Защита информации в бухгалтерском учете
Бывает так, что налоговый и финансовый учет в организации расходится настолько значительно, что это уже стыдно показывать, а лучше вообще не показывать. Есть смысл принять меры и выделить ресурсы для решения такой задачи. В данной статье описано конкретное решение для небольшой фирмы или подразделения. При значительном увеличении рабочих мест стоит менять концепцию, хотя некоторые элементы можно оставить.
У нас есть право защищать нашу собственность, а находящаяся у нас информация – наша собственность. Самое главное здесь – это еще и наша ответственность. Если фирма сама не позаботиться об информационной безопасности – пенять на попранные различными службами права, зачастую бессмысленно. Надо брать и делать. Самому брать и делать, не перекладывать на аутсорсинг – это Ваша безопасность. И это не сложно. С чего начать? Как начать? Итак, если мы решаем, что ответственны и готовы защищать, тогда нужно сделать так, чтобы подобного рода защита не отнимала много времени, была эффективна и стоила не дорого, а желательно бесплатно. Именно этими критериями мы будем руководствоваться при выборе того или иного инструмента, а также реализации концепции в целом.
Определяемся с ситуацией.
Для более четкого понимания, что же мы хотим сделать – приведу ситуацию, которая может легко сложиться в любом офисе (потому, что мы в России). Сидим, пьем чай – дверь выбивают, в комнату вбегают напущено злые молодые люди, с явным намереньем сделать нам неприятно. Таки мы вынуждены прерваться. Люди культурно просят нас поставить чашки с чаем и подальше отодвинуться от компьютеров, поскольку их товарищи спали и видели, как смогут занять наши рабочие места, на предмет почитать что же там пишут… И таки поскольку, бабушке одного из них тоже интересно, то они естественно хотят забрать на почитать все наши компьютеры.
Вот именно для такой ситуации и будем стараться, чтобы их бабушка довольствовалась телевизором. А также позаботимся, чтобы к нам и в другое время (когда никого нет) любители прозы и поэзии со своими родственниками приходили только для оплаты сломанной двери.
Что мы прячем?
Надо четко понять, что именно представляет ценность или угрозу для нас. Какую именно информацию мы скрываем и зачем. Нет никакого смысла прятать все. Это растянет временные рамки того же бэкапа. Информация должна быть четко структурирована и понимание что где лежит, должно присутствовать. Все ли машины нужно заводить в систему?
Основная цель – не допустить изъятия компрометирующей информации, не допустить возможности копирования и желательно вообще не иметь исправных компьютеров на рабочем месте. Обеспечить сохранность и доступность информации.
Формулируем Идеальный Конечный Результат (ИКР)
– информация легко доступна;
– информацию нельзя унести с собой или легко скопировать;
– система так же работает в ваше отсутствие, информируя Вас о внешних условиях;
– системе не страшен пожар и физическое изъятие носителей системы;
– система имеет удаленное управление (идеально не получается – управление все равно будет).
– наши ревизоры должны лицезреть «пустые» машины и картинку вроде этой:
В рамках данной статьи не будем касаться удаленных серверов в Малайзии или других странах. Это хорошее решение, но мы хотим рассмотреть именно ситуацию, когда все части системы находятся в одном (или) нескольких помещениях.
Выявляем противоречия:
– компьютеры должны работать и не должны работать;
– информацию можно извлечь и нельзя извлечь;
– информацию можно унести и нельзя унести;
– информацию можно уничтожить и нельзя уничтожить;
– мы не должны касаться компьютеров – а нам и не надо!
Устранив, все пять противоречий, мы сформируем рабочую систему для хранения и использования информации, а также ограничим к ней доступ.
Для этих целей используем следующие инструменты, которые интегрируем в систему:
1. TrueCrypt – бесплатная программа для шифрования: дисков целиком, системных дисков, областей дисков, файловых контейнеров.
2. Handy Backup – программа для резервного копирования файловой структуры. Можно использовать по сети, ставить задачи – собирать файлы и папки с различных машин, архивировать, шифровать и прочее. Стоимость можно узнать на торрентах.
3. GSM розетки – для удаленного включения и выключения питания по смс. Разброс цен от 2400 руб. до 10 000 руб. за розетку или пилот. Количество розеток будет зависеть от целей, которые вы ставите (одна машина или двадцать, при минималистичном подходе можно развести питание на 3 компа, но обратите внимание на мощности машин, мониторы и принтеры в розетки не подключаем). При выборе обратите внимание на удобство управления и качество приема.
4. CCU825 – GSM контроллер – разработка наших Тульских умельцев (есть море аналогов, но цена/ качество/ надежность). Рекомендую именно данную многоконтурную систему – несколько лет у нас проработал младший аналог без ложных срабатываний. Независимый источник питания и цена.. 7000 рублей. Есть еще CCU422 – стоит дешевле, но сильно урезана по количеству контуров и глубине настройки.
5. Кнопка паники – опционально. Если не хотите заморочек с дополнительным контуром в CCU приобретите еще и ее. Стоит как GSM розетка примерно. Смысл – посылает на несколько заранее запрограммированных номеров SMS, с заранее подготовленным текстом.
6. Камеры и видеосервер – это на Ваше усмотрение. Данные опции помогают более точно удаленно подтвердить проникновение. Мы их касаться не будем.
Разберем каждый инструмент отдельно – от «как выглядит» до настройки.
Раздел интеграции системы находится в разработке и будет доступен на нашем сайте
TrueCrypt
Handy Backup
GSM розетки
CCU825
Кнопка паники
камеры и видеосервер (не буду рассматривать)
Интеграция системы.
Регламент.Самая важная часть системы. Что должно входить:
– все сотрудники, имеющие отношение к системе должны понимать, что они делают в сложной, стрессовой ситуации (а так оно и есть – руки начнут дрожать, голова перестанет соображать, ноги подкашиваться – это ж блин бухгалтерши, а не незабвенный и всеми горяче уважаемый Железный Феликс Эдмундович). Понимать так, чтобы нажать туда, куда надо нажать, и позвонить тому, кому надо позвонить. Еще лучше назначить премию – кто первый, тому 100 долларов. Только особо премию не завышайте, а то бухгалтер подойдет как к бизнес процессу – сама их вызывать начнет.
– желательно раз в месяц отрабатывать ситуацию, например, вечером, каждую третью пятницу месяца. По времени займет минуты, максимум час. А спать руководство будет спокойнее.
– понимание остатков на сим-картах в GSM модулях. Сильно зависит от выбранного тарифного плана и количества смс оповещений. Так же от выбранных Вами розеток (должен быть способ проверить баланс, не вынимая симку из розетки и не вставляя ее в телефон). СМС должны отправляться нескольким сотрудникам, чтобы иметь избыточнось и снизить риски а-ля «телефон дома забыл». Контроль раз в месяц – докладываем деньги.
– проверяем, пишет ли наш handy backup резервные архивы по кругу в десяти частях? Нет ли ошибок в задачах программы. Если есть – исправляем. Так же раз в месяц.
– отправляем смс, или гасим тревожной кнопкой все машины. Включаем. Ничего не работает. Везде черный экран – сказка! Не везде? Разбираемся почему – этот момент мы и вылавливали ежемесячными тревогами. Разобрались. Вводим пароли, монтируем винты. Запускаем резервное копирование. Все работает – сказка!
– внимательно проверяем (ВАЖНО – много раз сталкивался) – все ли компьютеры подключены к GSM розетке, а только потом к упсу? Как, наоборот? Он же не выключиться, если наоборот. Исправляем.
– назначаем ответственного за регламент, его заместителя, заместителя заместителя – в общем, при любых внешних обстоятельствах регламент должен выполняться. Иначе это уже не система.
Недостатки системы.
– зависимость системы от перезагрузки, машины после включения представляют собой набор запчастей, а не компьютеры. Надо руками вводить пароли, монтировать диски. Так что желательно чтобы они вообще не выключались (на ваше усмотрение).
– зависимость системы от GSM связи – рекомендуем сразу проверить качество приема конкретного сотового оператора. Если сигнала нет, значит, надо сделать чтобы был – внешняя антенна и т.д. Иначе вы не сможете погасить компьютеры и как следствие прямо при Вас можно переписать с них данные.
– ежемесячные затраты на СМС, очень немного (даже можно было бы пренебречь), при выборе правильного тарифа и оператора.
– зависимость от соблюдения регламента (у Вас он вообще есть?). Система должна проверяться полностью примерно раз в месяц, исходя из опыта, отслеживаться настройки бэкапов и сам факт их проведения. Поскольку хоть все и автоматически, но каждый инструмент в отдельности имеет свой уровень безотказной работы (Handy может зависнуть – хотя на практике не видел, розетка нестабильно начать работать). Лучше с подобным столкнуться при регламентной проверке, нежели в иной ситуации.
Самое слабое звено
Сотрудники. Можно было бы и не продолжать, но.. вот здесь я бы позвал сисадмина (распределение прав пользователям и кто что может делать – выходит за рамки данной статьи). Скажу только, что я бы с большой продуманностью подходил к вопросу кому давать доступ и кому пароли – может как раз разным людям. Здесь слишком широкое поле, для обобщенных рассуждений. Оставляю это на совести руководителя. Так же как составление и проведение регламентных работ.
Заключение
В данной статья мы изложили примерный инструментарий, который целесообразно (с позиций цена/качество/надежность) использовать для решения задачи защиты и сохранности информации организации. Мы не претендуем на оригинальность в этом жанре и изложили чисто практические приемы, чтобы Вы могли обдумать варианты и сразу их реализовать. Ваши задачи могут быть сложнее или проще, но мы надеемся, что тот набор инструментов, которые мы здесь описали, поможет Вам в их решении.
С уважением, Независимый консультант
Павел Иванович Егоров.