет свои информационные особенности, которые следует учитывать  при формировании АИС, исходя из того, что в первичных документах отражаются только изменяющиеся данные, а постоянная информация хранится в базе данных.

Так, в подсистеме «Учет  основных средств» важное место занимает их классификация. Она учитывается  при создании справочников базы данных, в которой фиксируется дата постановки на учет, норма амортизации и балансовая стоимость ОС. Эта информация находит отражение в отчетности и балансе. Кроме того, она должна постоянно поддерживать в актуальном состоянии ОС при изменении их характеристик.

Особенностью автоматизированной обработки информации по учету сырья, материалов и других аналогичных  ценностей является необходимость  оперативной обработки большого многообразия вариантов построения регистров аналитического учета. Это  обеспечивается применением вычислительной сети, осуществлением при необходимости  дистанционной передачи информации, проведением оперативной обработки  и установлением компьютера в  местах возникновения информации, например на материальных складах.

В подсистеме «Учет расчетов с персоналом по оплате труда» обрабатываемая информация наиболее трудоемкая и ответственная. Задачи, решаемые в подсистеме, многогранны  и многоэлементные. Хранение информации в базе данных значительно облегчает  адаптацию системы к различным  видоизменениям, поскольку порядок  проведения расчетов полностью опирается  на соответствующие статьи законодательства.

Для эффективного управления производством важно иметь сведения о структуре себестоимости. Согласно п. 8 ПБУ10/99 при учете затрат по основным видам деятельности должна быть обеспечена их группировка по экономическим  элементам. Обозначенный подход создает  реальные условия для установки  перечня статей затрат каждой организацией самостоятельно. При формировании подсистемы «Учет затрат на производство и расходов на продажу» используется топология  сетей вместе с программными продуктами сетевого характера. В этом случае заполняется  справочник "Статей затрат" для  базы данных.

В подсистеме «Учет готовой  продукции» следует обратить внимание на то, что выпускаемая продукция  может отражаться в учете как  по фактической, так и нормативной (плановой) производственной себестоимости. Фактическая производственная себестоимость готовой продукции может быть рассчитана только после окончания отчетного месяца. Однако известно, что движение продукции происходит ежедневно, поэтому может использоваться и условная оценка продукции, т.е. учетная цена. В качестве учетной цены может быть использована плановая, договорная цена и т.д. Кроме того, информация об отгруженной готовой продукции является основанием при формировании показателей реализации. Для проверки правильности формирования информации по реализации готовой продукции в условиях автоматизации пользователь наделен возможностью запроса ведомости готовых изделий «по элементам расчета».

При формировании подсистемы «Учет отгруженных товаров» необходимо обратить внимание на носителей первичной  информации: платежные требования, платежные поручения, аккредитивы, особые счета, плановые платежи, зачет  взаимных требований, почтовые переводы, бартерные сделки. Кроме того, следует  отметить и тот факт, что формы  расчета могут зависеть от договоренности между предприятием-поставщиком  и предприятием-заказчиком.

Одним из основных ориентиров денежно-кредитной политики является денежная масса. Заметим, что именно этот параметр денежного обращения  оказывает влияние на экономический  рост, динамику цен, занятость, бесперебойное  функционирование платежно-расчетной  системы. При формировании информационной базы нельзя забывать о том, что организация  охватывает поток денежных средств, который состоит из денежных поступлений, денежных расходов, бюджета денежных средств и текущих активов. Для  организации технологии автоматизированной обработки информации по учету финансово-расчетных  операций важное значение будут иметь  правильное построение и ведение  кодов синтетических счетов и  объектов аналитического учета.

Автоматизированная  обработка информации по сводному синтетическому и аналитическому учету и составлению  отчетности предполагает в качестве обязательного условия перевод  на автоматизированную обработку всех участков бухгалтерского учета, поскольку  по сводному синтетическому учету на персональном компьютере не создается  дополнительной информационной базы, и соответственно дополнительные исходные документы по данному разделу  не берутся во внимание, а используются базы данных, созданные по другим участкам учета.

Данные по каждому  синтетическому счету, а в их пределах - по каждому субсчету и статье аналитического учета формируются путем постепенного накапливания их во внешней памяти персонального компьютера, куда записывается первичная информация или производная, полученная при решении задач. Периодическая  и годовая отчетность могут составляться в регламентно-запросном режиме в условиях автоматизации, что позволит пользователю получить интересующие его  сведения на любой момент времени. Это  особенно важно в связи с требованием  повышения оперативности получения  отчетных данных.

При создании подсистем  в системе бухгалтерского учета  информация будет репрезентативной в целях адекватного отражения  свойств объекта, иметь ключевое значение, поскольку любая деятельность, ориентированная на удовлетворение потребностей потребителей, базируется на знании конкретной ситуации, сложившейся  на рынке. В условиях автоматизации  этот процесс ускоряется и совершенствуется.

В целом учетные задачи характеризуются массовостью информации при низком коэффициенте сложности расчетов - это типичные задачи обработки данных, где система информационных потоков должна быть четко встроена в общую систему информационных потоков организации.

Кроме того, при использовании  информационных систем в бухгалтерском  учете можно с помощью отчетной информации установить иерархическую  взаимосвязь различных уровней  управления.

Следующим этапом в построении АИСБУ является организация автоматизированных рабочих мест (АРМ).

Функционирование автоматизированных информационных систем в экономике  не ограничивается только сбором фактических  данных, а может использоваться и  для анализа данных, обоснованности вариантов решений на базе разнообразных  сведений о рынке, регионе, конъюнктуре, фирме, экономике, трудовых и материальных ресурсах. Автоматизированное рабочее  место позволит комплексно решить вышеназванные  задачи.

Было бы неполным раскрытие  рассматриваемой проблемы, если не остановиться на вопросе целесообразности построения вычислительных сетей –  локальных, региональных и глобальных – с выделенными серверами, на которых загружена сетевая операционная система с большим многозадачным  режимом выполнения работ, обеспечивающая обслуживание рабочих станций пользователей  и администрирование сетевых  процессов.

Функционирование АРМ  может дать эффект только при условии  правильного распределения функций  и нагрузки между человеком и  аппаратными средствами обработки  информации, включая информационные коммуникации, ядром которых является компьютер. Лишь тогда АРМ станет не только средством повышения качества информации, производительности труда  и эффективности управления, но и  комфортности специалистов.

Средства АРМ можно  направить, например, на межмашинный  обмен информацией с банками  в рамках системы "клиент - банк". Эта услуга предлагается тем банком, который обслуживает расчетный  счет данной организации, и представляет возможность управлять этим счетом, создавать платежные поручения  и передачу их в банк, получать выписки  из расчетного счета и др. В целях защиты передаваемых данных предусматривается использование средств защиты информации.

Что же касается защиты, то для реализации информационной атаки нарушителю необходимо активизировать или, другими словами, использовать определённую уязвимость АС. Под уязвимостью принято понимать слабое место АС, на основе которого возможна успешная реализация атаки. Примерами уязвимостей АС могут являться: некорректная конфигурация сетевых служб АС, наличие ПО без установленных модулей обновления, использование нестойких к угадыванию паролей, отсутствие необходимых средств защиты информации и др. Логическая связь уязвимости, атаки и её возможных последствий показана на рис. 1.

                                            Рис.1

2  Принципы построения системы безопасности БУИС предприятия.

Сами принципы безопасности БУИС предприятия опираются на те же понятия, на которых базируется безопасность автоматизированной информационной системы.

Система обеспечения информационной безопасности АИС должна решать следующие  задачи с целью противодействия основным угрозам:

• Управление доступом пользователей к ресурсам БУИС.
• Защита данных, передаваемых по каналам связи.
• Регистрация, сбор, хранение, обработка и выдача сведений обо всех событиях, происходящих в системе и имеющих отношение к ее безопасности.
• Контроль работы пользователей системы со стороны администрации и оперативное оповещение администратора безопасности о попытках несанкционированного доступа к ресурсам системы.
• Обеспечение замкнутой среды проверенного программного обеспечения с целью защиты от бесконтрольного внедрения в систему потенциально опасных программ (в которых могут содержаться вредоносные закладки или опасные ошибки) и средств преодоления системы защиты, а также от внедрения и распространения компьютерных вирусов.
• Контроль и поддержание целостности критичных ресурсов системы защиты; управление средствами защиты.

Уязвимости могут использоваться злоумышленниками для реализации информационных атак на ресурсы АС. Согласно разработанной  классификации любая атака в  общем случае может быть разделена  на четыре стадии:

- стадия рекогносцировки. На этом этапе нарушитель осуществляет сбор данных об объекте атаки, на основе которых планируются дальнейшие стадии атаки. Примерами такой информации являются: тип и версия операционной системы (ОС), установленной на узлах АС, список пользователей, зарегистрированных в системе, сведения об используемом прикладном ПО и др. При этом в качестве объектов атак могут выступать рабочие станции пользователей, серверы, а также коммуникационное оборудование АС;

- стадия вторжения в АС. На этом этапе нарушитель получает несанкционированный доступ к ресурсам тех узлов АС, по отношению к которым совершается атака; стадия атакующего воздействия на АС. Данный этап направлен на достижение нарушителем тех целей, ради которых предпринималась атака. Примерами таких действий могут являться нарушение работоспособности АС, кража конфиденциальной информации, хранимой в системе, удаление или модификация данных системы и др. При этом атакующий может также осуществлять действия, которые могут быть направлены на удаление следов его присутствия в АС;

стадия дальнейшего развития атаки. На этом этапе выполняются  действия, которые направлены на продолжение  атаки на ресурсы других узлов  АС.

Схематично стадии жизненного цикла информационной атаки изображены на рис. 2.

                                   Рис. 2

Различают внешнюю и внутреннюю безопасность АИС. Внешняя безопасность включает защиту АС от стихийных бедствий (пожар, землетрясение и т.п.) и  от проникновения в систему злоумышленников  извне. Внутренняя безопасность заключается  в создании надежных и удобных  механизмов регламентации деятельности всех ее законных пользователей и  обслуживающего персонала.

3 Меры противодействия угрозам безопасности

По способам осуществления  все меры обеспечения безопасности компьютерных систем подразделяются на: законодательные (правовые), административные (организационные), процедурные и  программно-технические.

К законодательным мерам  защиты относятся действующие в  стране нормативно-правовые акты, регламентирующие правила обращения с информацией, закрепляющие права и обязанности  участников информационных отношений  в процессе ее обработки и использования, а также устанавливающие ответственность  за нарушения этих правил. Важное значение имеют стандарты в области  защиты информации (в первую очередь, международные). Среди этих стандартов выделяются «Оранжевая книга», рекомендации X.800 и «Общие критерии оценки безопасности информационных технологий» (Common Criteria for IT Security Evaluation).

«Оранжевая книга» — крупнейший базовый стандарт. В ней даются важнейшие понятия, определяются основные сервиса безопасности и предлагается метод классификации информационных систем по требованиям безопасности.

Рекомендации X.800 в основном посвящены вопросам защиты сетевых  конфигураций. Они предлагают развитый набор сервисов и механизмов безопасности.

Кроме этого «Общие критерии»  содержат сведения о том, каким образом  могут быть достигнуты цели безопасности при современном уровне информационных технологий и позволяют сертифицировать  систему защиты (ей присваивается  определенный уровень безопасности).

Осенью 2006 года в России был  принят национальный стандарт ГОСТ Р  ИСО/МЭК 17799-2005 «Информационная технология — Практические правила управления информационной безопасностью», соотвествующий международному стандарту ИСО 17799. Стандарт представляет собой перечень мер, необходимых  для обеспечения информационной безопасности организации, включая  действия по созданию и внедрению  системы управления информационной безопасности, которая строится таким  же образом и на тех же принципах, что и система менеджмента  качества, и совместима с ней.

• Административные меры защиты — меры организационного характера, регламентирующие процессы функционирования АИС, деятельность персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности. Они включают:
• Подбор и подготовку персонала системы. Организацию охраны и пропускного режима. Организацию учета, хранения, использования и уничтожения документов и носителей с информацией. Распределение реквизитов разграничения доступа (паролей, ключей шифрования и т.д.).

В составе административных мер защиты важную роль играет формирование программы работ в области  информационной безопасности и обеспечение  ее выполнения (для этого необходимо выделять необходимые ресурсы и  контролировать состояние дел). Основой  программы является политика безопасности организации — совокупность руководящих  принципов, правил, процедур и практических приёмов в области безопасности, которыми руководствуется организация в своей деятельности. Разработка политики безопасности включает определение следующих основных моментов:

— какие данные и насколько  серьезно необходимо защищать;

— кто и какой ущерб  может нанести организации в  информационном аспекте;

— основные риски и способы  их уменьшения до приемлемой величины.

С практической точки зрения политику безопасности можно условно  разделить на три уровня: верхний, средний и нижний.

К верхнему уровню относятся  решения, затрагивающие организацию  в целом (как правило, носят общий  характер и исходят от руководства). Например, цели организации в области  информационной безопасности, программа  работ в области информационной безопасности (с назначением ответственных  за ее реализацию).

К среднему уровню относятся  вопросы, касающиеся отдельных аспектов информационной безопасности, но важные для различных систем, эксплуатируемых  организацией (например, использование  на работе персональных ноутбуков, установка  непроверенного программного обеспечения, работа с Интернетом и т.д.).

Политика безопасности нижнего  уровня касается конкретных сервисов и должна быть наиболее детальной. Часто  правила достижения целей политики безопасности нижнего уровня заложены в эти сервисы на уровне реализации

Меры процедурного уровня — отдельные мероприятия, выполняемые  на протяжении всего жизненного цикла  АИС. Они ориентированы на людей (а не на технические средства) и  подразделяются на:

— управление персоналом;

— физическая защита;

— поддержание работоспособности;

— реагирование на нарушения  режима безопасности;

— планирование восстановительных  работ.

Программно-технические  меры защиты основаны на использовании  специальных аппаратных средств  и программного обеспечения, входящих в состав АИС и выполняющих  функции защиты: шифрование, аутентификацию, разграничение доступа к ресурсам, регистрацию событий, поиск и  удаление вирусов и т.д.

В последнее время стала  активно развиваться интегральная информационная безопасность (ИИБ). Под  интегральной безопасностью понимается такое состояние условий функционирования человека, объектов и технических  средств, при котором они надежно  защищены от всех возможных видов  угроз в ходе непрерывного процесса подготовки, хранения, передачи и обработки  информации.

 Интегральная безопасность  информационных систем включает  в себя следующие составляющие:

• физическая безопасность (защита зданий, помещений, подвижных средств, людей, а также аппаратных средств — компьютеров, носителей информации, сетевого оборудования, кабельного хозяйства, поддерживающей инфраструктуры);
• безопасность связи (защита каналов связи от внешних воздействий любого рода);
• безопасность программного обеспечения (защита от вирусов, логических бомб, несанкционированного изменения конфигурации);
• безопасность данных (обеспечение конфиденциальности, целостности и доступности данных).

 Задача обеспечения  информационной безопасности появилась  вместе с проблемой передачи  и хранения информации. В настоящее  время можно выделить три подхода к решению обеспечения информационной безопасности:

• первый (частный) подход основывается на решении частных задач обеспечения информационной безопасности. Этот подход является малоэффективным, но достаточно часто используется, так как не требует больших финансовых и интеллектуальных затрат.
• второй (комплексный) подход основывается на решении комплекса частных задач по единой программе. Этот подход в настоящее время является основным.
• третий (интегральный) подход основан на интеграции различных подсистем связи, подсистем обеспечения безопасности в единую систему с общими техническими средствами, каналами связи, программным обеспечением и базами данных.

 Третий подход направлен  на достижение интегральной информационной  безопасности. Понятие интегральной  безопасности предполагает обязательную  непрерывность процесса обеспечения  безопасности как во времени,  так и в пространстве (по всему  технологическому циклу деятельности) с обязательным учетом всех  возможных видов угроз (несанкционированный  доступ, съем информации, терроризм,  пожар, стихийные бедствия и  т.п.).

 Интегральный подход  к проблеме информационной безопасности, безусловно, является наиболее перспективным,  однако его применение невозможно  без развитой инфраструктуры, значительных  материальных и интеллектуальных  затрат и высокого уровня технических  средств. Эти обстоятельства сдерживают  развитие интегральной безопасности.

 В какой бы форме  ни применялся интегральный подход, он связан с решением ряда  сложных разноплановых частных  задач в их тесной взаимосвязи.  Наиболее очевидными из них  являются задачи ограничения  доступа к информации, технического  и криптографического закрытия  информации, ограничения уровней паразитных излучений технических средств, технической укрепленности объектов, охраны и оснащения их тревожной сигнализацией.

 Необходимым условием  реализации интегрального подхода  является блокирование всех технических  каналов утечки и несанкционированного  доступа к информации, поэтому  для создания эффективных систем  безопасности, в первую очередь,  необходимо исследовать возможные  каналы утечки и их характеристики.

ЗАКЛЮЧЕНИЕ

Актуальные информационные ресурсы и правильно спроектированные АИС не только позволяют настраивать  порядок работы с системой на уровне разграничения прав доступа, но и  будут являться сегодня базой  для продуктивной работы бухгалтера любого уровня и во всех предметных областях. Выходные данные, своевременно полученные в достаточных условиях, необходимы при планировании, внутреннем аудите, экономическом анализе и составлении бизнес-планов, а также при решении правовых и иных вопросов.

В данной контрольной  работе рассматривалась бухгалтерская информационная система, представляющая собой модель системы управления, через которую проходит формализованная и частично формализованная информация, а также какие ИС должна решать задачи с целью противодействия основным угрозам.

Было выяснено, что меры защиты, основанные на использовании специальных аппаратных средств и программного обеспечения, входящих в состав БУИС выполняют функции защиты: шифрование, аутентификацию, разграничение доступа к ресурсам, регистрацию событий, поиск и удаление вирусов. 
                                    Список используемой литературы