- •Аудит информационно-коммуникационных систем и процессов государственного управления, осуществляемых с их использованием
- •Раздел 1. Сокращения и термины 3
- •Раздел 2. Институты информационного контроля и аудита 5
- •Раздел 3. Внедрение независимого информационного аудита 24
- •Раздел 1. Сокращения и термины
- •1. Используемые сокращения
- •2. Основные понятия и определения
- •Раздел 2. Институты информационного контроля и аудита
- •1. Актуальность проблем информационного контроля и аудита в эг
- •2. Объекты информационного контроля и аудита
- •3. Границы мандата аудитора
- •4. Контролируемые требования и критерии для государственных икт-систем
- •5. Система контроля и аудита икт-систем
- •5.1. Внутренний контроль.
- •5.2. Внешний контроль.
- •5.3. Независимый аудит
- •5.4. Единство системы контроля и аудита
- •6. Независимость частного информационного аудита
- •7. Методики информационного аудита
- •7.1. Планирование аудита.
- •7.2. Проведение обследования
- •7.3. Обработка и оценка собранной информации.
- •7.4. Подготовка и обсуждение выводов аудита
- •7.5. Подготовка и предоставление аудиторского заключения и рекомендаций
- •Раздел 3. Внедрение независимого информационного аудита
- •1. Подходы к созданию института независимого аудита
- •2. «Легализация» информационного аудита
- •3. Модели регулирования и саморегулирования аудиторов и аудиторских организаций
- •3.1. Свобода доступа на рынок
- •3.2. Регулирование допуска к информации с ограниченным кругом доступа
- •3.3. Стандартизация информационного аудита
- •3.4. Страхование ответственности
- •3.5. Конкурсная закупка услуг для нужд государства
- •3.6. Свод мер регулирования
- •3.6. Саморегулирование
- •4. Модель применения информационного аудита
3. Модели регулирования и саморегулирования аудиторов и аудиторских организаций
3.1. Свобода доступа на рынок
Оптимальным способом регулирования в любом сегменте экономической деятельности является свободная рыночная конкуренция. Сектор информационного аудита не является исключением. Свободный выбор заказчиком аудита из числа конкурирующих предложений гарантирует заказчику приемлемое для него соотношение цены и качества предлагаемых услуг. На свободном рынке компетентность потенциальных исполнителей может быть подтверждена независимой сертификацией, в том числе международных профессиональных сообществ или саморегулируемых организаций, а также деловой репутацией и историей компании.
Оказание услуг информационного аудита государственных ИКТ-систем не связано с угрозами для жизни или здоровья людей, и несёт ограниченную опасность для имущества граждан и организаций (в основном в части нарушения режимов распространения информации с ограниченным кругом доступа, содержащихся в этих системах). Наличие конкуренции, возможность профессиональной сертификации услуг аудиторов, возможность страхования ответственности позволяют отказаться от такой жёсткой модели регулирования информационного аудита, как лицензирование.
Следует отметить, что информационный аудит ИКТ-систем частных компаний не является предметом настоящей Концепции, в настоящее время такой аудит не является обязательным, и предлагаемая модель регулирования к такому аудиту отношения не имеет.
Предлагается разрешить осуществление информационного аудита государственных ИКТ-систем как специализированным организациям, для которых данная деятельность является основной, так и организациям, совмещающей деятельность по информационному аудиту с услугами в сфере финансового аудита, финансового и управленческого консалтинга, разработки и интеграции компьютерных систем и приложений, а также в иных сферах деятельности. Налагать ограничения на совмещение информационного аудита с иными видами деятельности нецелесообразно.
К информационному аудиту могут быть также допущены и аудиторы - частные лица, осуществляющие свою профессиональную деятельность как предприниматели без образования юридического лица. Такой вид частной профессиональной деятельности нуждается в законодательном закреплении, поэтому расширение круга информационных аудиторов за счёт включения в него частных лиц, работающих как предприниматели, целесообразно осуществлять на более поздних этапах внедрения института информационного аудита.
На первом этапе для аудиторских организаций предлагается устанавливать ограничения на допуск к осуществлению аудита ИКТ-систем, используемых в процессах государственного управления, исключительно в связи с требованиями охраны информации, отнесённой к одному из видов информации с ограниченным кругом доступа.
3.2. Регулирование допуска к информации с ограниченным кругом доступа
Основной риск, нуждающийся в регулировании со стороны государства, состоит в допуске информационного аудитора к государственным ИКТ-системам, содержащим информацию информации с ограниченным кругом доступа. Круг доступа к определённым видам информации (государственной тайне, коммерческой тайне, персональной информации и т.п.) может быть ограничен законодательно, при этом государство имеет обязанности по охране такой информации, если она находится в государственных ИКТ-системах. В связи с наличием этой обязанности, государство вправе устанавливать дополнительные требования к организациям, осуществляющим информационный аудит таких систем. Такие требования должны быть предусмотрены законодательством, устанавливающим информационные режимы для информации с ограниченным кругом доступа.
Требования к аудиторам в связи с допуском к информации с ограниченным кругом доступа должны быть публичными, не носить запретительного характера, их выполнение должно быть проверяемо. Организациям, желающим принимать участие в конкурсах, или иным способом оказывать услуги информационного аудитора государственных ИКТ-систем, должна быть предоставлена возможность получения допуска для своих сотрудников к выполнению для заказчиков аудита работ по аудиту систем, содержащих информацию с ограниченным кругом доступа.
Если при конкурсном отборе аудиторов для проведения аудита ИКТ-систем не получено предложений от аудиторских организаций, имеющих право доступа к информации аудируемой ИКТ-системой, должна быть рассмотрена возможность проведения информационного аудита в части, не предполагающей доступ к ограниченной информации.
При невозможности назначения аудитора для проведения обязательного аудита информации с ограниченным кругом доступа предлагается возложить обязанность проведения аудита в части, связанной с получением такой информации на аудиторов Счётной палаты (внешний контроль).
Требование наличия допуска не должно применяться в случае заказа гражданином за свой счёт аудита исключительно информации о себе (персональных данных) в любой государственной ИКТ-системе, и аудита действий, предпринятых в отношении этой информации. При заказе такого аудита гражданин самостоятельно определяет, доверяет ли он аудиторской организации свою персональную информацию.