CC BY
130
ДЖАФАРОВА З.К.
БЕЗОПАСНОСТЬ ИНФОРМАЦИОННОЙ БАЗЫ ДАННЫХ НАЛОГОВЫХ ОРГАНОВ
Эффективное функционирование налоговой системы возможно только при использовании передовых информационных технологий, что, к сожалению, не дает гарантии сохранности экономической информации. В данной статье рассматриваются риски, связанные с проблемой утечки информации. С целью предотвращения проблем по сохранению информации в налоговых органах в статье выявлены основные виды защиты информации экономических систем.
DZHAFAROVA Z.K.
SAFETY OF THE INFORMATION DATABASE OF TAX DEPARTMENTS
Effective functioning of tax system probably only at use of the advanced information technology that, unfortunately, doesn't give a guarantee of safety of the economic information. In given article the risks connected with a problem of information leakage are considered. For the purpose of prevention of problems on information preservation in tax departments in article principal views of protection of the information of economic systems are revealed.
Ключевые слова: защита информации, база данных налоговой инспекции, электронное информационное хранилище данных.
Keywords: information protection, a database of tax inspection, electronic information storehouse of the data.
В современном мире как никогда актуальность приобрело выражение: «Кто владеет информацией - тот владеет миром». Сегодня информация становится «стратегическим ресурсом, одним из основных богатств экономиче-ски развитого государства» [5]. И по мере развития информационных технологий, совершенствования и повсеместной автоматизации всех процессов жизнедеятельности экономики, мы все больше и больше зависим от компьютерных технологий, от их безотказной работы. Несанкционированное использование, искажение или уничтожение информации, сбой компьютерных сетей или выход из строя техники - это самое меньшее, что грозит пользователю в случае несоответствия подсистем безопасности требованиям нормативных документов. Особую опасность также представляют компьютерные вирусы, так как, к сожалению, не существует достаточно эффективной защиты против них. Можно было бы защититься от вирусов при отсутствии внешних источников информации, но при сегодняшних технологиях, темпах и масштабах работы, невозможно работать обособленно от внешней среды. Особенно это касается налоговых органов, где информация систематически обновляется, пополняется как за счет вышестоящих налоговых органов (отчеты, дирек-
тивы, инструкции и т.п.), со стороны налогоплательщиков, представляющих налоговые отчеты и декларации в электронном виде, так и со стороны внешних источников информации налоговых органов (БТИ, ГИБДД, таможенные органы, банки и т.д.). Доступ к информации почти в любой сфере может представлять интерес для некоторых структур общества, но в налогообложении этот интерес наибольший, так как в базе данных содержится вся информация о налогоплательщиках - юридический адрес, вид деятельности, доходы, реквизиты банков и т.д. Автоматизированная информационная деятельность налоговых органов на уровне субъектов РФ разделена на несколько функциональных подсистем.
Основной задачей налоговых органов Российской Федерации является контроль за соблюдением законодательства о налогах, правильностью их исчисления, полнотой и своевременностью внесения в соответствующие бюджеты налогов и других платежей, установленных законодательством РФ. Развитие автоматизированных систем не только в налоговой системе, но и в других системах, предусматривает обмен информацией, что может повлечь за собой утечку, копирование или разрушение данных, являющихся налоговой тайной [2].
Эффективное функционирование налоговой системы возможно только при использовании передовых информационных технологий, базирующихся на современной компьютерной технике. С этой целью в органах налоговой службы создается автоматизированная информационная система, которая предназначена для автоматизации функций всех уровней налоговой службы по обеспечению сбора налогов и других обязательных платежей в бюджет и внебюджетные фонды, проведению комплексного оперативного анализа материалов по налогообложению, обеспечению органов управления и соответствующих уровней налоговых служб достоверной информацией.
Для создания автоматизированной информационной системы в налоговых органах необходимо знание функций, свойственных каждому уровню управления, а также принципы взаимодействия между этими уровнями.
К наиболее часто используемым из них относятся подсистемы: хранения и выдачи показателей; управления; формирования обобщенного показателя эффективности работы районной инспекции; прогнозирования налоговых платежей; макро- и микроэкономического анализа; обеспечения методической деятельности; юридического обеспечения, а также подсистемы безопасности.
При вводе информации в любую из подсистем происходит процесс идентификации и начальная обработка данных. После ввода информации в подсистему происходит сохранение полученных данных в электронных информационных хранилищах данных по принципу предметной ориентации. Можно произвести поиск информации в базе данных подсистемы по критерию, сформированному пользователем; получить отчеты на основании отобранных данных и по заранее заданному шаблону; получить справочную информацию [4].
Подсистема хранения и выдачи показателей АИС налоговой отчетности на региональном уровне отвечает за выполнение следующих функций:
❖ формирование отчетных форм 1-НМ, 2-НМ по федеральному и городскому бюджетам;
❖ формирование справок о поступлении нарастающим итогом с начала года налогов и платежей в доходы городского и федерального бюджетов по кварталам, по разделам и параграфам бюджетной классификации;
❖ формирование аналитических таблиц для следующей подсистемы региональной налоговой инспекции (подсистемы управления);
❖ ввода, просмотра и корректировки исходных данных и выходных документов;
❖ свода, выборки и группировки информации по заданным параметрам.
Выходные формы с расчетами различной степени сложности формируются на базе данных электронного информационного хранилища налоговой инспекции на региональном уровне.
Подсистема управления. Информационную подсистему управления региональной налоговой инспекции по тому же принципу, что и предыдущую подсистему и в соответствии с современными представлениями информационной технологии можно представить как слияние звеньев - системы управления, информационного хранилища, системы формирования оптимальных решений и оперативной базы данных.
Целью данной подсистемы является обеспечение:
❖ оперативного сбора и координации данных в процессе функционирования налогового органа и представления информации руководящему составу для принятия решений;
❖ информационного взаимодействия всех подразделений инспекции как между собой, так и с внешними организациями.
Подсистема формирования обобщенного показателя эффективности работы районной налоговой инспекции, как следует из самого названия, предназначена для объективной оценки эффективности работы районной налоговой инспекции с целью принятия решений, направленных на ее улучшение, добиться которого можно, систематически анализируя как результаты работы специалистов налоговой инспекции, так и условия их работы и квалификацию кадрового состава.
Анализ результатов работы налоговых инспекций может быть выполнен путем построения сравнительных диаграмм. Для определения статистической зависимости параметров, нахождения аномальных данных, кроме аналитических методов, используются и графические [4].
Информационную базу подсистемы макро- и микроэкономического анализа составляют данные электронного хранилища налоговой инспекции и данные отчетности предприятий, сдаваемой в органы статистики. В подсистему заложены разработанные методики макроанализа, ориентированные на комплексный экономический анализ региона, подведомственного региональ-
ной налоговой инспекции, и микроанализа, ориентированные на экономический анализ отдельных хозяйствующих субъектов. Основным источником информации для анализа служат отчетные документы налогоплательщиков, т.е. предприятий и организаций, систематически представляемые в налоговые инспекции.
Экономический анализ на микроуровне представлен на примере взаимодействия информационных баз данных налоговых инспекций и Госкомстата России по единой методике сбора (с использованием общероссийских классификаторов), обработки и оценки показателей финансового состояния предприятий.
Анализ проводится как по отдельному предприятию путем сравнения его показателей за разные периоды отчетности, так и в сопоставлении по предприятиям, относящимся к одним и тем же группам (по отраслям, видам выпускаемой продукции, численности персонала и др.).
Целью проведения макро- и микроанализа является решение следующих задач:
❖ контроль за налогооблагаемой базой и поступлением в бюджет налогов;
❖ анализ эффективности системы налогообложения;
❖ анализ эффективности деятельности предприятий и фирм. Такой комплексный подход позволяет осуществлять функции не только контроля, но и анализа деятельности налоговых инспекций, всей системы налогообложения.
Обязательной подсистемой налоговой инспекции является автоматизированная подсистема юридического обеспечения, так как она решает основные проблемы специалистов в выявлении информационно-справочных потребностей, атакже:
❖ определяет функциональное решение задач с распределением по отдельным автоматизированным рабочим местам;
❖ выявляет необходимость создания профессиональных баз данных, их состава и содержания;
❖ анализирует состав запросов, периодичность их возникновения и приоритетность.
Для обеспечения безотказной работы пользователей (что является необходимым условием надежной работы информационной системы) следует, во-первых, разработать и утвердить с согласия всех заинтересованных сторон порядок передачи приложений в эксплуатацию (обучение пользователей, разработка регламента их действий и практические занятия по отработке выполнения регламента). Во-вторых, нужно автоматизировать деятельность пользователей, особенно в сложных ситуациях, таких, как переключение на резервные ресурсы в случае выхода из строя основных. В-третьих, необходимы анализ характера работы пользователей; выявление и устранение проблем, возможно, еще до того, как сами пользователи их распознали.
Для обеспечения взаимной согласованности и надежного функционирования всех служб информационной системы требуется организация специ-
альной группы администрирования, которая систематически будет проводить контроль и управление задачами с целью обеспечения надежной, безопасной и максимально эффективной работы АИС инспекции.
В функции группы входят обязанности по поддержанию работоспособности, надежности и безопасности информационной системы на всех ее уровнях, обеспечение взаимодействия между конечными пользователями и предоставляемыми информационными ресурсами.
В функциональные обязанности группы входит решение следующих
задач:
❖ разработки и внедрения программного обеспечения;
❖ настройки системы на максимальную производительность;
❖ систем управления базами данных (СУБД) - обеспечения инсталляции, обновления, мониторинга и настройки производительности баз данных и СУБД;
❖ сети - обеспечения функционирования локальных и глобальных сетевых сервисов, надежного функционирования сетевого оборудования, сетевого соединения для предоставления максимального времени доступа всем клиентам к вычислительным системам;
❖ телекоммуникаций - обеспечения функционирования телефонной сети, сбора статистической информации, управления абонентской сетью для предоставления максимального времени доступа всем клиентам к телекоммуникационным услугам;
❖ аудита - обеспечения контроля использования и текущего состояния производственных ресурсов и активности пользователей, контроля исполнения регламентирующих документов и регистрации возникающих проблем;
❖ безопасности - обеспечения надежного и безопасного взаимодействия с внешним миром, разграничения прав доступа пользователей к ресурсам АИС, защиты информации и информационных потоков, адекватного реагирования на возникающие угрозы;
❖ резервного копирования - обеспечения оперативного, надежного и безопасного резервного копирования данных, восстановления целостности ИС после повреждений, контроль дискового пространства.
На основе вышеизложенного и с целью решения проблем безопасности информации, баз данных создаются системы локальных баз данных управлений и собственно электронное информационное хранилище данных на региональном уровне, включая правила сбора, передачи, контроля, корректировки, архивации данных и прав доступа к хранилищу.
Организация данных в информационных хранилищах характеризуется: предметной ориентацией; высокой степенью интеграции; неразрушаемостью данных; длительными сроками хранения.
Технология информационных хранилищ предусматривает чистку и архивирование, т.е. удаление информации, утратившей актуальность, и опера-
ции архивирования, необходимые для восстановления данных в исходных
БД.
Технология поддержки электронного информационного хранилища предусматривает интерфейсную часть, позволяющую обслуживать запросы по срокам, значимости и приоритетности, анализировать результаты их выполнения и формировать отчеты. Интерфейс пользователя ориентирован на группы пользователей в соответствии с решаемыми функциональными задачами [3].
Информация, содержащаяся в электронном информационном хранилище данных, должна быть предельна защищена, т.е. данные не могут быть изменены после помещения их в информационное хранилище, они могут быть только считаны или загружены в компоненты электронного информационного хранилища.
В соответствии с требованиями к АИС налоговых органов должна быть обеспечена безопасность информационных ресурсов, хранимой и обрабатываемой информации, чем и занимается специализированная подсистема безопасности АИС.
Выходные формы с расчетами различной степени сложности, согласно подсистеме хранения и выдачи показателей АИС налоговой отчетности, формируются на базе данных электронного информационного хранилища налоговой инспекции регионального уровня и, естественно, представляют зачастую интерес для некоторых слоев общества. В то время как информация, касающаяся налогоплательщиков, является конфиденциальной и представляет собой налоговую тайну.
Для эффективной работы подсистемы управления и безопасности необходимо соблюдение следующих требований:
❖ сохранение данных и работоспособность служебных программ в результате сбоев, пиковых нагрузок либо несанкционированной деятельности;
❖ разделение обязанностей всех пользователей АИС, минимизация их привилегий в системе;
❖ наличие нескольких рубежей защиты информации и наличие резервной копии;
❖ разнообразие применяемых средств в зависимости от значимости ресурсов и уровня системно-технической инфраструктуры;
❖ простота работы служебных подсистем.
Согласно действующему Руководящему документу Гостехкомиссии РФ Концепция защиты автоматизированных систем от несанкционированного доступа работа подсистемы безопасности обеспечивается согласованными мерами на законодательном, организационном и программно-техническом уровнях.
На законодательном уровне необходимо обеспечить соответствие подсистемы безопасности требованиям нормативных документов РФ.
Защита на организационном уровне обеспечивается формированием политики безопасности, описывающей: категории информации, хранимой и
обрабатываемой в АИС; соотнесение существующих и планируемых информационных ресурсов информации различных категорий; основные риски, связанные с информационными сервисами, обеспечивающими доступ к указанным ресурсам, и ограничения, накладываемые средствами их минимизации.
Основой проработки решений подсистемы безопасности служит анализ рисков, проводимый при проектировании и построении АИС. Экономисты - информатики, обеспокоенные проблемами безопасности информации дают множество различных категорий и групп утечки информации с их разбивкой по различным категориям, факторам и средствам переноса информации. Но можно предотвратить проблему утечки информации, если разбить все виды рисков на классы, помогающие их предотвратить или исключить: риски со стороны техники, обслуживающего персонала, а также в результате стихийных бедствий.
К техническим рискам относятся ошибки и сбойные ситуации, связанные непосредственно с техникой, т.е.:
1. Выход из строя аппаратных компонентов, проявление программных ошибок в сервере СУБД либо в базовом или прикладном программном обеспечении, как результат - отказы программных аппаратных средств;
2. Уничтожение данных в результате выхода из строя носителей информации, а также аппаратной или программной ошибок.
Следовательно, в целях безопасности необходимо обязательное копирование данных (в налоговых органах на сегодня также дублируются все документы на бумажных носителях), систематическое сканирование техники и своевременное сохранение данных в электронном информационном хранилище.
Риски со стороны обслуживающего персонала связаны с деятельностью человека:
1. Риски со стороны обслуживающего персонала:
❖ отступление (случайное или умышленное) от установленных правил эксплуатации либо отсутствие необходимых регламентов в сочетании с неквалифицированными действиями персонала;
❖ ошибки при (пере) конфигурировании системы (непонимание устройства информационной системы и вызванные этим некорректные действия либо небрежность при выполнении переконфигурирования);
❖ разрушение информации в результате неквалифицированных действий персонала или воздействия вредоносного программного обеспечения (вирусы и т.п.);
❖ нежелание выполнения обслуживающим персоналом своих обязанностей.
С этой группой рисков может справиться только прием на работу квалифицированных специалистов (с обязательным знанием АРМ налогового
работника), ежегодная аттестация персонала, обязательные курсы повышения квалификации.
2. Риски со стороны потенциальных злоумышленников:
❖ разрушение или повреждение аппаратуры (террористический акт, акты вандализма и т.п.);
❖ нарушение работы систем связи, электропитания, водоснабжения, кондиционирования (как результат злонамеренных действий);
❖ получение доступа к сетям связи и проведение несанкционированных вторжений, ведущих к утечке, искажению или уничтожению информации, либо преднамеренному введению вирусов.
Риски в результате стихийных бедствий представляют собой:
1. Разрушение или повреждение аппаратуры, информации в результате аварий, пожаров и других стихийных бедствий;
2. Нарушение работы систем связи, электропитания, водоснабжения, кондиционирования как результат стихийных бедствий;
3. Разрушение или повреждение помещений также в результате стихийных бедствий;
4. Уничтожение документов в результате стихийных бедствий и их последствий.
Последние два класса рисков подразумевают достойную охрану объектов, где хранится база данных налоговых органов, копирование данных, наличие автономных систем питания, водоснабжения и т.п.
Для обеспечения безотказной работы пользователей (что является необходимым условием надежной работы информационной системы) следует, во-первых, автоматизировать деятельность пользователей, особенно в сложных ситуациях, таких как переключение на резервные ресурсы в случае выхода из строя основных. А во-вторых, необходимо систематически проводить анализ характера работы пользователей с целью выявления и устранения проблем, желательно еще до того, как сами пользователи их распознали.
Необходимо обеспечение надежного и безопасного взаимодействия с внешними источниками информации, разграничение прав доступа пользователей к ресурсам АИС, защита информации и информационных потоков, адекватное реагирование на возникающие угрозы; а также обеспечение оперативного, надежного и безопасного резервного копирования данных с возможностью восстановления целостности ИС после повреждений, контролем дискового пространства, не говоря уже о том, что персонал, работающий за компьютерами, должен иметь соответствующее экономико-техническое образование. Не всегда выпускники высших учебных заведений соответствуют требованиям сегодняшнего и тем более завтрашнего дня. Нельзя выпускать только экономистов с каким-то первичным знанием ПК или, наоборот, «чистых» программистов, которые не видят особого различия между бухгалтерским, налоговым или банковским учетом и, как следствие, не могут в должной мере обеспечить безопасность соответствующей информации. Зачастую специалист экономист - налоговик, бухгалтер и т.п., столкнувшись с любой проблемой (например, погрешности в программе или неудобство работы с
ней), тут же вызывает программиста, но не может объяснить суть проблемы. И так как последний решает только аппаратные ошибки, то сущность программных действий (при условии, что программа включается, работает и т.д.) ему может быть просто не всегда понятна. Не зная в должной степени сути рабочего процесса какой-либо специализированной области, программистам тяжело обеспечить полную безопасность входящей информации и архивной базы данных электронного информационного хранилища данных. С целью предотвращения перечисленных проблем необходимо определить основные виды защиты информации экономических систем.
Защита экономической информации в налоговых системах классифицируется по следующим основным направлениям:
❖ защита от неквалифицированных (умышленных или случайных) действий обслуживающего персонала. Проблема решается путем систематического тестирования или аттестации персонала, а также создания программы учета истории работы компьютера (тип «черного ящика» самолета);
❖ защита от технических сбоев как результата технических рисков. В целях защиты информации необходимо обязательное дублирование данных;
❖ защита информации от несанкционированного доступа путем создания нескольких рубежей защиты.
Несанкционированный доступ к информации может привести к утечке обрабатываемой конфиденциальной информации, ее искажению, разрушению в результате умышленного нарушения работоспособности АНТ, а также использованию ее с целью достижения незаконных видов обогащения. Одним из основных видов защиты информации от несанкционированного доступа является разграничение полномочий и доступа к информации. Также можно применить способ регистрации и учета попыток доступа к данным или программам. Т.е. создать программу - журнал с ведением истории осуществленного или неосуществленного доступа к информации:
❖ защита информации в системах связи. К видам защиты информации в системах связи относятся применение криптографии и специальных связных протоколов;
❖ защита юридической значимости электронных документов. К видам защиты юридической значимости электронных документов относится применение «цифровой подписи», которая является одним из криптографических методов проверки подлинности информационных объектов;
❖ защита от несанкционированного копирования и распространения программ и ценной компьютерной информации.
Видами защиты информации от компьютерных вирусов и других опасных воздействий по каналам распространения программ являются программные средства, защищенные от возможности несанкционированной модификации, а также осуществляющие постоянный контроль возникновения отклонений в работе прикладных программ, периодическую проверку наличия
других возможных следов вирусной активности, а также входной контроль новых программ перед их использованием.
Защита от несанкционированного копирования и распространения программ и ценной компьютерной информации осуществляется с помощью специальных программных средств, подвергающих защищаемые программы и базы данных предварительной обработке, которая приводит исполняемый код защищаемой программы и базы данных в состояние, препятствующее его выполнению на «чужих» машинах.
При защите коммерческой информации пользуются всей совокупностью существующих средств и систем защиты данных. Однако при их выборе следует исходить из сравнительной оценки важности защищаемой информации и ущерба, который может нанести ее утрата.
Наиболее надежными и эффективными на сегодняшний день являются системы и средства, построенные на базе криптографических методов, но в тоже время нельзя игнорировать все остальные средства защиты, и их одновременное использование может дать желательный эффект нескольких различных рубежей защиты.
_Литература_
1. Джафарова З.К. Автоматизированные информационные технологии в системе налогообложения. Налоги и налогообложение: учебник / Под ред. Б.Х. Алиева. - М.: Финансы и статистика, 2007.
2. Исаев Г.Н. Информационные системы в экономике: учебник. - М.: Омега -Л, 2008.
3. Козырев A.A. Информационные технологии в экономике и управлении. -СПб.: Изд-во Михайлова, 2000.
4. Черник Д.Г. Налоги. - М.: Финансы и статистика, 2001.
5. Ясенев В.Н. Информационные системы и технологии в экономике. - М.: ЮНИТИ - ДАНА, 2008.
