Защита информации в телекоммуникационной Сбербанка РФ

3.2.2 Атаки на уровне ОС

Защитить операционную систему гораздо сложнее, чем СУБД. Это обусловлено тем, что число различных типов защищаемых объектов в современных ОС может достигать нескольких десятков, а число различных типов защищаемых информационных потоков - нескольких сотен. ОС имеет очень сложную внутреннюю структуру и поэтому задача построения адекватной политики безопасности для ОС решается значительно сложнее, чем для СУБД. Среди дилетантов распространено мнение, что наиболее эффективные и опасные атаки ОС организуются с помощью сложнейших программных средств, использующих последние достижения науки и техники. Считается, что злоумышленник обязательно должен быть программистом высочайшей квалификации. На самом деле для преодоления защиты ОС вовсе не обязательно писать сложную программу. Искусство злоумышленника заключается не в том, чтобы суметь написать программу, которая взламывает любую защиту, а в том, чтобы найти уязвимое место в конкретной системе защиты и суметь им воспользоваться. При этом наилучшие результаты достигаются при использовании самых простейших методов “влезания” в выявленные “дыры” в защите ОС. Чем проще алгоритм атаки, тем больше вероятность того, что атака пройдет успешно - возможности злоумышленника по предварительному тестированию алгоритма атаки обычно сильно ограничены. Возможность практической реализации той или иной атаки на ОС в значительной мере определяется архитектурой и конфигурацией ОС. Тем не менее, существуют атаки, которые могут быть применены практически к любым операционным системам. К ним относятся следующие атаки.

Кража ключевой информации. Может реализовываться с использованием следующих методов: подсматривание пароля при вводе пользователем. Существуют люди, которые могут подсмотреть вводимый пароль, глядя только на движения рук по клавиатуре. Поэтому то, что обычно при вводе пароль не высвечивается на экране, не гарантирует невозможность компрометации пароля; получение пароля из командного файла. Некоторые ОС при сетевой аутентификации (подключении к серверу) допускают ввод пароля из командной строки. Если аутентификация происходит с использованием командного файла, пароль пользователя присутствует в этом файле в явном виде; некоторые пользователи, чтобы не забыть свой пароль, записывают его в записные книжки, на бумажки, которые затем приклеивают к нижней части клавиатуры, и т.д. Для злоумышленника узнать такой пароль не составляет никакого труда. Особенно часто такая ситуация имеет место, если администраторы заставляют пользователей использовать длинные, труднозапоминаемые пароли; кража внешнего носителя ключевой информации. Некоторые ОС допускают использование вместо паролей внешних носителей информации (ключевые дискеты, Touch Memory, Smart Card и т.д.). Использование внешних носителей повышает надежность защиты ОС, но в этом случае появляется угроза кражи носителя с ключевой информацией; перехват пароля программной закладкой.

Подбор пароля. Могут использоваться следующие методы: неоптимизированный перебор; перебор, оптимизированный по статистике встречаемости символов и биграмм; перебор, оптимизированный с использованием словарей вероятных паролей; перебор, оптимизированный с использованием знаний о пользователе. В этом случае в первую очередь опробуются пароли, использование которых пользователем представляется наиболее вероятным (имя, фамилия, дата рождения, номер телефона и т.д.); перебор, оптимизированный с использованием знаний о подсистеме аутентификации ОС. Если ключевая система ОС допускает существование эквивалентных паролей, при переборе из каждого класса эквивалентности опробуется всего один пароль. Все эти методы могут применяться в совокупности. Если хакер не имеет доступа к списку пользователей ОС, подбор пароля пользователя представляет серьезную опасность только в том случае, когда пользователь использует тривиальный, легкоугадываемый пароль. Если же хакер получает доступ к списку пользователей, хакер может осуществлять перебор, не имея прямого доступа к атакуемому компьютеру или сети (например, хакер может унести список пользователей ОС домой и запустить программу перебора паролей на своем домашнем компьютере). В этом случае за приемлемое время может быть подобран пароль длиной до 8-10 символов.

Сканирование жестких дисков компьютера. Хакер последовательно считывает файлы, хранящиеся на жестких дисках компьютера. Если при обращении к некоторому файлу или каталогу хакер получает отказ, он просто продолжает сканирование дальше. Если объем жесткого диска компьютера достаточно велик, можно быть уверенным, что при описании прав доступа к файлам и каталогам этого диска администратор допустил хотя бы одну ошибку. При применении этой атаки все файлы, для которых были допущены такие ошибки, будут прочитаны хакером. Несмотря на примитивность данной атаки, она во многих случаях оказывается весьма эффективной. Для ее реализации злоумышленник должен быть легальным пользователем ОС. Если в ОС поддерживается адекватная (или близкая к адекватной) политика аудита, данная атака будет быстро выявлена, но если злоумышленник организует атаку под чужим именем (именем пользователя, пароль которого известен хакеру), выявление этой атаки ничем ему не грозит. Данный метод можно применять не только для сканирования дисков локального компьютера, но и для сканирования разделяемых ресурсов локальной сети.

“Сборка мусора”. Если в ОС допускается восстановление ранее удаленных объектов, хакер может воспользоваться этой возможностью для восстановления объектов, удаленных другими пользователями. В простейшем случае хакеру достаточно просмотреть чужую “мусорную корзину”. Если хакер использует для сборки мусора программную закладку, он может “собирать мусор” не только на дисках компьютера, но и в оперативной памяти. Превышение полномочий. Используя ошибки в программном обеспечении или администрировании ОС, злоумышленник получает в системе полномочия, превышающие предоставленные ему согласно текущей политике безопасности. Превышение полномочий может быть достигнуто следующими способами: запуск программы от имени пользователя, обладающего необходимыми полномочиями; запуск программы в качестве системной программы (драйвера, сервиса, демона и т.д.), выполняющейся от имени ОС; подмена динамически подгружаемой библиотеки, используемой системными программами, или несанкционированное изменение переменных среды, описывающих путь к такой библиотеке; модификация кода или данных подсистемы защиты ОС.

3.2.3 Атаки класса “отказ в обслуживании”

Эти атаки нацелены на полный или частичный вывод ОС из строя. Существуют следующие атаки данного класса: захват ресурсов - программа захватывает все ресурсы компьютера, которые может получить. Например, программа присваивает себе наивысший приоритет и уходит в вечный цикл; бомбардировка трудновыполнимыми запросами - программа в вечном цикле направляет операционной системе запросы, выполнение которых требует больших затрат ресурсов компьютера; бомбардировка заведомо бессмысленными запросами - программа в вечном цикле направляет операционной системе заведомо бессмысленные (обычно случайно генерируемые) запросы. Рано или поздно в ОС происходит фатальная ошибка; использование известных ошибок в программном обеспечении или администрировании ОС. Если программное обеспечение ОС не содержит ошибок, и если в ОС соблюдается адекватная политика безопасности, все перечисленные атаки малоэффективны. Однако, как показано в [3], такая ситуация крайне маловероятна. Поэтому система защиты АБС обязательно должна быть устойчива к ошибкам программного обеспечения и администраторов. Меры защиты, которые должны быть предприняты для повышения устойчивости ОС к ошибкам, сильно различаются для разных ОС. Но какие бы меры защиты не принимались, полностью устранить угрозу преодоления злоумышленником защиты ОС невозможно. В некоторых распределенных информационных системах в качестве серверов баз данных используются обычные файловые серверы. В этом случае пользователи СУБД могут получить доступ к файлам БД средствами операционной системы. Злоумышленник, преодолев защиту ОС, также получит доступ к файлам БД. Хотя злоумышленник не сможет использовать средства СУБД для доступа к внутренней структуре этих файлов, при наличии определенной квалификации это и не нужно - злоумышленник сможет восстановить структуру базы данных вручную.

Отправка в сеть пакетов определенного вида. Злоумышленник отправляет в сеть пакеты определенного вида, в результате чего один или несколько компьютеров сети полностью или частично выходят из строя. Сетевой уровень АБС обычно наиболее уязвим для атак злоумышленников. Это обусловлено тем, что канал связи, по которому передаются сетевые пакеты, является открытым - каждый, кто имеет физический доступ к этому каналу, может отправлять в канал пакеты произвольного содержания.

3.2.4 Возможные атаки на уровне сети

Прослушивание канала (возможно только в сегменте локальной сети). Практически все сетевые карты поддерживают возможность перехвата пакетов, передаваемых по общему каналу локальной сети. При этом рабочая станция может принимать пакеты, адресованные другим компьютерам того же сегмента сети. Таким образом, весь информационный обмен в сегменте сети становится доступным хакеру. Для успешной реализации этой атаки компьютер хакера должен располагаться в том же сегменте локальной сети, что и атакуемый компьютер.

Перехват пакетов на маршрутизаторе. Сетевое программное обеспечение маршрутизатора имеет доступ ко всем сетевым пакетам, передаваемым через данный маршрутизатор, что позволяет осуществлять перехват пакетов. Для реализации этой атаки хакер должен иметь привилегированный доступ хотя бы к одному маршрутизатору сети. Поскольку через маршрутизатор обычно передается очень много пакетов, тотальный их перехват практически невозможен. Однако отдельные пакеты вполне могут быть перехвачены и сохранены для последующего анализа хакером. Наиболее эффективен перехват пакетов FTP, содержащих пароли пользователей, а также электронной почты.

Создание ложного маршрутизатора. Злоумышленник отправляет в сеть пакеты определенного вида, в результате чего компьютер хакера становится маршрутизатором и получает возможность осуществлять предыдущую угрозу. Ложный маршрутизатор необязательно заметен всем компьютерам сети - можно создавать ложные маршрутизаторы для отдельных компьютеров сети и даже для отдельных соединений.

Навязывание пакетов. Злоумышленник отправляет в сеть пакеты с ложным обратным адресом. С помощью этой атаки злоумышленник может переключать на свой компьютер соединения, установленные между другими компьютерами. При этом права доступа злоумышленника становятся равными правам того пользователя, чье соединение с сервером было переключено на компьютер хакера.

3.3 Методы защиты от атак

Администраторы АБС должны так построить политику безопасности, что даже преодоление злоумышленником рубежа защиты, создаваемого операционной системой, не позволило ему нанести серьезный ущерб АБС. Если атака ОС не является конечной целью злоумышленника, а используется как первый этап атаки АБС, наибольший интерес для злоумышленника представляют файлы баз данных и файлы программного обеспечения, используемого СУБД. Поэтому АБС должна быть построена так, чтобы эти файлы не были доступны ни одному пользователю ОС рабочих станций. Доступ к БД должен быть возможен только через сервер базы данных. В противном случае злоумышленник, преодолев защиту рабочей станции, сможет доступ к файлам БД.

Для того чтобы злоумышленник, преодолевший защиту ОС, не смог причинить серьезный ущерб информации, хранящейся в базе данных, распределенная СУБД должна иметь архитектуру клиент-сервер. При этом должны выполняться следующие требования: на рабочую станцию передаются только те данные, которые запрошены пользователем; файлы БД, хранящиеся на сервере, не являются разделяемыми с точки зрения ОС - разделение данных между пользователями имеет место только на уровне СУБД; при сетевом взаимодействии рабочих станций и серверов баз данных не используются объектно-ориентированные сетевые протоколы (типа SMB). Эти требования достаточно очевидны, но, как показывает опыт, далеко не всегда администраторы ими руководствуются. На всех компьютерах, входящих в состав АБС, должны быть установлены достаточно защищенные операционные системы (SCO UNIX, Windows NT, Solaris и др., но не Windows 95 или OS/2). Для каждой операционной системы политика безопасности должна быть адекватной. При определении адекватной политики безопасности целесообразно ориентироваться на требования класса защиты C2 "Оранжевой книги”.

Для обеспечения надежной защиты сетевого уровня АБС необходимо добиться максимальной “закрытости” сетевых каналов связи, другими словами, максимально затруднить несанкционированный информационный обмен в защищаемой сети. Существуют следующие меры защиты, позволяющие это осуществить: максимальное ограничение объема защищаемой сети. Чем больше сеть (географически и по числу компьютеров), тем труднее ее защищать. Изоляция сети от внешнего мира. Если сеть АБС имеет выход в Internet, то задача организации ее защиты существенно усложняется. Это обусловлено тем, что в этом случае любой пользователь Internet имеет физический доступ к защищаемой сети. Если в системе защиты сети АБС имеется ошибка (в программном обеспечении или политике безопасности), воспользоваться ей может любой пользователь Internet. Если изолировать защищаемую сеть от Internet невозможно, администраторы защищаемой сети должны уделять особое внимание ограничению доступа к сети пользователей Internet. Шифрование сетевого трафика. Эта мера защиты позволяет полностью устранить угрозу перехвата пакетов. С другой стороны, шифрование трафика несколько снижает производительность сетевого программного обеспечения. Цифровая подпись сетевых пакетов. Все пакеты, передаваемые по сети, должны быть подписаны криптографически стойкой цифровой подписью. Данная мера позволяет полностью устранить угрозу навязывания пакетов и большинство угроз, связанных с отказом в обслуживании. Однако, для того, чтобы эта мера защиты принесла реальную пользу, необходимо, чтобы цифровая подпись пакета была обязательна и неподписанные пакеты игнорировались. В противном случае цифровая подпись защищает только от искажения легально отправленных пакетов, но не от навязывания пакетов хакером. Обязательное применение цифровой подписи пакетов возможно только в том случае, когда программное обеспечение, необходимое для подписывания пакетов, установлено на каждом компьютере сети. Если защищаемая сеть имеет выход в Internet, цифровая подпись пакетов малоэффективна. Межсетевые экраны (firewalls). Межсетевые экраны фильтруют передаваемые через маршрутизатор пакеты, не пропуская через маршрутизатор потенциально опасные пакеты, которые, возможно, были отправлены в сеть в ходе атаки сети хакером. Среди администраторов сетей распространено мнение, что межсетевые экраны позволяют надежно защитить локальные сети от атак хакеров из Internet, и являются

в некотором роде панацеей. Однако это мнение в корне неверно. Дело в том, что задача фильтрации пакетов является задачей искусственного интеллекта. Программа, не обладающая интеллектом, не всегда способна отличить потенциально опасный пакет от абсолютно безвредного. В результате при использовании межсетевых экранов типичной является ситуация, когда межсетевой экран, с одной стороны, не защищает от некоторых атак, и, с другой стороны, препятствует нормальной работе сетевого программного обеспечения. Межсетевые экраны могут рассматриваться только как дополнительное средство защиты, которое целесообразно использовать, если защищаемую сеть невозможно изолировать от других сетей. При этом должны выполняться следующие требования: все пути передачи пакетов через межсетевые экраны должны быть статическими. Другими словами, сеть должна быть отконфигурирована так, что пакеты, относящиеся к одному сетевому соединению, проходили через один и тот же межсетевой экран. В противном случае невозможна корректная фильтрация фрагментированных пакетов. Если защищаемая сеть не очень велика, целесообразно организовать связь защищаемой сети с внешним миром через единственный маршрутизатор, оснащенный межсетевым экраном; политика фильтрации пакетов должна быть основана на принципе “все, что явно не разрешено, то запрещено”; количество сетевых протоколов, используемых при взаимодействии защищаемой сети с внешним миром, должно быть максимально ограничено. Несколько полезных советов (вместо заключения). Выше были перечислены наиболее типичные подходы к взлому защищенных компьютерных систем, которые могут быть применены к автоматизированным банковским системам. Все перечисленные методы атаки и защиты АБС описаны в наиболее общей форме. Применения этих методов в конкретных ситуациях могут заметно отличаться от приведенных здесь описаний. Тем не менее, даже в самом общем случае существуют определенные правила, которых целесообразно придерживаться при организации защиты. Эти правила сформулированы ниже в виде практических советов. Всегда будьте в курсе последних новинок науки и техники в области компьютерной безопасности. Регулярно просматривайте материалы хакерских серверов Internet, подпишитесь на хакерские телеконференции (newsgroups). Подпишитесь на несколько журналов по компьютерной безопасности. Будьте образованнее вашего противника. Не старайтесь организовать абсолютно надежную защиту - чем мощнее защита системы, тем труднее пользователям с ней работать. Храните в тайне информацию о реализации защиты АБС. Чем меньше хакер знает об атакуемой системе, тем труднее ему осуществить атаку. Не пренебрегайте административными мерами защиты. Постарайтесь максимально ограничить объем защищаемой сети. Не подключайте защищаемую сеть к Internet без крайней необходимости. Перед тем, как приобрести новое программное обеспечение, почитайте о нем на хакерских серверах Internet. Размещайте серверы БД в охраняемом помещении. Никто не должен иметь доступ к базам данных иначе чем через сеть. Не допускайте хранения конфиденциальной информации на рабочих станциях сети. Ни один сервер БД не должен предоставлять услуги файлового сервера. Все без исключения пакеты, передаваемые по открытым каналам связи, должны шифроваться. Все без исключения пакеты должны подписываться цифровой подписью независимо от того, по какому каналу связи передается пакет. Все пути передачи пакетов в защищаемой сети должны быть статическими. Если защищаемая сеть физически связана с другими сетями, все пакеты, приходящие извне или уходящие вовне, должны проходить через межсетевые экраны. При этом должны осуществляться шифрование и подписывание пакетов. Не пренебрегайте аудитом. Любая атака АБС должна быть зафиксирована в журнале аудита. Просматривайте журнал аудита не реже одного раза в день. Если в журнале аудита зафиксировано необычно много событий, изучите новые записи этого журнала особо внимательно. Не исключено, что хакер подсовывает вам ложный след. Регулярно проверяйте целостность программного обеспечения АБС. Регистрируйте все изменения политики безопасности в специальном журнале (неэлектронном). Программная закладка, внедренная хакером, не сможет изменить данные в бумажном журнале. Регулярно сравнивайте текущую политику безопасности с той, которая описана в этом журнале. Создайте в системе несколько ловушек для хакеров. В роли ловушки может выступать, например, документ с заманчивым именем, прочитать который невозможно без использования программной закладки. Если система аудита зафиксировала успешное обращение к этому документу, значит, хакер сумел внедрить закладку в защищаемую систему. Регулярно необходимо тестировать политику безопасности, принятую в системе, специальными программами (satan, с2test и т.д.). Результаты работы этих программ нужно рассматривать как информацию к размышлению. Если программа тестирования говорит, что защищенность системы очень низка, необходимо посмотреть, к каким угрозам уязвима ваша система по мнению этой программы. Возможно, для данной системы эти угрозы неактуальны. Если же программа тестирования, наоборот, сообщает, что с защитой в вашей системе все в порядке, это еще не повод успокаиваться.

4. Экономический расчет эффективности использования автоматизированной подсистемы защиты информации

4.1 Организационно-экономическая сущность задачи

защита информация телекоммуникационная система банк

В условиях перехода к системе рыночного хозяйствования понятие "заработная плата" наполнилась новым содержанием и охватывает все виды заработков (а также различных премий, доплат, надбавок и социальных льгот), начисленных в денежной и натуральных формах (независимо от источников финансирования), включая денежные суммы, начисленные работникам в соответствии с законодательством за непроработанное время (ежегодный отпуск, праздничные дни и т.п.).

Таким образом, трудовые доходы каждого работника определяются по личным вкладам, с учетом конечных результатов работы предприятия, регулируются налогами и максимальными размерами не ограничиваются. Минимальный размер оплаты труда (МРОТ) работников предприятий всех организационно-правовых норм устанавливается законодательством.

Учет труда и заработной платы по праву занимает одно из центральных мест во всей системе учета в организации. Он должен обеспечить оперативный контроль за количеством и качеством труда, за использованием средств, включаемых в фонд заработной платы и выплаты социального характера.

Учет труда и заработной платы заключается в следующем.

Учет использования рабочего времени ведется в табелях учета использования рабочего времени. Табели открываются или по организации в целом, или по отдельным подразделениям и категориям работающих. Они необходимы не только для учета использования рабочего времени всех категорий работающих, но и для контроля за соблюдением персоналом установленного режима рабочего времени, расчетов с ним по заработной плате и получения данных об отработанном времени. Табель составляется в одном экземпляре в отделе по работе с персоналом и передается в бухгалтерию два раза в месяц для корректировки суммы выплаты аванса и для расчета заработной платы за месяц.

На основе табеля учета рабочего времени в межрасчетный период выполняются расчеты по оплате листков временной нетрудоспособности, отпусков, командировок, учебных отпусков и т.д. Затем на основе приказов и распоряжений происходит расчет доплат и надбавок за стаж, за чин, за секретность, премии, надбавки из фонда заработной платы, а также начисление материальной помощи. На основе всех этих сведений формируется графа "начислено" в расчетно-платежной ведомости.

Далее в соответствии с законодательством из заработной платы рабочих и служащих производятся следующие удержания и вычеты:

а) государственные налоги, когда объектом обложения служит заработная плата - подоходный налог;

б) удержания в Пенсионный фонд (ПФ);

в) погашение задолженности по ранее выданным авансам, а также возврат сумм, излишне выплаченных в результате неверно произведенных расчетов;

г) суммы, выплаченные за неотработанные дни использованного отпуска (при увольнении);

д) взыскание некоторых видов штрафов;

е) по исполнительным документам;

ж) профсоюзные взносы.

Затем формируется расчетно-платежная ведомость, которая является основным регистром, используемым для оформления расчетов с рабочими и служащими. Это регистр аналитического расчета, так как составляется в разрезе каждого табельного номера, по категориям работников.

Расчетно-платежная ведомость совмещает 2 регистра: расчетная и платежная ведомости, т.е. одновременно рассчитывается сумма к оплате и производится ее выдача (выплата). Ведомость имеет следующие показатели:

Начислено по видам оплат - оборот по кредиту счета 70 "Расчеты с персоналом по оплате труда".

Удержано и зачтено по видам платежей и зачетов - оборот по дебету счета 70 "Расчеты с персоналом по оплате труда".

К выдаче на руки - сальдо по счету 70 "Расчеты с персоналом по оплате труда".

Последний показатель расчетно-платежной ведомости является основанием для заполнения платежной ведомости для выдачи заработной платы в окончательный расчет.

Выдача заработной платы производится по платежным ведомостям в установленные в организации дни месяца. Основанием на право выдачи является наличие в ее реквизитах приказа в кассу для оплаты указанной суммы в срок (в течении трех дней, считая день получения денег в банке). Подписывают приказ руководитель организации и главный бухгалтер. Выдавать заработную плату кроме кассира могут раздатчики. По окончании рабочего дня раздатчики обязаны сдать в кассу остатки не выданных сумм и платежные ведомости. Последующая выплата заработной платы (на 2-й и 3-й дни) осуществляется только кассиром. По истечении трех дней кассир построчно проверяет и суммирует выданную заработную плату, а против фамилий, не получивших ее, в графе "расписка в получении" проставляет штамп или пишет от руки "депонировано". Платежная ведомость закрывается двумя суммами - выдано наличными и депонировано. На депонированные суммы кассир составляет реестр не выданной зарплаты, после чего передает в бухгалтерию платежную ведомость и реестр не выданной заработной платы, для проверки и выписки расходного ордера на выданную сумму заработной платы. Расходный кассовый ордер передается кассиру для регистрации в кассовой книге.

Таким образом, учет труда и заработной платы характеризуется большим количеством первичных документов, необходимостью проведения расчетов и группировки данных по различным аналитическим признакам, поэтому этот участок учета является благоприятным для автоматизации. Автоматизация в этом случае обеспечивает высвобождение персонала от трудоемких вычислительных работ, повышение качества расчетов, сокращение сроков подготовки данных. В этом и заключается организационно-экономическая сущность задачи.

4.2 Анализ оплаты труда

Состав фонда заработной платы регламентируется специальной инструкцией, утвержденной Постановлением Госкомстата России от 10.07.95 г. № 89 по согласованию с Минэкономики России, Минфином России, Минтрудом России и Центральным Банком России.

В соответствии с этой инструкцией включению в фонд заработной платы подлежат начисленные организацией суммы оплаты труда в денежной форме:

1. За отработанное время - заработная плата, начисленная работникам по окладам за отработанное время; премии и вознаграждения, носящие регулярный или периодический характер, не зависимо от источников их выплаты; стимулирующие доплаты и надбавки к окладам; компенсационные выплаты (оплата за выходные и праздничные дни, за отпуск и т.д.); оплата труда лиц, принятых по совместительству.

2. За неотработанное время - оплата ежегодных и дополнительных отпусков, за время выполнения государственных или общественных обязанностей, за время вынужденного прогула и т.д.

3. Единовременные поощрительные выплаты - единовременные премии, независимо от источников их выплаты, вознаграждения по итогам работы за год, годовое вознаграждение за выслугу лет, денежная компенсация за неиспользованный отпуск, другие единовременные поощрения, включая стоимость подарков.

К фонду заработной платы не относятся следующие виды расходов: командировочные расходы; расходы, выплаченные взамен суточных; страховые взносы в ПФ, фонд социального страхования, фонды обязательного медицинского страхования, Государственный фонд занятости РФ; выплаты из внебюджетных фондов, в частности пособие по временной нетрудоспособности, по беременности и родам, при рождении ребенка, по уходу за ребенком.

Таким образом, в состав фонда заработной платы включаются все расходы организации на отплату труда не зависимо от источника их финансирования, в том числе суммы, начисленные работникам в соответствии с законодательством за не проработанное время, в течение которого за ним сохраняется заработная плата, а так же стимулирующие и компенсирующие выплаты.

4.2.1 Анализ фонда заработной платы

В тесной связи с оплатой труда необходимо рассмотреть анализ использования трудовых ресурсов в организации, уровня производительности труда. С ростом производительности труда создаются реальные предпосылки для повышения уровня его оплаты. При этом средства на оплату труда нужно использовать таким образом, чтобы темпы роста производительности труда обгоняли темпы роста его оплаты.

В связи с этим, анализ использования средств на оплату труда имеет большое значение. В процессе его следует осуществлять систематический контроль над использованием фонда заработной платы, выявлять возможности экономии средств за счет роста производительности труда.

Преступая к анализу использования фонда заработной платы, в первую очередь необходимо рассчитать абсолютное и относительное отклонение фактической его величины от плановой. Данные для расчета и анализа фонда заработной платы СКО СБ РФ взяты за 2002 год.

Абсолютное отклонение (ФЗП абс.) определяется сравнением фактически использованных средств на оплату труда (ФЗП ф) с плановым фондом заработной платы (ФЗП пл) в целом по организации, подразделениям и категориям работающих:

ФЗПабс = ФЗПф - ФЗПпл = 20500 - 20240 = 260 тыс.руб

Однако, абсолютное отклонение само по себе не характеризует использование фонда заработной платы, так как этот показатель определяется без учета степени выполнения плана по основным видам деятельности организации.

Относительное отклонение рассчитывается как разность между фактически начисленной суммой заработной платы и плановым фондом, скорректированным на коэффициент выполнения плана по основным видам деятельности. Процент выполнения плана по основным видам деятельности за 2002 год составил 102,6 % (16440 млн.руб./16023 млн.руб).

ФЗПотн = ФЗПф - ФЗПск = ФЗПф - (ФЗПпл.пер * Квп + +ФЗПпл.пост). ( 6.1.)

ФЗП отн = 20500 - (3870 * 1,026 + 16370) = 20500 - 20340,62 =+ 159,38 тыс.руб.,

где ФЗП отн - относительное отклонение по фонду заработной платы;

ФЗП ф - фонд заработной платы фактический;

ФЗП ск - фонд заработной платы плановый, скорректированный на коэффициент выполнения плана;

ФЗП пл.пер. и ФЗП пл.пост. - соответственно переменная и постояннпая сумма планового фонда заработной платы;

К вп - коэффициент выполнения плана.

На основании этого можно сделать вывод, что в организации в феврале-месяце произошел перерасход в использовании фонда заработной платы на 159,38 тыс.руб.

Исходные данные для анализа фонда заработной платы представлены в таблице 6.1.

Таблица 4.1

Исходные данные для анализа повременного фонда заработной платы

Выводы

В этом разделе был произведен анализ опасных и вредных факторов на рабочем месте программиста, который показал, что наиболее опасными являются факторы, связанные с компьютером - это излучение монитора (статическое, электромагнитное). Кроме того, негативным фактором является неправильная организация рабочего места, труда и отдыха работника, что влечет за собой возникновение такого заболевания как гиподинамия. Также были приведены основные мероприятия по снижению опасного и вредного воздействия этих факторов.

Кроме того, в разделе приведена классификация условий труда на рабочем месте специалиста, в соответствии с которой рабочее место программиста можно отнести к допустимым условиям труда, где уровни факторов среды не превышают установленных гигиенических нормативов для рабочих мест.

Поскольку при работе на компьютере может возникнуть опасность поражения электрическим током, то в разделе были рассмотрены основные мероприятия по обеспечению электробезопасности.

В разделе были приведены основные мероприятия по защите в условиях чрезвычайных ситуаций, возникающих в результате стихийных бедствий.

В настоящее время информация является интеллектуальной собственностью и стоит очень дорого. При обеспечении безопасности жизнедеятельности людей при возникновении чрезвычайных ситуаций важно уделять внимание спасению информации хранящейся на компьютере.

Для этого необходимо разработать комплекс мер по защите информации в условиях чрезвычайных ситуаций. Эти и меры включают в себя следующее:

1) Наиболее важную информацию следует хранить в сжатом виде на дискетах или CD.

2) Дискеты с информацией нужно поместить в несгораемый шкаф или сейф в кабинете начальника отдела, ответственного за сохранность информации.

3) При возникновении чрезвычайной ситуации лицо, ответственное за сохранность информации должно быстро открыть сейф или несгораемый шкаф и вместе с дискетами эвакуироваться с места опасности и дальше действовать согласно всем перечисленным в разделе правилам.

Кроме того, следует не забывать постоянно обновлять хранящуюся на

Размещено на Allbest.ru