Название: Аудит информационной безопасности - Курило А.П.

Жанр: Аудит

Рейтинг:

Просмотров: 925


3.1. правовые и методологические основы аудита информационной безопасности

3.1.1. Международные правовые аспекты, стандарты и руководства по основам аудита информационной безопасности

В мире существует не так много прямых        3.1.1.1. Предпосылки.

законодательных требований в области         Вступление

информационной безопасности и аудита

информационной безопасности. Однако в большинстве стран действу­ют отраслевые регулятивные нормы, предписывающие внедрение мер по обеспечению безопасности, и разработаны руководства для осу­ществления контроля эффективности этих мер. Некоторые из них яв­ляются нормативами прямого действия, как, например, в отраслях с высоким уровнем регулирования по всему миру, в частности в сфере оказания финансовых услуг (включая банковские операции); другие возникают как результат требований к обеспечению защиты персо­нальных данных клиентов, сотрудников и других заинтересованных в деятельности организаций лиц (сфера здравоохранения в США, Евро­пейская директива о защите персональных данных).

Все большее применение средств автоматизации в обработке ин­формации, приведшее к концентрации чувствительной для организа­ций и их клиентов информации, привлекло внимание законодателей в 80-х гг. прошлого века к данной ситуации, в первую очередь в стра­нах с высокоразвитой экономикой. Одной из первых стран, разрабо­тавших законодательные акты в областиконфиденциальности персо­нальных данных, была Великобритания, где в 1984 г. был принят закон о защите данных (Data Protection Act), который определил потреб­ность в обеспечении информационной безопасности. Этот закон сти­мулировал разработку норм по обеспечению конфиденциальности во многих странах и оказал существенное влияние на то, каким образом организации внедряют и оценивают меры контроля в области инфор­мационной безопасности.

Недавними законодательными актами, ужесточающими требования в отношении корпоративного управления (например, закон Сарбейн-са—Оксли, принятый в США), организациям было предписано уделять больше внимания вопросам внутреннего контроля во всех сферах, включая информационные технологии и информационную безопас­ность. Совет директоров компании в настоящее время, отвечая за эффективность системы контроля операционной деятельности (в ча­стности, предоставление и разделение полномочий), рассчитывает на соблюдение мер безопасности и контроля на всех уровнях: от опера­ционных систем и баз данных до бизнес-приложений. Подобные за­конодательные акты предусматривают наличие мер контроля на уров­не организации, включая оценку и мониторинг рисков, в том числе внутренний контроль и аудит системы контроля в области информа­ционных технологий и безопасности. В результате многие организа­ции используют всевозможные подходы к управлению правами пользо­вателей как способ соответствовать комплексным и жестким требованиям закона Сарбейнса—Оксли в данной области.

В настоящем разделе рассматривается, каким образом международ­ное законодательство и регулирование способствуют внедрению мер контроля в области информационной безопасности и аудита и как современные организации могут использовать уроки прошлого и рас­сматривать инвестиции в систему управления информационной безо­пасностью как часть общей системы корпоративного управления и обеспечения соответствия нормативным требованиям.

3.1.1.2. Информационная В идеальном мире каждая организация и безопасность — влияние каждый ее сотрудник организации долж- регулятивных норм           ны понимать риски, связанные с инфор-

и законодательства                       мацией, и принимать соответствующие

меры для ее защиты в соответствии с той ценностью, которую она представляет, и в зависимости от того, каким угрозам подвержена и насколько уязвима. В идеальном мире не было

 

 

бы людей, стремящихся извлечь пользу из информации, полученной без разрешения! К сожалению, мы живем в совсем другом мире, и люди не всегда задумываются о том, какой информацией они владеют и что они должны сделать для ее защиты. Кроме того, есть люди, желающие ради собственной выгоды или просто шутки ради использовать плохо орга­низованную систему безопасности и получить доступ к информации, не будучи на то уполномоченными.

Понимая эту проблему, законодательные и другие регулятивные органы продолжают разрабатывать законы и нормы в целях повыше­ния уровня информационной безопасности и стимулировать органи­зации к соответствующим действиям.

Большинство первоначально принятых 3.1.1.3. Примеры важных законодательных актов и регулятивных          законодательных актов

норм в области информационной безо-          и регулятивных норм

пасности относились к защите персо­нальных данных, хранящихся в организациях. Так, целью закона о защите данных (Data Protection Act), принятого Великобританией в 1984 г., было побудить организации должным образом обеспечить защиту хранившихся у них персональных данных. В 1998 г. закон был усовершенствован в соответствии с новыми требованиями Ев­ропейского Союза к конфиденциальности персональной информа­ции. Раздел закона, посвященный информационной безопасности, невелик, однако многие другие положения закона указывают на важ­ность вопроса безопасности. Одним из важнейших результатов за­кона стало то, что организации начали задумываться о том, какой информацией они владеют, какая информация им необходима и как определить требования к информации (на основе ее классифика­ции) с точки зрения безопасности.

В самом законе не содержатся требования о проведении регуляр­ной проверки состояния информационной безопасности, однако в нем есть раздел, дающий Информационной инспекции (правительствен­ному органу по защите информации) возможность оценивать уровень соответствия безопасности обработки персональных данных требова­ниям этого закона. Эта проверка производится по запросу контроле­ра данных (лицо в организации, отвечающее за соответствие закону). Информационная инспекция издала руководство по проверке с дета­лями аудиторской программы, которая может быть использована орга-

 

 

низациями для самооценки соответствия или использована третьими лицами для проверки соответствия закону1.

Великобритания также одной из первых успешно ввела в действие закон относительно «ненадлежащего» использования технологий (The Computer Misuse Act). Этот закон, принятый в 1990 г., рассматривает три вида уголовных преступлений:

неправомерный доступ к компьютерам (включая незаконное копирование программ);

неправомерный доступ с целью совершить или способствовать совершению дальнейших правонарушений (таких, как кража и мошенничество);

неправомерное изменение программного обеспечения (в том числе намеренное и неправомерное уничтожение программно­го обеспечения, баз данных или внедрение вирусов).

На первый взгляд может показаться, что этот закон мало влияет на деятельность организаций, если не считать чувство удовлетвореннос­ти от осознания того, что злоумышленники будут наказаны, однако на деле он имеет несколько очень важных для бизнеса положений. Для успешного судебного преследования в соответствии с этим законом организации необходимо иметь достаточное доказательство того, на­пример, что доступ к информационным системам не был санкциони­рован. Человек должен осознавать, что не был уполномочен на дос­туп к системе, вследствие чего организации стали практиковать использование сообщения при входе в систему, что система предназ­начена только для авторизованных пользователей, а не приветствия типа «Welcome!» («Добро пожаловать!»). Кроме того, закон стимули­ровал организации четко определиться в части политики «приемле­мого использования» информационных систем, то есть что можно, а что нельзя делать в данной области.

Есть немало примеров, когда физические лица не преследовались по суду в соответствии с этим законом из-за отсутствия надежных доказательств (например, журналов регистрации событий или ауди­торских соответствующих лог-файлов) в информационных системах. Широкая известность подобных случаев побуждает организации в той мере, в которой это касается безопасности, внимательнее относиться

 

Данное руководство размещено на сайте Информационной инспекции www.informationcommissioner.gov.uk [34].

 

 

к тому, как и какая информация записывается в журналах регистра­ции, а также проводить регулярные проверки журналов регистрации событий в системах.

Одним из дискутируемых аспектов данного закона является понятие легитимности несанкционированного доступа к компьютерам. Под дей­ствие закона потенциально попадают сканирования на уязвимость сис­темы защиты (или тесты на проникновение), проводимые сторонними консультантами (или собственным персоналом) в целях совершенство­вания системы информационной безопасности. В настоящее время об­суждаются предложенные поправки к закону, которые позволят расши­рить сферу его применения и включить в нее вопросы распространения и использования инструментария для тестирования системы безопас­ности для легитимных консультантов по безопасности.

США традиционно не являлись мировым лидером в области зако­нодательства, касающегося обеспечения конфиденциальности персо­нальных данных и информационной безопасности, однако там в пос­леднее время был принят ряд законов. Существенное влияние на организации в США в плане безопасности и конфиденциальности ока­зал закон Гремма—Лича Блили (Gramm-Leach Bliley Act — GLBA), всту­пивший в силу в 1999 г. Действие его было направлено на компании, предоставляющие финансовые услуги. Возможные санкции за невы­полнение требований закона относились к тем компаниям, которые «были не столь тщательны, как следовало бы» в обеспечении конфи­денциальности данных своих клиентов. Аналогично требованиям, вы­работанным десять с лишним лет назад в Европе, данный закон тре­бует от финансовых учреждений и аффилированных с ними организаций обеспечивать безопасность, включая целостность и кон­фиденциальность персональных данных физических лиц.

В соответствии с этим законом финансовые учреждения должны разработать программу обеспечения информационной безопасности, основанную на оценке рисков, привносимых потенциальными угроза­ми и уязвимостями. К реализации программы должны быть привлече­ны совет директоров и высшее руководство. Данная программа вклю­чает эффективное управление рисками, мониторинг и внесение корректировок, а также отчетность перед руководством. В ней пре­дусматривается рассмотрение следующих вопросов:

контроль доступа;

управление конфигурациями;

 

 

выявление вредоносных программ;

обеспечение выполнения требований политики безопасности;

мониторинг и управление правами пользователей;

безопасность инфраструктуры и сетей передачи данных.

Действие закона GLBA распространяется на банки, страховые ком­пании, брокерские фирмы, налоговые и бухгалтерские фирмы, пла­тежные карточные системы и ряд других организаций, в отношении каждой из которых существует соответствующий регулятивный над­зорный орган (например, Комиссия по ценным бумагам и биржам или Федеральная корпорация страхования вкладов США). В соответствии с положениями закона регулятивные агентства несут ответственность за проверку (аудит) соблюдения GLBA.

Вторым важным законом, напрямую касающимся конфиденциаль­ности и безопасности, является Акт в отношении медицинского стра­хования (Health Insurance Portability and Accountability Act — HIPAA), утвержденный в качестве закона США в 1996 г., хотя многие из его положений, включая положение о конфиденциальности персональ­ных данных, были опубликованы много позднее (Положение о кон­фиденциальности персональных данных — в августе 2002 г., Поло­жение о безопасности — в феврале 2003 г.). Основным стимулом принятия акта являлись не столько безопасность и конфиденциаль­ность, сколько стандартизация информации о состоянии здоровья, которой обмениваются страховые компании и медицинские учреж­дения, упрощающая обмен данными между страховщиками и меди­ками. HIPAA, однако, требует от юридических лиц, на которых рас­пространяется его действие, принятия разумных и надлежащих физических, технических и организационных мер безопасности, на­правленных на обеспечение целостности и конфиденциальности информации о состоянии здоровья физических лиц, находящейся в их распоряжении или переданной ими; защиты от возможных угроз, несанкционированного использования или раскрытия данных; обес­печения соблюдения требований безопасности должностными лица­ми и служащими. Неудивительно, что требования HIPAA более де­тальные, чем требования GLBA, поскольку до принятия закона HIPAA организации в сфере здравоохранения делали слишком мало для защиты конфиденциальности информации и зачастую продавали персональную информацию третьим сторонам (например, фармацев­тическим компаниям).

 

 

В целом положение о безопасности HIPAA требует от организаций применения унифицированного подхода к защите информации как от внутренних, так и от внешних угроз. Данный акт требует производить систематические, детализированные и точные оценки рисков и содер­жит определенные рекомендации в отношении того, как это делать. Подобно другим рассмотренным законодательным актам он, однако, технологически нейтрален, т.е. не предписывает характер техничес­ких решений, подлежащих внедрению. Организации сами должны де­монстрировать регулирующим органам, что они обеспечивают выпол­нение закона или же что они действовали разумным образом в целях соблюдения требований закона.

Закон также содержит положение о регулярных проверках на со­ответствие требованиям, однако порядок проведения таких прове­рок, а также кем именно они должны проводиться до сих пор не уточнены.

Обсуждение требований в области контроля было бы неполным без рассмотрения закона Сарбейнса—Оксли (S0X), который был принят в 2002 г. Этот закон оказал огромное воздействие на процесс развития, внедрения и мониторинга систем внутреннего контроля компаний, включенных в листинги бирж США. Принятый первоначально как ре­акция на крупные скандалы, связанные с мошенничеством (примера­ми могут служить MCI и «Энрон»), как способ «защитить инвесторов посредством повышения точности и достоверности раскрываемой кор­поративной информации», закон имел большое значение для бизнеса и информационной безопасности.

Наибольшее влияние на информационную безопасность оказали статьи 302 и 404 этого закона. Статья 302 предусматривает, что глав­ный исполнительный директор (СЕ0) и главный финансовый дирек­тор (CF0) должны лично заверять точность и полноту финансовых отчетов. Более того, они должны также оценивать эффективность си­стемы внутреннего контроля в отношении процесса формирования финансовой отчетности и представлять соответствующий отчет (вклю­чая меры контроля в области информационных технологий и инфор­мационной безопасности). Статья 404 устанавливает, что компании должны производить оценку эффективности системы внутреннего кон­троля и уведомлять о результатах оценки Комиссию по ценным бума­гам и биржам (SEC). Предусмотрено также требование к официаль­ным аудиторам компании оценивать и указывать в своем заключении

 

 

мнение об эффективности системы внутреннего контроля. Иными сло­вами, в законе отмечено, что:

руководство отвечает за внедрение и функционирование сис­темы внутреннего контроля в отношении процесса формирова­ния финансовой отчетности;

руководство компании обязано провести по результатам фи­нансового года оценку эффективности системы внутреннего контроля;

официальные аудиторы компании должны удостоверить эту оценку и подготовить соответствующий отчет.

Хотя ведущие аудиторские фирмы и раньше оценивали систему внутреннего контроля при проверке финансовой отчетности, S0X сде­лал этот процесс более жестким и обязательным. Как результат, меж­дународные аудиторские стандарты были пересмотрены на предмет большего отражения процедур, основанных на подходе с точки зре­ния рисков и мер контроля, даже для компаний, формально не подпа­дающих под действие S0X. Очевидно, что оценка внутренней системы контроля не может быть осуществлена без рассмотрения вопросов информационной безопасности, за исключением, возможно, лишь слу­чая, когда финансовые отчеты и документы подготавливаются без ис­пользования информационных систем! Незащищенные системы не могут рассматриваться в качестве источника достоверной финансо­вой информации.

Для целей контроля и содействия аудиторам в оценке соответствия S0X был создан Надзорный совет по финансовой отчетности публич­ных акционерных обществ (Public Company Accounting Oversight Board — PCAOB), на который была также возложена задача разработ­ки стандартов аудита. Выбранные РСАОВ типовые меры контроля, раз­работанные Комитетом финансирующих организаций (C0S0), обеспе­чивают структурированные руководства по внедрению системы внутреннего контроля.

Хотя рамки C0S0 и представляются хорошей моделью, они не дают достаточной информации в отношении сопутствующих средств конт­роля в области информационных технологий и безопасности. В этой связи в дополнение к C0S0 используются меры контроля стандарта корпоративного управления и аудита в области информационных тех­нологий C0BIT, разработанного Ассоциацией по контролю и аудиту информационных систем (ISACA). Институт ISACA по корпоративному

 

 

управлению в области информационных технологий (ITGI) разрабо­тал на базе C0S0 и C0BIT совокупность целевых мер контроля в обла­сти информационных технологий и безопасности в контексте требо­ваний S0X.

Хотя руководство и вправе принять решение об использовании иной структуры при разработке системы внутреннего контроля, это потребует значительных усилий в плане разработки внутренней доку­ментации и обоснования того, почему выбранный подход отличается от рекомендованного ITGI. В связи с этим можно ожидать, что компа­нии будут следовать рекомендациям ITGI для внедрения и оценки мер контроля в области информационных технологий и безопасности в соответствии с требованиями закона Сарбейнса—Оксли.

В дополнение к приведенным выше примерам законодательного и регуляторного характера в некоторых отраслях существуют специаль­ные требования, которые организациям необходимо выполнять. На­пример, в отрасли платежных карт обязательное соблюдение ряда стан­дартов и предписаний является условием выпуска и процессинга карт различных брэндов. Платежная система Visa издала «Стандарты обес­печения безопасности данных при использовании платежных карт» с обязательным минимальным комплексом мер по обеспечению инфор­мационной безопасности. Подобно многим другим регламентирующим предписаниям, упомянутым выше, в них отсутствуют директивы в от­ношении использования определенных технологий, но содержится достаточно подробный перечень целей контроля. Другой отличитель­ной особенностью этих стандартов является требование о проведе­нии регулярного внешнего аудита на соответствие стандартам с ис­пользованием специально предписанной аудиторской программы. Соответствующий аудит должен проводиться квалифицированной ауди­торской компанией, получившей аккредитацию у полномочного органа платежной системы (Visa, MasterCard) на проведение таких проверок.

Мы рассмотрели ряд международных законо- 3.1.1.4. Общий лейтмотив дательных актов, каждый их которых был раз­работан с конкретной целью, напрямую не связанной с информаци­онной безопасностью, но оказывал влияние на организации в части необходимости внедрения мер безопасности. Эти законодательные акты относятся к большинству организаций, для которых (за исклю­чением случаев, когда организации являются поставщиками услуг в об-

 

 

ласти безопасности) информационная безопасность не является ос­новным видом деятельности, а только средством по защите конфи­денциальности, целостности и доступности информации. Все они объе­динены общей идей — действовать «разумно» с точки зрения защиты информации. Отдельные акты имеют более предписывающий харак­тер, чем другие, но ни один из них не определяет того, какие техно­логии должны использоваться или какие конкретные средства конт­роля должна внедрить и реализовать организация, чтобы выполнить требования законодательства. В этой связи действия аудиторов зак­лючаются в том, чтобы как можно более гибко подходить к вопросам толкования оценки соответствия мер контроля, внедренных организа­цией, требованиям законодательства.

Аудиторы могут возразить, что эта неопределенность увеличивает риск: если бы, например, законодательные акты четко определяли, что все страховые компании обязаны иметь межсетевые экраны опреде­ленного типа, настроенные предписанным образом, то тогда прово­дить аудит было бы намного проще. Однако организация может ре­ально не нуждаться в рекомендованной технологии или могут существовать веские коммерческие причины, по которым ей необхо­дима другая конфигурация, которая никоим образом не подвергает риску общий уровень безопасности.

Следовательно, гибкость законов и регулятивных норм является положительным фактором, они предоставляют организациям общие рамки, в которых те должны действовать, что не противоречит общей фундаментальной правовой концепции «разумной необходимости», но оставляет открытым вопрос, что считать разумно необходимым.

По крайней мере, все обсуждаемые нами законодательные акты и во многих других случаях содержат требование о проведении опре­деленного рода оценки рисков и создании на базе этой оценки мер защиты.

3.1.1.5. Общие проблемы Соблюдение рассмотренных законода­тельных актов может потребовать от организаций существенных затрат. Так, затраты, связанные с соблю­дением требований HIPAA, даже в небольших организациях являют­ся значительными, особенно с учетом того, что раньше требований безопасности в области медицинского страхования практически не было. Одна крупная американская компания, занимающаяся меди-

 

 

цинским страхованием, затратила более 11 млн долларов только на выплаты консультантам, для того чтобы обеспечить соблюдение тре­бований закона HIPAA. Компании, подпадающие под действие S0X, потратили гораздо больше, несмотря на то, что сложно сказать, ка­кая часть этих средств непосредственно связана с информационны­ми технологиями и информационной безопасностью, в любом слу­чае это немалая сумма.

Аналогично законы и регулятивные нормы не учитывают органи­зационные последствия внедрения этих требований. Что касается S0X, то здесь проведение организационных изменений неизбежно. В сущ­ности все акты, рассмотренные выше, требуют создания новых долж­ностей (офицер по обеспечению конфиденциальности персональных данных, офицер информационной безопасности, аудитор безопаснос­ти и т.д.), но не дают достаточной информации, какие требования предъявляются к профессиональной подготовке и навыкам таких со­трудников, или нечетко определяют, какие другие обязанности могут быть совмещены с выполнением этих полномочий. Остается открытым вопрос, где найти соответствующим образом подготовленный персо­нал (и определить его необходимую квалификацию) и как эффектив­но управлять людскими ресурсами, для того чтобы обеспечить пра­вильное распределение обязанностей. Это оборотная сторона большинства таких законодательных актов: они определяют общие направления, но зачастую эти общие направления не дают ответы на многие вопросы. За исключением актов, регулирующих деятельность в сфере выпуска и процессинга платежных карт, большинство зако­нодательных актов допускают большое число толкований: что такое «разумная необходимость», люди могут понимать по-разному.

Все законодательные акты подразумевают ту или иную форму про­верки выполнения требований — либо внутреннюю проверку, как в случае с Data Protection Act в Великобритании, либо внешнюю. Слож­ность проведения аудита в таких условиях отдаляет выполнение тре­бований. Например, неясно, кто должен проводить проверку соблю­дения требований HIPAA и каковы цели и основные области этой проверки. В ближайшей перспективе компании будут привлекать не­зависимых аудиторов осуществлять проверки по типу «диагностики на соответствие требованиям», для того чтобы продемонстрировать законодателям и регулирующим органам, что они делают все правиль­но в отсутствие проведения официальной аудиторской проверки на

 

 

соответствие. Снова возникает вопрос: как определить временные рамки, характер и объем процедур проведения аудита, если законода­тельные и регулирующие органы не смогли сами этого сделать?

 

3.1.1.6. Преимущества      На Западе многие сотрудники, занимаю-

законодательных    щие должности, связанные с обеспечени-

и регулятивных актов       ем информационной безопасности в орга-

низациях, сетуют, что они не имеют должного авторитета в организации, а выделяемых из бюджета средств недостаточно для того, чтобы обеспечить необходимый для бизнеса уровень безопасности. Чаще всего компании не уделяют должного внимания информационной безопасности и сосредоточены на постав­ленных задачах и целях, которые порой входят в противоречие с пра­вилами соблюдения безопасности. В США во время бума электронной коммерции произошел определенный положительный сдвиг в осоз­нании связи целей бизнеса и вопросов безопасности, например над­лежащий уровень защищенности транзакций через Интернет стано­вится конкурентным преимуществом. Но даже такие «продвинутые» компании не смогли ответить на два основных вопроса:

какой уровень безопасности необходим компании?

как компания может доказать наличие необходимого уровня безо­пасности и надлежащего контроля?

Законы и регулятивные нормы оказались очень полезны для по­вышения статуса специалистов по безопасности, у которых сейчас появилось право действовать. Они могут сделать что-то, чтобы обес­печить выполнение требований законодательства, и поэтому к мне­нию таких специалистов нужно прислушиваться. Особенно это отно­сится к компаниям, подпадающим под действие S0X, где высшее руководство несет уголовную ответственность за несоблюдение зако­на. Как результат, информационная безопасность в компаниях вышла на новый уровень. Сотрудники службы безопасности в настоящий момент перегружены работой с целью выполнения требований зако­нодательства, не всегда понимая, как этого добиться, но по крайней мере теперь они могут обратиться к руководству с требованием уве­личения финансирования.

Многие из рассмотренных законов сопровождались внезапным всплеском финансирования на совершенствование информационной безопасности и других мер контроля, но, возможно, в будущем такая

 

 

тенденция не сохранится. Проблемой остается недостаточный уровень внешнего аудита на соответствие требованиям законодательства. По­этому мероприятия по контролю соблюдения нормативных актов яв­ляются важными для поддержания информационной безопасности как приоритетной задачи на уровне компании.

 

С учетом того что законы и нормативные 3.1.1.7. Роль стандартов акты дают возможность увидеть только

часть ситуации и требуют от руководства компании поступать пра­вильно, возникает вопрос, на который необходимо ответить: как вы­полняются требования законодательства и, что более важно, как можно доказать, что эти требования выполняются? Все законо­дательные акты содержат требование проведения оценки рисков и разработки политики информационной безопасности. В то же вре­мя только некоторые из них предписывают, как должна разрабаты­ваться политика безопасности, кто из руководства должен отвечать за ее разработку и усовершенствование и как эта политика должна выполняться. Содержание политики информационной безопасности освещено только частично и вряд ли достаточно для того, чтобы орга­низация могла хоть что-нибудь внедрить. С одной" стороны, это не­плохо, гибкость в законодательстве означает, что организация мо­жет сама разработать политику, которая удовлетворяет ее текущим и будущим потребностям, а также отражает реальные условия, суще­ствующие в организации. Было бы абсурдным, например, предписы­вать, чтобы все организации разработали политику в отношении бе­зопасности переносных компьютеров, если организация не использует переносные компьютеры!

И вот здесь на помощь приходят стандарты. Большинство законо­дательных актов разработано с учетом консультаций, полученных от различных органов по стандартизации. Стандарты в области инфор­мационных технологий и безопасности обеспечивают руководство следующим уровнем детализации, который законы и нормативные акты не дают и не должны давать.

Конечно, стандарты не являются обязательными и не устанавлива­ются в законодательном порядке, но, однако, они дают руководству возможность доказать, что оно «действует надлежащим образом» и таким образом продемонстрировать свое выполнение требований за­конодательства.

 

 

Существует огромное количество стандартов в области информа­ционных технологий и безопасности, одни из них — отраслевые, дру­гие — общие. Большинство из них основаны на оценке рисков как неотъемлемой части процесса их внедрения и соблюдения. С учетом того, что законы и регулятивные акты также требуют проведения оцен­ки рисков при построении системы внутреннего контроля и обеспече­ния безопасности, это означает, что стандарты являются первым пра­вильным шагом на пути выполнения требований законодательства.

 

3.1.1.8. Влияние     В связи с тем, что существует множество

международных      стандартов в области информационной

стандартов               безопасности, организации нередко стал-

киваются с проблемой выбора наиболее для них подходящего. Поскольку для организаций, к которым предъяв­ляются требования S0X, институт ITGI определил подходящие меры контроля в области информационных технологий (ИТ) и безопаснос­ти на основе стандарта C0BIT [35], представляется, что данным орга­низациям имеет смысл начинать с внедрения этого стандарта.

C0BIT представляет собой стандарт корпоративного управления ИТ, разработанный ISACA. Он адресован специалистам в области ИТ, ру­ководству и аудиторам, поэтому является полезным инструментом для организаций: помогает руководству и сотрудникам понять необходи­мость контроля и позволяет объяснить требования бизнеса техничес­ким сотрудникам.

C0BIT рассматривает корпоративное управление ИТ в рамках че­тырех основных групп процессов (доменов):

организация и планирование (РО);

приобретение и внедрение (AI);

функционирование и поддержка (DS);

мониторинг и оценка (ME).

В каждом из доменов выделяются отдельные процессы (всего 34), для каждого из них приводятся требования к мерам контроля.

Среди процессов C0BIT существует отдельный процесс, посвящен­ный обеспечению информационной безопасности (DS5), хотя и в ос­тальных процессах приводятся отдельные меры контроля, связанные с безопасностью.

Отличительной особенностью C0BIT является наличие руководства по аудиту, содержащего подробную методику проверки мер контроля

 

 

по всем 34 основным процессам ИТ, в том числе по процессам, свя­занным с безопасностью. В этом руководстве подробно рассказыва­ется, с кем из сотрудников следует провести интервью, какие доку­менты проанализировать, что необходимо протестировать. В связи с выходом в декабре 2005 г. новой версии С0ВІТ 4.0 в настоящее вре­мя разрабатывается соответствующее руководство по аудиту.

С0ВІТ является полезным инструментом для аудиторов (внутрен­них и внешних), он предоставляет подход, с помощью которого про­веряется уровень зрелости мер контроля в области ИТ. Это делает его ценным инструментом для руководства организации с целью опреде­ления того, как «надлежит» действовать, и позволяет сконцентриро­вать ресурсы для совершенствования мер контроля в тех областях, где требуются улучшения.

После вступления в силу S0X все больше внимания уделяется кор­поративному управлению, а значит, и управлению ИТ; все больше орга­низаций рассматривают внедрение С0ВІТ как метод совершенствова­ния мер контроля в области ИТ. Более того, даже безотносительно требований S0X организации все чаще требуют от независимых кон­сультантов провести проверку по С0ВІТ, для того чтобы оценить эф­фективность корпоративного управления ИТ.

Другим полезным инструментом, который может использоваться для совершенствования системы информационной безопасности, яв­ляется ITIL — набор оптимальных методов и принципов, которые определяют интегрированный, основанный на процессах подход по управлению информационными технологиями. Заинтересованность в применении ITIL постоянно растет по всему миру.

ITIL также рекомендует внедрение эффективных мер в области информационной безопасности на стратегическом, тактическом и опе­рационном уровне. Обеспечение информационной безопасности рас­сматривается как цикличный процесс с фазами планирования, вне­дрения, оценки и поддержки. ITIL оперирует такими понятиями в области информационной безопасности, как политики, процессы, про­цедуры и инструкции.

С некоторыми особенностями аналогичные подходы прослеживают­ся в С0ВІТ, а также в нормативных и законодательных актах. Хотя в ITIL отсутствуют непосредственные специализированные стандарты оценки соответствия, тем не менее ITIL близок Британскому стандарту BS 15000 [36], посвященному управлению ИТ-сервисами и методам оцен-

 

 

ки. Оценка качества аудиторов BS 15000 осуществляется UKAS (Британ­ское агентство аккредитации). UKAS устанавливает основные требова­ния в отношении аудиторов в части обучения, квалификации, наличия опыта у сертификационных компаний (т.е. у компаний/аудиторов, ко­торые проводят сертификационный аудит). UKAS регулярно проводит аудит сертификационных компаний с целью убедиться, что они могут документально подтвердить свою компетентность по проведению сер­тификационных аудитов. BS 15000 содержит подробные руководства для организаций, которые желали бы получить сертификацию, и требо­вания в отношении аудиторов. В 2005 г. стандарт BS 15000 был пред­ставлен в ISO и по завершении ускоренной и упрощенной процедуры его рассмотрения был принят как IS0/IEC 20000 [37].

Еще одним широко обсуждаемым стандартом в области безопас­ности является стандарт IS0/IEC 15408 (Общие критерии) [38], кото­рый был гармонизирован в России как ГОСТ Р ИС0/МЭК 15408. Этот стандарт технический и иногда труден для восприятия бизнесом. Он полезен для поставщиков и покупателей продукции информационной безопасности, для того чтобы определить, насколько хорош механизм защиты в приобретаемой продукции. К сожалению, он не помогает руководству разобраться, правильно ли оно действует. Даже если оп­ределены конкретные технологические требования к безопасности отдельных систем, неправильное внедрение или работа любого уст­ройства или системы ни в коей мере не улучшит общий уровень бе­зопасности организации в целом. Область применения этого стандар­та в целях соответствия регулирующим требованиям достаточно ограничена. Однако существуют исключения, в частности в области процессинга платежных карт, где определенные технические требова­ния IS0/IEC 15408 встречаются, например, в программах проверки на соответствие требованиям в области безопасности со стороны пла­тежной системы MasterCard.

Наиболее известными и широко используемыми стандартами уп­равления информационной безопасностью и доказательством соблю­дения нормативных актов и законодательства являются международ­ные стандарты серии IS0/IEC 2700Х по управлению информационной безопасностью. Беря свое начало от первоначальных Британских стан­дартов 7799 (в последующем IS0/IEC 17799 [39] и IS0/IEC 27001 [24]), эти стандарты конкретно и четко определяют, как эффективно вне­дрить систему управления информационной безопасностью. Есть не-

 

 

сколько причин, почему эти стандарты настолько популярны, и не пос­ледняя из них та, что существуют четкие методы проведения аудитор­ских проверок на соответствие и даже возможность сертификации по IS0/IEC 27001. Э™ стандарты помогают ответить на вопрос: «как до­казать, что в организации обеспечен требуемый уровень безопаснос­ти?» и убедить регулирующие органы, что «все выполняется правиль­но» и «надлежащим образом».

Стандарты охватывают все основные сферы требований, предъяв­ляемых законодательством и нормативными актами, упомянутыми выше. Краеугольным камнем соответствия стандартам является пони­мание того, какими информационными активами обладает организа­ция, и внедрение требуемого уровня мер контроля, основанного на оценке рисков.

IS0/IEC 17799, IS0/IEC 27001 — просто и доступно написанные стан­дарты, предоставляющие полезные руководства по мерам контроля, ко­торые организация захочет внедрить. При этом стандарты понятны как специалистам в области информационной безопасности, так и руковод­ству и помогают преодолеть коммуникационный барьер между обеими сторонами, обеспечив тем самым понимание руководством, что делается и почему. Руководство рассматривается стандартом как ключевое звено при постановке целей в области информационной безопасности.

Для того чтобы быть сертифицированной по этому стандарту, орга­низация должна также доказать, что у нее существуют процедуры по идентификации законов и нормативных актов, касающиеся ее с точки зрения защиты информации, у нее должна существовать программа по соблюдению этих нормативных требований. И тогда сертификация по IS0/IEC 27001, если она проведена надлежащим образом, гаранти­ровала бы, что организация на деле соблюдает все законодательные и нормативные акты, регулирующие ее деятельность.

Приложение А стандарта IS0/IEC 27001 содержит перечень мер контроля, которые должны быть внедрены в организации, желающей пройти сертификацию (однако не все меры контроля из данного спис­ка обязательно должны быть внедрены, если существует документально подтвержденное решение руководства на этот счет, основанное на оценке рисков). Многие компании используют этот стандарт как сред­ство самооценки, поскольку методик по проведению оценки безопас­ности недостаточно; некоторые компании стремятся пройти офици­альный сертификационный аудит у аккредитированных независимых

 

 

аудиторских компаний. Аналогично BS 15000, описанному выше, ком­пании, проводящие сертификационный аудит, должны быть аккреди­тованы в отношении стандарта BS 7799 (часть 2) органом UKAS в Великобритании. По мере перевода британских стандартов в статус международных (ISO) аккредитация также становится возможной че­рез органы ISO. В опубликованном документе ЕА-7/3 (Аккредитация организаций, занимающихся сертификации систем управления инфор­мационной безопасностью) Европейской комиссии по аккредитации, перечислены основные требования в области независимости, квали­фикации и внутренней системы контроля качества в отношении таких организаций. Эти требования к качеству процесса сертификации и квалификации аудиторов обусловлены необходимостью доверия ре­зультатам сертификации.

Сертификация по стандартам также требует проведения регуляр­ных аудиторских проверок в целях обеспечения и поддержания соот­ветствия выполнения требований и для того, чтобы процесс управле­ния безопасностью функционировал надлежащим образом. Это сокращает разрыв, который в настоящий момент существует в боль­шинстве законодательных актов: как доказать регулирующим органам, что организация постоянно соблюдает требования законодательства? Это также облегчает сотрудникам службы безопасности получение финансирования на поддержание программы управления безопасно­стью, и не только на сам сертификационный аудит, но и на весь ком­плекс мер в области безопасности.

В некоторых странах соблюдение IS0/IEC 17799/BS 7799:2 в ряде отраслей экономики является обязательным (например, в Японии). Регулирующие органы опираются на процесс сертификации по стан­дарту как на достаточное условие удовлетворения потребностей от­расли в защите информации. Возможно, другие страны последуют это­му примеру благодаря тому, что стандарт широко используется как инструмент внедрения безопасности, он понятен, а механизмы его исполнения (сертификация) четко установлены.

 

3.1.1.9. Что делает Как мы обсуждали ранее, руководство

стандарт хорошим хочет знать, насколько оно «разумно»

действует в области информационной безопасности. Руководство также должно быть в состоянии обеспе­чить внедрение решений, которые бы отвечали потребностям бизне-

 

 

са с точки зрения сложности, организации работ и затрат. Многие из законодательных актов, которые необходимо соблюдать, требуют подхода, основанного на оценке рисков, и не предписывают приме­няемые технологии.

И наоборот, хороший стандарт не должен предписывать ту или иную технологию или конкретные процедуры контроля, он должен быть достаточно гибким, чтобы позволить любой компании соблю­дать требования такого стандарта.

Он должен основываться на оценке риска и ДОЛЖЕН учитывать тот факт, что задача организации — это не обеспечивать безопас­ность, а вести коммерческую деятельность: в большинстве случаев зарабатывать деньги. Поэтому он должен обеспечивать гибкость ру­ководству в принятии решений, связанных с безопасностью, с уче­том требований бизнеса. Потому что не все, что рискованно, дол­жно быть запрещено — просто должно быть больше мер контроля, компенсирующих риски. Следовательно, хороший стандарт должен отражать потребности предприятий в развитии.

Хороший стандарт должен давать способ измерять уровень со­ответствия ему, а также обеспечивать аудиторов (внутренних и внешних) практичным инструментом оценки безопасности и в ре­зультате совершенствовать ее. C0BIT и серия стандартов IS0/IEC 2700Х обладают этими чертами, что делает их популярными как в бизнес-сообществе, так и среди специалистов в области безопас­ности.

 

Законы продолжают разрабатываться, 3.1.1.10. Іде мы находимся а регулирующие органы все еще не зна- на сегодняшний момент ют, как контролировать соблюдение тре- и чего мы можем ожидать бований. Компании тоже не знают, как            в будущем

определить, выполняют ли они требова­ния или нет, и поэтому они обращаются к стандартам как способу доказать, что они действуют надлежащим образом. Мы наблюдаем по­стоянный рост сертификации по IS0/IEC 27001 / BS 7799, и этот про­цесс будет продолжаться.

С0ВІТ становится привычным термином в лексиконе бизнесме­нов, а необходимость подхода на основе оценки риска к вопро­сам безопасности четко осознается высшим руководством. Руко­водители   служб   информационной   безопасности получают

 

 

финансирование, но они должны доказать, что разумно расходу­ют эти средства, и используют стандарты как способ убедить свое руководство в рациональности данного направления расходова­ния средств.

Есть и другие законодательные акты (в частности, касающиеся пре­ступлений по неосторожности), которые применяются в отношении компаний в части информационной безопасности. Например, если в компании недостаточны меры контроля в области информационной безопасности, вследствие чего ее компьютеры были скомпрометиро­ваны и использовались для атаки против третьей стороны, остается вопрос о возможности судебного иска третьей стороны против компа­нии, не уделившей должного внимания вопросам безопасности (не предусмотревшей разумных мер защиты). При этом соответствие стан­дартам является хорошим способом демонстрации принятия разумных мер защиты.

В конечном счете выполнение стандартов является доказательством того, что организация поступает в соответствии с предъявляемыми законодательством требованиями, хотя большинство законодательных актов не предписывают этого выполнения, а рекомендуют руковод­ствоваться здравым смыслом.

 

чПМГ: мы помогаем компаниям

і достижении стоящих перед ними целей

Управление информационными рисками

Информационные технологии (ИТ) обеспечивают бурный рост и раз­витие бизнеса во всем мире. Они также являются одним из основ­ных источников рисков для бизнеса.

Члены правления и руководители высшего звена осознают не­обходимость ИТ, но могут испытывать сложности в их понимании и эффективном управлении. Зачастую руководители компаний и профессионалы в области информационных технологий как будто говорят на разных языках. Подобная пропасть во взглядах может привести к взаимному недопониманию, а также неадекватным ожи­даниям и результатам.

 

 

Отдел Управления информационными рисками в КПМГ помога­ет преодолеть эти препятствия во взаимопонимании, используя со­четание технических навыков с опытом в области ведения бизнеса.

 

Как мы можем помочь

Мы оказываем следующие услуги:

 

Корпоративное управление и эффективность ИТ

Эффективное корпоративное управление ИТ позволяет обеспе­чить реальную пользу от информационных систем и контроль рис­ков, связанных с информационными технологиями. Вопросы управ­ления и контроля в сфере ИТ также являются предметом особого внимания в свете постоянно меняющихся потребностей бизнеса и требований нормативных актов, таких, как закон Сарбэйнса—Окс­ли, МСФО и Basel II, а также необходимости обеспечения прозрач­ности для акционеров.

КПМГ предлагает широкий перечень услуг в области корпора­тивного управления и эффективности ИТ, включающий в себя по­мощь руководству компаний в решении следующих вопросов:

разработка адекватной ИТ-стратегии;

измерение экономического эффекта от ИТ;

определение реальных затрат на ИТ;

оценка того, что инвестиции в ИТ надлежащим образом уп­равляются, учитываются риски и определены направления развития;

внедрение таких стандартов, как СоЫТ и ITIL.

 

Услуги в области информационной безопасности, конфиденциальности персональных данных и планировании непрерывности бизнеса

В современном мире репутация бизнеса, а также само его существование могут в большой степени зависеть от того, на­сколько хорошо внедрены меры по обеспечению безопасности бизнеса, непрерывности и конфиденциальности персональных данных. Эффективность основополагающих мер контроля, таких, как разделение полномочий, нередко полностью зависит от ре­ализации мер контроля доступа в области информационных тех-

 

 

нологий. В мире глобальных телекоммуникационных сетей уязви­мости в системе безопасности могут быть легко использованы злоумышленниками. Получившие широкую огласку случаи мошен­ничества подрывают общественное доверие. Наши услуги помо­гают клиентам ставить вопросы безопасности, конфиденциаль­ности и непрерывности бизнеса как перед высшим руководством, так и перед службами ИТ и информационной безопасности. В области информационной безопасности КПМГ, в частности, является аккредитованной компанией на проведение аудита по стандарту ISO 27001; наша компания также принимает участие в разработке стандартов информационной безопасности для российского банковского сектора.

 

Услуги по аттестации в области ИТ

В современных условиях, когда клиенты организаций, предостав­ляющих услуги, напрямую зависят от информационных систем этих организаций, нередко нужны дополнительные гарантии для удовлет­ворения ожиданий этих клиентов в отношении надежности и безо­пасности обработки их данных.

SAS 70 и подобные аттестационные стандарты направлены на подтверждение того, что организации прошли всеобъемлющую про­верку эффективности мер контроля. Эта проверка предусматрива­ет оценку мер контроля как над совершением транзакций, так и в области ИТ-процессов. По результатам проверки клиентам орга­низации представляется заключение независимого аудитора о ка­честве системы внутреннего контроля организации.

Бизнес-процессы и мониторинг внутренней системы контроля

В то время как многие компании оценили преимущества нали­чия документированной внутренней системы контроля в области процессов подготовки финансовой отчетности, большое количество компаний до сих пор не уверены в отношении эффективности мер контроля за бизнесом в целом. Соответствующий мониторинг эф­фективности мер контроля является серьезной задачей. Внедрение сложных ERP-систем, таких, как SAP R/3 и Oracle Applications, по­зволяет компаниям контролировать эффективность мер контроля бизнес-процессов на различных уровнях. КПМГ помогает своим

 

 

клиентам в правильном выборе ключевых мер контроля и опреде­лении оценки их эффективности. Наш успех основан на детальном понимании целей бизнеса, а также ключевых приложений, которые используются в данной отрасли.

кпмг

119019, Москва, Гоголевский бульвар, д. 11 тел.: (495) 937-4477, факс: (495) 937-4400 www.kpmg.ru moscow@kpmg.ru

 

3.1.2. Национальные стандарты и руководства по основам аудита информационной безопасности

Среди национальных стандартов и руководств по основам аудита ИБ и самооценки соответствия ИБ установленным требованиям выделим для рассмотрения следующие документы ввиду их практической на­правленности:

GAO/AIMD-12.19.6 «Руководство по аудиту средств управления федеральных информационных систем» (Federal information system controls audit manual, FISCAM);

NIST 800-26 «Руководство по самооценке безопасности для систем информационной технологии» (Security Self-Assessment Guide for Information Technology Systems);

NIST 800-55 «Руководство по метрикам безопасности для систем информационной технологии» (Security Metrics Guide for Information Technology Systems).

 

Документ GAO/AIMD-12.19.6 «Руковод- 3.1.2.1. GAO/AIMD-12.19.6 ctbo по аудиту средств управления фе- «Руководство по аудиту деральных информационных систем»            средств управлення

(Federal information system controls audit федеральных manual, FISCAM) является составной ча- информационных систем» стью схемы формирования и предостав-

ления отчетности Контрольно-ревизионным управлением (GA0) Кон­грессу США о состоянии дел в сфере обеспечения ИБ федеральных

 

 

агентств. Руководство FISCAM используется аудиторами GA0 и реви­зорами в качестве методологической основы для проведения аудита средств обеспечения ИБ агентств.

Руководство предназначено для использования при проведении внешних аудитов двух типов:

финансового аудита (аудита финансовой отчетности федераль­ных агентств США);

аудита безопасности ИС федеральных агентств США.

При проведении ежегодного финансового аудита федеральных агентств аудиторы могут использовать методологию FISCAM для оцен­ки достоверности данных, которые обрабатываются в ИС агентств и на основе которых формируются финансовые отчеты организаций или которые используются для анализа затрат и результатов реализации программ федеральными агентствами.

При проведении аудита безопасности ИС аудиторы могут исполь­зовать методологию FISCAM для оценки адекватности средств управ­ления (защитных мер) в ИС агентств. В данном случае основная зада­ча аудита этого типа — оказать федеральным агентствам помощь в работе по снижению рисков вероятных потерь, происходящих вслед­ствие ошибок, мошенничества или иных незаконных действий, а так­же вследствие стихийных бедствий или других инцидентов, приводя­щих к недоступности ИС агентств.

Данный документ предназначен как для аудиторов ИС, так и для финансовых аудиторов, подтвердивших, что они обладают необходи­мыми знаниями, навыками и способностями для выполнения проце­дур аудита в компьютерной среде.

Руководство FISCAM рассматривает цели управления (безопаснос­тью), реализацию которых должны проверять аудиторы при оценке компьютерных средств управления, и предоставляет примеры мето­дов и средств управления (обеспечения ИБ), обычно используемых в федеральных агентствах, а также процедуры их аудита.

В Руководстве приводятся конкретные методы и средства уп­равления и связанные с ними предлагаемые процедуры аудита. Однако предлагаемые процедуры аудита излагаются на высоком уровне и предполагают наличие определенного мастерства в дан­ном вопросе для эффективного выполнения. В результате более детальные шаги аудита обычно должны разрабатываться аудитором ИС на основе конкретного программного обеспечения и методов

 

 

и средств управления, используемых проверяемой организацией, после консультации с финансовым аудитором о целях аудита и важ­ных расчетах.

Методология, которая должна использоваться для оценки компью­терных средств управления, включает оценку:

общих средств управления на уровне организации или системы;

общих средств управления, относящихся к изучаемому приложе­нию (приложениям), такому, как система платежных ведомостей или система учета кредитов;

прикладных средств управления, являющихся средствами управле­ния ввода, обработки и вывода данных, связанных с индивидуальны­ми приложениями.

Общие средства управления представляют собой политики и про­цедуры, относящиеся ко всем или к большей части ИС организации и помогающие обеспечивать их надлежащую деятельность. Целями об­щих средств управления являются:

обеспечение защиты данных;

защита прикладного программного обеспечения;

предупреждение несанкционированного доступа к системному программному обеспечению;

обеспечение бесперебойности работы ИС в случае неожидан­ных нарушений.

Эффективность общих средств управления является важным фак­тором в определении эффективности прикладных средств управления.

В данном документе рассматриваются процедуры оценки и тести­рования именно общих средств управления.

При проверке компьютерных средств управления для аудита фи­нансовой отчетности требуют решения и являются составными частя­ми методологии следующие задачи:

определение характера и объема процедур аудита. Характер и объем процедур аудита, необходимых для оценки компьютерных средств управления, меняется в зависимости от целей аудита и ряда других факторов. К таким факторам относятся характер и слож­ность ИС организации, среда средств управления организации и конкретные расчеты и приложения, которые важны для финансо­вой отчетности. Аудитор ИС и финансовый аудитор должны дей­ствовать согласованно для определения того, какая проверка не­обходима;

 

 

проверка компьютерных средств управления в аудитах финансо­вой отчетности. Компьютерные средства управления должны рас­сматриваться на каждой из четырех стадий аудита: планирование, внут­ренний контроль, тестирование и составление отчета. На каждой стадии аудита финансовой отчетности проводятся следующие мероп­риятия:

стадия планирования. На стадии планирования аудитор дос­тигает понимания компьютерных операций и средств управле­ния организации, и соответствующих рисков;

стадия внутреннего контроля. На стадии внутреннего конт­роля аудиторы получают подробную информацию о политике, процедурах и целях управления и осуществляют тестирование мероприятий по управлению с целью определения эффектив­ности действия средств управления.

Вначале аудитор тестирует общие средства управления в масштабе организации или системы путем наблюдения, наведения справок и обследования. Если данные средства управления действуют эффек­тивно, аудитор должен протестировать и оценить эффективность об­щих средств управления для приложений, которые важны для аудита;

стадия тестирования. На стадии тестирования аудиторы сосредоточиваются в основном на тестировании по существу. Тесты обычно включают изучение исходной документации, поддерживающей транзакции, чтобы определить, были ли их фиксирование, обработка и сообщение надлежащими и пол­ными. Аудитор ИС может помогать финансовым аудиторам в идентификации и выборе компьютерных транзакций для тес­тирования, возможно, используя аудиторское программное обеспечение;

стадия составления отчета. На стадии составления отчета аудитор делает заключения и составляет отчет в соответствии с предписаниями и законами.

Планирование является основой качественного аудита, а связан­ная с ИС часть — важной частью общего процесса.

Планирование позволяет аудитору и руководству аудиторской груп­пы определять эффективные и продуктивные методы получения дан­ных, необходимых для оценки компьютерных средств управления орга­низации. Хотя планирование относится к началу аудита, оно представляет собой итеративный процесс, выполняемый фактически

 

 

на всем протяжении аудита. Это обусловлено тем, что результаты пред­варительных оценок являются основанием для определения объема и вида последующего тестирования.

Например, если аудиторы получают данные о том, что конкретные процедуры управления неэффективны, они могут заново оценить свои предыдущие выводы и плановые решения, принятые на основе этих выводов.

На стадии планирования аудитор:

достигает понимания операций организации и идентифицирует компьютерные операции, являющиеся важными для аудита;

оценивает свойственный риск и риск контроля;

выполняет предварительную оценку возможной эффективности общих средств управления;

идентифицирует подлежащие тестированию общие средства контроля.

На рисунках 9 и 10 изложены этапы оценки средств управления ИС при выполнении аудита финансовой отчетности агентств.

Аудиторы должны получить представление об операциях органи­зации и идентифицировать основные операции, осуществляемые при помощи вычислительных систем. Для облегчения работы на данной стадии и в дополнение к ней аудиторам рекомендуется пользоваться информацией, полученной через вопросники. Руководство FISCAM содержит вопросник по исходной информации, который заполняется руководителями организации, и вопросник для пользователей, кото­рый может быть использован для получения пользовательских оце­нок конкретных компьютерных продуктов.

Далее аудитор оценивает свойственный риск и риск контроля, ко­торые имеют решающее значение при определении риска аудита. Риск аудита ИС можно представить в терминах трех компонентов риска:

свойственный риск — это риск того, что информационные ре­сурсы или ресурсы, контролируемые ИС, могут подвергаться хищению, разрушению, раскрытию, несанкцион


Оцените книгу: 1 2 3 4 5