Настоящая концепция рассматривает вопросы контроля (внутреннего и внешнего контроля и независимого аудита) ИКТ-систем, используемых для поддержки процессов государственного управления, и практики их использования в административных процессах органов государственной власти и управления.
ИКТ-системы, используемые для поддержки процессов государственного управления, обеспечивают ведение в электронном виде государственного учёта, понимаемого как сбор, хранение, обработка и предоставление иным лицам сведений о лицах и/или объектах различной природы. Основной отличительной особенностью сведений, содержащихся в системах государственного учёта, является их использование для установления или ограничения права и определения обязанностей юридических и физических лиц и организаций. В частности, ИКТ-системы поддерживают исполнение обязанности государства обеспечивать публичность информации о деятельности органов государственной власти, то есть информационную прозрачность государства.
|
|
Именно с этими важнейшими функциями ИКТ-систем, обеспечивающих процессы государственного управления, связана необходимость создания системы контроля их использования органами государственной власти.
В ИКТ-системы, поддерживающие процессы государственного управления, входят программно-аппаратные комплексы, обеспечивающие ведение государственного учёта (включая такие формы учёта, как поддержка документооборота, ведение реестров и кадастров и т.п.):
· вычислительного и телекоммуникационного оборудования;
· каналов связи;
· инженерно-технического оборудования, обеспечивающего работу вычислительных и телекоммуникационных средств;
· программных приложений, реализующих функциональность ИКТ-систем (прикладное программное обеспечение) и обеспечивающих функционирование оборудования (системное программное обеспечение).
Однако для целей полномасштабного контроля информационных аспектов деятельности органов государства объект контроля должен быть значительно расширен. Функционирование программно-аппаратных комплексов не может быть адекватно оценено без получения информации об иных составляющих ИКТ-систем, определяющих практику использования ИКТ в процессах государственного управления:
· нормативных правовых актах, регламентах, стандартах, иных документах, на основании которых создаются и функционируют ИКТ-системы, осуществляется ведение государственного электронного учёта, устанавливаются процедуры и формы учёта;
· внутренних положениях и инструкциях, регламентирующих работу персонала с ИКТ-системами;
|
|
· исходных текстах программных приложений, входящих в ИКТ-систему – прикладного и системного ПО;
· системной и пользовательской документации программных приложений и аппаратных комплексов;
· средствах бумажного делопроизводства, сопровождающих работу ИКТ-систем (хранение входящих и исходящих документов);
· организационных единицах и персонале, осуществляющих эксплуатацию ИКТ-систем.
Особое место при контроле и аудите ИКТ-систем занимают проверка и оценка исходных текстов программных приложений. Раскрытие аудиторам исходных текстов программных приложений является необходимым условиям составления мнения об ИКТ-системе, работа которой определяется этими программными приложениями едва ли не в большей мере, чем нормативными правовыми актами и внутренними регламентами. Наиболее предпочтительным состоянием дел является открытость кодов всех программных приложений, входящих в ИКТ-систему. Открытость кодов позволяет рассчитывать на независимую публичную оценку качества приложений, и в ряде случаев аудитор даже может не нуждаться в самостоятельной оценке программ.
Даже в тех случаях, когда исходные тексты системных или прикладных программных приложений не доступны широкой публике, условиях их заказа и эксплуатации (контракты с разработчиками и правообладателями, лицензии и т.п.) должны позволять аудируемому лицу предоставлять исходные тексты для оценки аудитору, несущему в этом случае обязательства по сохранению в тайне полученных сведений с ограниченным кругом распространения.
Перечисленные выше компоненты ИКТ-систем, дополняющие программно-аппаратные комплексы, играют двоякую роль при информационном контроле и аудите их функционирования.
С одной стороны, эти компоненты во многом задают требования и критерии, на соответствие которым оценивается ИКТ-система. Например, необходимо контролировать соответствие функциональных свойств программно-аппаратных комплексов внутренним положениям, инструкциям персонала, нормативным правовым актам.
С другой стороны, сами эти компоненты являются объектами контроля и оценки. Например, внутренние регламенты и процедуры, а также организационная структура, ответственная за эксплуатацию ИКТ-системы, должны быть оценены на соответствие целям создания системы.
Кроме аппаратно-программных комплексов, составляющих ИКТ-систему, и дополняющих их компонент, выделяются ещё два важнейших объекта информационного контроля и аудита.
Во-первых, контролю подлежат данные, хранимые и обрабатываемые ИКТ-системой. Контролёр или аудитор проводит выборочную проверку соответствия данных системы фактической информации, являющейся предметом государственного учёта, обеспечиваемого ИКТ-системой.
Во-вторых, собираются сведения и проводится оценка практики эксплуатации ИКТ-систем применимым требованиям и критериям. Именно контроль практики эксплуатации позволяет выявлять и оценивать важные составляющие таких рисков, как риски безопасности ИКТ-систем. При оценке практики эксплуатации оценивается, в том числе, профессиональная компетенция сотрудников, осуществляющих эксплуатацию, и управленческая компетенция менеджеров, руководящих процессами эксплуатации.
Следует также отметить, что система внутреннего информационного контроля, понимаемая как совокупность программно-аппаратных средств контроля, регламентов, персонала контролёров, является также объектом информационного аудита, осуществляемого внешним контролёром или аудитором.