№2(2012)

Не так давно Аудитор­ською палатою України були видані «Методичні рекомендації щодо забезпечення аудиторськими фір­мами системи зберігання аудитор­ської документації та іншої конфіденційної інформації». Порядок і принцип віднесення інформації до конфіденційної мають розробляти юристи та аудитори. Ми ж поговоримо про засади контролю доступу до такої інформації та схему організації роботи з відповідними документами в Інтернеті та локальній обчислювальній мережі (в операційній системі Windows, оскільки у 99% користувачів налаштована саме вона). Вимоги щодо захисту інформації зазначені у підпунктах 3.3.3 та 3.3.4 рекомендацій. Так, у підпункті 3.3.3 окреслений порядок встановлення доступу до місць зберігання аудиторської документації та іншої конфіден­ційної інформації, обмеження доступу та визначення осіб, що мають право доступу до таких місць; пункт 3.3.4 визначає порядок організації роботи з паперовими та електронними документами, які належать до конфіденційної інформації, та поширення його на процеси авторизації, шифрування, копіювання, збереження, ознайомлення та передачі відповідної електронної інформації в локальній мережі із застосуванням інтернет-ресурсів, а також через відповідні носії інформації, наприклад, CD/DVD диски, флеш-накопичувачі тощо.

Порядок доступу до конфіден­ційної інформації визначається керівником аудиторської групи, що проводить перевірку фінансової діяльності компанії. Умовно поділимо працівників, які мають доступ до інформації, на три групи: першу (назвемо її А1) становлять особи, яким дозволено переглядати та вносити зміни в документи, представники другої групи мають право лише на перегляд (А2), і третя (А3) – це особи, яким заборонений доступ до конфіденційної інформації, у тому числі сторонні люди. Оскільки групи А1 та А2 за кількістю користувачів значно менші від групи А3, метод контролю потрібно робити за принципом «заборонено всім, окрім…». Дане питання дуже просто вирішити, якщо комп’ютери знаходяться в домені та між ними є мережеве з’єднання. В атрибутах (властивості папки чи окремого документа, далі переходимо на закладку «безпека») треба додати потрібні групи чи окремих користувачів із відповідними правами. Принцип роботи безпеки Windows аналогічний до необхідного нам, тобто групам, права яких не задані, заборонено будь-який доступ до файлів. У даного методу є свої недоліки і переваги. До плюсів відносяться легкість налаштування та відсут­ність зовнішнього програмного забезпечення. Мінусом є те, що при значній кількості користувачів в групах А1 та А2 та великій кількості аудиторських перевірок, коли кожен працівник водночас має різний доступ до тих чи інших документів, збільшення кількості проектів призводить до значного переобтяження системи захисту документів, в результаті контроль доступу стає менш ефективний. Вирішенням проблеми може стати встановлення сервера Microsoft Sharepoint та його налаштування. Однак тут треба звернути увагу на два моменти. По-перше, сервер, як і будь-який продукт Microsoft, вимагає значних коштів, по-друге, для його обслуговування потрібен штатний системний адміністратор, який зміг би встановити, налаштувати та займатися контролем доступу за допомогою Microsoft Sharepoint.

Спільною проблемою описаних вище методів є те, що їх використання можливе лише з доменною системою компанії, а це невигідно для фірми, де кількість користувачів не перевищує 10-15 чоловік. За відсутністю доменної системи за допомогою штатних засобів вирішити поставлену задачу нереально. Єдине, що більш-менш можна зробити, це розділити користувачів на групи А1 та А3. Використання сторонніх програм також допоможе досягти необхідного результату. Зараз набувають популярності так звані хмаринні технології. Принцип полягає в тому, що всі дані та процеси над ними відбуваються на сервері, а у користувача є лише знаряддя для керування. До таких програм можна віднести Google docs: організація роботи налаштована через браузер із використанням облікових даних на gmail, достатньо лише розбити користувачів по групах для кожного окремого документа. Але, звичайно, є недоліки. Для роботи з документами їх потрібно завантажувати в Інтернет плюс міняти принцип збереження на внутрішній формат Google, що не завжди зручно. Відповідно, при збільшенні кількості документів та користувачів втрачається можливість централізованого контролю доступу, і в результаті ми отримуємо ті ж проблеми, що і з першим запропонованим рішенням.

Принцип роботи Dropbox аналогічний із Google docs, але відрізняється реалізацією. Дана програма містить клієнтську програму, яка, до речі, є кросплатформенною, тобто дозволяє обмінюватися документами між комп’ютерами, на яких установлено Windows, Linux та MacOs. Це зручно, коли аудит невиїзний, а компанія, в якій його потрібно провести, працює на іншій платформі. Dropbox дозволяє формувати групи та керувати ними, хоча права доступу не такі вже й централізовані та зручні, як у перших двох варіантах. Недоліком даної програми є те, що безкоштовно нею можна користуватися лише за умови, якщо розмір репозиторію не більше 2 ГБ. При збільшенні об’єму потрібно
вносити щомісячну плату. Вона невелика, але виникає питання, як провести її по бухгалтерії. Проблему перевищення об’єму можна вирішити таким простим методом, як формування архіву документів, а для більшої надійності вивести його із загального сховища та переписати на зовнішній носій чи помістити в архів із паролем (до речі, даний спосіб можна використати і в попередніх рішеннях). Аналогічними програмами до Dropbox є Wuala та 4shared. Звісно, вони дещо відрізняються від попередньої, відповідно маючи певні плюси та мінуси по функціоналу. Більш детально ознайомитись із даними продуктами можна на сайтах https://www.dropbox.com/, http://www.wuala.com/ та http://www.4shared.com/. На жаль, російськомовний із них лише останній. Існують й інші способи вирішення проблеми зберігання, доступу до конфіденційної інформації, хоча за принципом роботи вони значно не відрізняються від вищеописаних. Отже, розглянувши різні варіанти, можна зробити висновок, що кожний конкретний випадок потребує індивідуального вирішення. Тому для реалізації треба визначити пріоритети безпеки, фінансової та ресурсовитратної доцільності і, лише зваживши всі «за» та «проти», починати будувати власну систему доступу до конфіденційної інформації, іноді об’єднавши декілька методів.

Всі вимоги, зазначені в пункті 3.3.4, окрім шифрування, задовольняються вищезгаданими способами. Шифрування можна здійснити методами Windows, але для цього потрібні все та ж доменна система організації мережі плюс використання ключів шифрування, так званих eToken, чи іншого роду носіїв, на яких можна зберігати сертифікат шифрування. Дана процедура вимагає певного рівня знань від адміністратора та витрат на носії сертифікатів. Налаштування правил та об’єктів шифрування можна частково зробити через доменні політики безпеки, а для шифрування використовувати ключі, видані як власним сервером сертифікації, так і зовнішнім. Налаштування внутрішнього сервера сертифікації та видача серти­фікатів є досить трудомістким процесом для адміністратора. Дані сертифікати сприйматимуться всередині домену, а забезпечення комуні­кації із зовнішніми користувачами шифрованими файлами стає дуже проблематичним і потребує певного рівня вмінь. Використання сертифікатів, виданих акредитованим центром сертифікації, робить зв’язок із зовнішніми користувачами дещо простішим, хоча знову ж таки вимагає знань від клієнтів, плюс видача кожного сертифіката коштує
грошей.

Для полегшення даної процедури, найбільше це стосується комунікацій із клієнтом, центри сертифікації випускають свої програми (хто стикався з електронною звітністю до ДПІ чи ПФ, зрозуміють, про що йдеться), за допомогою яких можна просто і зрозуміло зашифрувати файл, використовуючи як свій, так і чужий сертифікат. Для цього використовуються модифікації криптометоду RSA, основною відзнакою якого є існування двох ключів: відкритого та закритого. Перший знаходиться в центрі сертифікації і вільно доступний для скачування, другий зберігається лише у власника. Наведемо приклад. Використовуючи відкритий ключ клієнта, ми шифруємо і відсилаємо повідомлення, а клієнт розшиф­ро­вує його за допомогою свого закритого ключа. Клієнт, у свою чергу, має можливість зашифрувати повідомлення нашим відкритим ключем і вислати його, а ми, використовуючи власний закритий ключ, можемо розшифрувати документ. Таким же методом, але шифруючи інформацію своїм відкритим ключем, отримуємо документи, прочитати які зможемо лише ми.

Стисло розглянувши тех­ніч­ні
аспекти методичних рекомен­дацій, можна зробити висновок, що для їх задоволення існує багато способів, можливостей і відповідних засобів, які певною мірою відповідають вирішенню поставлених задач і різняться між собою ціною, складністю налаштування та ступенем захищеності. При цьому основною проблемою для компанії є підбір найбільш придатного варіанту, який би відповідав поставленим вимогам, якомога менше обтяжував роботу аудиторів та інших працівників і не був би тягарем для бюджету. Тверезо оцінивши рівень своїх клієнтів, їх імовірних конкурентів, знаючи можливості власного бюджету та людських ресурсів, не складно буде зупинитися на тому чи іншому варіанті.