ЛЕКЦИЯ №13.

ТЕМА 10. ПОНЯТИЕ АУДИТА БЕЗОПАСНОСТИ. КОНЦЕПЦИЯ АУДИТА БЕЗОПАСНОСТИ ИС РОССИИ. ТРЕБОВАНИЯ К АУДИТОРАМ. СТАНДАРТИЗАЦИЯ В ОБЛАСТИ АУДИТА БЕЗОПАСНОСТИ ИС.

Аудит ИБ – это вид деятельности, заключающийся в сборе и оценке фактов ,касающихся функционирования технологий и осуществления ИБ, независимым лицом. Направлен на снижение до приемлемого уровня информационного риска. Вместе с тем А. обеспечивает не только проверку достоверностей показателей защищенности, но и разработку рекомендации по повышению эффективности защиты.

Цель А: решение конкретной задачи, в которой определяются системой нормативного регулирования аудиторской деятельности, договорными обязательствами аудитора и клиента. Аудиторами могут являться, как лицензированные частные лица, предоставляющие услуги по обеспечению ИБ, так федеральные службы.

Целями А могут быть:

1. Проверка достоверности документации.

2. Проведение анализа деятельности и подготовка рекомендаций по повышению качества представляемых услуг.

3. Проверка качества обеспечиваемой ИБ и так далее.

Действующая в РФ система нормативного регулирования аудиторской деятельности включает 3 основных уровня:

1. указы президента РФ, постановления правительства РФ и другие законодательные акты, призванные обеспечить эффективное функционирование А.

2. стандарты аудиторской деятельности.

3. методики, инструкции, положения, и другие документы, составляемые с целью разъяснения стандартов оказания помощи в их технической реализации и выработки способов выполнения аудита. Эти документы разрабатываются, как самими аудиторскими фирмами, так и федеральными службами, чтобы обеспечить единый подход к проведению проверок и контролю их результата в целом.

Аудиторские стандарты - формируют единые базовые требования к качеству и надежности аудита, и обеспечивает определенный уровень гарантии результатов.

Основная цель АС обеспечить всех А и пользователей, их услуг единообразным пониманием основных принципов и целей аудита.

Стандарты служат основанием для оценки качества проведения аудита и определения меры ответственности аудиторов при недобросовестном выполнении проверки.

Все стандарты рассматриваются и утверждаются на заседаниях комиссии по аудиторской деятельности при президенте РФ.

Существует 39 стандартов аудита разделенные на 3 группы:

1. Общие стандарты - представляют собой свод профессиональных требований относительно квалификации аудитора в независимости точки зрения аудитора, по вопросам выполняемой работы.

2. Стандарт проведения аудиторской проверки.

3. Стандарт составления отчета.

Виды аудита:

1. внешний - проводится независимой аудиторской фирмой с целью объективной оценки, достоверности качества имеющегося уровня ИБ.

2. внутренний - его цель: оценка эффективности функционирования системы. Достигается в процессе контроль со стороны специального органа.

Различия между внешним и внутренним аудитом вытекают из их основных задач. Если основной задачей внутреннего аудита является подготовка информационных материалов о состоянии данного объекта ИС, то задачей внешнего является подготовка соответствующего заключения о соответствии методов по повышению уровня ИБ.