Модель применения информационного аудита

Модель применения информационного аудита охватывает процедуры выбора аудитора, требования по взаимодействию аудитора и аудируемого лица, процедуры раскрытия результатов аудита.

Процедура выбора аудиторской организации для проведения аудита ИКТ-систем, обеспечивающих процессы государственного управления, зависит от типа аудита и заказчика аудита.

Выбор аудиторской организации для проведения претензионного аудита, заказываемого гражданами за их счёт, не подлежит регулированию. Такой аудит может осуществляться любой организацией, удовлетворяющей требованиям, выдвигаемым заказчиком аудита. Ограничения на выбор заказчика аудита налагаются только в связи с возможностью причинения ущерба интересам третьих лиц в процессе проведения аудита ИКТ-систем, используемых в государственном управлении. Такими ограничениями являются:

· наличие страховки гражданской ответственности аудиторской организации и аудиторов перед заказчиком аудита, аудируемым лицом и третьими лицами, которым может быть причинён ущерб в процессе информационного аудита;

· Допуск аудитора к аудиту систем, содержащих информацию с ограниченным кругом доступа, обязательный при проведении аудита таких систем.

Выбор аудиторской организации при заказе аудита государственными органами за счёт бюджета налагает ряд требований в дополнение к перечисленным выше:

· соответствие процедуры выбора аудиторской организации установленной законодательно процедуре размещения заказов на поставки товаров, выполнение работ, оказание услуг для государственных нужд;

· соответствие претендентов требованиям к качеству услуг информационного аудита.

При проведении информационного аудита межведомственных ИКТ-систем и процессов государственного управления, включающих межведомственное взаимодействие, заказ обязательного регулярного аудита должен осуществляться в соответствии с требованиями нормативных правовых актов, устанавливающих обязательность такого аудита. При заказе иных видов аудита заказчик аудита самостоятельно включает в мандат аудитора проверку тех ведомств, контроль использования ИКТ в которых представляет для него интерес.

Проведение информационного аудита ИКТ-систем, использующихся в процессах государственного управления, должно осуществляться в соответствии с мандатом аудитора. При этом мандат аудитора при заказе аудита государственными органами за счёт бюджета в обязательном порядке составляется, в том числе, в соответствии с требованиям к качеству услуг информационного аудита и с внутренними правилами и регламентами, принятыми для обеспечения соответствия этим требованиям.

При заказе аудита иными заказчиками мандат аудитора должен содержать ссылку на внутренние правила и регламенты аудиторской организации, применимые в соответствии с условиями мандата.

Информационный аудит проводится в соответствии с указанными в мандате аудитора целями, правилами и процедурами, а также в соответствии с планом аудита, согласованным между аудиторской организацией, заказчиком аудита и аудируемым лицом (если аудируемое лицо не совпадает с заказчиком аудита). Обязанность согласования плана аудита и дальнейшего содействия аудитору вытекает для аудируемого лица из нормативных правовых актов, регламентирующих данный виду информационного аудита, а также из его договорных обязательств.

Аудит ИКТ-систем может сопровождаться значительными издержками, если при проектировании ИКТ-системы необходимость проведения аудита не принималась во внимание. Получение доступа к любым данным ИКТ-системы может быть осуществлено через доступ с полномочиями системного администратора, низкоуровневыми средствами, и, при наличии определённой квалификации, аудитор способен таким образом собрать аудиторские доказательства необходимой степени достоверности. Однако проведение информационного аудита ИКТ-систем такими методами сопряжено со значительными рисками:

доступ к данным систем, проводимый с использованием средств администрирования, из соображений безопасности должен быть ограничен только надёжными помещениями, предпочтительно теми, в которых расположено аппаратное обеспечение системы;
доступ к данным систем, проводимый с использованием средств администрирования, подвергает данные неконтролируемым угрозам, так как эти средства позволяют не только получать доступ к данным, но и менять их без контроля;
получение данных ИКТ-систем на низком уровне не позволяет идентифицировать источник данных с достаточной степенью достоверности, позволяющей в случае необходимости аргументированно уличить недобросовестных пользователей ИКТ-систем;
доступ к данным систем, проводимый с использованием средств администрирования, не поддаётся протоколированию.

Исходя из наличия таких угроз, целесообразно предъявлять к ИКТ-системам на этапах проектирования и создания требования к наличию специальных интерфейсов для доступа аудиторов. Те же интерфейсы могут использоваться внутренними и внешними контролёрами для выполнения их функций.

Интерфейс аудитора должен соответствовать следующим требованиям:

Права доступа к интерфейсу аудитора являются отдельным набором прав, управление правами аудитора производится в том же порядке, в котором производится наделение правами иных пользователей.
Интерфейса аудитора должен быть доступен либо в специальном помещении, предназначенном для контроля работы ИКТ-системы, либо по защищённым каналам связи. Степень защиты каналов связи для организации доступа аудиторов определяется требованиями к безопасности государственных ИКТ-систем.
Интерфейс аудитора предоставляет возможность просмотра любых данных системы, включая любые журналы и архивы ИКТ-системы.
Интерфейс аудитора предоставляет аудитору возможность получить любую обнаруженную им информацию в виде электронного документа, заверенного ЭЦП организации, и содержащего необходимые реквизиты для определения источника данных:

· наименование организации;

· наименование системы;

· отметка времени;

· идентификация дел, журналов, регистров и иных электронных форм ведения учёта, из которых получены включённые в документ данные.

ИКТ-система должна поддерживать полное протоколирование действий аудитора, осуществляемых через интерфейс аудитора, включая создание журнала просмотренных им данных и журнала полученных документов.

Разумеется, наличие специализированного интерфейса аудитора создаёт риски, связанные с возможностью маскирования или подмены данных при обращении к ним по этому интерфейсу. Такие возможности могут быть использованы недобросовестными лицами, создающими и эксплуатирующими ИКТ-систему. Способом минимизации таких рисков являются публичное раскрытие и аудит исходных кодов входящего в ИКТ-систему ПО, позволяющие убедиться в отсутствии описанных выше средств сокрытия или подмены данных.

Результаты информационного аудита ИКТ-систем, используемых в процессах государственного управления, подлежат публичному раскрытию. Публичное раскрытие результатов аудита не зависит от того, кто выступал заказчиком аудита. Если результаты аудита содержать сведения, отнесённые к информацию с ограниченным кругом доступа, результат аудита раскрывается только в части выводов и оценок аудитора, с исключением фактов и аудиторских доказательств, содержащих такую информацию.

Обязанность учёта, хранения и публичного раскрытия результатов информационного аудита ИКТ-систем, используемых в процессах государственного управления, лежит на аудируемом лице.

Понравилась статья? Добавь ее в закладку (CTRL+D) и не забудь поделиться с друзьями:

9 10 11 12 13 14 15

Система охраны труда и безопасности в медицинских организациях

Опасные и вредные факторы среды обитания человека

ФЕВРАЛЬСКАЯ РЕВОЛЮЦИЯ

Основные методологические подходы в педагогике

Типы организационных структур

Амортизация и способы ее начисления

Самый сильный аргумент, почему эволюция человека не могла быть