Точность данных – обязательное условие их надежности в книгах и проводках, а
значит и финансовой документации предприятия. В контексте этого документа данные
определяются как основа для информации. Поскольку извлечение бухгалтерской
информации требует обработки данных с помощью приложений и базовой
инфраструктуры ИТ, они также важны для безопасности бухгалтерской
информации.
Руководство отвечает за соблюдение условий безопасности. Необходимо
разработать, внедрить и использовать правильную концепцию, которая обеспечит
необходимую степень информационной безопасности.
Концепция безопасности требует оценки рисков, связанных с использованием ИТ,
и соответствующих технологических и организационных мероприятий. Это обеспечит
адекватную платформу для приложений ИТ, а также правильное и надежное выполнение
бизнес-процессов с помощью ИТ.
Надежность бухгалтерской информации в системах ИТ повышается, если соблюдены
приведенные ниже условия безопасности.
- Цельность. Для систем ИТ условие выполняется, когда данные и информация
полны и точны, системы полны и правильны, а весь комплекс защищен от
несанкционированных изменений и манипуляций. Правильные процедуры тестирования
и выпуска – типичные средства обеспечения цельности данных, информации и
систем. Технические средства, необходимые для достижения цели, включают в себя
брандмауэры и антивирусы. Инфраструктура ИТ, данные, информация и приложения
применяются в конкретной конфигурации, а модификации проводятся только
согласованно.
- Наличие. Требуется постоянное наличие аппаратного и программного
обеспечения, а также данных и информации для коммерческих операций, причем все
это должно быть работоспособно в течение указанного срока (например, после
аварийного прерывания). Необходимы правильные процедуры аварийного
резервирования, а также возможность в разумные сроки преобразовывать цифровые
регистры и записи в формат, пригодный для обычного чтения работниками.
- Конфиденциальность. Данные, полученные от третьих лиц, не должны
передаваться и разглашаться без соответствующих полномочий. Организационные и
технические меры, такие как технологии шифрования, включают в себя инструкции
по ограничению передачи персональных данных третьим лицам, по передаче
шифрованных данных уполномоченным лицам, опознание и проверку получателя,
уничтожение персональных данных по истечении указанного срока.
- Подлинность. Данные о транзакции должны содержать сведения о том, кто ее
совершил. Здесь поможет, например, процедура авторизации. При электронном
обмене данными или информацией важно уметь определить стороны, например, по
цифровой подписи. Для этого необходимы внешние и независимые общие службы
(например, трастовые центры).
- Авторизация. Надо, чтобы доступ к тем или иным данным, информации,
системам (например, через защиту паролем) и права в отношении этих систем
имели только назначенные (уполномоченные) лица. Речь идет о чтении, создании,
изменении и уничтожении данных и информации, администрировании систем ИТ.
Здесь полезны физические и логические процедуры безопасности. Также важны
организационные меры и технические системы по разделению несовместимых
обязанностей.
- Нерасторжимость. Процедуры на основе ИТ должны повлечь желаемые
юридические последствия с неоспоримой силой. Нельзя допустить, чтобы инициатор
мог отрицать законность сделки или отказаться от нее. Обеспечить неоспоримость
помогут криптографические системы с открытым ключом.
|