суббота, 17 апреля 2010 г.

Мое выступление на Международном Банковском "CIO форум" в Ялте

Выступал вчера на Международном Банковском "CIO форум" в Ялте. Тема "Роль CIO в построении системы управления информационной безопасности банка"

Материалы тут

воскресенье, 11 апреля 2010 г.

Достаточно ли аудита ИТ и ИБ в рамках финансового аудита?

При общении с руководством различных компаний на вопрос: "Проводится ли у Вас регулярный аудит информационной безопасности?", получаешь ответ: "Конечно - ежегодный внешний аудит".  И в большинстве случаев выясняется, что это были процедуры в рамках аудита финансовой отчетности. При этом руководство компании уверено, что проведенных процедур достаточно, чтобы получить картину о текущем состоянии ИТ и информационной безопасности. Так ли это на самом деле? И вообще, зачем аудиторам смотреть на информационную безопасность и ИТ в рамках финансового аудита?!? Обратим свой взор на  требования международных стандартов аудита (ISA). В частности, стандарт ISA 315 «Изучение предприятия и его окружающей среды и оценка рисков существенного искажения финансовой отчетности» говорит:
41. Аудитор должен изучить внутренние контроли предприятия, которые относятся к аудиту. (…)
 43. Внутренние контроли согласно данному стандарту состоят из следующих компонентов:
(a) Контрольная среда.
(b)  Процесс оценки рисков предприятия.
(c)  Информационные системы и коммуникации, включая сопутствующие бизнес-процессы, относящиеся к финансовой отчетности.
(d) Контрольные процедуры.
(e)  Мониторинг контролей.

Получается, что ИТ и безопасность к финансовому аудиту отношение имеет. Но достаточно ли тех процедур, которые выполняют аудиторы?
Во-первых, охват процедур. Рассматриваются только те системы, которые имеют отношение к финансовой отчетности, да и то не все, а те в которых аудиторы собираются полагаться на контроли в системе либо на данные из системы, да и то не все. Почему? Долго описывать. Если в двух словах – аудиторская методология позволяет провести процедуры разными способами. В некоторых случаях быстрее закрыть риски альтернативными процедурами, чем тестировать ИТ-контроли.
Во-вторых, полнота процедур. Оцениваются только те риски, которые могут привести к существенному искажению финансовой отчетности. Соответственно, многие  информационные риски остаются «за кадром».
Таким образом, рекомендации по ИТ и информационной безопасности, которые получает руководство компании, является побочным продуктом аудиторских процедур. Безусловно полезно получить за те же деньги два продукта (подтверждение финансовой отчетности и рекомендации по улучшению ИТ и информационной безопасности), но полноценного тестирования эффективности работы информационной безопасности такой продукт не заменит.

понедельник, 5 апреля 2010 г.

Вот и я пополнил стройные ряды графоманов.

Ничего не поделаешь - в наш переполненный информацией век даже трехлетние дети пытаются сбрасывать накопившиеся мысли в блоги. А если нет своего блога - можно сделать пост  на блоге родителей. Так что родители - будьте бдительны, чтобы ваше чадо не приняли за хакера.