Оцінка ризиків і системи захисту облікової інформації в умовах застосування ІТ

Abstract

Вступ. Запровадження інформаційних систем і технологій суттєво змінило та прискорило процеси збору, обміну та опрацювання інформації, покращило комунікаційні умови розвитку нових бізнес-технологій. Однак разом зі значними перевагами диджиталізація економічних відносин зумовила нові виклики. Одним із таких є те, що цифровізація бізнесу розвивалася швидшими темпами, ніж система захисту (безпеки) інформації. Це спричинило виникнення нових загроз і ризиків, які необхідно мінімізувати, забезпечивши захист обліково-звітної інформації.

Метою статті є дослідження системних і несистемних ризиків та оцінювання дієвих заходів щодо захисту обліково-звітної інформації за умов застосування інформаційно-комунікаційних технологій.

Методи. Для досягнення поставленої мети у дослідженні використано системний та аналітичний підходи до узагальнення інформації, методи бібліографічного, концептуального та функціонального аналізу.

Результати. Розкрито структуру інформаційних ризиків, що є характерними для об’єднань корпоративного типу за умов використання інформаційних технологій. Виокремлено групи ризиків втрати інформації та доступу до неї, фальсифікації даних та втрати легітимності даних, ризики оприлюднення (зливу) або викрадення комерційної чи конфіденційної інформації та інші. Запропоновано багаторівневу систему інформаційної безпеки, яка має формуватися за напрямами фізичного, правового, програмно-технічного та організаційного забезпечення захисту інформації, яку доцільно визначати підприємством чи корпорацією та регламентувати у відповідних документах. Для суб’єктів корпоративного типу, об’єднаних в одну юридичну особу, таку регламентацію захисту облікової інформації можна здійснювати в наказі про облікову політику. У корпоративних групах, об’єднаних на договірних засадах, основним регулювальним документом може бути єдиний внутрішньокорпоративний стандарт політики інформаційної безпеки, де будуть передбачені як внутрішньокорпоративні правила захисту обліково-звітних даних, так і правила взаємодії із зовнішніми інформаційними системами.

Перспективи. Подальші наукові дослідження у цьому напрямі доцільно здійснювати з метою виявлення та мінімізації ризиків й розробки системних методів захисту обліково-звітної інформації. Introduction. The introduction of information systems and technologies has significantly transformed and accelerated the processes of data collection, exchange, and processing. It has also improved communication conditions for the development of new business technologies. However, alongside its considerable advantages, the implementation of IT in economic relations has introduced new challenges. One of the critical issues is that business digitalization has progressed at a faster pace than information security systems. This has led to emerging threats and risks that must be minimized to ensure the protection of accounting and reporting information.

The purpose is to study systemic and non-systemic risks and assess effective measures to protect accounting and reporting information in the context of information and communication technology (ICT) implementation.

Methods. To achieve the research objective, the study employs a systematic and analytical approach to information generalization, as well as bibliographic, conceptual, and functional analysis methods.

Results. The study reveals the structure of information risks specific to corporate- type entities using IT. It identifies groups of risks associated with data loss and access restrictions, data falsification and loss of legitimacy, as well as risks of disclosure (leakage) or theft of commercial or confidential information, among others. A multi-level information security system is proposed, which should be developed in four key areas: physical, legal, software-technical, and organizational information protection. The approach to defining and regulating this security system should be determined by the enterprise or corporation and formalized in the relevant internal documents. For corporate entities operating as a single legal entity, such regulations can be outlined in the accounting policy directive. In corporate groups that operate on a contractual basis, the primary regulatory document may be a unified internal corporate standard for information security policy. This document should establish both internal corporate rules for protecting accounting and reporting data and guidelines for interaction with external information systems.

Prospects. Further research in this area should focus on identifying and minimizing risks and developing systematic methods for protecting accounting and reporting information.