информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Атака на InternetПортрет посетителяSpanning Tree Protocol: недокументированное применение
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Phrack #70/0x46 
 Возможно, Facebook наступил на... 
 50 лет электронной почте 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / law
Имя Пароль
ФОРУМ
все доски
FAQ
IRC
новые сообщения
site updates
guestbook
beginners
sysadmin
programming
operating systems
theory
web building
software
hardware
networking
law
hacking
gadgets
job
dnet
humor
miscellaneous
scrap
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
По требованиям законодательства УА - бух первичный... 09.07.08 15:16  Число просмотров: 5702
Автор: Garick <Yuriy> Статус: Elderman
Отредактировано 09.07.08 15:56  Количество правок: 2
<"чистая" ссылка>
По требованиям законодателсьва УА - бух первичный документооброт храниться 3 года. Вытекает из 3х лет срока гражданского долгового иска. Долги более 3х лет нельзя исковать, кроме особых случаев - ЗП, например.

> > Ограничивается перетекание информации с более высоким
> > уровнем доступа в более низкий. В системах
> реализованный
> > противоречивый с точки зрения комп админов принцип.
> Можно
> > читать из более низкого уровня, а копировать в более
> низкий
> > уровень нельзя, можно в более высокий. Хотя читать в
> более
> > высоком нельзя :) У админов как раз наоборот. Даются
> права
> > изменения над более низким уровнем.
> Всё зависит от актуальности срезов, которые необходимо
> получать. При разумном временном зазоре можно наворотить с
> первичкой всё что угодно
>
> > Например топер не скажет о сомнительной сделке, если
> не
> > будет фин аналитики, а эту аналитику получат от
> > исполнителей.
> От исполнителей получается первичная информация для
> аналитики, а не сама аналитика! И эти данные тоже можно
> обрабатывать разными способами
> > Сама информация высокого уровня не носит большой
> ценности
> > для проверяющих - это статистические данные, для
> > управленческих решений. Она зачастую не носит
> подробностей
> > операций. Ее ценность больше для коммерческих структур
> как
> > рыночная аналитика.
> тут согласен, см ниже
> > Сравни - реестр счетов, накладных (это бух первичка,
> это
> > нижний уровень) и аналитика по продажам по рыночным
> > сегментам (это управленческая аналитика). Готовиться в
> > финотделе, а ценность для проверяющих очень разная :)
> > Конечно есть более интересные отчеты по взаиморасчетом
> с
> > контрагентами, но этот отчет строиться на основе
> первички.
> > И при доступе к первичке - построение (и сверка)
> отчета -
> > это только вопрос времени (зачастую не большого).
> Только вот за какой интервал хранится первичка? Что ты
> сделаешь с месячным отчётом? Оштрафуешь на 20% от его суммы
> (предвижу расклад "мы следили 3 месяца!"; ответ: "а какого
> безопасники на этой планете делают?")? "Ключевыми сделками"
> (опять же, мы тут смешиваем противозаконное и чуть-чуть
> противозаконное, это разные стратегии поведения) занимается
> отдельный менеджер с возможно другим документооборотом.
См. вводную о сроке хранения бух документации.

> Если ясно видеть цель, которую ты преследуешь, можно
> собрать адекватную схему обороны для любого бизнеса.
> Шифрование и регламент - не цель, а средства, хотя часто
> понятия подменяются именно здесь. Надо не зашифровать
> информацию, а сделать так, чтобы потенциально открытая инфа
> принесла минимум убытков при любом раскладе (а, согласно
> законодательству, потенциально открыта должна быть вся
> информация). Вот тут самое время вспомнить тезисы о фейках

Цель тут одна и весьма легко формализуется - целесообразное обеспечение ограничения (в гарантированных временных и ресурсозатратных рамках) несанкционированного (как для проверяющих, так и инсайдеров и супостатов) доступа к информации*, которая потенциально может привести к угрозам (санкциям или потери рыночной доли, например) против предприятия.

А вот целесообразность вычисляется как баланс между стоимостью обеспечения (не только технического, но и организационного и административного с госорганами) режима доступа и стоимостью угроз.
Почему нет стоимости информации? А сама инфа ничего не стоит - это журналистский штамп :) Стоит ее использование (применение или угроза применения):)

>
> > И необходимо говорить не о несанкционированном
> применении,
> > а о доступе. Не важно, будет ли она использована или
> нет.
> Если информация стала доступна, не значит что она может
> быть применена. И это, в частности, головная боль безпеки
Головная боль безопасности перетекает и на ИТ, тк ИТ в тч отвечает за реализацию части инфраструктуры и регламентов безопасности ИС.

> > При несанкционированном доступе информация
> компрометируется
> > и необходимо применить ряд мер, недопускающих ее
> дальнейшее
> > распостранение.
> Согласен. Причём надо принимать проактивные меры
Тут надо "поработать" с носителем информации, зачастую, человеком. А человеческая душа тонка и в ней потемки. Не будем об этом :)

* под информацией подразумевается не только инфа хранящаяся/обрабатываемая в ИС, но и весь комплекс знаний.
<law> Поиск 








Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2021 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach