1. Adamenko A.A. The order of accounting for accounts receivable and payable, its influence on the balance sheet indicators Adamenko, T.E. Khorolskaya, A.G. Petridi // Bulletin of the Academy of Knowledge. - 2020. - No. 1 (36). - S. 10-14.
2. Adamenko A.A. The essence of the calculations, their types and forms. Debt of the organization / A.A. Adamenko, T.E. Kho-role, L.V. Boltysheva // Natural and humanitarian research. - 2019. - No. 23 (1). - S. 57-62.
3. Bashkatov V.V. Assessment of receivables / V.V. Bashkatov, I.A. Karyagin // Formation of the economic potential of economic entities: problems, prospects, accounting and analytical support Materials of the V international scientific conference. - 2015 .- S. 118-125.
4. Govdya V.V. Management of accounts receivable of organizations of the housing and communal complex / V.V. Govdya, S.A. Shulepin, K.A. Velichko // Proceedings of the Kuban State Agrarian University. 2016. - No. 61. - S. 34-39.
5. Gorodetskaya N.Yu. The procedure for writing off accounts payable / N.Yu. Gorodetskaya, O. P. Polonskaya // In the collection: New realities in the innovative development of economic thought. Collection of scientific articles on the results of the V International Scientific and Practical Conference, 2017. - pp. 126-130.
6. Eremina N.V. Accounts payable in the management of the enterprise / N.V. Eremina, A.G. Chergik, R.R. Dubinsky // Modern Economics: Problems, Prospects, Information Support: Materials of the VII Intern. scientific. conf. (Krasnodar, May 18-19, 2017) - Maykop: Publishing house of IP Magarin O.G., 2017. - pp. 148-153.
7. Eremina N.V. Accounts receivable accounting for modern purposes / N.V. Eremina, V.I. Skripko, Yu.S. Sobolev // Information support for effective management of the activities of economic entities: materials of the VII international. scientific. conf. (Krasnodar, April 20-21, 2017) - Maykop: Publishing house of IP Magarin O.G., 2017 .-- P. 98-104.
8. Morozkina S.S. Analysis of overdue debt of a commercial bank / S.S. Morozkina, Yu.N. Pavlenko, D.S. Zhuiko, A.S. Shchukin // Journal of U. Economics. Control. Finance. - 2020. No. 4 (22). - S. 89-100.
9. Normova, T.A. Accounting and analytical support for the analysis of receivables and payables in agricultural organizations / T.A. Normova, E.V. Sidorchukova, N.N. Yaromenko. - Kpacnodap, 2019.
DOI 10.24412/2309-4788-2021-11159
Ж.А. Аксенова - к.э.н., доцент, доцент кафедры бухгалтерского учета и информационных технологий, Краснодарский кооперативный институт (филиал) РУК, e-mail: [email protected],
Z.A. Aksen ova - Associate Professor of the Departmen t of Accounting an d Information tech nologies, Candidate of Economic Sciences, Krasnodar Institute of Cooperation (branch) of RUC, e-mail: [email protected];
О.В. Ищенко - кэ.н., доцент, доцент кафедры бухгалтерскогоучета и информационных технологий, Краснодарский кооперативный институт (филиал) РУК, e-mail: [email protected],
O. V. Ish ch enko - Associate Professor ofth e Departmen t ofAccoun ting and Information technologies, Candidate of Economic Sciences, Krasnodar Institute of Cooperation (branch) of RUC, e-mail: [email protected];
Е.В. Зенцева - магистрант экономического факультета, Краснодарский кооперативный институт (филиал) РУК, e-mail: [email protected],
E.V. Zentseva - Master's Student of the Faculty of Economics, Krasnodar Cooperative Institute (branch). of RUC, e-mail: [email protected].
АУДИТ ИНФОРМАЦИОННЫХ СИСТЕМ С ЦЕЛЬЮ ПРОВЕРКИ УРОВНЯ ИХ БЕЗОПАСНОСТИ ПОСРЕДСТВОМ ВЗЛОМА AUDIT OF INFORMATION SYSTEMS IN ORDER TO CHECK THE LEVEL OF THEIR SECURITY THROUGH HACKING
Аннотация. В статье изложены различные подходы и способы обхода систем безопасности различных Информационных систем (ИС). Проанализированы основные и сопутствующие этапы, на каждом из которых определены соответствующие цели и действия. Проведен анализ, сформулированы выводы и предложены рекомендации для субъектов информационной деятельности позволяющие избегать атак на контролируемые ими ресурсы и информационные системы.
Abstract. The article describes various approaches and ways to bypass the security systems of various Information systems. The main and related stages are analyzed, at each of which the corresponding goals and actions are determined. The analysis is carried out, conclusions are formulated and recommendations are offered for subjects of information activity allowing to avoid attacks on the resources and information systems controlled by them.
Ключевые слова: информационная безопасность, аудит, защита информации, финансы, отчетность,
риски.
Keywords: information security, audit, information protection, finance, reporting, risks.
В современном мире, где с каждым годом растет технологический уровень, очень важно уметь разбираться в вопросах, связанных с информационной безопасностью. Так или иначе, многие сферы жизни человека к 2021 году стали во многом зависимы от виртуального мира. Многие финансовые операции проводятся онлайн посредством различных платежных интернет-систем, люди получают информацию напрямую из интернета, запись в поликлинику проходит через сайт, на котором расположены все больницы в городе и так далее. Ввиду
быстрого прогресса в данной сфере растет и уровень всевозможныхугроз, которые злоумышленники могут реализовать даже не выходя из дома.
Так, достаточно распространены атаки на информационные системы, существует множество способов. В такой ситуации создатели различных интернет-ресурсов в любом случае заинтересованы в защите контролируемых ими систем. Например, владельцы такой компании как Google готовы платить каждому кто найдет уязвимость в их платформах И речь в данном случае о весьма крупных суммах. Подобных примеров сотни.
Чтобы как-то решить данную проблему разработчики стали прибегать к использованию услуг так называемых пентестеров.
Под пентестерами принято понимать людей, которые посредством проникновения в сеть тестируют объект на уровень защищенности от нежелательного проникновения. В твкой ситуации пентестер выступает, своего рода, в качестве аудитора безопасности, предоставляя оценку безопасности компьютерных систем имитируя действия злоумышленника. Как правило таковыми людьми становятся люди, обладающими богатым опытом работы в сфере IT-технологий и опытом программирования. Однако таковыми могут выступать и обычные «скрипт-кидди», то есть представители хакерской субкультуры, которые, не имея профильных знаний и навыков в создании тех или иных скриптов или программ, тем не менее, могут пользоваться уже готовыми программами или скриптами для эксплуатации уязвимостей ИС.
Рассматривая вопрос терминологии стоит упомянуть три категории хакеров: white hat, gray hat, black hat. Первые целенаправленно находят уязвимости в ИС и сообщают об этом владельцу ИС. Последние же используют обнаруженные уязвимости исключительно в корыстных целях Промежуточная категория - gray hat - занимается примерно тем же, что и представители первой категории, разве что де -юре не совсем законно или же без какого-либо финансового вознаграждения.
Чтобы процесс обнаружения и использования уязвимостей был законным следует воспользоваться аудитом информационных систем. Однако, есть некоторые различия между тестами на проникновение и законным аудитом.
Так, самым главным отличием принято считать то, что аудиторы могут располагать базовой информацией, обладать доступом к различным конфигурациям или же и вовсе иметь представление обо всех ИС компании, которая запросила аудит.
Все же суть и тех и других остается одна - взлом ИС.
Рассмотрим методологию взлома, определив основные этапы.
Итак, принято выделять следующие 5 этапов:
- сбор информации об объекте ИС;
- исследование объекта ИС;
- получение доступа к объекту ИС;
- закрепление в объекте ИС;
- очистка следов пребывания в объекте ИС.
Описанные выше этапы разрешается выполнять не раз.
Рассмотрим каждый из этапов отдельно. На первом этапе, который является одним из самых важных нужно заполучить всю необходимую для анализа информацию. Делается это посредством поисковых систем (Google, Yandex, Bingo, Yahoo). Очень многое зависит от того как будет сформирован поисковой запрос. Если грамотно его составить, то можно среди многомиллионной информации (99% которой не будет являться релевантной) выделить всего несколько наиболее ценныхзапросов. В качестве примера, можно воспользоваться компанией Apple. Запроси его сформулировать достаточно просто, например, так: сведения об Apple. Очевидно, что большая часть информации будет бесполезна. Некоторые поисковики вообще выдут информацию о фрукте или сайты--переводчики. Однако, если запрос сформулировать чуть иначе, то можно получить все самое необходимое. Например, запрос можно сформулировать так: siteroyalmail.com filetype:doc.
В некоторых случаях многие уязвимости находятся через программный код. В качестве примера может выступать файл, в котором будут указаны параметры конфигурации, учетные данные пользователя root, включая пароль. В сети интернет среди хакеров и программистов, занимающихся защитой ИС, популярен сайт Hack The Box В нем расположены различные образы виртуальных машин, которые пользователям сайта предлагается взломать. Преимущество данного сайта в том, что попасть в него нельзя без пригласительного кода. Разработчики, зная свою целевую аудиторию, спрятали пригласительный код в строке исходного программного кода, которая была закодирована.
Резюмируя, можно сказать о том, что многое уязвимости можно обнаружить уже на первом этапе. Для этого не обязательно быть опытным программистом. Достаточно обладать лишь базовыми знаниями в мире программирования и, желательно, некоторыми программами, которые могли бы автоматизировать поиск нужной информации.
На данном этапе хорошо подойдут заранее сформированные запросы по типу « exploit-db.com/google-dorks /». Так, имея доступ к нужным ресурсам можно спокойно получить доступ к уязвимым приложениям и файлам, содержащим пароли пользователей.
Далее следует переходить ко второму этапу, исследованию объекта или же эксплуатациям уязвимостей.
Если речь идет о крупных компаниях, то можно собрать информацию о сотрудниках Есть множество ресурсов, большая часть из которых заблокирована на территории Российской Федерации. Часть из них платная. Популярными являются сервисы наподобие « spokeo», о котором немало можно узнать из сериала « Mr. Robot»,
который посвящен тематике программирования и взлома. На сегодняшний день без использования прокси -сервера на территории Российской Федерации на него не попасть.
Для упрощения и обобщения информации можно воспользоваться ресурсами наподобие « Maltego» и «Echosec». Также можно посмотреть целевую информацию о том или ином сайте, включая версии ПО, домены и так далее.
Так, информация о главном сайте Российского университета кооперации отображена на рисунке 1.
Рисунок 1 - Информация о главном сайте РУК
На сайте «netcraft» также можно узнать информацию о домене. Зная информацию о домене можно воспользоваться различными утилитами для определения, например, диапазона IP-адресов. Также можно использовать утилиту «google-mail», написанную на Python для Kali Linux, для сбора почты сотрудников. Пользуясь информацией, которую оставляют в открытом доступе, можно узнать очень многое как о сайте, так и о сотрудниках компании. Далее можно либо эксплуатировать найденные уязвимости, либо заниматься социальной инженерией. В рамках данного исследования, хотелось бы упомянуть о совмещении первого и второго.
Например, хакер, используя уязвимости исследуемого сайта, получил адреса почт сотрудников. Далее выяснилось, что один из сотрудников увлекается, допустим, коллекционированием значков и, помимо всего этого, оставляет с рабочей почты комментарии на сайтах наподобие « Amazon». Для хакера не составит труда создать фишинговый сайт, в программный код которого будет вставлен эксплоит с фоновым загрузчиком бэк-дора. Все что остается, это предложить жертве приобрести нужный значок для коллекции, перейдя по ссылке, которая и является фишинговым сайтом. Благодаря этому можно получить доступ к рабочей почте сотрудника и, соответственно, определенный доступ к сайту, проникнуть на который и является задачей аудитора. Итак, предположим, что информация собрана, уязвимости обнаружены, доступ к ИС получен. Что же можно с этим делать? Существует множество методов. Одним из наиболее популярных является так называемый метод перекрестного скриптинга или же XSS. Зачастую такое можно встретить в окошечках регистрации или авторизации, в любой форме, где нет проверки данных Например, использовать в гостевой книге какого -либо сайта (рисунки 2 и 3).
Рисунок 2 - Форма ввода в гостевой книге
ок
Рисунок 3 - Сообщение после ввода и отправки данных
Как правило данный вид атаки используется для перенаправления на другой сайт, скачивание чего-либо без ведома пользователя и так далее. Уже на этом этапе можно совершить атаку на сайт. Важно заметить, что в данном случае речь идет о той атаке, которая не нанесет большого вреда ИС, так как операция делается с целью аудита. В иных случаях весьма распространены иные по масштабу атаки вплоть до отказа в работе сайта посредством Ddos-атаки или установление сниффинга (перехват информации).
Итак, предположим, что мы обнаружили уязвимость и смогли проникнуть в ИС, получив логины и хе-шированные пароли, которые можно в дальнейшем преобразовать посредством «радужных таблиц».
Что же следует сделать сейчас? Прежде всего нужно избавиться от следов пребывания в системе. Важно понимать, что большинство администраторов защищает свой сервер. Кто -то в большей степени, кто-то в меньшей. В одном случае проникновение будет заблокировано, в другом могут быть применены меры по отношению к злоумышленнику. В этой связи целесообразно убрать все следы путем удаления всех установленных ПО, созданных пользователей, изменений конфигураций и так далее.
После успешно проведенного аудита следует оформить отчет. В каждом отдельном случае отчет может выглядеть по-разному. Однако, есть отдельные моменты, которые обязательно следует включать в отчет. Для начала следует описать в краткой форме объект тестирования, затем упомянуть все важнейшие моменты, без подробнейшего анализа каждого из них После этого нужно перечислить все обнаруженные уязвимости и результаты их анализа. Как правило, перечень уязвимостей ранжируют по уровню важности, от наиболее значимых к незначительным. Затем подводятся итоги и формулируются предложения и пути устранения выявленныхуязви-м остей.
Таким образов, важность рассматриваемой проблемы трудно переоценить. Для проведения успешной защиты всегда нужно знать, как атаковать. Аудит безопасности ИС является вынужденной мерой, но крайне важной на сегодняшний день. Следует помнить, что никто, никогда не нахо дится в безопасности. Еще не разработано таких систем, которые бы не представлялось возможным взломать, не зависимо от масштаба. Существует множество печальных примеров взлома крупнейших ИС на уровне государств и финансовых центров, когда в рамках целой страны на сутки пропадал интернет, что повлекло за собой колоссальные потери в экономике для различных секторов и отраслей.
Источники
1. Аксенова Ж.А. Проблемы формирования системы внутреннего контроля на предприятии с использованием информационных технологий / Ж.А. Аксенова, О.В. Ищенко, В.В. Салий // Естественно-гуманитарные исследования. 2020. № 29 (3). С. 31-37.
2. Аксенова Ж.А. Особенности ведения внутреннего контроля в торговой организации / Ж.А. Аксенова, О.В. Ищенко, В.П. Леошко // Вестник Академии знаний. 2019. № 3 (32). С. 31-35.
3. Бабаш А. В., Информационная безопасность. Лабораторный практикум - М.: КноРус, 2019 - 432 с.
4. Гришина Н. В., Информационная безопасность предприятия. Учебное пособие - М.: Форум - 2018, - 118 с.
5. Ищенко О.В. Особенности формирования и проведения анализа бухгалтерской, налоговой отчетности организации с использованием информационных технологий / О.В. Ищенко, Ж.А. Аксенова, В.В. Салий // В сборнике: Преподаватель года 2020. Сборник статей Международного научно-методического конкурса. В 2-х частях. 2020. С. 48-55.
6. Ищенко О.В. Проблемы формирования системы внутреннего контроля на предприятии с использованием информационных технологий / О.В. Ищенко, Ж.А. Аксенова, В.В. Салий // Естественно-гуманитарные исследования. 2020. № 29 (3). С. 31 -37.
7. Салий, В.В. Архитектура предприятия: учебное пособие / В.В. Салий, Ж.А. Аксенова, О.В. Ищенко - Краснодар: Краснодарский кооперативный институт (филиал) Российского университета кооперации, 2018. - 173 с.
8. Салий В.В. Применение информационных технологий в дистанционной форме обучения в экстремальный период / ВВ. Салий, О.В. Ищенко, Ж.А. Аксенова // В сборнике: Сборник научных статей профессорско-преподавательского состава и студентов Российских научно-образовательных учреждений. Берлин, 2020. С. 193-200.
9. Скабцов Н. Аудит безопасности информационных систем. СПб.: Питер, 2018. - 272 с.: ил. - (Серия «Библиотека программиста»).
10. Ходаринова Н.В. Оценка рисков организаций сферы торговли на базе бухгалтерской отчетности / Н.В. Ходаринова, О.В. Ищенко, Ж.А Аксенова. // Вестник Академии знаний. 2018. № 5 (28). С. 357-364.
11. Чернявская, С. А. Учет и анализ финансовых результатов. / С. А. Чернявская, Е.А Власенко, Е. Бондаренко, А. Гаврилов // Естественно-гуманитарные исследования. 2020. № 1 (27). С. 310-315.
12. Чернявская, С.А. История развития бухгалтерского учета / С.А.Чернявская, А.А. Хвостова // Учетно -аналитическое обеспечение развития экономики: взгляд молодых: Материалы всеросс. научн. конф. молодых ученых и студентов (18 - 20 апреля 2012 г., Краснодар)/ КубГАУ. - Краснодар, 2012 г. С. 50-53.
References
1. Aksenova Zh. A. Problems of formation of the internal control system at the enterprise with the use of information technologies / Zh. A. Aksenova, O. V. Ishchenko, V. V. Saliy // Natural Sciences and Humanities research. 2020. No. 29 (3). pp. 31-37.
2. Aksenova Zh. A. Features of conducting internal control in a trade organization / Zh. A. Aksenova, O. V. Ishchenko, V. P. Leoshko // Bulletin of the Academy of Knowledge. 2019. No. 3 (32). pp. 31-35.
3. Babash A.V., Information security. Laboratory workshop-Moscow KnoRus, 2019-432 p.
4. Grishchina N. V., Information security of the enterprise. Textbook-Moscow Forum-2018, - 118 p.
5. Ishchenko O. V. Features of the formation and analysis of accounting and tax reporting of organizations using information technologies / O. V. Ishchenko, Zh. A. Aksenova, V. V. Saliy // In the collection: Teacher ofthe Year 2020. Collection of articles of the International Scientific and Methodological Competition. In 2 parts. 2020. pp. 48 -55.
6. Ishchenko O. V. Problems of formation of the internal control system at the enterprise with the use of information technologies / O. V. Ishchenko, Zh. A. Aksenova, V. V. Saliy // Natural Sciences and Humanities research. 2020. No. 29 (3). pp. 31-37.
7. Saliy, V. V. Enterprise architecture: textbook / V. V. Saliy, Zh. A. Aksenova, O. V. Ishchenko-Krasnodar: Krasnodar Cooperative Institute (branch) Russian University of Cooperation, 2018. - 173 p.
8. Saliy V. V. Application of information technologies in distance learning in the extreme period / V. V. Saliy, O. V. Ishchenko, Zh. A. Aksenova / / In the collection: Collection of scientific articles of the faculty and students of Russian scientific an d educational institutions. Berlin, 2020. pp. 193-200.
9. Skabtsov N. Information system security audit. St. Petersburg: Piter, 2018. - 272 p.: ill. - (Series "Programmer's Library").
10. Khodarinova N. V. Risk assessment of organizations in the sphere of trade on the basis of accounting reports / N. V. Kho-darinova, O. V. Ishchenko, Zh. A. Aksenova. // Bulletin of the Academy of Knowledge. 2018. No. 5 (28). pp. 357-364.
11. Chernyavskaya, S. A. Accounting and analysis of financial results. / S. A. Chernyavskaya, E. A. Vlasenko, E. Bondarenko, A. Gavrilov / / Natural-humanitarian Studies. 2020. No. 1 (27). pp. 310-315.
12. Chernyavskaya, S. A. History of the development of accounting / S. A. Chernyavskaya, A. A. Khvostova / / Accounting and analytical support for the development of the economy: the view of the young: Materials of the All-Russian Scientific Conference of young scientists and students (April 18-20, 2012, Krasnodar) / KubGAU. - Krasnodar, 2012, pp. 50-53.
DOI 10.24412/2309-4788-2021-11160
И.А. Бабалыкова - к.э.н., доцент кафедры теории бухгалтерского учета, Кубанский государственный аграрный университет ([email protected]),
I.A. Babalykova - associate professor ofthe department oftheory accounting, cand. econ. sci., Kuban State Agrarian University;
А.В. Харченко - студентка экономического факультета, Кубанский государственный аграрный университет ([email protected]),
A.V. Kharchenko - student of the faculty of Economics, Kuban state agrarian University; А.С. Саарян - студентка экономического факультета, Кубанский государственный аграр-ныйуниверситет ([email protected]),
A.S. Saaryan - student of the faculty of Economics, Kuban state agrarian University; Н.А. Волков - студент экономического факультета, Кубанский государственный аграрный университет ([email protected]),
N.A. Volkov - student ofthe faculty of Economics, Kuban state agrarian University.
ОСОБЕННОСТИ РАСКРЫТИЯ ПОЯСНИТЕЛЬНОЙ ИНФОРМАЦИИ В БУХГАЛТЕРСКОЙ ОТЧЕТНОСТИ АГРОХОЛДИНГОВ SPECIFICS OF DISCLOSING EXPLANATORY INFORMATION IN THE FINANCIAL STATEMENTS OF AGRICULTURAL HOLDINGS
Аннотация. Формирование принципов бухгалтерского учета и отчетности тесно связано с развитием экономических отношений в обществе. В ходе своего развития компания нередко совершает сделки, целью которых является увеличение масштаба бизнеса. Так, организация покупает сторонние предприятия, проводит процедуры слияния и поглощения, открывает новые направления.
Создание групп компаний выгодно с точки зрения оптимизации налогообложения и эффективного использования денежных и материальных ресурсов. И все же у подобной формы бизнеса есть свои недостатки -например, отчетность отдельно взятых компаний не позволяет оценить финансовый результат всей группы. Для того чтобы показать инвесторам, как же в целом работают их инвестиции, составляется консолидированная отчетность, в которой раскрывается информация о взаимодействии компаний, входящих в группу или