Информация – это важный ресурс, стоимость которого сопоставима с материальными активами. Именно поэтому на каждом предприятии есть служба информационной безопасности, которая следит за сохранностью важных данных. Одной из задач службы является аудит использования данных.
Целью аудиторской проверки является защита данных от удаления, искажения и утечки. Чтобы реализовать эту цель, сотрудники службы информационной безопасности:
В задачи аудита также входит комплексная проверка использования данных, их достоверности и актуальности. Это необходимо для того, чтобы при проведении финансового анализа и планирования использовались только достоверные и актуальные данные, а доступ к ним имели только избранные сотрудники.
В процессе проведения аудита данных, которые используются для составления финансовой отчетности, аудитор получает доступ ко всей документации предприятия на бумажных и электронных носителях. Досконально изучить такой объем информации сложно. Поэтому распространенная практика при проведении аудита – выборочная проверка документов.
Аудитор делает выборку, руководствуясь важностью документов и их ролью в составлении финансовой отчетности. Также его действия регламентируются установленным законодательством стандартом аудиторской деятельности. Этот нормативный акт определяет задачи аудита, методы его проведения и этические нормы, которых должен придерживаться аудитор.
Чтобы убедиться в достоверности информации на электронных носителях аудитор проводит аудит баз данных. Это позволяет ему отследить изменения в файлах, которые могут привести к искажению результатов финансовой отчетности. В этом случае цели и задачи работы аудитора совпадают с целями и задачами работы службы информационной безопасности, так как с помощью аудита баз данных выявляются случаи несанкционированного использования информации.
Информационная система – это комплекс программ и аппаратного обеспечения, предназначенный для хранения, обработки и передачи данных. В информационной системе предприятия хранится вся информация о его деятельности, включая данные, которые являются предметом коммерческой тайны. Поэтому в задачи службы информационной безопасности входит регулярное проведение аудиторской проверки информационной системы. Ее основной целью является контроль состояния данных и сохранение их в безопасности.
В рамках аудита информационной системы обеспечивается:
Аудиторская проверка информационной системы позволяет ответить на все вопросы аудитора:
Таким образом, с помощью аудиторской проверки информационной системы можно оценить эффективность информационной системы и проконтролировать использование данных всеми пользователями, включая пользователей с правами администратора. Для проведения такого аудита применяют специальные программы.
Аудиторская проверка информационной системы включает пять этапов:
1. Разработка плана анализа информационной системы.
2. Инвентаризация аппаратного обеспечения и установленных программ.
3. Сбор информации о состоянии информационной системы, ее администрировании и сопровождении.
4. Анализ собранной информации, оценка преимуществ и недостатков системы, расчет потенциальных рисков.
5. Подготовка отчета о проведенном аудите с выводами о необходимых мерах по устранению выявленных недостатков. Также в отчете обычно упоминают случаи несанкционированного использования данных и действия пользователей, несущие потенциальную угрозу важным данным.
Большая часть коммерческих и государственных предприятий использует в работе разные версии операционной системы Windows. В этой ОС есть штатные, то есть встроенные программы для аудита. С помощью этих программ можно отслеживать создание и удаление файлов, их чтение и изменение.
Чтобы воспользоваться штатными средствами аудита Windows, необходимо ввести в строке поиска меню «Пуск» фразу «Локальная политика безопасности» и запустить найденную программу. В открывшемся окне следует найти и открыть вкладку «Конфигурация расширенной политики аудита». В ней будут перечислены параметры, которые можно настроить.
Встроенные программы аудита позволяют создавать списки разграничительного контроля доступа (DACL). С помощью DACL определяются права доступа к информации, а именно права на чтение, копирование, удаление и изменение файлов. При этом все действия пользователей отражаются в специальных регистрах – журналах учета. Изучение этих регистров позволяет выявить пользователей, которые совершали несанкционированные действия.
Существует два основных недостатка штатных средств аудита:
1. В журнале учета Windows отражается каждое событие. Это значит, что при большом количестве активных пользователей выявить нарушителя достаточно сложно.
2. Пользователи с правами системных администраторов могут вносить изменения в журнал учета, удаляя часть событий либо весь архив. Таким образом возникает угроза информационной безопасности компании.
Кроме этого, существенным недостатком можно считать ограниченный функционал и недостаточно удобный алгоритм работы со штатными средствами аудита. Из-за этого большинство государственных и коммерческих предприятий использует дополнительное ПО.
Программы для аудита информационной системы обладают широким функционалом, позволяющим:
В список таких программ входят:
Естественно, это неполный список программ, которые используются для проведения аудиторской проверки информационной системы. На каждом предприятии сотрудники информационной безопасности самостоятельно определяют, какое ПО лучше подойдет для реализации целей и задач аудита. А крупные корпорации разрабатывают собственное ПО, которое позволяет учитывать все нюансы деятельности компании и обеспечивать максимальный уровень информационной безопасности.
Анализ информации, которая хранится в файловой системе предприятия, помогает провести «СёрчИнформ FileAuditor».
В Российской Федерации аудиторская деятельность регламентируется «Стандартом проведения проверки в условиях компьютерной обработки данных». Правила, перечисленные в стандарте, носят рекомендательный характер. Однако большинство аудиторских компаний так или иначе его придерживаются, так как перечисленные в нем требования логичны и обоснованы.
Так, при проведении аудита с целью проверки достоверности финансового учета аудитор может столкнуться с незнакомым программным обеспечением. В данном случае, руководствуясь стандартом аудиторской деятельности, аудитор должен отказаться от проведения аудита, так как его некомпетентность может привести к негативным последствиям.
Приведем простой пример. На большинстве российских коммерческих и государственных предприятий отчетность ведется в разных версиях программы 1С. Поэтому для большинства аудиторов использование 1С в работе не является сложной задачей. А вот если бухгалтерский модуль на предприятии встроен в EBR Oracle, то аудитор может не суметь собрать все необходимые данные для проведения аудита.
Чтобы между аудитором и руководством предприятия не возникало конфликтов на почве выбора ПО для ведения учета, стандарт аудиторской деятельности гласит, что аудитор не имеет права настаивать на выборе какого-то конкретного ПО для ведения учета. Таким образом предприятия законодательно защищены от неэтичных действий аудиторов.
«Стандарт…» также предусматривает защиту аудитора от неправомерных действий руководства предприятия. Так, ограничение доступа к информационной системе и хранящихся в ней данных с точки зрения закона рассматривается как препятствие к проведению проверки. В этой ситуации аудиторы имеют право затребовать всю необходимую информацию на бумажных носителях.
«Стандарт…» был одобрен 22 января 1998 года и с тех пор практически не изменился. Поэтому в российском законодательстве пока не обозначено, могут ли проверяющие организации использовать для проведения аудита данные, взятые из открытых источников: публикаций в интернете, информации с официального сайта компании и т.д. Чтобы объективно и правильно ответить на этот вопрос, следует обратить внимание на законодательную практику других стран.
Так, в США действует система учета GAAP, предусматривающая использование информации из открытых источников для проведения проверок.
Согласно правилам проведения проверок отчетности в рамках GAAP, данные из открытых источников можно использовать для проведения аудита, но только при соблюдении ряда правил:
Также для аудиторской проверки можно использовать информацию о судебных процессах, сделках, партнерах, собственниках, руководителях и сотрудниках компании, опубликованную в интернете. Эту информацию можно применять как для оценки рисков при формировании отчета о результатах проведенной проверки, так и в самом аудите.
Приведем пример. На компанию подал в суд бывший сотрудник с требованием о выплате компенсации. Уведомление о проведении судебного заседания не пришло по адресу либо не было получено юристом компании. В результате этого, так как ответчик не явился в суд, заседание прошло без участия представителя компании, и требование истца было удовлетворено. Соответственно, выставленная претензия должна быть отражена в бухгалтерской отчетности как кредиторская задолженность. Но так как решение суда представителям компании неизвестно, бухгалтерия не отразила эту претензию в отчетности. В этом случае использование данных из открытого доступа позволяет аудиторам найти ошибки в учете.
Несанкционированное использование информации, которая относится к коммерческой тайне, может привести к негативным последствиям. В случае с аудиторской проверкой аудитор получает доступ к такой информации, а потому должен соблюдать правила информационной безопасности. В частности, при проведении аудита нужно использовать такое ПО, которое не позволит приглашенному специалисту похитить важную информацию.
Использование важных данных работниками предприятия, его руководителями и проверяющими организациями должно контролироваться сотрудниками информационной безопасности. Только в этом случае можно обеспечить защиту этих данных от искажения, утечки или уничтожения.
12.10.2020
Подпишитесь на нашу рассылку и получите
свод правил информационной безопасности
для сотрудников в шуточных