IT-аудит. Зачем проводить аудит информационных систем

Глава 5. ИНФОРМАЦИОННЫЕ СИСТЕМЫ АУДИТА

5.1. ПРЕДПОСЫЛКИ СОЗДАНИЯ ИНФОРМАЦИОННЫХ СИСТЕМ АУДИТОРСКОЙ ДЕЯТЕЛЬНОСТИ

Использование персональных компьютеров и современных информационных технологий в аудиторской деятельности регулируется стандартами аудита.

В российских правилах (стандартах) эти проблемы нашли отражение в трех стандартах: «Аудит в условиях компьютерной обработки данных», «Проведение аудита с помощью компьютеров», «Оценка риска и внутренний контроль; характеристика и учет среды компьютерной и информационной систем». В принятых в настоящее время федеральных правилах (стандартах) аудиторской деятельности аналогичных стандартов нет, поэтому основные положения российских стандартов не потеряли своей актуальности. Поскольку применение компьютеров в аудите - объективно существующая реальность, в федеральных стандартах также в том или ином контексте упоминаются и компьютерные информационные системы бухгалтерского учета, и методы аудита с помощью компьютеров.

Из приведенного списка российских стандартов видно, что для российских аудиторов разработаны наиболее существенные из стандартов, имеющих отношение к компьютеризации аудита. Созданные российские правила (стандарты) ориентированы на прогрессивные компьютерные информационные системы, они учитывают специфику российского бухгалтерского учета и аудита. Эти стандарты до сих пор дополняют такие федеральные стандарты, как «Планирование», «Внутренний контроль качества аудита», «Оценка рисков и внутренний контроль, осуществляемый аудируемым лицом», «Аудиторская выборка».

И российские, и федеральные стандарты ориентированы на более эффективное достижение цели аудита и описание особенностей реализации основных принципов и методов аудита в современных условиях.

Использование компьютеров и информационных технологий характерно как для аудируемых лиц, так и для аудиторских организаций и индивидуальных аудиторов.

Общие положения о компонентах компьютерного аудита, основных понятиях и подходах к его организации на аудиторских фирмах и у индивидуальных аудиторов можно получить на основании первого и второго правила (стандарта) из перечисленных российских стандартов. Эти два стандарта тесно взаимосвязаны, хотя первый имеет бoльшее отношение к аудируемым лицам, а второй - непосредственно к аудиторам и аудиторским организациям.

В практических условиях могут возникнуть следующие варианты проведения компьютерного аудита (табл. 5.1).

Таблица 5.1

Наличие компьютеров при проведении аудита

Наиболее благоприятен и предпочтителен 3-й вариант. В этом случае компьютеры использует и экономический субъект для автоматизации управленческих работ, и аудитор - в процессе аудита.

Однако само по себе наличие персональных компьютеров в бухгалтерии аудируемого лица еще не является достаточным компонентом системы компьютерной обработки данных. Важно, чтобы у экономического субъекта были автоматизированы работы по внутреннему контролю, бухгалтерскому учету и другим процессам управления. В первом стандарте для этого введено понятие «компьютерная обработка данных» (КОД).

Что касается аудиторской организации, то здесь компьютеры могут использоваться не только для автоматизации управленческих работ аудиторской организации, но и для проведения аудита у экономических субъектов. При этом понятие «использование компьютеров для проведения аудита» весьма общее и может включать следующие направления использования (табл. 5.2).

Таблица 5.2

Варианты использования ПК в аудиторской деятельности

	Виды выполняемых работ с использованием компьютера
	Выполнение расчетов, печать типовых форм аудиторских документов, опросных листов, анкет, планов, программ, отчетов и др.
	Использование нормативно-правовой справочной базы в электронном виде (системы типа «Гарант», «Кодекс», «КонсультантПлюс»)
	Проверка отдельных участков учета: расчетов по основным средствам, производственным запасам и др.
	Комплексная проверка всех разделов и счетов бухгалтерского учета, работы персонала
	Выполнение услуг, сопутствующих аудиту

Выполнение расчетов, печать типовых форм аудиторских документов, опросных листов, анкет, планов, программ, отчетов и др.

Использование нормативно-правовой справочной базы в электронном виде (системы типа «Гарант», «Кодекс», «КонсультантПлюс»)

Проверка отдельных участков учета: расчетов по основным средствам, производственным запасам и др.

Комплексная проверка всех разделов и счетов бухгалтерского учета, работы персонала

Выполнение услуг, сопутствующих аудиту

5.2. АВТОМАТИЗИРОВАННАЯ ИНФОРМАЦИОННАЯ СИСТЕМА АУДИТОРСКОЙ ДЕЯТЕЛЬНОСТИ

Аудиторская деятельность представляет собой информационную систему, так как включает три ее основных компонента:

Информацию как предмет и продукт труда;

Средства, методы и способы переработки информации;

Персонал, который реализует информационный процесс.

В настоящее время на рынке пакетов прикладных программ уже появились пакеты, позволяющие использовать компьютеры в работе аудиторов. Это связано с тем, что сложились определенные предпосылки разработки комплексной системы автоматизации аудиторской деятельности (СААД):

Высокий уровень развития средств вычислительной техники, средств коммуникации и информационных технологий. Применение персональных компьютеров и информационных технологий позволяет не только выполнять рутинные операции по формированию аудиторской документации, поиску и использованию положений законодательных и нормативных актов, но и решать более сложные задачи, связанные с анализом системы внутреннего контроля, расчетами экономических показателей, реализацией различных запросов к базе данных, создаваемой в системе автоматизации бухгалтерского учета, выработать рекомендации по стратегии улучшения финансово-хозяйственной деятельности;

Автоматизация бухгалтерского учета. В процессе работы автоматизированной системы бухгалтерского учета (АСБУ) формируется информация о хозяйственной деятельности экономического субъекта в форме электронной базы данных, анализ которой возможен с применением компьютера;

Математические методы экономического анализа. Существующий математический аппарат анализа финансово-хозяйственного состояния экономического субъекта позволяет разработать и реализовать автоматизированные системы анализа;

Высокоразвитые информационно-справочные системы. Компьютер позволяет получить любые необходимые справки в области законодательства, нормативных актов и использовать их содержание при обосновании аудиторских выводов и формировании аудиторской документации;

Удобные системы для работы с различными редактируемыми текстами. Применение этих систем помогает ауди- тору в формировании документации с использованием информации, получаемой одновременно из разных баз данных.

Задачи аудиторской деятельности отражаются в функциональной структуре СААД, а ее работа, выполнение предусмотренных задач связаны с наличием информационного, технического, математического, программного, технологического, организационного, правового и эргономического обеспе- чения.

Основу для разработки любой информационной системы составляет ее функциональная структура, которая представляет собой декомпозицию целей системы до уровня решаемых задач. Функциональная структура СААД отражает два основных направления аудиторской деятельности: собственно аудит и услуги, сопутствующие аудиту.

Собственно аудит состоит из последовательного выполнения комплексов работ, осуществляемых в несколько этапов:

Ознакомление с особенностями экономического субъекта;

Анализ организации бухгалтерского учета и системы внутреннего контроля;

Оценка достоверности базы данных и возможного аудиторского риска при использовании этой базы для формирования аудиторского заключения;

Планирование аудита и разработка аудиторских процедур;

Выполнение аудиторских процедур;

Формирование отчета и аудиторского заключения.

Каждый этап должен отражаться в формируемой аудиторской документации и соответствовать положениям федеральных и внутренних правил (стандартов) аудиторской деятельности.

Практически на всех этапах аудитор может использовать возможности компьютера, но не на каждом из них можно полностью автоматизировать сложную работу аудитора, опирающегося не только на строгие логические построения и расчеты, но и на накопленный опыт и интуицию, играющие далеко не последнюю роль в его деятельности.

Сопутствующие аудиту услуги включают самые разные виды работ, многие из которых можно эффективно выполнять с использованием средств вычислительной техники. К ним относятся: проведение анализа деятельности администрации, финансового состояния экономического субъекта, консультационные и прочие услуги (ведение учета экономического субъекта, восстановление учета, автоматизация учета и др.).

5.3. ПРИМЕНЕНИЕ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ ПРИ ПРОВЕДЕНИИ АУДИТОРСКОЙ ПРОВЕРКИ

Рассмотрим содержание основных этапов проведения аудиторской проверки и возможности применения компьютеров в процессе проверки.

I этап - ознакомление с особенностями экономического субъекта. В соответствии с федеральным правилом (стандартом) № 15 «Понимание деятельности аудируемого лица» может быть выполнено только путем просмотра документов, описывающих основные виды деятельности, организационную и производственную структуру, регистрационных и лицензионных документов. Если такая информация содержится в базе данных АСБУ в доступной аудитору электронной форме, то последний может переносить в формируемый отчет фрагменты документации в режиме редактирования.

II этап - анализ особенностей бухгалтерского учета. Осуществляется в соответствии с федеральными правилами (стандартами) № 8 «Оценка аудиторских рисков и внутренний контроль, осуществляемый аудируемым лицом», № 19 «Особенности первой проверки аудируемого лица». Объектами анализа являются: внешние и внутренние условия работы бухгалтерии, организация учета, утвержденная учетная политика, рабочий план счетов, состав учитываемых хозяйственных операций и их отражение в виде проводок, состав бухгалтерских регистров, отражающих количественно-суммовой, аналитический и синтетический учет.

Анализ внешних и внутренних условий работы бухгалтерии проводится обычно в форме теста. Формирование рабочей таблицы, обработку результатов опроса можно выполнить с использованием компьютера.

Анализ учетной политики (УП) можно провести, сопоставляя ее разделы с некоторой нормативной формой учетной политики (НУП), охватывающей все аспекты бухгалтерского учета с описанием всех допустимых альтернативных вариантов учета и содержащей ссылки на соответствующие нормативные документы. Каждый пункт НУП аудитор оценивает с точки зрения наличия в УП (отражен/не отражен), а каждый пункт УП - с точки зрения допустимости выбранного варианта учета (допустимый вариант/недопустимый вариант). Таким образом формируется фрагмент аудиторского отчета.

Для реализации данной технологии анализа УП в базу данных СААД должен входить справочник «Нормативная учетная политика» (например, в форме таблицы), содержащий разделы: участок учета, объект учета, допустимые альтернативы учета, нормативные документы.

Технически анализ упрощается, если УП экономического субъекта предоставляется аудитору в электронном виде.

В этом случае работа сводится к сравнению данных таблиц, представленных в двух окнах - УП и НУП.

Результаты анализа могут быть представлены в виде табл. 5.3.

Таблица 5.3

Анализ учетной политики экономического субъекта

Участок учета	Объект учета	Утвержденный вариант УП	Нормативный документ	Комментарий
Учет основных средств	Начисление амортизации	Линейный способ	Положение по ведению бухгалтерского учета и составлению бухгалтерской отчетности, п. 48 ПБУ 6/01, п. 18
Учет основных средств	Формирование остаточной стоимости при выбытии		План счетов и инструкция по его применению

Графы 1, 2 и 4 заполняются из НУП, а графа 3 - из УП. При отсутствии такого раздела в УП в графу 5 рабочей таблицы заносится комментарий «нужен»/«не нужен».

Составленная таким образом рабочая таблица представляет аудиторское обоснование вывода о качестве УП экономического субъекта.

Анализ рабочего плана счетов и системы аналитического учета сводится к просмотру на экране или распечатанного рабочего плана счетов (РПС).

Организацию аналитического учета по каждому синтетическому счету, реализованную в АСБУ, можно выяснить, познакомившись с содержанием бухгалтерских регистров по счетам.

Для анализа правомерности применения синтетического или аналитического счета с целью учета хозяйственных операций в базе СААД необходим файл, содержащий нормативный план счетов (НПС) со следующей структурой: синтетический счет, субсчет, аналитические счета, объект учета.

Анализ состава учитываемых хозяйственных операций и анализ их отражения в журнале бухгалтерских проводок (ЖБП) существенно упрощаются, если аудитор имеет ЖБП в виде файла-списка, каждая запись которого отражает следующие данные о проводке: счет (субсчет) дебетуемый, счет (субсчет) кредитуемый, сумма, дата, комментарий, документ-основание, хозяйственная операция.

Опыт показывает, что такой файл обязательно присутствует в АСБУ любой конфигурации и согласно положениям правила (стандарта) «Аудит в условиях компьютерной обработки данных» может быть использован аудитором в своей работе.

На этапе знакомства с особенностями системы бухгалтерского учета экономического субъекта, имея ЖБП (его электронную копию), аудитор может получить состав применяемых бухгалтерских проводок с количественной и суммовой оценкой каждой используемой корреспонденции.

В результате обработки данных ЖБП может быть получена рабочая таблица (табл. 5.4) применяемых бухгалтерских записей (проводок).

Таблица 5.4

Анализ состава бухгалтерских записей (проводок)

Счет (субсчет) дебетуемый	Счет (субсчет) кредитуемый	Количество записей	Сумма по корреспон- денции	Приме- чание
				Некорректно

В графу 3 по каждой корреспонденции, определяемой графами 1, 2, заносится количество записей ЖБП, содержащих корреспонденцию, а в графу 4 - накопленная сумма по всем этим записям.

Итог графы 3 характеризует объем проверяемого массива, а ее строки - количество однотипных учитываемых операций. Строки графы 4 дают представление о значимости отдельных корреспонденций для оценки как достоверности проверяемой информации, так и результатов хозяйственной деятельности экономического субъекта за проверяемый период.

Содержание данной таблицы позволяет аудитору выявить некорректные с точки зрения НПС корреспонденции. Для автоматического выявления некорректных проводок в базе данных СААД обязательно должен быть файл-список типовых бухгалтерских проводок, запись которого отражает следующие данные: счет дебетуемый, счет кредитуемый, хозяйственная операция, документ-основание, учитываемая сумма.

На основании данных ЖБП и данных файла типовых бухгалтерских проводок автоматически в графе 5 делается отметка о некорректности проводки, если такая корреспонденция отсутствует в файле типовых бухгалтерских проводок.

Анализ на корректность бухгалтерских проводок можно проводить как по всем, так и по отдельным счетам бухгалтерского учета.

Анализ регистров бухгалтерского учета аудитор начинает с просмотра состава предлагаемых АСБУ бухгалтерских регистров. Регистры аналитического и синтетического учета имеют форму, общую для всех используемых счетов.

Регистры количественно-суммового учета каждого отдельного участка имеют свою специфику и, как правило, содержат исчерпывающую информацию о каждом отдельном объекте учета.

Для последующих этапов, в частности планирования аудита и определения уровня существенности, очень важна информация, содержащаяся в обобщающем регистре, - оборотно-сальдовом балансе (ОСБ) за проверяемый период. Имея файл ОСБ, аудитор может получить рабочую аналитическую таблицу с оценкой удельного веса сальдо и оборотов по счетам (субсчетам) бухгалтерского учета.

По данным такой таблицы аудитор может выделить счета (субсчета) с наибольшими (превышающими заданный порог) значениями или сальдо, или оборотов, или удельного веса (процент итога по графе), имеющих существенное значение при расчете финансовых результатов деятельности экономического субъекта. Критерии отбора, выделения счетов (субсчетов) для углубленной проверки разрабатываются каждой аудиторской фирмой или аудитором и являются их ноу-хау.

III этап - анализ системы внутреннего контроля (СВК). Также проводится аудитором в соответствии с федеральным правилом (стандартом) № 8 «Оценка аудиторских рисков и внутренний контроль, осуществляемый аудируемым лицом» для определения допустимого аудиторского риска. Допустимый аудиторский риск зависит от результатов оценки неотъемлемого риска системы бухгалтерского учета и риска СВК экономического субъекта.

На этапе планирования аудиторской проверки оценку надежности системы бухгалтерского учета и системы внутреннего контроля выполняют с использованием тестов. Компьютер может быть использован как для формирования таблицы с вопросами, так и для обработки заполненной таблицы.

При выполнении аудиторских процедур по существу аудитор постоянно уточняет предварительную оценку. Аудитор анализирует СВК по следующим направлениям: деятельность персонала по обработке первичной документации и формированию журнала бухгалтерских проводок; формирование регистров бухгалтерского учета; использование и приведение в соответствие данных участков учета в сводном учете; формирование финансовых результатов и расчет оценочных показателей и налогов; формирование бухгалтерской отчетности.

Оценка контроля за деятельностью персонала по обработке первичной документации и формированию журнала бухгалтерских проводок - наиболее ответственная и трудоемкая часть знакомства с системой бухгалтерского учета. Журнал бухгалтерских проводок содержит информацию обо всех хозяйственных операциях, включая формирование финансовых результатов, начисление и перечисление сумм налогов. Только после того, как аудитор получит достаточные основания считать достоверной информацию ЖБП в части отражения всех хозяйственных операций, т.е. даст высокую оценку СВК с данной точки зрения, он приступает к проверке расчета финансовых результатов, начисляемых сумм налогов и правильности заполнения отчетных форм. Если СВК не удовлетворит аудитора, то процесс анализа содержания ЖБП существенно усложнится и потребуется работа большого объема с первичными документами.

Журнал бухгалтерских проводок является результатом работы бухгалтеров разных участков учета. В зависимости от конфигурации АСБУ эти участки могут представлять собой отдельных бухгалтеров, каждый со своей базой данных (своими классификаторами, рабочими массивами для ведения количественно-суммового учета, своим ЖБП) или АРМ бухгалтеров, объединенных в сеть и работающих в одной базе данных с едиными

классификаторами, рабочими массивами и ЖБП. Возможны также комбинации этих вариантов. Конфигурация АСБУ определяет объекты анализа СВК за формированием ЖБП, на основании которого формируется проверяемая бухгалтерская отчетность. Если АСБУ состоит из изолированных АРМ, особым объектом контроля становится процесс переноса данных с участков учета в сводный файл ЖБП. Если АСБУ представляет собой единую информационную систему, необходимость в таком контроле отпадает, но появляется необходимость исключения несанкционированного доступа к информации, содержащейся в единой базе данных.

В любом случае анализ деятельности персонала по обработке первичных документов и формированию ЖБП удобно проводить по отдельным участкам учета, каждый из которых характеризуют следующие элементы:

1) состав обрабатываемых первичных документов;

2) структура рабочей базы данных, отражающая специфику объектов учета;

3) состав учитываемых хозяйственных операций;

4) состав синтетических и аналитических бухгалтерских счетов;

5) преобразование хозяйственных операций в бухгалтерские проводки;

6) формы регистров, отражающих количественно-суммовой учет;

7) регистры, отражающие аналитический и синтетический учет.

Состав обрабатываемых первичных документов может быть проанализирован, если в ЖБП есть раздел «документ-основание» или инструкция бухгалтеру содержит перечень и описание таких документов.

Если база данных АСБУ и инструкции не содержат информации об обрабатываемых первичных документах, аудитор вынужден использовать подшивки первичных документов, проводить опрос исполнителей о технологии работы с ними.

Для оценки полноты и форм обрабатываемых первичных документов-оснований аудитор использует имеющийся в базе СААД файл типовых бухгалтерских проводок, уже примененный аудитором при проверке их корректности.

Чем подробнее элементы 1–4 и методика преобразова- ния 5 изложены в инструкции бухгалтеру, работающему на данном участке учета, тем выше оценка СВК и ниже ее риск. Чем выше квалификация бухгалтера, тем выше оценка качества системы бухгалтерского учета, тем ниже ее неотъемлемый риск и риск СВК.

В современных АСБУ преобразование 5 выполняется во многих случаях в автоматическом режиме при вводе данных с документа-основания, подтверждающего проведение хозяйственной операции. При этом оно может сопровождаться следующими ошибками: неправильное оформление документа, неверная корреспонденция счетов, искажение фактических данных (суммы, даты, наименования и т.д.).

Вероятность той или иной ошибки зависит от особенностей обрабатываемого первичного документа, методики формирования корреспонденции счетов и организации контроля ввода исходных данных.

Ошибки первого типа - в оформлении документов могут возникнуть, если первичный документ формируется и остается в самой бухгалтерии, так как в этом случае функции исполнения и контроля совмещены.

Часто документы-основания формируются в других подразделениях экономического субъекта в электронном виде, и этого достаточно для появления соответствующих проводок в ЖБП. Окончательная печать и оформление таких документов необходимыми подписями может откладываться на неопределенный срок, что также увеличивает вероятность появления ошибки в оформлении документа.

Если первичные документы поступают в бухгалтерию извне (от другой организации), вероятность неправильного оформления таких документов практически равна нулю.

Для оценки системы внутреннего контроля за оформлением первичных документов-оснований аудитор проводит выборочную проверку множества этих документов. Для этого он, во-первых, определяет круг документов с наибольшей вероятностью недооформления (например, документы, формируемые и остающиеся в бухгалтерии), во-вторых, строит репрезентативную выборку.

Как правило, одновременно с проверкой качества оформления первичных документов аудитор оценивает и вероятность появления ошибок второго типа - ошибок формирования бухгалтерских проводок.

В настоящее время информационные технологии оказывают существенное влияние на производственные процессы предприятий. Это очевидно. Почему же в одних компаниях информационные системы обеспечивают оптимальную организацию процессов производства, повышают эффективность управления, осуществляют планирование и прогнозирование, анализ рисков и т. д., а в других компьютер все еще остается усложненным калькулятором и инструментом подготовки документов?

Проблемы анализа эффективности использования ИТ второй группы предприятий представляют определенный интерес, поэтому есть резон исследовать их. К этой группе относятся крупные государственные учреждения, министерства, ведомства - все те организации, ошибки в развитии информационных систем которых не имеют на первый взгляд критических последствий, в отличие, скажем, от коммерческих учреждений, чьи позиции на рынке напрямую связаны с эффективным управлением.

Почему вся активность в области ИТ в данной группе носит не регулярный, а периодический характер, в значительной степени зависящий от волевых решений руководства («срочно внедряем новую систему!»), а ИТ-подразделение оторвано от производственных потребностей («мы сами лучше знаем, что надо нашим пользователям»)? Собственно, ответ содержится в вопросе. Потому что ИТ построены таким образом, что не подразумевают соответствия бизнес-потребностям предприятия, скорее всего наследуя схему вычислительных центров советского периода. Все новые процессы в данной области сводятся к приобретению следующего поколения рабочих станций, а корпоративная сеть всего лишь изменила способ доставки информации: вместо дискет используются каталоги совместного доступа, в лучшем случае электронная почта. Возможно, ИТ-подразделение производит закупку мощных серверов, систем управления базами данных и т. д., но контролирует ли руководство инвестиции и соотносит их с достигнутыми результатами или приобретения осуществляются только потому, что так надо, что у соседей такое уже закуплено?

Так как же произвести кардинальную перестройку ИТ и с чего начать, чтобы этот процесс происходил не революционно, а эволюционно, чтобы его последствия не сказались отрицательно на производстве и вместе с тем завершен он был в разумные сроки? Решение смогут предложить только профессионалы, а основным инструментом в выработке решения будет аудит информационных систем и технологий предприятия.

По поводу аудита информационных систем (далее аудит) в мире накоплен колоссальный опыт. Он обобщен известной организаций ISACA (Information Systems and Control Associations, www.isaca.org) и сформирован в виде соответствующих нормативов и методик под общим названием COBIT (Control Objectives for Information and related Technologies - Задачи управления для информационных и связанных с ними технологий). Собственно же аудит заключается в:

1) изучении текущего состояния и планов развития информационных технологий на конкретном предприятии;

2) сравнении результатов с тем, как должны работать информационные системы в идеальном (оптимальном) состоянии (то есть с соответствующими стандартами в данной области);

Казалось бы, все просто - начать и закончить, но на пути постоянно возникают сложности.

Первая и самая главная - стоимость работ. Действительно, трудно предположить, что будет дешевой работа группы высокопрофессиональных ИТ-специалистов, которые проведут:

• анкетирование специалистов по отдельным направлениям;
• интервью с ключевыми работниками;
• изучение имеющейся нормативной документации, организационной структуры, принципов управления ИТ;
• выборочное или массовое тестирование аппаратного обеспечения, производительности сети;
• анализ накопленной информации;
• выработку соответствующих экспертных оценок и рекомендаций;
• подготовку развернутого отчета по результатам работ;

Соответственно, когда руководство предприятия-заказчика плохо представляет себе конкретные результаты работ, платить значительные суммы никто не захочет. Дополнительный негатив вносят специалисты по аудиту, которые формируют отчет в виде типового рапорта, слепо следуя имеющимся методикам. Приведем пример.

• Нет классификации данных - необходимо произвести классификацию данных;
• отсутствует политика NN - следует разработать политику NN;
• не произведена оценка рисков - провести оценку рисков.

В рассматриваемой группе предприятий с высокой степенью вероятности будет отсутствовать большинство из требуемых стандартами пунктов. При получении отчета с простой констатацией отсутствия и рекомендациями о том, что необходима дальнейшая работа (без детальной приоритизации, развернутого плана действий, проектов требуемых нормативов, выписок из используемых стандартов и методик), у руководителя организации сложится весьма негативное мнение об аудите. Если окажется, что итоговый отчет представлен в виде двух-трех томов по 500 страниц, основную часть которых занимают рассуждения о преимуществе трехзвенной архитектуры перед файл-сервером и о перспективах развития беспроводных технологий, то, скорее всего, отчет окажется в пыльном шкафу, изученным и использованным процентов на десять.

Пример из жизни. Эксперт со стороны

Организация с сетью в 50 рабочих станций стала испытывать затруднения с производительностью сети. Решение, предлагаемое начальником ИТ-подразделения, сводилось к приобретению более производительных компьютеров и активного сетевого оборудования. Руководитель предприятия пригласил стороннего эксперта в области сетевых технологий, который запустил монитор производительности и ряд других сетевых анализаторов на трех рабочих станциях, потратив на это три дня по 3-4 часа. В результате он порекомендовал переставить два сервера на другие сетевые сегменты и перенести несколько сетевых служб на различные серверы. Сеть заработала бесперебойно. Работа стоила около 150 долл. Начальник ИТ-подразделения вскоре был уволен.

Эту работу нельзя назвать полноценным аудитом информационной системы, но его частью - можно, поскольку она имела четко сформулированную цель и соответствующий результат.

Таким образом, для предприятия, собирающегося производить аудит, необходимо четко представлять требуемые результаты и формулировать их аудиторам, внося соответствующим образом в техническое задание на проведение работ.

Если учесть, что типовые случаи проведения аудита информационных систем - это качественное изменение статуса компании (подготовка к сертификации ISO, выход на международный рынок и т. д., но это не в текущей теме), внедрение новой крупной информационной системы либо плановая проверка, то и его цели должны быть сформулированы соответственно. В данном случае это могут быть:

• проект реорганизации ИТ-службы;
• разработка необходимых нормативов (политик, правил, корпоративных стандартов);
• корректировка планов развития, в том числе приобретения техники, проектирования сети, регламентов гарантийного и сервисного обслуживания;
• рекомендации по процессу внедрения/эксплуатации конкретной информационной системы;
• консалтинг по организации/реорганизации службы информационной безопасности.

Причем консалтинг - это отдельное направление, но во многих организациях указанной группы до сих пор считают, что информационной безопасностью должен заниматься Первый отдел (отдел режима), а термины «аварийный план», «план по продолжению деятельности предприятия при сбоях и катастрофах» остаются пустым звуком. Это при том, что многие такие организации играют существенную роль в отраслевой или даже государственной инфраструктуре. Видимо, подобная беспечность связана с отсутствием в прошлом реальных угроз, обусловленных тем, что такие организации почти не работали в публичных сетях, Internet. Однако вряд ли современная тенденция развития корпоративных сетей и информационных систем будет способствовать тому, что такая ситуация продлится долго.

Вторая сложность - нежелание пускать в святая святых своей организации посторонних людей, которые будут серьезно ее изучать, в том числе вскрывать недостатки. Обычный аргумент в этом случае у директора по ИТ: «Я проработал здесь 20 лет, еще с ЕСок начинал, а вы тут меня учить будете», а у руководителя предприятия: «Наши специалисты и так все знают лучше вас».

Обе эти позиции необходимо рассмотреть отдельно.

Давняя работа в области информационных технологий, к сожалению, не подразумевает высокий уровень профессионализма. Заблуждения по поводу информационной безопасности были указаны выше. Кроме того, руководитель старой закалки может с удивлением узнать, что ИТ-служба является вспомогательной по отношению к производству. Для него также может стать откровением, что самостоятельно решать, разрабатывать ли, приобретать ли, внедрять что-либо, неправильно. Ему трудно согласиться с тем, что он, замотанный постоянными производственными совещаниями и ворохом неформализованных заявок от пользователей на срочные требования автоматизации очередного отчета, пропустил многие современные стандарты ИТ, к примеру Help Desk, контроль качества разработок и изменений в конфигурациях, ведение статистики аварий и сбоев, строгую регламентацию процедур резервного копирования, и что набор ИТ-нормативов должен занимать (в твердых копиях) минимум одну полку.

На первый взгляд такой ИТ-директор не будет заинтересован в проведении аудита. Однако в результатах аудита можно найти немало полезного, нужно только рассматривать аудитора не как врага, а как партнера. Если такой директор по ИТ действительно болеет душой за свое предприятие, у него наверняка накопилось немало идей, выслушивать которые руководитель предприятия уже не хочет. В этом случае, обсудив их с аудитором, определив реально работающие и соответствующие стандартам, можно включить их в итоговый отчет.

С другой стороны, развитие информационной инфраструктуры в свете рекомендаций, выработанных аудиторами, приведет к тому, что управлять информационными системами станет проще, а само значение информационных технологий для предприятия повысится, что определит и рост статуса ИТ-директора на предприятии. Как минимум это выразится в росте ИТ-бюджета, при условии, конечно, что вложения в эту область принесут организации реальную выгоду.

Позиция руководителя предприятия, указанная выше, тоже имеет свою слабую сторону, ведь случается, что директор по ИТ (как впрочем, и любой руководитель подразделения предприятия) скрывает ошибки или проблемы в работе своего направления. Учитывая, что, скорее всего, других квалифицированных ИТ-специалистов, кроме подчиненных ИТ-директора, на предприятии нет, единственным альтернативным источником информации о состоянии дел может стать независимый аудитор.

Пример из жизни. Не забываем о собственных ресурсах

Процесс аудита на крупном предприятии проходил одновременно с обычными работами ИТ-подразделения, в том числе с разработкой и подготовкой к внедрению новой информационной системы в одном из специфических подразделений компании (подразделение П). В ходе обследования аудиторы выяснили, что в подразделении П присутствует собственный разработчик, который был автором предыдущей версии информационной системы для своего подразделения и осуществлял его поддержку и сопровождение до настоящего времени. Однако при разработке новой версии информационной системы он не был востребован, несмотря на то что остальные разработчики не имели соответствующего опыта по работе подразделения П. Более того, по его оценке, техническое задание на новую версию имело ряд критических недоработок, сообщения о которых были проигнорированы ИТ-директором.

Данная ситуация была отражена в отчете аудиторов. К сожалению, о принятых решениях ничего не известно. Однако можно предположить, что, если соответствующая корректировка в процессе разработки не была принята, процесс внедрения системы может столкнуться с определенными трудностями, что повлечет дополнительные расходы.

Кроме отмеченной ситуации, ИТ-служба предприятия обычно загружена текущими задачами и не всегда возможно практически выделить группу специалистов для проведения аудита. Даже если они будут освобождены от своих ежедневных обязанностей приказом по предприятию, с высокой степенью вероятности через некоторое время им придется вернуться к своей работе и процесс аудита будет скомкан или выполнен формально.

Следует принять во внимание и то, что собственные специалисты обычно, выслушав мнение пользователей о производственном процессе, накладывают его на свое представление о том, как это должно быть. Нетрудно догадаться, какое мнение попадет в итоговый отчет.

Добавив сюда нежелание информировать непосредственное начальство об имеющихся недостатках, можно оценить качество полученного результата.

Негативно оценив качество собственного аудита, тем не менее хотелось бы помочь организациям, которые по той или иной причине не могут заказать проведение аудита у независимых экспертов. Оценить текущее состояние информационных систем сможет простой сбор и структурированное представление данных об имеющихся информационных системах, аппаратном обеспечении, структуре сети и т. д. Для этого в рамках данной статьи на сайте www.cio.сайт публикуются опросные листы (анкеты) для подготовки таких данных.

Заполнение анкет и особенно представление их в структурированном электронном виде даст возможность их упрощенной группировки, выборки данных, обнаружения корреляций и т. д., поможет руководителям предприятия и ИТ-службы произвести предварительный анализ состояния собственных информационных технологий и, возможно, принять решение о заказе профессионального аудита информационных систем.

Искандер Конеев - CISSP, руководитель проектов, компания «МЦФЭР-консалтинг», [email protected]

Для оценки текущего состояния информационных систем на сайте публикуются опросные листы (анкеты) по подготовке структурированного представления данных об имеющихся информационных системах, аппаратном обеспечении, структуре сети и т. д. Ниже приводим их содержание и назначение.

1. Список ответственных лиц по различным направлениям ИТ.

   Данная анкета должна быть заполнена в первую очередь. По результатам ее заполнения станет ясно, к кому обращаться с вопросами заполнения остальных анкет. Кроме того, она позволяет выявить, например, направления, за которые не отвечает никто, либо ответственность распределена между сотрудниками, число которых недопустимо велико, а также установить, не сконцентрировано ли слишком много критически важных направлений одних руках.

   Заполнение анкеты должно производиться по фактическому состоянию дел, а не по штатному расписанию, так как специалисты с одной и той же должностью, скажем «системный администратор», могут отвечать за совершенно разные участки работ.

2. Список аппаратного обеспечения.

   В том или ином виде этот список ведется практически в любой организации. Данная анкета позволит структурировать его и проанализировать дополнительную информацию, такую как связь оборудования с поставщиками и качество гарантии по договорам, место единицы оборудования в локальной сети, привязка основного оборудования к периферии и т. д.

3. Структура сети организации (локальной, корпоративной, внешней).

   Анкета позволит провести инвентаризацию и проанализировать принципы организации сети, отдельных сетевых служб и ряд других немаловажных аспектов, таких как учет самостоятельных выходов во внешнее информационное пространство (модемов у пользователей) и оснащение критически важных помещений.

4. Описание отдельных информационных систем.

   Анкету не следует использовать для описания мелких приложений офисного уровня, в частности электронных таблиц, снабженных макросами. Она предназначена для крупных систем масштаба предприятия или группы подразделений, того, что сейчас называют ERP-системами или АСУТП (автоматизированная система управления технологическим процессом).

   Данный опросный лист поможет понять, как организована работа по обеспечению нормального (или оптимального, в зависимости от задачи исследования) функционирования системы.

   Потратив дополнительное время, можно накопить примеры отчетов, вырабатываемых системой, с тем чтобы оценить наличие дублированности и, например, снять часть требований к модификации системы, если они направлены на получение/обработку данных, присутствующих в имеющихся отчетах.

5. Описание данных предприятия.

   Анкета предназначена для общего, принципиального описания наборов данных, которыми владеет предприятие. Она позволяет оценить первичный источник происхождения данных, наличие дублированности данных либо потенциальную возможность возникновения расхождений в сходных данных. Анализ материала может послужить основой для проектирования информационных систем, например, единого хранилища данных, если таковое еще отсутствует на данном предприятии.

6. Описание критически важных параметров предприятия.

   Эта анкета связана с предыдущей (описание данных) и следующей (информационная безопасность) и служит основой для планирования и построения целостной системы информационной безопасности предприятия (если такой системы нет) или материалом для регулярного анализа функционирующей системы безопасности.

   Материал анкеты зможно использовать для построения схемы анализа и управления информационными рисками и на ее основе проводить планирование приобретения или разработки информационных систем или их отдельных элементов.

7. Структура функционирования информационной безопасности.

   Анкета отражает состояние различных аспектов информационной безопасности предприятия - от технических до организационных, в том числе: квалификацию сотрудников, отвечающих за информационную безопасность, а также уже выполненные службой безопасности работы (инвентаризация, классификация, разработка нормативов) и их актуальность.

   При отсутствии на предприятии службы информационной безопасности анкету можно рассматривать как схематичный план основных задач, возлагаемых на эту службу, и использовать при построении службы.

8. Описание нормативных документов предприятия.

   По ряду параметров данная анкета пересекается с другими анкетами, поэтому при ее заполнении можно использовать материал других опросных листов либо заполнять их параллельно, а по завершении сверить общие данные для выявления возможных расхождений и соответствий в определении реальных данных. Анкета рассматривает объем существующего нормативного пространства ИТ предприятия, включая обязанности и квалификацию пользователей и администраторов, отдельные информационные политики, качество поддержки информационных систем, состояние аварийного плана.

9. Описание производственных (бизнес-) функций предприятия.

   На первый взгляд анкета слабо связана собственно с информационными технологиями. Однако именно она позволяет оценить качество покрытия производственных потребностей предприятия автоматизированными (информационными) средствами, что является одной из важных задач аудита информационных систем. Соответственно анкета может использоваться для планирования развития информационных систем предприятия.

10. Описание планируемых к автоматизации задач.

    Анкета составляется для определения нагрузки на подразделение, ответственное за разработку программного обеспечения, либо для формирования планов на приобретение сторонних программных продуктов. Также позволяет выявить наиболее приоритетные задачи для автоматизации (если множество подразделений испытывают потребность в автоматизации отдельного направления) либо дублированности (если одному подразделению необходимо автоматизировать то, что уже сделано в другом).

Работать вместе

Николай Дмитрик

Между директором правовой службы и директором информационной службы много общего: тот и другой не ведут основную деятельность компании, а лишь обеспечивают ее; тот и другой редко являются полноценными членами управленческой команды (отчего, кстати, страдает качество принимаемых решений); деятельность главы юридической службы, как и главного ИТ-специалиста, направлена на обеспечение безопасности и эффективности основной деятельности компании.

С этой точки зрения аудит информационных систем - очень хороший пример. Повысить эффективность информационной системы предприятия означает не просто дать пользователям необходимые им инструменты, а еще и заставить эти инструменты работать.

Задача ИТ-службы - оптимизировать обработку информационных потоков в организации. Задача юристов - оптимизировать права и обязанности в отношениях внутри организации и в отношениях с контрагентами. Юридическая работа не сводится только к тому, чтобы оформить предпринимаемые меры по приглашению аудитора, обновлению информационной системы и соблюсти при этом требования законодательства. Задача юридической службы - закрепить правовыми средствами ту модель общественных отношений в организации, при которой использование, в частности, информационных систем будет проходить оптимальным образом. Иными словами, опосредование отношений на технологическом уровне (построение и развитие информационных систем) должно быть тесно связано с опосредованием отношений правовыми мерами (разработка внутренней юридической документации).

Это означает, что юристы и ИТ-консультанты (как корпоративные, так и сторонние) должны работать вместе с самого начала. Аудит должен касаться не только информационных систем, но также прав и обязанностей сотрудников: должностные инструкции, как и аппаратно-программное обеспечение, должны предоставлять сотруднику ровно тот объем возможностей, который нужен для исполнения им своих обязанностей. Планирование развития сети должно сочетаться с планированием принятия внутренних документов компании, разработкой новых типовых договоров с контрагентами, учитывающих новые возможности информационной системы. Наконец, при обращении к услугам стороннего консультанта в составлении договора с ним должны участвовать как ИТ-специалист, так и юрист. Первый должен поставить задачи, второй - предложить механизмы, обеспечивающие надлежащее выполнение консультантом своих обязанностей, механизмы контроля его деятельности. Не надо забывать, что приглашение сторонних консультантов - это всегда риск для информационной безопасности предприятия: необходимо принять правовые меры для устранения этого риска.

Возможные меры здесь достаточно разнообразны: установление обязанности консультанта предоставлять промежуточные отчеты о своей деятельности, определение правил подсчета убытков от конкретных нарушений договора консультантом либо закрепление штрафов в твердом размере, установление запретов на работу в условиях конфликта интересов, запретов на определенные действия сотрудников компании. Особое внимание необходимо обращать на два момента: во-первых, на обеспечение конфиденциальности информации (правил получения доступа к информации, работы с ней, использования такой информации впоследствии) и, во-вторых, на возможность расторжения договора или отказа от его исполнения в одностороннем порядке. В частности, консультант не должен иметь возможность неожиданно отказаться от договора и уйти со всей собранной им информацией. В качестве обеспечительных мер по договору можно использовать и страхование.

В статье обобщается практика проведения аудита безопасности информационных систем (ИС), дается понятие аудита безопасности, рассматриваются цели его проведения, применяемые методы и этапы выполнения работ, методы анализа и управления рисками, используемые аудиторами, и средства их реализации, действующие стандарты и системы сертификации ИС, в рамках которых проводится аудит безопасности.

Александр Астахов, CISA, 2002

Эпиграф

• Содействовать приведению информационных систем в соответствие с принятыми стандартами и руководствами;
• Осуществлять свою деятельность в соответствии со стандартами в области аудита информационных систем, принятыми ISACA;
• Действовать в интересах работодателей, акционеров, клиентов и общества в старательной, лояльной и честной манере;
• Сознательно не принимать участия в незаконной, либо недобросовестной деятельности;
• Соблюдать конфиденциальность информации, полученной при выполнении своих должностных обязанностей;
• Не использовать конфиденциальную информацию для получения личной выгоды и не передавать ее третьим лицам без разрешения ее владельца;
• Выполнять свои должностные обязанности, оставаясь независимым и объективным;
• Избегать деятельности, которая ставит по угрозу независимость аудитора;
• Поддерживать на должном уровне свою компетентность в областях знаний, связанных с проведением аудита информационных систем, принимая участие в профессиональных мероприятиях;
• Проявлять старательность при получении и документировании фактографических материалов, на которых базируются выводы и рекомендации аудитора;
• Информировать все заинтересованные стороны о результатах проведения аудита;
• Способствовать повышению осведомленности руководства организаций, клиентов и общества в вопросах, связанных с проведением аудита информационных систем;
• Соответствовать высоким этическим стандартам в профессиональной и личной деятельности;
• Совершенствовать свои личностные качества.

Этический кодекс аудитора информационных систем
(ISACA Code of Professional Ethics)

Понятие аудита безопасности и цели его проведения

Аудит представляет собой независимую экспертизу отдельных областей функционирования организации. Различают внешний и внутренний аудит. Внешний аудит – это, как правило, разовое мероприятие, проводимое по инициативе руководства организации или акционеров. Рекомендуется проводить внешний аудит регулярно, а, например, для многих финансовых организаций и акционерных обществ это является обязательным требованием. Внутренний аудит представляет собой непрерывную деятельность, которая осуществляется на основании «Положения о внутреннем аудите» и в соответствии с планом, подготовка которого осуществляется подразделением внутреннего аудита и утверждается руководством организации. Аудит безопасности информационных систем является одной из составляющих ИТ аудита. Целями проведения аудита безопасности являются:

анализ рисков, связанных с возможностью осуществления угроз безопасности в отношении ресурсов ИС

Примечание:

Пожалуй, этим и исчерпывается набор целей проведения аудита безопасности, но только в том случае, если речь идет о внешнем аудите. В число дополнительных задач, стоящих перед внутренним аудитором, помимо оказания помощи внешним аудиторам, могут также входить:

• разработка политик безопасности и других организационно-распорядительных документом по защите информации и участие в их внедрении в работу организации;
• постановка задач для ИТ персонала, касающихся обеспечения защиты информации;
• участие в обучении пользователей и обслуживающего персонала ИС вопросам обеспечения информационной безопасности;
• участие в разборе инцидентов, связанных с нарушением информационной безопасности;
• и другие.

Необходимо отметить, что все перечисленные выше «дополнительные» задачи, стоящие перед внутренним аудитором, за исключением участия в обучении, по существу аудитом не являются. Аудитор по определению должен осуществлять независимую экспертизу реализации механизмов безопасности в организации, что является одним из основных принципов аудиторской деятельности. Если аудитор принимает деятельное участие в реализации механизмов безопасности, то независимость аудитора утрачивается, а вместе с ней утрачивается и объективность его суждений, т. к. аудитор не может осуществлять независимый и объективных контроль своей собственной деятельности. Однако, на практике, внутренний аудитор, порой, являясь наиболее компетентным специалистом в организации в вопросах обеспечения информационной безопасности, не может оставаться в стороне от реализации механизмов защиты. (А если он таким специалистам не является, то какая от него может быть практическая польза?) К тому же почти всегда существует дефицит квалифицированных кадров именно в этой области.

По крайней мере, деятельное участие во внедрении той же подсистемы аудита безопасности, которая смогла бы предоставлять аудитору исходные данные для анализа текущей ситуации, он принять может и должен. Конечно, в этом случае, аудитор уже не сможет объективно оценить реализацию этот подсистемы и она естественным образом выпадает из плана проведения аудита. Точно также, внутренний аудитор может принять деятельное участие в разработке политик безопасности, предоставив возможность оценивать качество этих документов внешним аудиторам.

Этапность работ по проведению аудита безопасности информационных систем

Работы по аудиту безопасности ИС включают в себя ряд последовательных этапов, которые в целом соответствуют этапам проведения комплексного ИТ аудита АС, который включает в себя следующее:

• Сбор информации аудита
• Анализ данных аудита
• Выработка рекомендаций
• Подготовка аудиторского отчета

Инициирование процедуры аудита

Аудит проводится не по инициативе аудитора, а по инициативе руководства компании, которое в данном вопросе является основной заинтересованной стороной. Поддержка руководства компании является необходимым условием для проведения аудита.

Аудит представляет собой комплекс мероприятий, в которых помимо самого аудитора, оказываются задействованными представители большинства структурных подразделений компании. Действия всех участников этого процесса должны быть скоординированы. Поэтому на этапе инициирования процедуры аудита должны быть решены следующие организационные вопросы:

• права и обязанности аудитора должны быть четко определены и документально закреплены в его должностных инструкциях, а также в положении о внутреннем (внешнем) аудите;
• аудитором должен быть подготовлен и согласован с руководством план проведения аудита;
• в положении о внутреннем аудите должно быть закреплено, в частности, что сотрудники компании обязаны оказывать содействие аудитору и предоставлять всю необходимую для проведения аудита информацию.

На этапе инициирования процедуры аудита должны быть определены границы проведения обследования. Одни информационные подсистемы компании не являются достаточно критичными и их можно исключить из границ проведения обследования. Другие подсистемы могут оказаться недоступными для аудита из-за соображений конфиденциальности.

Границы проведения обследования определяются в следующих терминах:

• Список обследуемых физических, программных и информационных ресурсов;
• Площадки (помещения), попадающие в границы обследования;
• Основные виды угроз безопасности, рассматриваемые при проведении аудита;
• Организационные (законодательные, административные и процедурные), физические, программно-технические и прочие аспекты обеспечения безопасности, которые необходимо учесть в ходе проведения обследования, и их приоритеты (в каком объеме они должны быть учтены).

План и границы проведения аудита обсуждается на рабочем собрании, в котором участвуют аудиторы, руководство компании и руководители структурных подразделений.

Сбор информации аудита

Этап сбора информации аудита, является наиболее сложным и длительным. Это связано с отсутствием необходимой документации на информационную систему и с необходимостью плотного взаимодействия аудитора со многими должностными лицами организации.

Компетентные выводы относительно положения дел в компании с информационной безопасностью могут быть сделаны аудитором только при условии наличия всех необходимых исходных данных для анализа. Получение информации об организации, функционировании и текущем состоянии ИС осуществляется аудитором в ходе специально организованных интервью с ответственными лицами компании, путем изучения технической и организационно-распорядительной документации, а также исследования ИС с использованием специализированного программного инструментария. Остановимся на том, какая информация необходима аудитору для анализа.

Обеспечение информационной безопасности организации – это комплексный процесс, требующий четкой организации и дисциплины. Он должен начинаться с определения ролей и распределения ответственности среди должностных лиц, занимающихся информационной безопасностью. Поэтому первый пункт аудиторского обследования начинается с получения информации об организационной структуре пользователей ИС и обслуживающих подразделений. В связи с этим аудитору требуется следующая документация:

• Схема организационной структуры пользователей;
• Схема организационной структуры обслуживающих подразделений.

Обычно, в ходе интервью аудитор задает опрашиваемым следующие вопросы:

• Кто является владельцем информации?
• Кто является пользователем (потребителем) информации?
• Кто является провайдером услуг?

Назначение и принципы функционирования ИС во многом определяют существующие риски и требования безопасности, предъявляемые к системе. Поэтому на следующем этапе аудитора интересует информация о назначении и функционировании ИС. Аудитор задает опрашиваемым примерно следующие вопросы:

• Какие услуги и каким образом предоставляются конечным пользователям?
• Какие основные виды приложений, функционирует в ИС?
• Количество и виды пользователей, использующих эти приложения?

Ему понадобиться также следующая документация, конечно, если таковая вообще имеется в наличие (что, вообще говоря, случается нечасто):

• Функциональные схемы;
• Описание автоматизированных функций;
• Описание основных технических решений;
• Другая проектная и рабочая документация на информационную систему.

Далее, аудитору требуется более детальная информация о структуре ИС. Это позволит уяснить, каким образом осуществляется распределение механизмов безопасности по структурным элементам и уровням функционирования ИС. Типовые вопросы, которые обсуждаются в связи с этим во время интервью, включают в себя:

• Из каких компонентов (подсистем) состоит ИС?
• Функциональность отдельных компонент?
• Где проходят границы системы?
• Какие точки входа имеются?
• Как ИС взаимодействует с другими системами?
• Какие каналы связи используются для взаимодействия с другими ИС?
• Какие каналы связи используются для взаимодействия между компонентами системы?
• По каким протоколам осуществляется взаимодействие?
• Какие программно-технические платформы используются при построении системы?

На этом этапе аудитору необходимо запастись следующей документацией:

• Структурная схема ИС;
• Схема информационных потоков;
• Описание структуры комплекса технических средств информационной системы;
• Описание структуры программного обеспечения;
• Описание структуры информационного обеспечения;
• Размещение компонентов информационной системы.

Подготовка значительной части документации на ИС, обычно, осуществляется уже в процессе проведения аудита. Когда все необходимые данные по ИС, включая документацию, подготовлены, можно переходить к их анализу.

Анализ данных аудита

Используемые аудиторами методы анализа данных определяются выбранными подходами к проведению аудита, которые могут существенно различаться.

Первый подход, самый сложный, базируется на анализе рисков. Опираясь на методы анализа рисков, аудитор определяет для обследуемой ИС индивидуальный набор требований безопасности, в наибольшей степени учитывающий особенности данной ИС, среды ее функционирования и существующие в данной среде угрозы безопасности. Данный подход является наиболее трудоемким и требует наивысшей квалификации аудитора. На качество результатов аудита, в этом случае, сильно влияет используемая методология анализа и управления рисками и ее применимость к данному типу ИС.

Второй подход, самый практичный, опирается на использование стандартов информационной безопасности. Стандарты определяют базовый набор требований безопасности для широкого класса ИС, который формируется в результате обобщения мировой практики. Стандарты могут определять разные наборы требований безопасности, в зависимости от уровня защищенности ИС, который требуется обеспечить, ее принадлежности (коммерческая организация, либо государственное учреждение), а также назначения (финансы, промышленности, связь и т.п.). От аудитора в данном случае требуется правильно определить набор требований стандарта, соответствие которым требуется обеспечить для данной ИС. Необходима также методика, позволяющая оценить это соответствие. Из-за своей простоты (стандартный набор требований для проведения аудита уже заранее определен стандартом) и надежности (стандарт - есть стандарт и его требования никто не попытается оспорить), описанный подход наиболее распространен на практике (особенно при проведении внешнего аудита). Он позволяет при минимальных затратах ресурсов делать обоснованные выводы о состоянии ИС.

Третий подход, наиболее эффективный, предполагает комбинирование первых двух. Базовый набор требований безопасности, предъявляемых к ИС, определяется стандартом. Дополнительные требования, в максимальной степени учитывающие особенности функционирования данной ИС, формируются на основе анализа рисков. Этот подход является намного проще первого, т.к. большая часть требований безопасности уже определена стандартом, и, в то же время, он лишен недостатка второго подхода, заключающего в том, что требования стандарта могут не учитывать специфики обследуемой ИС.

В чем заключается анализ рисков и управление рисками?

Анализ рисков - это то, с чего должно начинаться построение любой системы информационной безопасности. Он включает в себя мероприятия по обследованию безопасности ИС, с целью определения того какие ресурсы и от каких угроз надо защищать, а также в какой степени те или иные ресурсы нуждаются в защите. Определение набора адекватных контрмер осуществляется в ходе управления рисками. Риск определяется вероятностью причинения ущерба и величиной ущерба, наносимого ресурсам ИС, в случае осуществления угрозы безопасности.

Анализ рисков состоит в том, чтобы выявить существующие риски и оценить их величину (дать им качественную, либо количественную оценку). Процесс анализа рисков можно разделить на несколько последовательных этапов:

• Идентификация ключевых ресурсов ИС;
• Определение важности тех или иных ресурсов для организации;
• Идентификация существующих угроз безопасности и уязвимостей, делающих возможным осуществление угроз;
• Вычисление рисков, связанных с осуществлением угроз безопасности.

Ресурсы ИС можно разделить на следующие категории:

• Информационные ресурсы;
• Программное обеспечение;
• Технические средства (серверы, рабочие станции, активное сетевое оборудование и т. п.);
• Людские ресурсы.

В каждой категории ресурсы делятся на классы и подклассы. Необходимо идентифицировать только те ресурсы, которые определяют функциональность ИС и существенны с точки зрения обеспечения безопасности.

Важность (или стоимость) ресурса определяется величиной ущерба, наносимого в случае нарушения конфиденциальности, целостности или доступности этого ресурса. Обычно рассматриваются следующие виды ущерба:

• Данные были раскрыты, изменены, удалены или стали недоступны;
• Аппаратура была повреждена или разрушена;
• Нарушена целостность программного обеспечения.

Ущерб может быть нанесен организации в результате успешного осуществления следующих видов угроз безопасности:

• локальные и удаленные атаки на ресурсы ИС;
• стихийные бедствия;
• ошибки, либо умышленные действия персонала ИС;
• сбои в работе ИС, вызванные ошибками в программном обеспечении или неисправностями аппаратуры.

Под уязвимостями обычно понимают свойства ИС, делающие возможным успешное осуществление угроз безопасности.

Величина риска определяется на основе стоимости ресурса, вероятности осуществления угрозы и величины уязвимости по следующей формуле:

Риск = (стоимость ресурса * вероятность угрозы) / величина уязвимости

Задача управления рисками заключается в выборе обоснованного набора контрмер, позволяющих снизить уровни рисков до приемлемой величины. Стоимость реализации контрмер должна быть меньше величины возможного ущерба. Разница между стоимостью реализации контрмер и величиной возможного ущерба должна быть обратно пропорциональна вероятности причинения ущерба.

Использование методов анализа рисков

Если для проведения аудита безопасности выбран подход, базирующийся на анализе рисков, то на этапе анализа данных аудита обычно выполняются следующие группы задач:

• Анализ ресурсов ИС, включая информационные ресурсы, программные и технические средства, а также людские ресурсы
• Анализ групп задач, решаемых системой, и бизнес процессов
• Построение (неформальной) модели ресурсов ИС, определяющей взаимосвязи между информационными, программными, техническими и людскими ресурсами, их взаимное расположение и способы взаимодействия
• Оценка критичности информационных ресурсов, а также программных и технических средств
• Определение критичности ресурсов с учетом их взаимозависимостей
• Определение наиболее вероятных угроз безопасности в отношении ресурсов ИС и уязвимостей защиты, делающих возможным осуществление этих угроз
• Оценка вероятности осуществления угроз, величины уязвимостей и ущерба, наносимого организации в случае успешного осуществления угроз
• Определение величины рисков для каждой тройки: угроза – группа ресурсов – уязвимость
• Перечисленный набор задач, является достаточно общим. Для их решения могут использоваться различные формальные и неформальные, количественные и качественные, ручные и автоматизированные методики анализа рисков. Суть подхода от этого не меняется.

Оценка рисков может даваться с использованием различных как качественных, так и количественных шкал. Главное, чтобы существующие риски были правильно идентифицированы и проранжированы в соответствии со степенью их критичности для организации. На основе такого анализа может быть разработана система первоочередных мероприятий по уменьшению величины рисков до приемлемого уровня.

Оценка соответствия требованиям стандарта

В случае проведения аудита безопасности на соответствие требованиям стандарта, аудитор, полагаясь на свой опыт, оценивает применимость требований стандарта к обследуемой ИС и ее соответствие этим требованиям. Данные о соответствии различных областей функционирования ИС требованиям стандарта, обычно, представляются в табличной форме. Из таблицы видно, какие требования безопасности в системе не реализованы. Исходя из этого, делаются выводы о соответствии обследуемой ИС требованиям стандарта и даются рекомендации по реализации в системе механизмов безопасности, позволяющих обеспечить такое соответствие.

Рекомендации, выдаваемые аудитором по результатам анализа состояния ИС, определяются используемым подходом, особенностями обследуемой ИС, состоянием дел с информационной безопасностью и степенью детализации, используемой при проведении аудита.

В любом случае, рекомендации аудитора должны быть конкретными и применимыми к данной ИС, экономически обоснованными, аргументированными (подкрепленными результатами анализа) и отсортированными по степени важности. При этом мероприятия по обеспечению защиты организационного уровня практически всегда имеют приоритет над конкретными программно-техническими методами защиты.

В то же время, наивно ожидать от аудитора, в качестве результата проведения аудита, выдачи технического проекта подсистемы информационной безопасности, либо детальных рекомендаций по внедрению конкретных программно технических средств защиты информации. Это требует более детальной проработки конкретных вопросов организации защиты, хотя, внутренние аудиторы могут принимать в этих работах самое активное участие.

Подготовка отчетных документов

Аудиторский отчет является основным результатом проведения аудита. Его качество характеризует качество работы аудитора. Структура отчета может существенно различаться в зависимости от характера и целей проводимого аудита. Однако определенные разделы должны обязательно присутствовать в аудиторском отчете. Он должен, по крайней мере, содержать описание целей проведения аудита, характеристику обследуемой ИС, указание границ проведения аудита и используемых методов, результаты анализа данных аудита, выводы, обобщающие эти результаты и содержащие оценку уровня защищенности АС или соответствие ее требованиям стандартов, и, конечно, рекомендации аудитора по устранению существующих недостатков и совершенствованию системы защиты.

Для примера, приведем образец структуры аудиторского отчета по результатам анализа рисков, связанных с осуществлением угроз безопасности в отношении обследуемой ИС.

Структура отчета по результатам аудита безопасности ИС и анализу рисков

1. Вводная часть

• 1.1 Введение
• 1.2 Цели и задачи проведения аудита
• 1.3 Описание ИС
• 1.3.1 Назначение и основные функции системы
• 1.3.2 Группы задач, решаемых в системе
• 1.3.3 Классификация пользователей ИС
• 1.3.4 Организационная структура обслуживающего персонала ИС
• 1.3.5 Структура и состав комплекса программно-технических средств ИС
• 1.3.6 Виды информационных ресурсов, хранимых и обрабатываемых в системе
• 1.3.7 Структура информационных потоков
• 1.3.8 Характеристика каналов взаимодействия с другими системами и точек входа
• 1.4 Границы проведения аудита
• 1.4.1 Компоненты и подсистемы ИС, попадающие в границы проведения аудита
• 1.4.2 Размещение комплекса программно-технических средств ИС по площадкам (помещениям)
• 1.4.3 Основные классы угроз безопасности, рассматриваемых в ходе проведения аудита
• 1.5 Методика проведения аудита
• 1.5.1 Методика анализа рисков
• 1.5.2 Исходные данные
• 1.5.3 Этапность работ
• 1.6 Структура документ

2. Оценка критичности ресурсов ИС

• 2.1 Критерии оценки величины возможного ущерба, связанного с осуществлением угроз безопасности
• 2.2 Оценка критичности информационных ресурсов
• 2.2.1 Классификация информационных ресурсов
• 2.2.2 Оценка критичности по группам информационных ресурсов
• 2.3 Оценка критичности технических средств
• 2.4 Оценка критичности программных средств
• 2.5 Модель ресурсов ИС, описывающая распределение ресурсов по группам задач

3. Анализ рисков, связанных с осуществлением угроз безопасности в отношении ресурсов ИС

• 3.1 Модель нарушителя информационной безопасности
• 3.1.1 Модель внутреннего нарушителя
• 3.1.2 Модель внешнего нарушителя
• 3.2 Модель угроз безопасности и уязвимостей информационных ресурсов
• 3.2.1 Угрозы безопасности, направленные против информационных ресурсов
• 3.2.1.1 Угрозы несанкционированного доступа к информации при помощи программных средств
• 3.2.1.2 Угрозы, осуществляемые с использованием штатных технических средств
• 3.2.1.3 Угрозы, связанные с утечкой информации по техническим каналам
• 3.2.2 Угрозы безопасности, направленные против программных средств
• 3.2.3 Угрозы безопасности направленные против технических средств
• 3.3 Оценка серьезности угроз безопасности и величины уязвимостей
• 3.3.1 Критерии оценки серьезности угроз безопасности и величины уязвимостей
• 3.3.2 Оценка серьезности угроз
• 3.3.3 Оценка величины уязвимостей
• 3.4 Оценка рисков для каждого класса угроз и группы ресурсов

4. Выводы по результатам обследования

• 5.1 Рекомендуемые контрмеры организационного уровня
• 5.2 Рекомендуемые контрмеры программно-технического уровня

Обзор программных продуктов, предназначенных для анализа и управления рисками

В настоящее время имеется большое разнообразие как методов анализа и управления рисками, так и реализующих их программных средств. Приведем примеры некоторых, по мнению автора, наиболее распространенных.

CRAMM

Метод CRAMM (the UK Goverment Risk Analysis and Managment Method) был разработан Службой Безопасности Великобритании (UK Security Service) по заданию Британского правительства и взят на вооружение в качестве государственного стандарта. Он используется, начиная с 1985 г. правительственными и коммерческими организациями Великобритании. За это время CRAMM приобрел популярность во всем мире. Фирма Insight Consulting Limited занимается разработкой и сопровождением одноименного программного продукта, реализующего метод CRAMM.

Метод CRAMM выбран нами для более детального рассмотрения и это не случайно. В настоящее время CRAMM – это довольно мощный и универсальный инструмент, позволяющий, помимо анализа рисков, решать также и ряд других аудиторских задач, включая:

• Проведение обследования ИС и выпуск сопроводительной документации на всех этапах его проведения;

В основе метода CRAMM лежит комплексный подход к оценке рисков, сочетая количественные и качественные методы анализа. Метод является универсальным и подходит как для больших, так и для мелких организаций, как правительственного, так и коммерческого сектора. Версии программного обеспечения CRAMM, ориентированные на разные типы организаций, отличаются друг от друга своими базами знаний (profiles). Для коммерческих организаций имеется Коммерческий профиль (Commercial Profile), для правительственных организаций – Правительственный профиль (Government profile). Правительственный вариант профиля, также позволяет проводить аудит на соответствие требованиям американского стандарта ITSEC («Оранжевая книга»).

Грамотное использование метода CRAMM позволяет получать очень хорошие результаты, наиболее важным из которых, пожалуй, является возможность экономического обоснования расходов организации на обеспечение информационной безопасности и непрерывности бизнеса. Экономически обоснованная стратегия управления рисками позволяет, в конечном итоге, экономить средства, избегая неоправданных расходов.

CRAMM предполагает разделение всей процедуры на три последовательных этапа. Задачей первого этапа является ответ на вопрос: «Достаточно ли для защиты системы применения средств базового уровня, реализующих традиционные функции безопасности, или необходимо проведение более детального анализа?» На втором этапе производится идентификация рисков и оценивается их величина. На третьем этапе решается вопрос о выборе адекватных контрмер.

Методика CRAMM для каждого этапа определяет набор исходных данных, последовательность мероприятий, анкеты для проведения интервью, списки проверки и набор отчетных документов.

Если по результатам проведения первого этапа, установлено, что уровень критичности ресурсов является очень низким и существующие риски заведомо не превысят некоторого базового уровня, то к системе предъявляются минимальный набор требований безопасности. В этом случае большая часть мероприятий второго этапа не выполняется, а осуществляется переход к третьему этапу, на котором генерируется стандартный список контрмер для обеспечения соответствия базовому набору требований безопасности.

На втором этапе производится анализ угроз безопасности и уязвимостей. Исходные данные для оценки угроз и уязвимостей аудитор получает от уполномоченных представителей организации в ходе соответствующих интервью. Для проведения интервью используются специализированные опросники.

На третьем этапе решается задача управления рисками, состоящая в выборе адекватных контрмер.

Решение о внедрении в систему новых механизмов безопасности и модификация старых принимает руководство организации, учитывая связанные с этим расходы, их приемлемость и конечную выгоду для бизнеса. Задачей аудитора является обоснование рекомендуемых контрмер для руководства организации.

В случае принятия решения о внедрении новых контрмер и модификации старых, на аудитора может быть возложена задача подготовки плана внедрения новых контрмер и оценки эффективности их использования. Решение этих задач выходит за рамки метода CRAMM.

Концептуальная схема проведения обследования по методу CRAMM показана на рисунке.

Процесс анализа и управления рисками по методу CRAMM

Процедура аудита в методе CRAMM является формализованной. На каждом этапе генерируется довольно большое количество промежуточных и результирующих отчетов.

Так, на первом этапе создаются следующие виды отчетов:

• Модель ресурсов, содержащая описание ресурсов, попадающих в границы исследования, и взаимосвязей между ними;
• Оценка критичности ресурсов;
• Результирующий отчет по первому этапу анализа рисков, в котором суммируются результаты, полученные в ходе обследования.

На втором этапе проведения обследования создаются следующие виды отчетов:

• Результаты оценки уровня угроз и уязвимостей;
• Результаты оценки величины рисков;
• Результирующий отчет по второму этапу анализа рисков.

По результатам третьего этапа обследования создаются следующие виды отчетов:

• Рекомендуемые контрмеры;
• Детальная спецификация безопасности;
• Оценка стоимости рекомендуемых контрмер;
• Список контрмер, отсортированный в соответствии с их приоритетами;
• Результирующий отчет по третьему этапу обследования;
• Политика безопасности, включающая в себя описание требований безопасности, стратегий и принципов защиты ИС;
• Список мероприятий по обеспечению безопасности.

Грамотно применять метод CRAMM в состоянии только высококвалифицированный аудитор, прошедший обучение. Если организация не может себе позволить содержать в штате такого специалиста, тогда самым правильным решением будет приглашение аудиторской фирмы, располагающей штатом специалистов, имеющих практический опыт применения метода CRAMM.

Обобщая практический опыт использования метода CRAMM при проведении аудита безопасности, можно сделать следующие выводы, относительно сильных и слабых сторон этого метода:

К сильным сторонам метода CRAMM относится следующее:

• CRAMM является хорошо структурированным и широко опробованным методом анализа рисков, позволяющим получать реальные практические результаты;
• Программный инструментарий CRAMM может использоваться на всех стадиях проведения аудита безопасности ИС;
• В основе программного продукта лежит достаточно объемная база знаний по контрмерам в области информационной безопасности, базирующаяся на рекомендациях стандарта BS 7799;
• Гибкость и универсальность метода CRAMM позволяет использовать его для аудита ИС любого уровня сложности и назначения;
• CRAMM можно использовать в качестве инструмента для разработки плана непрерывности бизнеса и политик информационной безопасности организации;
• CRAMM может использоваться в качестве средства документирования механизмов безопасности ИС.

К недостаткам метода CRAMM можно отнести следующее:

• Использование метода CRAMM требует специальной подготовки и высокой квалификации аудитора;
• CRAMM в гораздо большей степени подходит для аудита уже существующих ИС, находящихся на стадии эксплуатации, нежели чем для ИС, находящихся на стадии разработки;
• Аудит по методу CRAMM – процесс достаточно трудоемкий и может потребовать месяцев непрерывной работы аудитора;
• Программный инструментарий CRAMM генерирует большое количество бумажной документации, которая не всегда оказывается полезной на практике;
• CRAMM не позволяет создавать собственные шаблоны отчетов или модифицировать имеющиеся;
• Возможность внесения дополнений в базу знаний CRAMM не доступна пользователям, что вызывает определенные трудности при адаптации этого метода к потребностям конкретной организации.

RiskWatch

Программное обеспечение RiskWatch, разрабатываемое американской компанией RiskWatch, Inc., является мощным средством анализа и управления рисками. В семейство RiskWatch входят программные продукты для проведения различных видов аудита безопасности. Оно включает в себя следующие средства аудита и анализа рисков:

• RiskWatch for Physical Security –для физических методов защиты ИС;
• RiskWatch for Information Systems – для информационных рисков;
• HIPAA-WATCH for Healthcare Industry – для оценки соответствия требованиям стандарта HIPAA;
• RiskWatch RW17799 for ISO17799 – для оценки требованиям стандарта ISO17799.

В методе RiskWatch в качестве критериев для оценки и управления рисками используются «предсказание годовых потерь» (Annual Loss Expectancy – ALE) и оценка «возврата от инвестиций» (Return on Investment – ROI). Семейство программных продуктов RiskWatch, имеет массу достоинств. К недостаткам данного продукта можно отнести его относительно высокую стоимость.

COBRA

Система COBRA (Consultative Objective and Bi-Functional Risk Analysis), разрабатываемая компанией Risk Associates, является средством анализа рисков и оценки соответствия ИС стандарту ISO17799. COBRA реализует методы количественной оценки рисков, а также инструменты для консалтинга и проведения обзоров безопасности. При разработке инструментария COBRA были использованы принципы построения экспертных систем, обширная база знаний по угрозам и уязвимостям, а также большое количество вопросников, с успехом применяющихся на практике. В семейство программных продуктов COBRA входят COBRA ISO17799 Security Consultant, COBRA Policy Compliance Analyst и COBRA Data Protection Consultant.

Buddy System

Программный продукт Buddy System, разрабатываемый компанией Countermeasures Corporation, является еще одним программным продуктом, позволяющим осуществлять как количественный, так и качественный анализ рисков. Он содержит развитые средства генерации отчетов. Основной акцент при использовании Buddy System делается на информационные риски, связанные с нарушением физической безопасности и управление проектами.

Стандарты, используемые при проведении аудита безопасности информационных систем

В настоящем разделе дается обзор стандартов информационной безопасности, являющихся наиболее значимыми и перспективными с точки зрения их использования для проведения аудита безопасности ИС.

Результатом проведения аудита, в последнее время, все чаще становится сертификат, удостоверяющих соответствие обследуемой ИС требованиям признанного международного стандарта. Наличие такого сертификата позволяет организации получать конкурентные преимущества, связанные с большим доверием со стороны клиентов и партнеров.

Значение международных стандартов ISO17799 и ISO15408 трудно переоценить. Эти стандарты служат основой для проведения любых работ в области информационной безопасности, в том числе и аудита. ISO17799 сосредоточен на вопросах организации и управления безопасностью, в то время как ISO15408 определяет детальные требования, предъявляемые к программно-техническим механизмам защиты информации.

Спецификация SysTrust выбрана для рассмотрения, т.к. она в настоящее время достаточно широко используется аудиторскими компаниями, традиционно выполняющими финансовый аудит для своих клиентов и предлагающих услугу ИТ аудита в качестве дополнения к финансовому аудиту.

Немецкий стандарт «BSI\IT Baseline Protection Manual» содержит, пожалуй, наиболее содержательное руководство по обеспечению безопасности ИТ и представляет несомненную практическую ценность для всех специалистов, занимающихся вопросами информационной безопасности.

Практические стандарты и руководства по обеспечению информационной безопасности, разрабатываемые в рамках проекта SCORE, ориентированны на технических специалистов и являются в техническом плане наиболее совершенными в настоящее время.

Программа сертификации Интернет сайтов по требованиям информационной безопасности и соответствующая спецификация «SANS/GIAC Site Certification», предложенная институтом SANS, заслуживает рассмотрения в связи с неизменно возрастающей актуальностью вопросов защиты ИС организаций от атак со стороны сети Интернет и увеличением доли соответствующих работ при проведении аудита безопасности.

ISO 17799: Code of Practice for Information Security Management

Наиболее полно критерии для оценки механизмов безопасности организационного уровня представлены в международном стандарте ISO 17799: Code of Practice for Information Security Management (Практические правила управления информационной безопасностью), принятом в 2000 году. ISO 17799 был разработан на основе британского стандарта BS 7799.

ISO 17799 может использоваться в качестве критериев для оценки механизмов безопасности организационного уровня, включая административные, процедурные и физические меры защиты.

Практические правила разбиты на следующие 10 разделов:

• Политика безопасности
• Организация защиты
• Классификация ресурсов и их контроль
• Безопасность персонала
• Физическая безопасность
• Администрирование компьютерных систем и вычислительных сетей
• Управление доступом
• Разработка и сопровождение информационных систем
• Планирование бесперебойной работы организации
• Контроль выполнения требований политики безопасности

Десять средств контроля, предлагаемых в ISO 17799 (они обозначены как ключевые), считаются особенно важными. Под средствами контроля в данном контексте понимаются механизмы управления информационной безопасностью организации.

При использовании некоторых из средств контроля, например, шифрования данных, могут потребоваться советы специалистов по безопасности и оценка рисков, чтобы определить, нужны ли они и каким образом их следует реализовывать. Для обеспечения более высокого уровня защиты особенно ценных ресурсов или оказания противодействия особенно серьезным угрозам безопасности, в ряде случаев могут потребоваться более сильные средства контроля, которые выходят за рамки ISO 17799.

Десять ключевых средств контроля, перечисленные ниже, представляют собой либо обязательные требования, например, требования действующего законодательства, либо считаются основными структурными элементами информационной безопасности, например, обучение правилам безопасности. Эти средства контроля актуальны для всех организаций и сред функционирования АС и составляют основу системы управления информационной безопасностью.

Ключевыми являются следующие средства контроля:

• документ о политике информационной безопасности;
• распределение обязанностей по обеспечению информационной безопасности;
• обучение и подготовка персонала к поддержанию режима информационной безопасности;
• уведомление о случаях нарушения защиты;
• средства защиты от вирусов;
• планирование бесперебойной работы организации;
• контроль над копированием программного обеспечения, защищенного законом об авторском праве;
• защита документации организации;
• защита данных;
• контроль соответствия политике безопасности.

Процедура аудита безопасности ИС включает в себя проверку наличия перечисленных ключевых средств контроля, оценку полноты и правильности их реализации, а также анализ их адекватности рискам, существующим в данной среде функционирования. Составной частью работ по аудиту безопасности ИС также является анализ и управление рисками.

ISO 15408: Common Criteria for Information Technology Security Evaluation

Наиболее полно критерии для оценки механизмов безопасности программно-технического уровня представлены в международном стандарте ISO 15408: Common Criteria for Information Technology Security Evaluation (Общие критерии оценки безопасности информационных технологий), принятом в 1999 году.

Общие критерии оценки безопасности информационных технологий (далее «Общие критерии») определяют функциональные требования безопасности (security functional requirements) и требования к адекватности реализации функций безопасности (security assurance requirements).

При проведении работ по анализу защищенности ИС, «Общие критерии» целесообразно использовать в качестве основных критериев, позволяющих оценить уровень защищенности АС с точки зрения полноты реализованных в ней функций безопасности и надежности реализации этих функций.

Хотя применимость «Общих критериев» ограничивается механизмами безопасности программно-технического уровня, в них содержится определенный набор требований к механизмам безопасности организационного уровня и требований по физической защите, которые непосредственно связаны с описываемыми функциями безопасности.

Первая часть «Общих критериев» содержит определение общих понятий, концепции, описание модели и методики проведения оценки безопасности ИТ. В ней вводится понятийный аппарат, и определяются принципы формализации предметной области.

Требования к функциональности средств защиты приводятся во второй части «Общих критериев» и могут быть непосредственно использованы при анализе защищенности для оценки полноты реализованных в ИС функций безопасности.

Третья часть «Общих критериев», наряду с другими требованиями к адекватности реализации функций безопасности, содержит класс требований по анализу уязвимостей средств и механизмов защиты под названием AVA: Vulnerability Assessment. Данный класс требований определяет методы, которые должны использоваться для предупреждения, выявления и ликвидации следующих типов уязвимостей:

• Наличие побочных каналов утечки информации;
• Ошибки в конфигурации, либо неправильное использование системы, приводящее к переходу системы в небезопасное состояние;
• Недостаточная надежность (стойкость) механизмов безопасности, реализующих соответствующие функции безопасности;
• Наличие уязвимостей («дыр») в средствах защиты информации, позволяющих пользователям получать НСД к информации в обход существующих механизмов защиты.

При проведении работ по аудиту безопасности, данные требования могут использоваться в качестве руководства и критериев для анализа уязвимостей ИС.

SysTrust

По существу, аудит в области информационных технологий, хотя и не имеет никакого отношения к финансовому аудиту, часто является дополнением к нему в качестве коммерческой услуги, предлагаемой аудиторскими фирмами своим клиентам, в связи с повышением зависимости бизнеса клиентов от ИТ. Идея заключается в том, что использование надежных и безопасных ИТ систем до определенной степени гарантирует надежность финансовой отчетности организации. Хорошие результаты ИТ аудита в некоторых случаях позволяют проводить финансовый аудит в сокращенном варианте, экономя время и деньги клиентов.

Отвечая потребностям бизнеса, Американским Институтом Сертифицированных Публичных Бухгалтеров (American Institute of Certified Public Accountants (AICPA)) и Канадским Институтом Общественных Бухгалтеров (Canadian Institute of Chartered Accountants (CICA)) разработали стандарт SysTrust для проведения ИТ аудита, который является дополнением к финансовому аудиту. SysTrust позволяет финансовым аудиторам расширить область своей деятельности, путем использования простого и понятного набора требований для оценки надежности и безопасности ИС.

В стандарте SysTrust ИС оценивается в терминах ее доступности (Availability), безопасности (Security), целостности (Integrity) и эксплуатационной надежности (Maintainability).

Под доступностью традиционно понимается возможность ИС предоставлять информационные сервисы в любых режимах функционирования и при любых нагрузках, предусмотренных условиями ее эксплуатация, с задержками, не превышающими установленные требования.

Под безопасностью понимается защищенность ИС от физического и логического несанкционированного доступа. В качестве средств обеспечения безопасности в основном рассматриваются средства разграничения физического и логического доступа к ресурсам ИС.

Под целостностью понимается возможность ИС обеспечить сохранение таких свойств обрабатываемой в системе информации как полнота, точность, актуальность, своевременность и аутентичность.

Эксплуатационная надежность ИС определяется возможностью изменения конфигурации и обновления системы для обеспечения таких ее свойств как доступность, безопасность и целостность.

Критерии для оценки описанных четырех свойств ИС определены в документе «AICPA/CICA SysTrust Principles and Criteria for Systems Reliability, Version 2.0» (Принципы и критерии для оценки надежности систем).

В ходе сертификации по требованиям стандарта SysTrust (SysTrust engagement) аудитор оценивает соответствие ИС критериям доступности, безопасности, целостности и эксплуатационной надежности (SysTrust Principles and Criteria), проверяя наличие в системе необходимых механизмов контроля. Затем аудитор производит тестирование механизмов контроля с целью определения их работоспособности и эффективности. Если в результате тестирования подтверждается соответствие ИС критериям SysTrust, аудитор выпускает отчет по аттестации (unqualified attestation report). В отчете формулируется выводы относительно полноты и эффективности реализации руководством организации механизмов контроля в аттестуемой ИС. В дополнение к отчету по аттестации, аудитор готовит общее описание обследуемой ИС. Во многих случаях также готовится утверждение руководства организации (management"s assertion) относительно эффективности механизмов контроля, позволяющих обеспечить соответствие ИС критериям SysTrust. Обследование ИС и оценка ее соответствия критериям SysTrust производится в соответствии с «Руководством по Проведению Аттестации» (“Statement on Standards for Attestation Engagements (SSAE) No. 10, Attestation Standards, AT sec. 101"Attest Engagements"”.)

BSI\IT Baseline Protection Manual

Немецкий стандарт "Руководство по обеспечению безопасности ИТ базового уровня" (IT Baseline Protection Manual) разрабатывается Агенством Информационной Безопасность Германии (BSI - Bundesamt für Sicherheit in der Informationstechnik (German Information Security Agency).

Этот документ является пожалуй самым содержательным руководством по информационной безопасности и по многим параметрам превосходит все остальные стандарты. Приятен также тот факт, что этот ценнейший для аудитора источник информации имеется в свободном доступе в сети Интернет. В нем содержаться подробные руководства по обеспечению информационной безопасности применительно к различным аспектам функционирования ИС и различным областям ИТ.

Стандарт в настоящее время занимает три тома и содержит около 1600 страниц текста.

«BSI\IT Baseline Protection Manual» постоянно совершенствуется с целью обеспечения его соответствия текущему состоянию дел в области безопасности ИТ. К настоящему времени накоплена уникальная база знаний, содержащая информацию по угрозам и контрмерам в хорошо структурированном виде.

Практические стандарты SCORE и программа сертификации SANS/GIAC Site Certification

SCORE (Security Consensus Operational Readiness Evaluation) является совместным проектом института SANS и Центра безопасности Интернет (Center for Internet Security(CIS)). Профессионалы-практики в области информационной безопасности из различных организаций объединились в рамках проекта SCORE с целью разработки базового (минимально необходимого) набора практических стандартов и руководств по обеспечению безопасности для различных операционных платформ. Требования и рекомендации, предлагаемые для включения в стандарты, широко обсуждаются и проверяются участниками проекта SCORE, и только после их одобрения всеми участниками, передаются в CIS, который занимается их формализацией и оформлением, а также разрабатывает программные средства (minimum standards benchmarks) для оценки соответствия операционных платформ предложенным стандартам.

Разработанные базовые стандарты вместе с руководствами по обеспечению соответствия этим стандартам и средствами тестирования публикуются на Интернет сайте CIS.

Программа сертификации Интернет сайтов (GIAC Site Certification program), предложенная институтом SANS, позволяет организациям проводить аудит безопасности сегментов компьютерной сети, непосредственно подключенных к сети Интернет, в соответствии со стандартами SCORE.

Программа сертификации «GIAC Site Certification» определяет три уровня защищенности Интернет сайтов. На практике, в настоящее время, используются только первые два из них.

Сертификация сайта на первом уровне предполагает проверку внешних сетевых адресов организации, видимых из сети Интернет, на предмет уязвимости соответствующих хостов в отношении сетевых атак. На этом уровне должна быть обеспечена защита сайта от наиболее распространенных атак. Требуется отсутствие наиболее серьезных и часто встречающихся уязвимостей защиты. Предъявляются также определенные требования к уровню квалификации специалистов, отвечающих за обеспечение безопасности сайта.

На втором уровне требуется проведение всех проверок и соблюдение всех требований первого уровня, а кроме того требуется осуществлять периодический пересмотр политики и процедур обеспечения сетевой безопасности. Также на втором уровне производится проверка защищенности сайта от сетевых атак путем осуществления попыток проникновения и взлома систем, подключенных к сети Интернет.

На третьим уровне, помимо обеспечения соответствия всем требованиям второго уровня, требуется также регулярно проводить сканирование сети изнутри с целью защиты от угроз со стороны внутренних нарушителей, а также внешних злоумышленников, пытающихся преодолеть механизмы защиты внешнего периметра сети путем использования продвинутых методов, включая методы социального инженеринга.

От уровня к уровню ужесточаются требования, предъявляемые к квалификации специалистов, организационной структуре подразделений, занимающихся вопросами защиты, наличию формальных политик и процедур, а также строгости и глубине тестов, используемых для проверки механизмов защиты Интернет-сайта организации.

Выводы

Аудит представляет собой независимую экспертизу отдельных областей функционирования организации, проводимую по инициативе ее руководства или акционеров, либо в соответствии с планом проведения внутреннего аудита. Основными целями проведения аудита безопасности являются:

• анализ рисков, связанных с возможностью осуществления угроз безопасности в отношении ресурсов ИС;
• оценка текущего уровня защищенности ИС;
• локализация узких мест в системе защиты ИС;
• оценка соответствия ИС существующим стандартам в области информационной безопасности;
• выработка рекомендаций по внедрению новых и повышению эффективности существующих механизмов безопасности ИС.

Работы по аудиту безопасности ИС включают в себя ряд последовательных этапов:

• Инициирование обследования
• Сбор информации
• Анализ полученных данных
• Выработка рекомендаций
• Подготовка отчета по результатам обследования
• Подходы к проведению аудита безопасности могут базироваться на анализе рисков, опираться на использование стандартов информационной безопасности, либо объединять оба эти подхода.

В настоящее время имеется большое разнообразие как методов анализа и управления рисками, так и реализующих их программных средств. Некоторые из них были рассмотрены в настоящей статье.

Одним из наиболее мощных и универсальных инструментов, анализа рисков является метод CRAMM. Программное обеспечение CRAMM, помимо анализа и управления рисками, позволяет решать также и ряд других аудиторских задач, включая:

• Проведение обследования ИС и выпуск сопроводительной документации на всех этапах проведения обследования;
• Проведение аудита в соответствии с требованиями Британского правительства, а также стандарта BS 7799:1995 - Code of Practice for Information Security Management BS7799;
• Разработка политики безопасности и плана обеспечения непрерывности бизнеса.

Грамотное использование метода CRAMM позволяет получать хорошие результаты, наиболее важным из которых, пожалуй, является возможность экономического обоснования расходов организации на обеспечение информационной безопасности и непрерывности бизнеса.

Результатом проведения аудита, в последнее время, все чаще становится сертификат, удостоверяющих соответствие обследуемой ИС требованиям признанного международного стандарта. В настоящей статье рассмотрено несколько стандартов и программ сертификации, имеющих практическое значение.

Международные стандарты ISO17799 и ISO15408 служат основой для проведения любых работ в области информационной безопасности, в том числе и аудита. ISO17799 сосредоточен на вопросах организации и управления безопасностью, в то время как ISO15408 определяет детальные требования, предъявляемые к программно-техническим механизмам защиты информации.

Спецификация SysTrust в настоящее время достаточно широко используется аудиторскими компаниями, традиционно выполняющими финансовый аудит для своих клиентов и предлагающих услугу ИТ аудита в качестве дополнения к финансовому аудиту.

Немецкий стандарт «BSI\IT Baseline Protection Manual» является наиболее содержательным руководством по обеспечению безопасности ИТ и представляет несомненную практическую ценность для всех специалистов, занимающихся вопросами информационной безопасности.

Практические стандарты и руководства по обеспечению информационной безопасности, разрабатываемые в рамках проекта SCORE, ориентированны на технических специалистов и являются в техническом плане наиболее совершенными.

Программа сертификации Интернет сайтов по требованиям информационной безопасности и соответствующая спецификация «SANS/GIAC Site Certification», совсем недавно предложенная институтом SANS, безусловно, заслуживает внимания в связи с неизменно возрастающей актуальностью вопросов защиты ИС организаций от атак со стороны сети Интернет и увеличением доли соответствующих работ при проведении аудита безопасности.

Литература и ссылки

• ISACA Russia Chapter. CISA Exam Preparation Course. April-May 2001.
• CRAMM v.4.0 User’s Guide.
• What is CRAMM? http://www.gammassl.co.uk/topics/hot5.html
• SANS/GIAC Site Certification Program, http://www.sans.org/SCORE
• SysTrust Services, http://www.aicpa.org/assurance/systrust/index.htm
• Ernst&Young (CIS) Limited, Independent Accountant"s Report, https://processcertify.ey.com/vimpelcom2/vimpelcom_opinion.html
• BSI/IT Baseline Protection Manual, http://www.bsi.bund.de/gshb/english/menue.htm
• Александр Астахов. Анализ защищенности автоматизированных систем, GLOBALTRUST.RU, 2002 г.,

"МСФО и МСА в кредитной организации", 2010, N 1

Сегодня сложно представить успешную компанию, которая не использовала бы в своей деятельности информационные технологии. И компьютер может заключать в себе одновременно несколько активов: основное средство, нематериальные активы в виде программного обеспечения, систему управления, инструмент подготовки финансовой отчетности, риск и т.д. А потому аудит компьютерных систем в соответствии с международными стандартами является одним из наиболее сложных случаев аудита. В чем же заключаются возможные трудности?

Основные процедуры, которые необходимо соблюдать при проведении аудита в условиях использования компьютерных информационных систем, раскрыты в МСА 401 "Аудит в среде компьютерных информационных систем".

Объектом применения данного МСА компьютерные информационные системы являются, когда организация применяет компьютер любой модели или размера для обработки финансовой информации, существенной для аудита, независимо от того, используется ли компьютер этой организацией или третьей стороной. Общая цель и объем аудита в среде таких систем не меняются, однако их применение может повлиять на:

• процедуры, соблюдаемые аудитором в процессе получения достаточного представления о системах бухгалтерского учета и внутреннего контроля;
• анализ неотъемлемого риска и риска системы контроля, посредством чего аудитор оценивает риск;
• разработку и проведение аудитором тестов контроля и процедур проверки по существу, необходимых для достижения целей аудита.

Аудитор может отходить от требований МСА, но только обязательно аргументируя причины такого действия.

В разделе "Умение и компетентность" определены требования, предъявляемые к уровню подготовки и квалификации аудитора для такой работы, и степень его ответственности в случае делегирования полномочий помощникам или при использовании результатов работы, проведенной третьими лицами. Аудитор должен обладать достаточным знанием компьютерных систем, для того чтобы планировать, направлять, контролировать и проверять выполняемую работу.

Необходимость в специальных знаниях и взаимодействие с экспертом

Аудитор должен оценить необходимость применения специальных знаний об информационных системах для проведения аудита. Они могут понадобиться для:

• достаточного представления о системах бухгалтерского учета и внутреннего контроля, на которые влияет среда компьютерных информационных систем;
• определения влияния компьютерных систем на оценку общего риска, риска на уровне сальдо счетов и класса операций;
• разработки и проведения соответствующих тестов контроля и процедур проверки по существу.

Если необходимость в специальных знаниях есть, аудитор может обратиться за помощью к специалисту, который обладает такими знаниями и является либо работником аудиторской фирмы, либо приглашенным экспертом. Однако при этом он должен сохранять главенствующее положение. По отношению к эксперту оно проявляется в том, что эксперт оценивает только системы обработки информации, а аудитор - достоверность результатов полного анализа всей информационной архитектуры. Аудиторы не могут ни передавать, ни разделять с кем-либо (в т.ч. с экспертом) свою ответственность за выражение мнения о состоянии IT-системы и составленного на его основе аудиторского заключения. Более подробно этот вопрос освещен в МСА 620 "Использование работы экспертов".

Эксперт может быть привлечен на договорной основе клиентом или аудитором или являться сотрудником клиента или аудитора.

В соответствии с МСА 220 "Контроль качества аудита финансовой отчетности организации" при оценке способностей и компетентности эксперта, который является сотрудником аудиторской фирмы, аудитор должен полагаться на внутрифирменную систему контроля качества в отношении набора и подготовки персонала, что освобождает аудитора от необходимости оценивать способности и компетентность эксперта каждый раз при его привлечении к выполнению аудиторского задания.

Планируя использовать работу эксперта, аудитор должен оценить его профессиональную компетентность. Такая оценка включает следующие критерии:

• наличие у эксперта профессионального аттестата или лицензии либо членство в соответствующей профессиональной организации;
• наличие у эксперта опыта и репутации в той области, в которой аудитор проводит сбор аудиторских доказательств.

Аудитор должен также оценить объективность эксперта. Риск того, что эксперт будет не вполне объективен, увеличивается, если он является сотрудником клиента или связан с клиентом каким-либо иным образом, например является финансово зависимым от клиента или имеет инвестиции в его деятельность.

Если аудитор сомневается в компетентности или объективности эксперта, то ему необходимо обсудить с руководством любые сомнения на этот счет и вероятность получения достаточных надлежащих аудиторских доказательств в отношении работы эксперта. Аудитору могут потребоваться дополнительные аудиторские процедуры или аудиторские доказательства от другого эксперта.

При выдаче безоговорочно положительного аудиторского заключения аудитор не должен ссылаться на работу эксперта. Такая ссылка может быть принята за выражение аудитором мнения с оговоркой или за утверждение о разделении ответственности, что изначально не предполагается. Если же в результате работы эксперта аудитор принял решение о выдаче модифицированного аудиторского заключения, что может иметь место, то при разъяснении характера модификации целесообразно сделать ссылку на работу эксперта или описать ее в аудиторском заключении (включая указание на эксперта и степень его участия в аудиторском задании). В некоторых случаях аудитору может потребоваться получить от эксперта разрешение на включение такой ссылки в аудиторское заключение. Если в разрешении будет отказано, а аудитор полагает, что ссылка обязательна, то ему необходимо проконсультироваться у юриста.

Оценка возможностей учета с помощью информационной системы

В рамках аудита информационных систем аудитор должен проверить:

• принципы функционирования компьютерной информационной системы (способы организации, ввода, настройки, обновления данных);
• обеспечение архивирования и хранения данных;
• наличие специальных контрольных процедур для мониторинга функционирования среды компьютерной обработки данных;
• уровень программного обеспечения и наличие лицензий;
• соответствие применяемых алгоритмов требованиям нормативной документации по ведению учета и состоянию отчетности по основным автоматизированным расчетам (бизнес-процессам);
• возможности настройки (обновления) программного обеспечения для гибкого реагирования на изменения законодательства;
• возможности расширения функций имеющихся систем;
• степень информационной безопасности (ограничение несанкционированного доступа);
• общую информационную политику компании и ее планы по развитию системы информационных технологий.

Аспектам планирования аудита в среде компьютерных информационных систем посвящен раздел "Планирование". В нем отмечено, что аудитор должен получить представление о системах бухгалтерского учета и внутреннего контроля, достаточное для планирования аудита и разработки эффективного подхода к его проведению, руководствуясь МСА 400 "Оценка рисков и внутренний контроль". В данном разделе указаны условия, обусловливающие уровень сложности прикладной программы, которая предопределяет представление аудитора о значимости и сложности процессов функционирования информационных систем, а также о доступности данных для использования при аудите.

В соответствии с МСА 400 аудитору следует использовать свое профессиональное суждение для оценки аудиторского риска и разработки аудиторских процедур, способствующих снижению этого риска до приемлемо низкого уровня.

В качестве процедур контроля названы:

• отчеты, проверка и утверждение проведенных сверок;
• проверка арифметической точности записей;
• осуществление контроля над прикладными программами и средой компьютерных информационных систем, например, посредством контроля над изменениями компьютерных программ и доступа к файлам данных;
• ведение и проверка аналитических счетов и оборотных ведомостей;
• утверждение документов и контроль над ними;
• сравнение данных, полученных из внутренних источников, с данными внешних источников информации;
• сравнение результатов подсчета денежных средств, ценных бумаг и товарно-материальных запасов с бухгалтерскими записями;
• ограничение прямого физического доступа к активам и записям;
• анализ финансовых результатов и их сравнение с расходами, предусмотренными сметой.

При планировании стадий аудита, на которые могут повлиять информационные системы субъекта, аудитор должен получить представление о значимости и сложности процессов функционирования этих систем, а также о доступности данных для использования при аудите. Прикладная программа считается сложной, если, например:

• объем операций таков, что пользователям трудно выявить и исправить ошибки, допущенные в процессе обработки;
• компьютер автоматически генерирует существенные операции или проводки непосредственно в другой прикладной программе;
• компьютер выполняет сложные расчеты по финансовой информации и (или) автоматически генерирует существенные операции или проводки, которые не могут быть подтверждены либо не подтверждаются отдельно;
• обмен операциями с другими организациями осуществляется электронным способом и при этом не проводится физической проверки на предмет их правильности или приемлемости;
• невозможно отследить ответственность пользователя, производившего те или иные изменения в финансовой отчетности.

На степень риска также влияет факт незащищенности систем, контролирующих денежные расходы или другие ликвидные активы от мошеннических действий со стороны пользователей либо операторов компьютерных систем.

В данном случае аудитор может рекомендовать проанализировать, существует ли производственная необходимость в неограниченных правах сотрудников, обслуживающих информационную систему, и как организовать процесс управления изменениями и доступом. Он может порекомендовать протоколировать все действия пользователей, обладающих расширенными полномочиями, организовать аудит событий, чтобы была возможность однозначно установить ответственность сотрудника за действия в системе, и установить хронологию внесения изменений.

Оценка влияния информационной системы на аудит в целом

Если информационные системы играют значительную роль, аудитор должен получить представление о них и о возможности их влияния на оценку неотъемлемого риска и риска системы контроля. Согласно разделу "Оценка риска" аудитор должен оценивать неотъемлемый риск и риск системы контроля в отношении существенных утверждений, содержащихся в финансовой отчетности.

Это обусловлено тем, что неотъемлемые риски системы контроля в информационных системах могут оказывать как общее, так и локальное влияние на вероятность существенных искажений информации. Риски могут быть связаны с такими факторами в функционировании компьютерных систем, как разработка и эксплуатация программы, поддержка системного программного обеспечения, обеспечение физической защиты информационных систем, а также контроль над доступом к специализированным обслуживающим программам. Риски могут увеличить вероятность ошибок или мошенничества в конкретных прикладных программах, базах данных или главных файлах, а также при компьютерной обработке.

Несмотря на то что общая цель и объем аудита в IT-сфере не меняются, применение компьютеров может оказать влияние на характер аудиторских процедур, оценку аудиторских рисков, тесты контроля и процедуры проверки по существу. В связи с этим аудитор прежде всего должен рассмотреть, каким образом компьютер влияет на аудит.

В разделе "Процедуры аудита" отмечается, что аудитор должен учитывать компьютерные информационные системы при разработке аудиторских процедур с целью снижения аудиторского риска до приемлемо низкого уровня. Подчеркивается, что конкретные цели аудита не зависят от того, обрабатываются учетные данные вручную или на компьютере. Тем не менее на аудиторские процедуры могут оказывать влияние способы компьютерной обработки данных. Для получения достаточного количества доказательств аудитор может либо применять методы ручной обработки данных, либо обрабатывать данные на компьютере, либо использовать и то и другое. Однако в некоторых системах бухгалтерского учета аудитору невозможно или нелегко получить определенные данные для проверки, запроса или подтверждения без помощи компьютера.

Отдельного внимания заслуживает ситуация, когда в организации внедряется новая информационная система, это требует значительных средств и должно быть соответствующим образом отражено в отчетности. В таком случае в числе задач службы внутреннего аудита могут быть анализ результатов внедрения информационной системы, оценка эффективности различных этапов внедрения, степень соответствия ожиданиям руководства.

Самым сложным, длительным и трудоемким этапом проверки является сквозное тестирование внедренной учетной системы. Группе аудиторов необходимо не только проверить, насколько работа системы соответствует заданным алгоритмам, полноту и корректность учетных данных, но и оценить уровень программного контроля подтверждения (согласования) документов в системе, определяющего иерархию ответственности и адекватное разграничение полномочий. Кроме того, необходимо определить степень автоматизации учетных процессов, чтобы минимизировать дополнительные трудозатраты, связанные с ручным контролем. В процессе тестирования службой внутреннего аудита оценивается также совершенство системы автоматического контроля некорректных действий в учетной системе (неподтвержденных, фальсифицированных данных, ошибок ручного ввода), что позволяет снизить финансовые риски. В системе должны быть организованы периодические сверки, анализы данных и отчетов, чтобы выявить возможные отклонения.

Вопросам надежности и безопасности системы в ходе проверки также уделяется значительное внимание. Недостатки в организации контроля доступа к системе выявляются посредством специализированных аудиторских процедур - периодического анализа прав пользователей на предмет их избыточности, системного подхода к разделению полномочий с помощью ограничения доступа к бизнес-функциям.

На заключительном этапе проверяются пользовательская документация и процесс управления документацией, неактуальность которой, особенно в случае внедрения новой системы, может привести к снижению эффективности и оперативности работы пользователей, а также затруднит проведение адекватного анализа рисков и снизит уровень качества контроля в процессе управления проектом.

Аудит IT-сферы помимо проверки компьютерных систем включает и аудит локальных сетей, используемых организацией.

Влияние электронной торговли на аудит финансовой отчетности

Использование Интернета для связи коммерческой организации с потребителем, партнерами и правительством приводит к возникновению новых элементов риска, которым подвержена деятельность организации и которые рассматриваются аудитором при планировании и проведении аудита финансовой отчетности. При таком аудите специалистам нужно пользоваться Положением по международной аудиторской практике 1013 "Электронная торговля: влияние на аудит финансовой отчетности".

Уровень знаний и навыков, необходимых для понимания того, как электронная торговля влияет на аудиторскую проверку, зависит от сложности коммерческой деятельности компании. Аудитор рассматривает, обладают ли сотрудники, назначенные на задание, соответствующими знаниями в области интернет-бизнеса и информационных технологий.

Эти знания могут потребоваться, чтобы:

• определить степень влияния на финансовую отчетность:

стратегии и деятельности юридического лица в сфере электронной торговли;

технологии, используемой организацией для электронной коммерции, а также IT-навыков и знаний персонала организации;

рисков, возникающих при использовании организацией электронной коммерции, и методов управления такими рисками;

• определить характер, временные рамки и объем аудиторских процедур, а также оценить аудиторские доказательства;
• рассмотреть степень влияния электронной торговли на способность организации непрерывно функционировать.

Здесь также аудитор может использовать работу эксперта, например, когда необходимо проверить уязвимость системы безопасности организации или возможность проникновения в нее. Если аудитор решил использовать работу эксперта, ему следует получить достаточное и уместное аудиторское доказательство того, что такая работа адекватна целям аудиторской проверки.

В процессе получения информации о бизнесе организации аудитор должен рассмотреть влияние на финансовую отчетность:

• коммерческой деятельности организации и отрасли, в которой она функционирует;
• стратегии электронной торговли организации;
• степени использования электронной торговли;
• внешних мероприятий (использование услуг организаций, например поставщиков прикладных систем и т.д.).

Руководство организации сталкивается со многими рисками, связанными с электронной торговлей, включая:

• потери операционной целостности информационной системы;
• распространяющиеся риски безопасности электронной торговли, включая вирусные атаки и потенциальные потери в случае мошенничества клиентов, служащих и других лиц через неправомочный (неавторизированный) доступ;
• неадекватную учетную политику организации, связанную с капитализацией расходов (например, затраты на развитие веб-сайта), недоразумениями в сложных договорах, переводом иностранных валют, созданием резервов на гарантии или возвраты и с проблемами признания дохода;
• несоблюдение правил налогообложения и других законодательных и нормативных требований, особенно в случаях, когда интернет-сделки проводятся за границу;
• отсутствие гарантии обязательности контрактов, заключенных только электронными средствами;
• слишком большую уверенность в электронной торговле при размещении информации в Интернете;
• сбои и "аварии" в системе и инфраструктуре.

Организация реагирует на бизнес-риски, возникающие в электронной торговле, путем создания инфраструктуры безопасности, связанных с ней средств контроля и разработки соответствующих мер:

• проверки идентичности клиентов и поставщиков;
• получения гарантии целостности сделок;
• получения соглашений на условия сделки;
• получения оплаты и обеспечения средств обслуживания кредита для клиентов;
• установления секретности и защиты информационных протоколов.

Аудитор должен рассмотреть, соответствуют ли целям финансовой отчетности контрольная среда и процедуры контроля, которые организация применяет в деятельности по электронной торговле. Нужно обратить внимание, что электронные операции не оформляются бумажными записями, а электронные записи могут быть легко уничтожены или изменены, причем доказательств изменения или уничтожения не останется. Аудитор рассматривает, является ли безопасность информационной политики организации и средств контроля безопасности соответствующей, позволит ли она предотвратить неправомочные изменения в системе учета и составления отчетности или в системах обеспечения данных учета.

Аудиторское заключение

Аудитор может проверить автоматизированный контроль, например целостность электронного доказательства, электронные печати данных, цифровые подписи. В зависимости от оценки этого контроля он может выполнить дополнительные процедуры, например провести подтверждение операций или остатков на счете с третьими лицами.

Аудиторское заключение по проекту внедрения дает целостную картину процесса, позволяющую оценить состояние дел на текущем этапе, перечень недостатков, несоответствий, возможных рисков и включает рекомендации по их устранению. Заключение позволит руководителям оценить качество внедрения, возможности системы, приоритетность планируемых задач и выбор дальнейшей стратегии развития.

Аудиторское заключение представляется в виде "Наблюдение - Риски (возможные последствия) - Рекомендации (желательные и необходимые мероприятия)". По результатам проверки составляется подробное заключение по всем существенным вопросам:

• оценка степени автоматизации и настройки учетных процессов;
• адекватность контрольных процедур;
• анализ однородности и совместимости системных решений;
• анализ рисков, связанных с внедрением новых информационных систем;
• ошибки и несоответствия в автоматизированных системах;
• мониторинг работоспособности и производительности информационных систем, реакция и действия в критических ситуациях;
• вопросы сохранности информации и восстановления данных;
• оценка качества информационной безопасности (организация и управление ролями и полномочиями в компьютерных информационных системах, парольная политика, аудит событий и действий пользователей, контроль несанкционированного доступа);
• структура ролей в IT-отделе и степень зависимости безопасности компании от кадров данного отдела, оценка квалификации сотрудников и процесс поддержания полноты и актуальности базы знаний в данной области, мотивация персонала с целью снижения риска потери ценных кадров, обладающих реальным практическим опытом.

В заключение стоит сказать, что специфические правила аудита компьютерных систем обозначены также в МСА 1001 "Использование среды КИС (компьютерных информационных систем) - автономных компьютеров", МСА 1002 "Использование среды КИС - интерактивных компьютерных систем", МСА 1003 "Использование среды КИС - систем баз данных", МСА 1008 "Оценка рисков и системы внутреннего контроля в системах КИС и связанные с ними вопросы".

О.Г.Попова

Налоговый консультант

Новые информационные технологии в последние годы начинают применяться в аудиторской деятельности. Компьютер становится инструментом аудитора, позволяющим ему не только сократить время и средства для проведения аудита, но и провести более детальную проверку и составить качественное аудиторское заключение с рекомендациями по стратегии, направлениям и средствам улучшения финансово-хозяйственного положения предприятия.

Автоматизация бухгалтерского учета и других управленческих функций предприятия, с одной стороны, и автоматизация аудита, с другой, в корне меняют проведение аудита на конкретном объекте. Стали различать аудит вне компьютерной среды, т.е. на объекте с традиционной технологией ручного ведения учета, и аудит в компьютерной среде – на объекте, где бухгалтерский учет выполняется с использованием компьютеров. Сам аудит может также проводиться без использования компьютеров и с их помощью.

Проведение аудита в компьютерной среде имеет ряд отличий, вытекающих из особенностей компьютерной обработки данных. Основные принципы самого аудита здесь не меняются. Сохраняются его цели, задачи, действуют общепринятые стандарты. В то же время международные нормативы аудита требуют от аудитора, проводящего проверку в компьютерной среде, иметь представление о техническом и программном обеспечении компьютеров, а также о системах обработки данных.

Аудитор должен принять во внимание особенности организации и ведения компьютерного учета. Он должен учесть, что данные хранятся в базах данных, что база данных бухгалтерских проводок является основой для получения по запросу любого учетного регистра и в любой последовательности. База данных в компьютерных системах учета может быть децентрализована, частично или полностью централизована. В многопользовательском режиме по-разному реализуется интеграция данных для составления отчетности. Ряд операций, таких как начисление процентов, закрытие счетов, определение финансового результата, может инициироваться компьютером и, следовательно, по ним отсутствуют какие-либо санкционирующие их документы. Ошибка, заложенная в алгоритм расчета и примененная многократно к повторяющимся хозяйственным операциям, может исказить результат хозяйственной деятельности. Баланс, например, может сходиться в рублях и не сходиться в тысячах рублей из-за ошибки в округлении. В системах компьютерного учета, как правило, заложен контроль процедур ввода, обработки и вывода данных. Компьютерные системы более открыты для доступа к данным, поэтому в каждой их них четко разграничиваются полномочия и права доступа к информации, а также введена система защиты и контроля от несанкционированного доступа.

Только перечисление этих, далеко не полных особенностей автоматизированного ведения учета, подчеркивает, что на первом этапе любой аудиторской проверки существенное место должно быть отведено изучению системы компьютерного учета, так как она играет основную роль в осуществлении контрольных функций. При этом следует изучить уровень автоматизации каждой из задач бухгалтерского учета, методы обработки данных, доступность данных, определение мест наиболее вероятного возникновения ошибок и рассмотреть процедуры их выявления и устранения.

Аудитор должен выявить слабые места контроля системы компьютерного учета. Следует рассмотреть как аппаратные, так и программные средства контроля. В многопользовательских сетевых системах объектом внимания должен быть контроль передачи данных, средства контроля доступа к данным. Столь пристальное внимание аудитора к вопросам контроля в компьютерной среде объясняется тем, что он не в состоянии проконтролировать все аспекты деятельности организации и потому часть задач может быть возложена на внутрифирменный контроль. Однако для этого следует оценить риск неэффективности системы внутреннего контроля и определить общий риск аудиторской проверки. Лишь после этого аудитор может установить набор и глубину аудиторских процедур, которые предстоит выполнить на проверяемом объекте.

Аудиторская проверка, как было сказано выше, может быть выполнена без компьютера и с его использованием. Аудиторские инструменты в последнем варианте подразделяются на аудиторские программы и проверочные данные, которые вводятся в систему обработки в целях сопоставления полученных данных с предварительно установленными.

Список задач выполняемых аудиторскими программами достаточно широк. Они выполняют проверку и анализ записей на основе критериев их качества, полноты, состоятельности и правильности; тестируют выполнение расчетов; сопоставляют данные различных файлов в целях выявления несопоставимых данных; при проведении выборочного аудита с их помощью можно получить представительную выборку; они незаменимы как способ доступа к данным, которые хранятся только в машинной форме, позволяют быстро производить упорядочение, группировку, переформатирование данных.

Программное обеспечение для проведения аудиторских проверок представлено двумя видами программ: пакетные программы и целевые программы. Пакетные программы – это комплекс программ общего назначения, обеспечивающих выполнение широкого спектра функций обработки и анализа данных, включая подготовку и печать отчетов. С помощью программ пакета возможно создать имитационную модель обработки данных, способную реагировать на все предусмотренные аудитором варианты ошибок. Целевые программы составляются для выполнения аудиторских заданий в определенных ситуациях. Эти программы подготавливаются аудиторамиили организацией-клиентом по согласованию с аудиторской фирмой.

Поскольку достаточно часто проводится выборочный аудит, то в аудиторских программах реализуются статистические методы. Функции регрессионного анализа, анализа временных рядов, сглаживания введены в табличные процессоры (Excel, Lotus 1-2-3 и др.) и именно это сделало их столь популярными среди аудиторов. Однако при проведении достаточно сложных расчетов аудиторами используются специализированные статистические пакеты общего назначения. Они реализуют набор различных статистических методов, позволяют выполнять обмен с наиболее распространенными СУБД, имеют возможность графического представления данных, удобный для пользователя интерфейс. В настоящее время наиболее популярны из них Mathematics, Statistics, Quick, Statgraphics.

Для внешнего и внутреннего аудита достаточно широко используются системы автоматизации финансового анализа.

В аудите используются также текстовые редакторы, справочно-правовые базы данных, программы управления электронным документооборотом, бухгалтерские программы и их отдельные модули.

В настоящее время некоторыми аудиторскими фирмами разрабатываются специальные информационные системы, ориентированные на внутреннюю регламентацию аудиторской деятельности с применением внутрифирменных стандартов. Рассмотрим их возможности на примере системы "Ассистент Аудитора", разработанной фирмой "Сервис-Аудит".

Система "Ассистент Аудитора" фирмы "Сервис-Аудит". Данная разработка представляет собой профессиональную информационно-справочную систему, интегрируемую в информационно-поисковую систему (ИПС) "Кодекс". Она предназначена для аудиторских фирм, частнопрактикующих аудиторов, а также фирм и предприятий, стремящихся повысить эффективность работы служб внутреннего аудита и финансово-экономических служб. За счет интеграции в ИПС "Кодекс", "Ассистент Аудитора" позволяет проводить поиск необходимых материалов всеми возможными методами, которые в ней реализован (тематический поиск, контекстный поиск, поиск по наименованию, виду и типу документа и т.д.).

Система "Ассистент аудитора" позволяет систематизировать выполнение аудиторских процедур, начиная с предварительного изучения клиента и заканчивая оформлением аудиторского заключения, сформировать ряд рабочих документов необходимых для документирования аудита, что позволяет осуществлять эффективный контроль качества аудиторских проверок, а также обеспечить аудитора (бухгалтера, экономиста) справочным материалом по широкому спектру вопросов бухгалтерского учета, налогообложения и финансового анализа.

Система состоит из четырех условно независимых тематических разделов.

Раздел "Планы и программы аудита" содержит бланки документов, которые следует формировать до того, как подписан договор на проведение аудита, образцы договоров на различные виды аудиторских услуг, бланки и образцы документов, формируемых на этапе планирования аудиторской проверки и составления программы аудита, а также методические материалы, которые могут использоваться для разработки внутрифирменных стандартов аудиторской фирмы. Анкеты-вопросники, входящие в этот раздел, могут использоваться не только аудиторскими фирмами. Используя их, службы внутреннего аудита или финансово-экономические службы предприятия могут провести тестирование системы внутреннего контроля и организации бухгалтерского учета.

Раздел "Рабочие документы аудитора" содержит анкеты-вопросники по различным участкам бухгалтерского учета. Они призваны помочь при выполнении аудиторских процедуры и тестировании отдельных разделов бухгалтерского учета на предприятии. Также в этот раздел включены методические материалы, призванные помочь в подготовке и оформлении заключения по итогам аудиторской проверки.

Раздел "Консультант аудитора" содержит справочные таблицы по вопросам бухгалтерского учета, налогообложения, финансового анализа деятельности предприятий, а также оформленные в виде таблиц нормативы, ставки, индексы, используемые для расчетов показателей отдельных хозяйственных операций, сумм налогов.

Раздел "Основные нормативные документы" носит справочный характер и включает основные законодательные и нормативные ведомственные акты, регулирующие аудиторскую деятельность и порядок ведения бухгалтерского учета.

Базы данных системы "Ассистент Аудитора" представляют собой набор аудиторских процедур, оформленных в виде анкет-вопросников, бланков, рабочих карт, методик, справочных таблиц. Большая часть документов, включенных в базы данных, является оригинальными авторскими разработками, созданными специалистами с большим практическим опытом аудита. Информационные ресурсы ИС "Ассистент Аудитора" постоянно пополняются, обновляются, актуализируются в соответствии с изменениями в законодательной и нормативной базе по аудиту и бухгалтерскому учету.

Вопросы для самоконтроля

1. Раскройте обособленности проведения аудита в среде компьютерного ведения бухгалтерского учета.

2. Как подразделяется аудиторские инструменты при проведении аудиторских проверок с использованием программных средств?

3. Перечислите некоторые из задач, которые могут быть выполнены аудиторскими программами.

4. Какие виды программ используются при проведении аудиторских проверок?

5. Приведите пример специализированной системы автоматизации аудита и дайте ее характеристику.