Bezpieczeństwo informatycznych systemów rachunkowości

Pełen tekst

(1)2000. w KrakowI.. Katarzyna Szymczyk-Madej Katedra RachunkowoKl. Jan Madej Katedra Informatyki. Bezpieczeństwo informatycznych systemów rachunkowoścI l. WsttP Problem bezpieczeństwa danych w polskich systemach informatycznych był jeszcze do niedawna praktycznie niezauważany . Wynikalo to zarówno z małej powszechności tego typu systemów, skomplikowanej obsługi, jak i wysokich kosztów ich nabycia i eksploatacji!. Wraz z rozpowszechnieniem się technologii informatycznej oraz rozwojem sieci komputerowych (zarówno lokalnych, jak i rozległych - w szczególności Internetu) okazało się, że problem niebezpieczeństw grożących systemom informatycznym stał się reałny, a tym samym pojawiła się konieczność zintensyfikowanej ich ochrony, tym bardziej że obecnie wiele przedsiębiorstw nie może efektywnie funkcjonować bez sprawnego systemu informatycznego, a każda jego awaria pociąga za sobą często katastrofalne skutki2 • W niniejszym opracowaniu zaprezentowano informatyczne systemy rachunkowości, Systemy takie, w swej rozbudowanej postaci, są domeną średnich i dużych przedsiębiorstw , co nie oznacza, że w małych przedsiębiorstwach, wyposażonych w pojedyncze komputery, problem bezpieczeństwa i ochrony Wysokie koszty t jakie ponosily organizacje na zakup systemów komputerowych sprawiały, te podlegaly szczególnej ochronie - instalowano je w osobnych, zabezpieczanych pomieszczeniach, ograniczano do nich dostęp. czy zatrudniano osoby odpowicdzinlnc~ za ich funk~ cjonowanie. Obecnie technologia ta potaniał a i spowszedniała tak znacznie, że VI niektórych przedsiębiorstwach komputery podlączone do sieci lokalnej znajdują się na każdym biurku, a dostęp do nich mają wszyscy pracownicy. 2 Nie poruszano tutaj zagadnień związanych np. z produkcjI} sterowaml za pomocą kompute~ rów, która w ogóle nie mogłaby bez nich istnieć. I. że urządzenia.

(2) I. Kalm'zYlla Szymczyk-Madej, Jan Madej. danych nie istnieje. Przedsiębiorstwa te nie są wolne od zagrożeń i w równie wysokim stopniu powinny przestrzegać zasad ochrony i dbać o bezpieczeństwo swoich zasobów. Rachunkowość jest jedną z dziedzin, w której technologia informatyczna jest obecnie tak powszechnie wykorzystywana, że trudno sobie wyobrazić funkcjonowanie jakiegokolwiek dużego i średniego przedsiębiorstwa bez programów finansowo-księgowych, kadrowych czy magazynowych. Także w przypadku małych przedsiębiorstw, bardzo często jedyny posiadany komputer znajduje się właśnie w dziale rachunkowości. Jest to zjawisko powszechne i normalne, gdyż udogodnienia, jakie oferują programy komputerowe (m.in. szybkość działania, łatwość obsługi, kontroła poprawności wykonywanych operacji), są tak wielkie, że prowadzenie rachunkowości nabrało obecnie nowego charakteru 3 • Poza oczywistymi zaletami informatyczne systemy rachunkowości posiadają także istotną wadę polegającą na ich podatności na ewentuałne zagrożenia i awarie. Pomimo że o jej istnieniu powszechnie wiadomo, użytkownicy a nawet administratorzy systemów często bagatelizują problem, co wynika zazwyczaj z: - błędnego przeświadczenia, że zagrożenia nie mogą dotyczyć ich systemu, - częściowego lub całkowitego braku świadomości istnienia niektórych zagrożeń.. Ponadto zapewnienie bezpieczeństwa wymaga ustalenia i przestrzegania pewnych zasad, wykonywania określonych czynności, poniesienia dodatkowych kosztów, a często także zmian organizacyjnych, co, z oczywistych przyczyn, nie zawsze jest dobrze widziane przez personel. Problem bezpieczeństwa systemów rachunkowości jest jednakże na tyle istotny, że ustawodawca poświęcił ochronie danych caly rozdział ustawy [Ustawa ... , 1994) i wymusił na twórcach i użytkownikach określone postępowanie. B yło to konieczne m.in. z punktu widzenia prawidłowego spełniania przez rachunkowość funkcji informacyjnej i dowodowej, co nie jest możliwe bez odpowiedniej ochrony informatycznego systemu rachunkowości. Funkcja informacyjna jest speł niona zazwyczaj w zadowalającym stopniu, jeżeli system tworzy prawidłowe wyniki w różnych przekrojach, przynajmniej z częstotliwością określoną w obowiązującychjednostkę okresach. Jednak funkcja dowodowa obarczona jest specjalnym wymaganiem - księgi rachunkowe muszą mieć wartość dowodową w świetle prawa4 - co nie jest łatwe i sprawia wiele problemów - szczególnie w systemach opartych na technologii informatycznej.. 3 Programy oferują księgowego.. wicie możliwości, których wykorzystanie znacznie ułatwia codzienną pracę. Wykonywanie żmudnych dotychczas operacji, tworzenie raportów dla kierownictwa,. finansowych stało się obecnie znacznie mniej pracochłonne (zob. np. [Winiarska 1997: Czarniawsk. 1997; Cummings, Hoover 1997]). 4 Funkcja dowodowa musi być spełniana bez zarzutu, aby w razie konieczności można było niepodważalnie wykazać swoje racje przed urzędem skarbowym. NIK czy prokuraturą . sprawozdań.

(3) Bezpieczeństwo. informatycznych system6w. rachunkowości. 2. Podatność Informatycznych systemów na zagrotenla. I. rachunkowości. Zapewne wielu użytkowników nie znających w wystarczającym stopniu technologii informatycznej zadaje sobie pytanie, dlaczego informatyczne systemy rachunkowoci są tak bardzo podatne na zagrożenia, które często w ogóle nie występują tam, gdzie rachunkowość prowadzona jest tradycyjnymi, manualnymi metodami. Otóż spowodowane jest to ich szczególnym charakterem, zasadami działania i specyficznymi właściwościami, do których zalicza się: - niemożność zobaczenia "gołym okiem" danych elektronicznych - co sprawia, że trudno je śledzić oraz bezpośrednio kontrolować, tak jak ma to miejsce w przypadku danych na papierze, - szybkość przetwarzania danych utrudnia bieżące (odpowiednio wczesne) wykrycie ewentualnej pomyłki, przekłamania lub fałszerstwa, - transmisja siecią danych elektronicznych jest procesem, podczas którego dane są w wysokim stopniu narażone na przechwycenie lub utratę integralności, - niewiełki rozmiar nośników danych sprzyja ich kradzieży lub uszkodzeniu, - podatność na uszkodzenia jest spowodowana faktem, że elementy systemów komputerowych są najczęściej urządzeniami elektronicznymi i bardzo precyzyjnymi, a więc mało odpornymi na uszkodzenia mechaniczne (np. dyski twarde, stacje dyskietek), ładunki elektrostatyczne (np. karty rozszerzeń), ogień łub wodę (wszystkie elementy elektroniczne), - ujednolicenie i automatyczne przetwarzanie operacji księgowych przez programy powoduje zmniejszenie wpływu człowieka na wynik przetwarzania, a tym samym błędy, które mogłyby być łatwo zauważone przy księgowaniu manualnym pozostają często przez długi czas ukryte', - niejedno znaczne okreśłanie uprawnień i odpowiedziałności - zdarzają się sytuacje, kiedy pewne zasoby są wykorzystywane przez wielu użytkowników, ałe żaden z nich nie jest osobiście za nie odpowiedzialny. Nie zawsze jest także możliwe odpowiednie rozgraniczenie dostępu i podział wszystkich funkcji, gdy przykładowo jeden program realizuje zadania, które powinny być przypisane różnym osobom, - dokładna wiedza środowiska informatycznego (projektantów, programi stów, administratorów sieci) na temat zasad działania i funkcjonowania systemu sprawia, że nierzadko mają oni także świadomość istnienia braków, błę dów lub nieudokumentowanych funkcji systemu. Taka wiedza w połączeniu z chęcią jej wykorzystania sprzyja nadużyciom bardzo trudnym do później szego wykrycia (np. przechwytywanie czy przegłądanie danych),. , Chociaż jednolite traktowanie operacji gospodarczych wedlug tych samych algorytmów eliminuje blędy, które moglyby się pojawić w przetwarzaniu ręcznym , to błędy istniejące w algorytmie wystąpią wc wszystkich operacj.ch księgowych wykonyw.nych w podobnych w.runkach..

(4) Katarzyna Szymczyk-Madej, Jall. - brak standardowych mechanizmów ochrony w komputerach osobistych oraz wykorzystywanym oprogramowaniu powoduje, że zasoby nie są bezpieczne nawet w sytuacji, gdy ktoś zupełnie przypadkowy i nie mający na celu wyrządzenia szkód uzyska do nich fizyczny dostęp (współpracownik, serwis sprzątający biuro, dziecko), - brak wiedzy, umiejętności i odpowiednich przyzwyczajeń użytkowników sprawia, że mimo coraz prostszej i bardziej intuicyjnej obsługi programów komputerowych nadal zdarzają się przypadki nieprzestrzegania elementarnych zasad prawidłowego z nich korzystania i popełniania błędów.. 3. WymaganIa stawIane Informatycznym systemoin rachunkowoścI Obecnie informatyczny system rachunkowości jest postrzegany już nie jako sam program finansowo-księgowy, ale jako całość, która łączy wszystkie moduły związane z funkcjonowaniem przedsiębiorstwa (system magazynowy, kadrowy, sprzedaży itp.) oraz dostarcza kierownictwu danych niezbędnych do podejmowania decyzji. Dlatego taki system, nie tylko ze względu na funkcje, które musi spełniać jako system rachunkowości (wspomniana już chociażby funkcja informacyjna i dowodowa), ale także ze względu na oczekiwania użyt kowników, musi sprostać bardzo wysokim wymaganiom, podobnym do tych, które stawiane są typowym systemom transakcyjnym6 . Do wymagań takich zaliczyć można m.in. (por. [Stawowski 1998]): - wydajność - powszechnie utożsamiana z szybkością przetwarzania danych, czyli liczbą zrealizowanych operacji w jednostce czasu. Jednak w rzeczywistości wydajność to także liczba poprawnie obslugiwanych użytkowników i efektywność zarządzania zasobami; - dostępność i niezawodność - podstawowe cechy systemów, od których wymagana jest ciągła praca, nawet w przypadku wystąpienia awarii'. System jest dostępny, jeśli w sposób nieprzerwany i niezawodny świadczy swoje usługi użytkownikom'. System jest niezawodny, jeśli jego działanie jest zgodne ze specyfikacją i nie prowadzi do utraty przechowywanych, przetwarzanych i przesyłanych danych;. 6 Systemy takie funkcjonują w bankach, firmach telekomunikacyJnych, liniach lotniczych itp. , W wielu przypadkach niedostępnolć systemu informatyczncgo jest bardzo kosztowna - przerwa w funkcjonowaniu systemu bankowego wiąże się z konkretnymi stratami finansowymi, a brak informacji w przypadku linii lotniczych prowadzić może do katastrofy. B Od wspólczesnych zaawansowanych systemów komputerowych oczekuje się dostępności rzędu 99,99%, tzn. akceptuje się lączną niedostępność wynoszącą ok. 5 min na rok pracy systemu ..

(5) Bezpieczeństwo. informatycznych systemów. rachunkowości. I. - bezpieczeństwo - to krytyczny element wymagany przez użytkowników z całą bezwzględnością' i niejednokrotnie decydujący o funkcjonowaniu przedsiębiorstwa na rynku; - duża liczba współbieżnych użytkowników i intensywność realizowanych operacji - współczesne systemy powinny mieć możliwość świadczenia swoich usług jednocześnie dla wielu użytkowników, którzy wykonują w tym samym czasie wiele operacji; - mała wrażliwość na awarie jest wymaganiem stawianym systemom, które muszą zapewniać ciągłą pracę oruz utrzymać poprawność danych nawet w obliczu zaistniałej awarii 10; - rozproszenie geograficzne - wymaganie to stawiane jest systemom działającym na podstawie sieci korporacyjnych rozmieszczonych w różnych, czę sto bardzo oddalonych, miejscach . Funkcjonowanie takich systemów jest dodatkowo obciążone zagrożeniami wynikającymi z faktu przesyłania danych na odległość.. 4. Ustawa o. rachunkowości. a. bezpieczeństwo. wyżej wymagania stawiane są informatycznym systemom ale nie wszystkie z nich udaje się zawsze spełnić lub spełnianie ich nie jest konieczne. Jest jednak pewne, że dalszy rozwój sprawi, że systemy będą musiały sprostać coraz większym wymaganiom i oczeldwaniom. Jednak zaspokajanie coraz większych wymagań wraz z postępującym rozwojem i uzależnieniem od technologii informatycznej w takiej dziedzinie, jaką jest rachunkowość, nie może pozostać bez odpowiednich uregulowań prawnych określają cych zasady funkcjonowania, mechanizmy kontroli i sposoby ochrony danych. Tymczasem ustawa o rachunkowości [Ustawa ... , 1994] obowiązująca w Polsce od 1994 r. nie jest wystarczająco precyzyjna i kompletna w zagadnieniach zwią zanych z ochroną danych w informatycznych systemach rachunkowości. Dopuszcza ona prowadzenie przez jednostkę gospodarczą rachunkowości przy użyciu komputera pod warunkiem, że ta posiada dokumentację systemu przetwarzania danych, tzn. co najmniej":. Wymienione. rachunkowości,. 9 Przykładowo, o ile użytkownicy informatycznego systemu rachunkowości mogą zgodzić się na przerwy w jego funkcjonowaniu wynikające ze zbyt malej wydajności, o tyle żaden nie zgodzi się na to, aby ktoś zmodyfikował dane w księgach, czyniąc je nierzetelnymi. 10 Zasadnicze cechy awarii systemów komputerowych to niemożliwość ich uniknięcia j nieprzewidywalność, dlatego wykrystalizowały się dwie, uzupełniające się nawzajem, strategie mające na celu zapobieganie ewentualnym awariom: l) prewencyjna - polega na wyszukiwaniu i eliminowaniu błędów, 2) usuwania skutków awarii (system recovery) oraz maskowaniu blędów (fault tolerant). II Szczegółowy komentarz do ustawy, napisany pod kątem możliwości i sposobu wykorzystania technologii informatycznej w rachunkowości może czytelnik znaleźć w: [Zaleski 1994]..

(6) I. Katarzyna Szymczyk-Madej, Jan Madej. - wykaz programów wraz z pisemnym stwierdzeniem dopuszczenia przez nowego lub zmienionego programu do stosowania, - opis przeznaczenia każdego programu, sposobu jego dzialania (reguly obliczeń, ewidencji, kontroli i wydruku danych) oraz wykorzystywania podczas przetwarzania danych, - zasady ochrony danych, - sposobu zapewnienia wlaściwego stosowania programów, - zasady ewidencji przebiegu przetwarzania danych. Warto zwrócić uwagę na konieczność posiadania dokumentacji zasad ochrony danych", na czym zaś powinny one polegać, zawarto w odrębnym rozdziale l3 , zgodnie z którym podczas prowadzenia ksiąg rachunkowych za pomocą komputera ochrona danych powinna polegać na: - stosowaniu odpornych na zagrożenia nośników danych, - doborze stosownych środków ochrony zewnętrznej, - systematycznym tworzeniu rezerwowych kopii zbiorów danych zapisywanych na nośnikach magnetycznych , - zapewnieniu ochrony przed nieupoważnionym dostępem do programów komputerowych. Ponadto można znaleźć tam stwierdzenie, że: - księgi rachunkowe prowadzone za pomocą komputera mogą mieć postać zapisów lub zbiorów utrwalonych na nośnikach magnetycznych tylko w okresie poprzedzającym ich przeniesienie na nośnik trwaly, - zapisy księgowe utrwalone na magnetycznych nośnikach danych powinny być wydrukowane lub przeniesione na inny trwały nośnik w terminach przewidzianych ustawą, - należy zapewnić niedostępność zbioru dla modyfikacji poza wprowadzeniem - w razie potrzeby - dowodów korekt księgowych. Można zauważyć , że przepisy ustawy nie regulują do końca sposobu ochrony danych, a tylko zaznaczają istnienie takiej konieczności. Przykładowe stwierdzenie o doborze stosownych środków ochrony zewnętrznej jest mało precyzyjne i tak naprawdę niewiele mówi o tym, co i jak powinno być chronione, ani też co to są środki ochrony zewnętrznejl4. Podobnie jest w przypadku nieupoważnionego dostępu do programów komputerowych czy odpornych na zagrożenia nośników danych 15 • Brakuje także stwierdzenia, że w stosunku do. jednostkę każdego. 12. Wymóg posiadania dokumentacji zasad ochrony danych zmierza do zdefiniowania polityki. bezpieczeństwa (por. dalej). Szkod., że nie zostal on dokladniej dodefiniowany przez ustawodawcę. 13 Rozdzial 8 ustawy [Ustawa ... , 1994] poświęcony jest w cal ości ochronie danych . 14 W ustawie nie jest wyjaśnione, co należy rozumieć pod pojęciem "środki ochrony zewnętrz nej". Być może chodzi o ochronę przed zewnętrznymi czynnikami, czyli spoza jednostki. Jeżeli jednak tak, to powinno się także uwzględnić, że wedlug IDC (lntem.tional Data Corpomtion) statystycznie ponad 70% zarejestrowanych włamań do systemów komputerowych mial o miejsce z wnętrza firmy przez osoby pracujące w sieci lokalnej (przytoczone za [Stawowski 1998]) 15 Ustawa nie określa na jakie zagrożenia ma być odporny nośnik, a przecież nic istniej q nośniki odporne na wszystkie zagrożenia..

(7) Bezpieczeństwo. informatycznych systemów. rachunkowości. I. danych, które mają być przesyłane za pośrednictwem sieci komputerowych i linii telekomunikacyjnych" powinny być zastosowane szczególne mechanizmy ochrony. Coraz częściej informatyczne systemy rachunkowości są systemami rozproszonymi, korzystającymi podczas przekazywania danych z sieci lokalnych lub rozległych, narażonych na dodatkowe niebezpieczeństwa. Należy zgodzić się z tym, że ustawa nie może regulować wszystkich najdrobniejszych nawet szczegółów i tym samym narzucać jednostkom identycznego sposobu postępowania. Jednak w sprawach tak istotnych, jak bezpieczeństwo i ochrona danych powinna być ona bardziej precyzyjna. Dlatego należy raz jeszcze podkreślić, że każda jednostka gospodarcza, która posiada informatyczny system rachunkowości, powinna we własnym zakresie, jak najlepiej zadbać o bezpieczeństwo swoich danych, traktując ustawę tylko jako podstawowe wytyczne określające problem, a nie dające gotowe rozwiązanie.. 5. Funkcle bezpieczeństwa Informatycznego systemu rachunkowości Ze względu na bardzo ważną rolę jaką odgrywa informatyczny system rachunkowości bezpieczeństwo jego danych powinno być na jak najwyższym możliwym poziomie, tak aby dzięki odpowiednio dobranym i wykorzystywanym narzędziom zapewniał on: - poufność (confidentiality), dzięki której dane są dostępne tylko dla uprawnionych osób, - uwierzytelnienie (authentication) , polegające na jednoznacznym określe niu autentyczności i żródła pochodzenia danych, - nienaruszalność (integrity) , pozwalającą na modyfikowanie danych tylko przez osoby do tego uprawnione, - niezaprzeczalność (nonrepudiation) , uniemożliwiającą nadawcy zaprzeczenie nadania komunikatu, a odbiorcy - jego odebranie, - identyfikację (identification) , pozwalającą na prawidłowe zidentyfikowanie użytkownika w momencie rozpoczęcia pracy z systemem, - kontrolę dostępu (access eontrol) , polegającą na kontrolowaniu dostępu do źródeł danych, - dyspozycyjność (availability), dzięki której osoby uprawnione mogą korzystać z zasobów systemu w każdej chwili. Bardzo podobne wymagania nakładane systemom komputerowym , w których bezpieczeństwo pełni dużą rolę, proponują autorzy wielu innych, znanych publidopuszczn ustawodawca [Ustawa ... , 1994]. mówiąc, ze w razie prowadzenia użyciu komputera zapisy w nich mogą nastąpić również za pośrednic twem urzqdzeń łączności lub magnetycznych nośników danych pod warunkiem, że podczas reje. stracji operacji gospodarczej uzyskują one 'rwale czy'elną posiaĆ odpowiadającą treŚci dowodu księgowego i możliwe jest stwierdzenie źródła pochodzenia każdego zapisu. 16 Sytuację. taką. ksiqg rachunkowych przy.

(8) I. Katarzyna Szymczyk-Madej, Jan Madej. kacji (por. [Stallings 1997; Robling Denning 1993; Stawowski 1998; Ahuja 1997]). Pzedstawione wymagania, patrząc pobieżnie, mogą wydać się zbyt restrykcyjne i istniejące tylko w teorii, jednak okazuje się, że wiele organizacji i agend rządowych na całym świecie ma podobne podejście do kwestii bezpieczeństwa, np. Organizacja Rozwoju i Współpracy Gospodarczej (OECD)" w swoich wytycznych odnośnie do bezpieczeństwa systemów informacyjnych podaje, że najważniejszymi atrybutami bezpieczeństwa są: dostępność (availability) , poufność (confidentiality) i integralność (integrity) [Adamski 1998]. Definicje poszczególnych terminów nieco różną się od wyżej wymienionych,jednak wszystkie razem sprowadzają się do określenia tych samych wymagań.. 6. Źródła I rodzale zagroioń Informatycznego systemu rachunkowości Aby móc mówić o tym, w jaki sposób i za pomocą jakich narzędzi mo żna funkcje bezpieczeństwa, należy najpierw zapoznać się z potencjalnymi zagrożeniami i atakami na informatyczny system rachunkowości. Źródłami zagrożeń dla systemu mogą stać się jego poszczególne elementy, a więc: sprzęt, oprogramowanie, ludzie (użytkownicy systemu, osoby związane z systemem), zdarzenia łosowe . Jeśli chodzi o zdarzenia losowe, to mogą one pochodzić od sił przyrody (powódź, wyładowania atmosferyczne, wichura) lub z otoczenia systemu informatycznego (pożar, zalanie, zmiany napięcia prądu elektrycznego, silne pole elektromagnetyczne) . Zagrożenia pochodzące od sprzętu są efektem złego funkcjonowania poszczególnych elementów systemu lub ich części. Wynikać one mogą z: - awarii samego sprzętu komputerowego (twardego dysku , karty sieciowej, płyty głównej itp.), - niesprawności urządzeń, które miały zapewniać właściwą pracę systemu (zasilanie, klimatyzacja, filtry przeciwzakłóceniowe itp.), - złego projektu technicznego systemu lub nieodpowiedniego dobru komponentów, - niskiej jakości elementów wchodzących w skład - systemu, - nieodpowiednich uniiejętności osób konserwujących i obsługujących sprzęt. Zagrożenia , których źródłem jest oprogramowanie są efektem błędów popełnianych w różnych fazach jego projektowania, tworzenia łub modyfikowania 18 • Poza błędami wynikającymi z samego oprogramowania, niektóre błędy mogą być spowodowane niezgodnością z innymi, działającymi prograspełnić. 11 Organizacja zrzesza najbardziej uprzemysłowione kraje świata . Polska jest jej członkiem od 1996 r. i również podlegajej wytycznym. l' Bardzo dobrym i aktualnym przykladem błędu w oprogramowaniu, który powstal wiele lat temu, a objawil się dopiero obecnie jest tzw. problem Y2K. czyli problem roku dwutysięcznego -.

(9) systemów rachunkowości. mami lub nawet z samym systemem operacyjnym. Jednak za główne źródło zagrożeń należy uznać ludzi, którzy w sposób pośredni lub bezpośredni, przypadkowo bądź umyślnie mają wpływ na system. Mogą oni spowodować zarówno złe funkcjonowanie sprzętu i oprogramowania, jak również dokonać ingerencji w zbiory danych lub inne zasoby systemu. Ogólnie zagrożenia pochodzące od ludzi podzielić można na nieumyślne i umyślne. Rodzaj i wielkość ewentualnego zagrożenia zależy od funkcji jaką dana osoba pełni w systemie informatycznym, jej umiejętności oraz od tego, czy ingerencja była przypadkowa, czy celowa. Znaczna większość zagrożeń ma charakter przypadkowy i jest efektem nieuwagi, bezmyślności, zaniedbań lub niekompetencji osób uczestniczących w projektowaniu bądź eksploatacji systemu. Istnieje bardzo wiele typów zagrożeń nieumyślnych, wśród których wiele trudno jest nawet przewidzieć. Dlatego jest ważne, aby poprzez odpowiednie mechanizmy (szkolenia użytkowników, przydział uprawnień, zabezpieczenia programowe i sprzętowe) zapobiegać powstawaniu przypadkowych niebezpieczeństw, które mogą zagrażać funkcjonowaniu systemu. Inaczej jest w przypadku zagrożeń umyślnych, gdyż mogą one pochodzić zarówno od osób projektujących i użytkujących system, jak i od osób z zewnątrz. Zagrożenia umyślne nazywane są atakami na bezpieczeństwo systemu l9 • Najczęściej obiektem ataków są systemy, w których związki pomiędzy dostępem do informacji a korzyściami finansowymi są najbardziej bezpośrednie, a więc banki, towarzystwa ubezpieczeniowe, zakłady ubezpieczeń społecznych itp. Nie można jednak nigdy wykluczyć działalności osób, które nie oczekują żadnych korzyści finansowych, dla których wyzwaniem jest samo włamanie się do systemu, albo motywem jest ciekawość lub zemsta. Dlatego w praktyce każdy system informatyczny jest narażony na ataki. Najłatwiej jest wyobrazić sobie atak na bezpieczeństwo systemu informatycznego , jeśli założymy [Stallings 1997], że funkcjonowanie tego systemu polega na przepływie informacji od źródla (zbioru danych, użytkownika) do miejsca przeznaczenia (innego zbioru danych, innego użytkownika). Wtedy można wyróżnić następujące ataki: - przerwanie (interruption) - zniszczenie systemu (jego części) lub spowodowanie jego niedostępności (niemożności użycia). Jest to atak na dyspozycyjność systemu. Przykładowo może to być fizyczne uszkodzenie komputera (np. dysku twardego), przecięcie linii łączności, uszkodzenie struktury plików i katalogów; - przechwycenie (interception) polega na dostępie osoby niepowolanej do zasobów systemu. Jest to atak na poufność. Dostęp ten może być dokonany. chęć zaoszczędzenia. przez twórców programów 2 bajtów na zapisie daty. kosztuje dzisiaj miliony. dolarów, które muszą zaplacić przedsilfbiorstwa, organizacje i l'zqdy wielu krajów za jego usunięcie. 19 Osoby dokonujące ataków na bezpieczeństwo systemu lub na zgromadzone w nim dane, zgod-. nie z obowiązującym prawem ([Kodeks ... , 1997; U,lawa ... , 1997]) dopuszczają ,ię wykroczeninlub przestępstwa..

(10) I. Katarzyna Szymczyk-Madej, Jan Madej. bezpośrednio. przez osobę lub przez odpowiedni program, np. podsłuch w celu przechwycenia danych w sieci, nielegalne kopiowanie plików; - modyfikacja (modification) przejawia się tym, że osoba niepowołana zdobywa dostęp do zasobów i wprowadza w nich zmiany. Jest to atak na niemu'uszalność. Na przykład zmiana zawartości pliku z danymi, modyfikacja komunikatów przesyłanych w sieci; - podrobienie (jabrication) polega na wprowadzaniu do systemu przez niepowolaną osobę fałszywych obiektów. Jest to atak na autentyczność, np. wysła nie fałszywych komunikatów lub wygenerowanie fikcyjnego sprawozdania. Przerwanie, modyfikacja i podrobienie są to ataki aktywne, przechwycenie zaś jest atakiem pasywnym. Taką klasyfikację ataków zaprezentował S.T. Kent [1977] jeszcze w latach siedemdziesiątych i z powodzeniem funkcjonuje ona obecnie. Rozpoznanie i przeciwdziałanie atakom na bezpieczeństwo systemu jest bardzo ważne, gdyż stanowią one umyślny przejaw działalności ludzkiej mający na cełu spowodowanie szkód łub osiągnięcie przez atakującego określonych korzyści. Warto więc przytoczyć [Stawowski 1998] jeszcze jeden, bardziej szczegółowy podział ataków, sporządzony na podstawie specyfikacji określonego zagrożenia, który zawiera: - włamanie do systemu, - utratę poufności danych, - utratę integralności danych, - utratę autentyczności danych, - utratę dostępności usług systemu i danych, - podszywanie się pod innego użytkownika. Dotychczas nie wynaleziono jednego, praktycznego mechanizmu, który chroniłby system przed wszystkimi atakami i zagrożeniami. Dlatego aby osią gnąć zamierzony cel, należy stosować wiele różnych narzędzi, mechanizmów i rozwiązań organizacyjnych uzupełniających się nawzajem, ogólnie zwanych polityką bezpieczeństwa i systemem ocluony. Jest to obecnie jedyny skuteczny sposób zapewnienia bezpieczeństwa systemu.. 7. Polityka bezpieczeństwa I system ochrony Informatycznego systemu rachunkowości Dopiero pełna świadomość zagrożeń, na jakie może być narażony system informatyczny, sprawia, że w przedsiębiorstwie wprowadza się politykę bezpieczeństwa i wdraża system ochrony. W wielu krajach zaprojektowano już dawno różnorodne standardy oceny bezpieczeństwa systemów informatycznych, które pozwalają na ich odpowiednią klasyfikację ze względu na poziom zabezpieczeń, jakie oferują'". Dobór środków ochrony zależy od wielu czynni20 Departament Obrony USA w 1985 r. zdefiniował siedem poziomów bezpieczeństwa systemu i opublikowal go w dokumencie TCSEC (Trusted Computer Standards Evaluation Criterla). Publi-.

(11) Bezpiecze"S1Wo informatycznych systemów rachunkowości. I. ków (m.in. od sposobu przetwarzania, ważności i ilości przechowywanych i przesyłanych danych, od poziomu ryzyka, na jakie narażone są dane, od moż liwości finansowych i kadrowych przedsiębiorstwa). Jednak jest ważne, aby zwiększeniem bezpieczeństwa było zainteresowane kierownictwo przedsię biorstwa, gdyż tylko ono posiada możliwość nadania temu problemowi odpowiedniej rangi oraz ma uprawnienia do stworzenia polityki bezpieczeństwa i wdrożenia systemu ochrony. Pod pojęciem polityki bezpieczeństwa (security policy) kryją się wszystkie przedsięwzięcia realizowane przez kierownictwo, administratorów, personel techniczny, użytkowników oraz innych członków organizacji, związane z utrzymaniem odpowiedniego poziomu bezpieczeństwa systemu. Ogólnie rzecz ujmując, należy rozpatrywać je na płaszczyznach: - systemu operacyjnego, - programów, - systemu zarządzania zbiorami danych, - systemu informatycznego jako całości, - fizycznego otoczenia systemu, - struktury organizacyjno-administracyjnej. Definiowanie polityki bezpieczeństwa polega na określaniu zasad i norm, których należy przestrzegać, aby właściwie zabezpieczać zasoby systemu. Zasady i normy powinny być spisane i mieć postać formalnego, obowiązują cego dokumentu. Przedsięwzięcia realizowane w ramach tej polityki muszą być wspomagane i uzupełniane przez odpowiednie środki techniczne, organizacyjne i prawne określane jako system ochrony - tym samym system ochrony można traktować jako aparat wykonawczy polityki bezpieczeństwa. Przy czym należy zdać sobie sprawę, że nie jest celowe (a często także nie jest możliwe) zastosowanie naraz wszystkich dostępnych środków ochrony, gdyż w praktyce absolutne bezpieczeństwo jest nieosiągalne, a funkcjonowanie zbyt rozbudowanego systemu zabezpieczeń zmniejsza efektywność jego działania i zwięk sza koszty eksploatacji. Jednak przeoczenie bąd ź zbagatelizowanie konkretnego zagrożenia może okazać się katastrofalne w skutkach. Należy więc projektować i wdrażać optymalny system ochrony, kierując się odpowiednio zdefiniowaną polityką bezpieczeń s twa - inną w odniesieniu do przetwarzania rozproszonego, a inną dla stanowisk autonomicznych. W procesie projektowania systemu ochrony można wyróżnić kilka etapów: - określenie zasobów systemu informatycznego podlegających ochronie, - ocenę ryzyka, - opracowanie polityki bezpieczeństwa, - planowanie systemu ochrony, - wdrożenie systemu ochrony, - audyt i reagowanie na zdarzenia wyjątkowe. kacja ta znana jest potocznie jako Orallge Dook. Wspólnota Europejska w 1991 r. opracowała swoje kryteria ITSEC (hl/ormat/oll Teclmology Seclll'ily Evalllatioll Cl'iteria) , które opublikowała jako stundard wykorzystywany przy ocenie poziomów bezpieczeństwa systemów informatycznych..

(12) I. Katarzyna Szymczyk-Madej, Jan Madej. W skład systemu ochrony może wchodzić wiele elementów, których obecność zależy od specyfiki określonego rozwiązania. Wymienić należy: 1) środki techniczne (rozwiązania sprzętowe i programowe): - mechanizmy zabezpieczające i monitorujące fizyczny dostęp do systemu i jego elementów (urządzenia antywłamaniowe, alarmy, kamery, czujniki ruchu, zabezpieczenia kabli sieciowych), - mechanizmy zabezpieczające przed zdarzeniami losowymi (systemy przeciwpożarowe, sejfy i pojemniki ochronne do przechowywania danych, urzą dzenia podtrzymujące zasilanie i filtrujące zakłócenia sieci energetycznej), - programowe i sprzętowe systemy uwierzytelniania użytkowników (hasła zabezpieczające, karty identyfikacyjne), - mechanizmy kontroli dostępu do sieci, rejestrowania, monitorowania i filtrowania przesyłanych nią informacji (np. systemy typufirewall) , - mechanizmy szyfrowania danych i narzędzia kryptograficzne (szyfrowanie przechowywanych danych, szyfrowanie transmisji w sieci i poczty elektronicznej, podpisy cyfrowe użytkowników), - programy antywirusowe i narzędziowe (defragmentujące dyski, naprawiające błędy w systemie plików itp.), - mechanizmy programowej kontroli wprowadzanych i przetwarzanych danych, - systemy archiwizowania danych i zarządzania archiwami (automatyczne tworzenie kopii zapasowych, odtwarzanie danych z kopii itp.); 2) środki organizacyjno-administracyjne: - kontrole wewnętrzne, - system przydzielania obowiązków, odpowiedzialności i uprawnień, - szkolenia z zakresu obsługi i ochrony systemu, - procedury postępowania w przypadkach wykrycia ataku na system, - procedury postępowania w sytuacjach nadzwyczajnych (odtwarzanie zasobów w przypadku zniszczenia lub kradzieży, alternatywne przetwarzania danych w czasie awarii), - procedury postępowania ze starymi wydrukami i zużytymi nośnikami danych, - procedury awaryjne, pożarowe i ewakuacyjne, - kontrola przepustek, - kontrola przeciwpożarowa i BHP; 3) środki prawne: - ustawy2], rozporządzenia, regulaminy, - system kar dyscyplinarnych (sądy pracownicze), - ubezpieczenia (np. od wypadków losowych).. 11 Obecnie wiele istotnych spraw m.in. z zakresu odpowiedzialności za tzw. przestępstwa komputerowe (np. za zamachy na bezpieczeństwo elektronicznie przetwarzanej informacji, oszustwa i fał szerstwa komputerowe) reguluje Kodeks Karny [19971, który wszedl w życie I września 1998 r..

(13) Bezpiecze,istwo informatycznych systemów. rachunkowości. I. Omawianie wszystkich wymienionych elementów z różnych powodów nie jest możliwe, a niektóre są powszechnie znane lub intuicyjnie rozumiane, dlatego zainteresowanym czytelnikom polecamy poświęcone tej tematyce opracowania m.in.: [Stawowski 1998; Garfinkei, Spafford 1997; Ciesielczyk, Stęp niewski 1998], a skupimy się na dwóch elementach: - kontrolach wewnętrznych, które są nieodzowne ze względu na bardzo duże znaczenie dla prawidłowego funkcjonowania przedsiębiorstwa", ale zarazem budzą sporo kontrowersji, szczególnie wśród kontrolowanych pracowników, - narzędziach kryptograficznych, które cieszą się obecnie dużą popularnością,lecz wywołują jednocześnie wiele nieporozumień i niejasności, co prowadzi do powstawania na ich temat różnych sprzecznych opinii i poglądów. Kontrolę wewnętrzną można zdefiniować jako zestaw metod i środków ustalonych przez kierownictwo przedsiębiorstwa, których celem jest: - prowadzenie działałności jednostki w sposób uporządkowany i efektywny, - zapewnienie przestrzegania ustalonych zasad, - zabezpieczenie zasobów, - zagwarantowanie, na ile jest to możliwe, kompletności i dokładności wprowadzanych danych. Działania te służą zabezpieczaniu zasobów, zapewnieniu wiarygodności zapisów księgowych, a także podniesieniu skuteczności i efektywności funkcjonowania przedsiębiorstwa. Nie jest to więc żaden mechanizm skierowany "przeciwko pracownikom", jak często jest to przez nich postrzegane. Aby temu zapobiec należy zapoznać pracowników z charakterem i celem przeprowadzanych kontroli. Ważne jest, aby projekt systemu kontroli wewnętrznej opracowało kierownictwo, a następnie nadzorowało jego funkcjonowanie przy uwzględnianiu wszystkich aspektów działalności przedsiębiorstwa - co ma znaczący wpływ na rodzaj i jakość kontroli. Kryptografia, jeszcze do niedawna rozwijana wyłącznie na potrzeby służb wojskowych i wywiadowczych, jest obecnie istotnym elementem ochrony danych i znajduje się w centrum zainteresowania zarówno dużych organizacji, jak i indywidualnych użytkowników jako narzędzie zapewniające m.in. poufność, integralność i niezaprzeczalność danych (por. [Kutyłowski, Strothmann 1998; StaIJings 1997; RobIing Denning 1993; Adamski 1997]). Technologie kryptograficzne są tak cennym narzędziem, że w wielu krajach podlegają jako produkt strategiczny restrykcjom eksportowym". Stąd zapewne wynikło też wiele nieporozumień. Jednym z nich jest problem faktycznego bezpieczeństwa zapewnianego przez mechanizmy kryptograficzne. Obecnie wiele firm zajmu" Zainteresowanych szenej tą problematyką czytelników odsyłamy do: [Idzikawska, Owczarek 1996; Winiarska 1996J. '3 Przykladowo w Stanach Zjednoczonych podstawowym aktem prawnym reglamentującym eksport systemów kryptograficznych za granicę jest lTAR - IlItematlonal Traffic in Ar,"s Regulation. Zalicza on algorytmy i produkty kryptograficzne do materialów wojskowego pneznaczenia i w związku z tym eksport silnych systemów kryptograficznych poddaje rygorystycznej kontroli..

(14) I. Katarzyna Szymczyk-Madej, Ja/! Madej. jących się. zabezpieczaniem systemów informatycznych, reklamuje, że uży wane przez nich algorytmy szyfrujące są "nie do złamania" i po wdrożeniu ich rozwiązań system będzie całkowicie bezpieczny. Dłatego należy podkreślić, że nie istnieje w praktyce efektywny algorytm bezwarunkowo bezpieczny i z tego powodu stosuje się algorytmy, spełniające jedno lub oba poniższe kryteria": - koszt złamania szyfru przewyższa wartość informacji zaszyfrowanej, - czas potrzebny na złamanie szyfru przekracza użyteczny "czas życia" informacji. Wybierając narzędzia kryptograficzne nie można polegać tylko na reklamie firmy sprzedającej swój produkt. Przy tego rodzaju technologiach wadliwość produktów nie tylko nie jest widoczna "gołym okiem", ale często nawet kosztowne badania nie są w stanie jej wykryć, dlatego istotne jest sformulowanie zasad wyboru narzędzi kryptograficznych25 • Za bezpieczne Kutyłowski i Strothman [1998] proponują uznać te, które: - są oferowane przez znane firmy o niezaprzeczalnej reputacji oraz posiadają certyfikaty odpowiednich urzędów kontrolnych", - realizują powszechnie znane, popularne i przetestowane rozwiązania. Drugi warunek jest bardzo istotny, gdyż testowanie produktów kryptograficznych jest zajęciem czaso- i pracochłonnym, dlatego dla poprawnego jego przeprowadzenia ważne jest, aby sam produkt spełniał następujące warunki: - metoda kryptograficzna powinna być wraz z jej szczegółowym opisem podana do publicznej wiadomoścj27, - metoda powinna wzbudzić powszechne zainteresowanie zarówno środo wisk naukowych, jak i biznesu, - nad metodą powinny być przeprowadzane intensywne badania mające na celu jej złamanie lub udowodnienie bezpieczeństwa. Dopiero spełnienie powyższych warunków pozwala uznać narzędzie za względnie bezpieczne w danym czasie i wykorzystać je do praktycznych celów.. 8.. Z:akończenle. W niniejszym opracowaniu zaprezentowane zostały podstawowe problemy z bezpieczeństwem informatycznych systemów rachunkowości, zwrócono uwagę na ich podatność na zagrożenia oraz wymagania, jakie stawiane są nowoczesnym systemom rachunkowości, aby mogły być w pełni funkcjonalne i użyteczne. Przedstawiono również stanowisko ustawodawcy związane. 24 Jeżeli kryteria te są spełnione, to znaczy, że algorytm jest obliczeniowo bezpieczny, "Dotyczy to z.równo rozwiąz.ń sprzętowych (np. specjalnych hardw.rowych ukladów szyfrujących),jak i programowych. 26 Np. dla produktów z USA jest to NIST - National Institute ar Standards and Technology. 27 Nie można mieć zaufania do produktów bazujących na algorytmach, które znane są tylko ich. twórcom..

(15) systemów. rachunkowości. dotyczące ochrony danych oraz omówiono zagrożenia, na jakie narażone są informatyczne systemy rachunkowości i jakie, w związku z tym, funkcje bezpieczeństwa powinny one spełniać (w szczególności zwrócono uwagę na umyślne ataki na bezpieczelIstwo systemu). Podkreślono także, że stworzenie odpowiedniej polityki bezpieczeństwa i wdrożenie prawidłowego systemu ochrony jest jedynym pewnym działaniem mogącym zapewnić faktyczne bezpieczeństwo systemu. Na zakończenie należy jeszcze wspomnieć o kilku zasadach", które często, pomimo swojej oczywistości, ulegają przeoczeniu, a twórcy, administratorzy i kierownicy nie zdają sobie nawet sprawy z ich zaniedbywania, mianowicie: - tworząc politykę bezpieczeństwa i system ochrony, warto jest zawsze postępować według zasady: wszystko, co nie jest dozwolone, jest zabronione. Postępowanie takie znacznie ułatwia zarządzanie uprawnieniami poszczególnych użytkowników, gdyż wychodzi z założenia, że nie mają oni żadnych praw, a wszystkie potrzebne uprawnienia przydzielane są im w miarę konieczności 29 ; - system ochrony powinien być odpowiednio i kompleksowo przemyślany, zaprojektowany i wdrożony, np. nie warto ponosić kosztów wyrafinowanych metod zabezpieczania transmisji danych w sieci, jeżeli serwery znajdują się w otwartych pomieszczeniach, do których mają dostęp niepowołane osoby; - lepiej mieć nie zabezpieczony system, ale posiadać pełną świadomość tego faktu, niż go nie mieć, ale sądzić, że się go ma. Ta oczywista prawda warta jest podkreślenia z jednego powodu, często użytkownicy nie są odpowiednio uświadomieni i pracują w przeświadczeniu, że ich działanie nie może zaszkodzić funkcjonowaniu systemu, a tym samym nie zachowują odpowiedniej ostrożności, co może pociągnąć za sobą bardzo groźne konsekwencje'O; - jeśli chodzi o bezpieczeństwo, to system jest tak mocny, jak mocny jest jego najsłabszy element. A ponieważ najsłabszym elementem każdego systemu informatycznego jest człowiek, dlatego ważne jest ciągłe podnoszenie kwalifikacji i umiejętności użytkowników systemu oraz zwracanie ich uwagi na rolę jaką pełnią w jego funkcjonowaniu .. Literatura. Adamski A. [1997), Prawna regla/lletltacja kryptografii, Netforum, nr I, Adamski A. [1998), Prawo do bezpiecznej sieci, Computerworld Raport Sieci, IDO Poland SA, Warszawa, wrzesień. 28. Bezpieczeństwo. Wiele innych bardzo pożytecznych i praktycznych zasad, zaleceń i uwag moie znalctć czy-. telnik m,in. w: [Oarfinkel, Spafford 19971. 29 Taka filozofia przydzielania uprawnień jest znacznie bezpieczniejsza, niż założenie, że . wszystko, co nie jest zabronionc,jest dozwolone, gdyż zabezpiecza przed możliwością wystąpie nia pomyjki i przyznania określonych praw osobie, która nie powinna ich posiadać . 30 Często użytkownikom wydaje się, np. że nic zlego się nic stanic, jeśli uruchomią na swoim komputerze jakiś program przyniesiony na dyskietce lub "znaleziony" w sieci, tymczasem jest to jedna z częstszych przyczyn zarażenia systemu wirusami..

(16) Jan. Ahuja V. [1997]. Bezpieczelistwo w sieciach, Zakład Nauczania Informatyki "MIKOM", Warszawa. Ciesielczyk T., Stępniewski J. [1994]. Ochrolla danych w systemach informatycznych rachunkowości, Prace Naukowe Akademii Ekonomicznej we Wrocławiu - Informatyka Ekonomiczna, nr 691 ,Wrocław. Cummings B., Hooyer G. [1997]. AccOlmting Informatioll Systems, Addison-Wesłey Pub!. Czarniawska M. [1997], Porównanie wybranych pakietów oprogramowaniafillallsolVoksięgowego, "Rachunkowość" nr 6, Warszawa. Robling Denning D.E. [1993], Kryptografia i ochrolla danych, WNT, Warszawa. GarfinkeI S., Spafford G. [1997], BezpiecZe/fstwo w Unixie i IlItemecie, Wydawnictwo RM, Warszawa. Idzikowska G., Owczarek Z. [1996]. Badanie systemu kalItroli wewllętrZllej w środowisku illformatycwym, Zeszyty Teoretyczne Rady Naukowej, Warszawa , nr 36. Idzikowska G., Owczarek Z. [1998], Badallie kalItroli wewnętrZllej stosowallej przy zillformatyzawallej księgowości - podstawowe probLemy, "Rachunkowość", Zeszyt Specjalny, Warszawa. Jarski M. [1998], Publiczna prywalllo!ć. Prywatlla pubLiczIlOŚć, Compllterworld, RaportBezpieczeństwo Sieci, IDO Poland SA. Warszawa, wrzesień. Kent S.T. [19771, Encryption-Based Protectionfor lti/eractive UserlComputer Comll/llllicalion. Proceedings of the Fifth Data Communications Symposium, wrzesień. Kodeks Kamy - Ustawa z dnia 6 czerwca 1997 r., Dz.U. z 1997 r., nr 88, poz. 553. Kutylowski M" Strothmann W.B. [19981, Kryptografia - teoria i praktyka zabezpieczallia systemów komplIterowych. Oficyna Wydawnicza Read Me, Warszawa. Piotrowski J., Szymaczek M. [19971, Projektowanie skutecznych systemów ochrolly informacji, "Informatyka", nr 7-8. Rachunkowo!ć i badanie ksiąg w ~rodowisku informatycznym [1993). praca zbiorowa, Towarzystwo Gospodarcze Rafib, Łódź. Stallings W. [1997). Ochrona danych IV sieci i intersieci, WNT, Warszawa. Stawowski M. [1998], Ochrona informacji w sieciach komplllerowyc" , ArsKom, Warszawa. Swierczyński A. [19981, Realizacja dowodowej funkcji rachunkowości w systemach informatyc",ych, Prace Naukowe Akademii Ekonomicznej we Wroclawiu - Informatyka w zastosowaniach ekonomicznych, Wroelaw, nr 788 . Ustawa "o rachunkowości" z dnia 29 września 1994 r., Dz.U. z 1994 r.,nr 121, poz. 591. Ustawa "o ochronie danych osobowych" z dnia 29 sierpnia 1997 r., Dz.U. z 1997 r., nr 133, poz. 883. Winiarska K. [1996], Kontrolafinansowo-księgowa: poradnik dLa księgowych, w/aścicieLi i pracowników I/rzędów skarbowych, Ośrodek Doradztwa i Doskonalenia Kadr, Gdańsk. Winiarska K. [1997). Praktyczne zasady wyboru systemów FK, Serwis Finansowo-Księ gowy, Warszawa, nr 37. Zaleski A. [19941, Ustawa o rachullkowości a komputery, "Rachunkowość", Zeszyt Specjalny, Warszawa. The Securlty of Computer-based Accountlng Systems. This sludy focuses on the security of computer-cased accounting systems in operation in large and medium-sized enterprises. In the first part, the authors discuss the main problems which affect the operalion of current, computer-based accounling systems and the most important requirements such systems must meet to be effective. Later, the authors discuss a number of basic security issues (firsl discussing (he functions of security. then the reasons.

(17) Bezpieczeństwo. informatycznych systemów. rachunkowości. I. why systems are prone to violations and potential sources of violation, and concluding with a discussion of deliberate violations of security). The authors also discuss the legal framework goveming aeeountaney data proteelion in the light of eurrent legislalion . The final part of the study taekIes the issue of seeurity policy-making and the implementation of security systems as indispensable tools for ensuring the seeurity of eomputer-based. accounting sysfems in practice..

(18)