Поэтому в каждой компании, которая будет пользоваться услугами удаленных аудиторов, должна быть разработана документация по информационной безопасности. Рассмотрим принципы составления последней.
Защиту информационной системы невозможно решить без грамотно разработанной документации по информационной безопасности — Политики безопасности. Именно она помогает, во-первых, убедиться в том, что ничто важное не упущено из виду, и, во-вторых, установить четкие правила обеспечения безопасности. Только всесторонняя и экономически целесообразная система защиты будет эффективной, а сама информационная система в этом случае — защищенной. [22]
Главным документом в области обеспечения безопасности в соответствии с ISO 27 002 является Политика безопасности. Именно она закладывает основу обеспечения и управления информационной безопасностью компании. Разберем, как действует Политика безопасности.
Доступ к информационным активам компании может предоставляться сотрудникам компании, а также клиентам, подрядчикам и другим посторонним лицам (в нашем случае — удаленным аудиторам). Следовательно, пользователями Политики безопасности являются все те, кто имеют доступ к информационным активам компании, и от деятельности кого зависит обеспечение безопасности информации компании.
Одним из основных принципов эффективного обеспечения безопасности является вовлеченность руководства в этот процесс. Это важно, в первую очередь, для того, чтобы все сотрудники понимали, что инициатива обеспечения безопасности исходит не от специалистов по информационной безопасности, а от топ-менеджмента компании. Кроме этого, учитывая тот факт, что в настоящее время обеспечение информационной безопасности интересует клиентов и партнеров компании, подпись ее главного лица на основополагающем документе по информационной безопасности будет гарантировать, что компания серьезно относится к информационной безопасности и пользоваться предоставляемыми ею услугами неопасно. Следовательно, содержание политики безопасности должно излагаться от имени руководства компании.
В документе политики безопасности следует описать цели и задачи информационной безопасности, а также ценные активы компании, которые требуют защиты. Целями обеспечения информационной безопасности, как правило, является обеспечение конфиденциальности, целостности и доступности информационных активов, а также обеспечение непрерывности ведения бизнеса компании.
Задачами обеспечения информационной безопасности являются все действия, которые необходимо выполнить для достижения поставленных целей. В частности, необходимо решать такие задачи, как анализ и управление информационными рисками, расследование инцидентов информационной безопасности, разработка и внедрение планов непрерывности ведения бизнеса, повышение квалификации сотрудников компании в области информационной безопасности и пр.
Ценные активы компании можно описать, например, так: «Положения настоящей Политики безопасности распространяются на все виды информации, хранящиеся или передающиеся в компании. В том числе, на информацию, зафиксированную на материальных носителях или передающуюся в устной или визуальной форме».
Основные принципы управления ИБ сводятся к следующему.
В политике безопасности необходимо описать важность процесса управления информационной безопасностью, а также основные этапы функционирования данного процесса.
Система управления информационной безопасностью, построенная в соответствии с ISO 27 001, предназначена для комплексного управления информационной безопасностью, а также для поддержания в актуальном и эффективном состоянии систем защиты информации. В Политике безопасности следует описать процесс разделения обязанностей по управлению и обеспечению безопасности, а также механизмы контроля над исполнением процедур обеспечения и управления безопасностью, возложенных на сотрудников компании.
Кроме этого, следует описать основные этапы процессного подхода к обеспечению безопасности как основы эффективного управления. В частности, каждая процедура системы управления информационной безопасности должна последовательно проходить этапы жизненного цикла: планирование, внедрение, проверка эффективности, совершенствование. Важно отметить, что эффективный процесс управления невозможен без тщательного документирования всех процедур — правильность и контролируемость выполнения процедуры зависит именно от наличия четко сформулированных правил ее выполнение. Кроме этого, важно определить, каким образом будет контролироваться эффективность функционирования всех процедур системы управления информационной безопасностью. В частности, следует описать правила ведения записей, подтверждающих выполнение процедур.
Организационная структура имеет следующий вид.
С целью формализации процесса управления информационной безопасностью в компании требуется создание организационной структуры, которую необходимо описать в Политике безопасности.
В компании должны быть специалисты, непосредственно осуществляющие деятельность по управлению безопасностью — например, обучающие сотрудников компании, разрабатывающие критерии для оценки эффективности, планирующие мероприятия по управлению безопасностью и пр. Однако, кроме этого, учитывая тот факт, что процесс управления инициируется руководством компании и именно руководство его контролирует, следует создать рабочую группу по управлению информационной безопасностью. В рабочую группу, как правило, входят руководители различных подразделений компании. В обязанности группы входит утверждение документов по информационной безопасности, разработка и утверждение стратегии управления рисками, контроль выполнение процедур системы управления информационной безопасностью, оценка эффективности функционирования системы управления информационной безопасностью.
Основные подходы к управлению информационными рисками.
Эффективная и экономически целесообразная система защиты информации строится на основе анализа информационных рисков. Без осознания того, что необходимо защищать и в какой степени, вряд ли удастся обеспечить требуемый уровень безопасности. Этот постулат требует своего отражения в Политике безопасности, как основа разработки системы обеспечения и управления безопасностью.
Кроме этого, следует описать основные принципы анализа и управления информационными рисками компании. В частности, отражаются следующие процедуры анализа и управления рисками — инвентаризация и категорирование информационных активов компании, аудит защищенности информационной системы, определение информационных рисков, определение уровня приемлемого риска, а также стратегии управлении рисками. Необходимо обратить особое внимание на то, что анализ информационных рисков — это регулярный процесс, который требуется выполнять с заданной периодичностью.
Рассмотрим подробнее, что представляют собой информационные риски в условиях дистанционного аудита.
Информационный риск представляет собой возможное событие, в результате которого несанкционированно удаляется, искажается информация, нарушается ее конфиденциальность или доступность. При проведении дистанционного аудита, проблема информационных рисков довольно актуальна, поскольку вся отчетность компании находится в электронном виде. Данный факт может привести к возникновению рисков в системе бухгалтерского учета и внутреннего контроля. Эти риски связаны с концентрацией функций управления (приводят к тому, что может быть утрачено эффективное функционирование системы учета и контроля) и концентрацией данных и программ для их обработки (приводят к возможности утери информации и несанкционированного доступа к ней).
Процедуры записи учетных данных могут привести к отсутствию первичных документов (появляется риск отсутствия разрешения на совершение операции, визирования на бумажных носителях), невозможности наблюдения за разноской учетных данных (возникает риск потери промежуточных данных при обновлении хранящейся информации, отсутствия бумажных регистров бухгалтерского учета), доступ к базе данных и программам компьютерных информационных систем несанкционированных пользователей (появляется риск несанкционированных бухгалтерских записей и изменения данных);
В процедурах бухгалтерского учета могут появиться специфические черты: заданность (возникает риск отсутствия своевременной перенастройки при изменяющихся внешних условиях), автоматический контроль (появляется риск невозможности проследить результаты обнаружения и исправления ошибок), однократный ввод информации в несколько файлов (возникает риск увеличения влияния ошибки бухгалтерской информации сразу по нескольким счетам), операции внутри компьютерной системы или автоматические записи (риск появления несанкционированных записей, которые сложно обнаружить при отсутствии специальных регистров и документов), трудности в обеспечении сохранности записей (возникает риск утраты информации, хранящейся только в электронном виде).
Основные требования к обеспечению ИБ.
В Политике безопасности требуется кратко описать все процедуры системы обеспечения и управления информационной безопасностью. В частности, следует отметить такие процедуры, как контроль доступа к информационным активам компании, внесение изменений в информационную систему, взаимодействие с третьими лицами, повышение квалификации сотрудников компании в области информационной безопасности, расследование инцидентов, аудит информационной безопасности, обеспечение непрерывности ведения бизнеса и прочее.
В описании каждой процедуры необходимо четко определить цели и задачи процедуры, основные правила выполнения процедуры, регулярность или сроки выполнение процедуры.
Как вариант составления процедуры обеспечения безопасности можно рассмотреть описание процедуры контроля доступа к информационным ресурсам компании: «В целях обеспечения конфиденциальности, целостности и доступности информационных активов в компании применяется процедура контроля доступа. Доступ пользователей к информационным активам компании предоставляется только на основе производственной необходимости. Использование информационных активов компании в личных целях запрещено. Для каждого пользователя создается уникальная учетная запись с назначенными правами доступа. Все права доступа пользователей к информационной системе компании документально зафиксированы в матрице доступа. Контроль назначения прав доступа осуществляется на всех этапах доступа пользователей к информационным активам, начиная с регистрации нового пользователя и вплоть до удаления учетной записи пользователя информационной автоматизированной системы. Пересмотр прав доступа пользователей осуществляется регулярно не реже двух раз в год или в случае изменения должностных обязанностей пользователя. Требования и рекомендации к процессу управления доступом пользователей к информационной системе компании изложены в „Инструкции по управлению доступом к информационным активам“».
В Политике безопасности требуется описать ответственность сотрудников компании за обеспечение и управление информационной безопасностью. Обязанность обеспечения безопасности возложена на всех сотрудников компании, а также — в соответствии с договором — на сторонних пользователей (в том числе на удаленных аудиторов), имеющих доступ к информационным активам компании. Обязанность управления информационной безопасностью возложена на руководство компании.
Пересмотр Политики безопасности.
Естественно, что вместе с изменениями в информационной системе компании, которые могут происходить достаточно часто, требуется вносить коррективы в систему управления информационной безопасностью, а также в Политику безопасности как документированное отражение основных правил работы системы управления. Следовательно, необходимо предусмотреть период пересмотра Политики безопасности. Данный раздел Политики безопасности может быть изложен, например, следующим образом:
«Положения Политики безопасности требуют регулярного пересмотра и корректировки не реже одного раза в полгода. Внеплановый пересмотр Политики безопасности проводится в случае:
внесения существенных изменений в информационную автоматизированную систему компании;
возникновения инцидентов информационной безопасности.
При внесении изменений в положения Политики безопасности Компании учитываются:
результаты аудита информационной безопасности;
рекомендации независимых экспертов по информационной безопасности".
Политика безопасности, по сути, является каркасом, объединяющим все остальные документы, регламентирующие обеспечение и управление информационной безопасностью. Следовательно, при описании процедур системы управления информационной безопасностью следует указывать ссылки на документы, в которых требования к процедуре изложены подробно.
Таким образом, в Политике безопасности описываются все необходимые требования к обеспечению и управлению информационной безопасностью, структура управления безопасностью, а также обязанности и ответственность за обеспечение безопасности. В результате следования Политике безопасности и сопутствующим документам по обеспечению и управлению безопасности, защищенность информационной системы компании достигнет требуемого уровня, сотрудники компании будут осознавать свою роль и вовлеченность в процесс обеспечения безопасности. И, как следствие, требуемые информационные активы будут доступны в необходимые моменты времени, изменения будут вноситься только авторизованными пользователями, а конфиденциальность не будет нарушаться.
Далее непосредственно рассмотрим компьютерную систему, использующую ролевое разграничение доступа, позволяющую выполнять аутентификацию пользователя, безопасную синхронизацию конфиденциальных данных, разграничение доступа пользователей при работе с изменяемой информацией на удаленном компьютере автоматизированной системы, управляемой с сервера в головной организации. [18]
При проведении аудита удаленных филиалов распределенных организаций выдвигаются, как уже было сказано выше, повышенные требования к защите информации, особенно в случае слабой пропускной способности или низкого качества каналов связи. Для защиты информации обычно используются многофакторная идентификация и аутентификация пользователя для его авторизации в системе [32], [27], [24]. Тонкую настройку разграничения уровней доступа к конфиденциальной информации обычно реализуют на основе ролевого разграничения доступа [17], [16]. Однако в случае смены пользователей и их ролей резко возрастает опасность компрометации ценной информации. Кроме того, остается нерешенным вопрос об оперативном изменении и синхронизации конфиденциальных данных, относящихся к пользователю.
В данном случае рассматривается компьютерная система, использующая ролевое разграничение доступа, свободная от указанных недостатков. Такая система позволяет решать следующие задачи:
аутентификация пользователя;
безопасная синхронизация конфиденциальных данных;
разграничение доступа пользователей при работе с частично изменяемой информацией на удаленном компьютере автоматизированной системы, управляемой с сервера в головной организации.
Предлагаемая компьютерная система (рис. 1) [18] состоит из сервера (включенного в локальную сеть головной организации), связанного с удаленными подсетями филиалов организации при помощи компьютерной сети. Поскольку дополнительных требований безопасности к сети связи не предъявляется, это может быть сеть Интернет. Сервер хранит базу данных с учетными записями пользователей (логины и пароли), а также список доступных пользователям ролей. Такую базу данных назовем базой данных пользователей и ролей, а информацию, отнесенную к одному пользователю, выступающему в текущей роли, назовем текущей записью пользователя.
На этапе загрузки операционной системы, на клиентском компьютере происходит синхронизация базы данных пользователей и ролей. Для этого используется модифицированный протокол rsync [49], работающий в защищенном режиме с использованием криптографических методов при обмене информацией [16]. Главная изменяемая администратором безопасности база данных пользователей и ролей филиала расположена на сервере головной организации.
На клиентский компьютер по защищенному каналу передаются лишь изменения, внесенные на сервере головной организации. Возможность изменения базы данных пользователей и ролей в филиале исключается.
Ролевое разграничение доступа реализовано на основе пакета RSBAC (Rule Set Based Access Control), в частности, с использованием его модуля RC, определяющего правила ролевого разграничения доступа [16]. Использование такой системы приводит к тому, что на клиентском компьютере пользователь может авторизоваться, только если ему разрешено в это время находиться в данном филиале по своим служебным обязанностям (ограничение по времени) и только с той ролью, что соответствует хранящейся в базе данных пользователей и ролей.
Процедура аутентификации пользователя на автоматизированном рабочем месте происходит следующим образом. Сотрудник, роль которого подходит, чтобы воспользоваться ресурсами данного автоматизированного рабочего места в режиме аудита, подключает свой USB FLASH. В этом случае происходит чтение идентификатора и пароля FLASH-устройства, который сверяется с извлеченным из синхронизованной базы данных пользователей и ролей. При успешном окончании этой операции система просит пользователя выполнить дополнительную процедуру аутентификации с клавиатуры путем ввода пароля пользователя, что исключает компрометацию идентификатора на USB FLASH-устройстве, в том числе вследствие его утраты.
Разметку USB FLASH-устройства проводит администратор безопасности при помощи специализированной утилиты сервера единовременно при создании нового пользователя.
Успешная аутентификация пользователя приводит к авторизации его в системе. При этом пользователю становится доступна лишь защищенная папка на компьютере. В ней могут сохраняться введенные с клавиатуры документы. После авторизации и в процессе завершения сеанса работы в системе происходит синхронизация этой защищенной папки с информацией в базе данных на сервере головной организации. Процедура выполняется во временных рамках, заданных расписанием работы пользователя [16]. Временные рамки задаются указанием даты и времени начала и конца, соответственно, легитимности текущей записи пользователя и являются частью такой записи в базе данных пользователей и ролей. При первом разрешенном входе пользователя защищенная папка создается, вне временных рамок при старте системы защищенная папка удаляется.
Предложенная защищенная компьютерная система, включающая сервер головной организации и набор автоматизированных рабочих мест пользователя в каждом удаленном филиале, позволяет повысить надежность защиты часто изменяемой информации и представляется эффективной для проведения аудита филиалов в распределенной организации.
Затронув вопрос об информационной безопасности компаний при проведении дистанционного аудита, мы столкнулись и с вопросом о необходимости проведения IT-аудита. Поскольку при проведении дистанционного аудита требуется хорошо налаженная система информационной безопасности в компании, то в компании должен проводится и IT-аудит. В заключение параграфа скажем несколько слов о проведении IT-аудита.
В реальности существует два вида IT — угроз для информационных систем:
внешняя (удаленная запись разговора со стекла окон, снятие информации через локальную сеть и Интернет);
внутренняя (несанкционированное копирование баз данных предприятия с помощью флэш-накопителей и CD/DVD — дисков, проникновение в серверную, установка клавиатурных шпионов и «троянов», перехват электронной почты и т. д.)
Для защиты от внешней угрозы, как правило, уже имеются проверенные программно-аппаратные средства: антивирусы и файерволлы, электронные ключи, генераторы шума и детекторы «подслушки».
При правильной их эксплуатации они достаточно эффективно противостоят внешним вторжениям. А вот борьба с несанкционированным доступом внутри предприятия — это в большей степени вопрос ограничения доступа к информации (путем адекватной настройки политик безопасности в операционной среде и пользовательских приложений), понимания психологии людей и социальной инженерии. Для профилактики и предупреждения отказов информационных систем, необходим анализ всех рисков предприятия или IT — аудит.
Дадим определение понятию IT — аудит.
IT — аудит — это процесс получения упорядоченных и «относительно» достоверных данных о текущем состоянии информационных систем на предприятии. Целью аудита — является контроль над степенью защиты от внутренних и внешних угроз.
Для проведения аудита информационных систем принято использовать международный стандарт ISO 27 001:
2005, включающий в себя предварительный анализ документации по информационной безопасности [7−10], ее обработку, анализ уязвимостей каждого компонента системы, тестирование эффективности мер по минимизации ИТ — угроз и выработка рекомендаций в форме отчета.
Например, аудит расчетно-кассовых операций и бухгалтерии включает в себя не только проверку доступа к системе, но и контроль над наличием всей правильно оформленной документации на этот доступ за подписью руководителя.
Следует отметить, что одним из этапов тестирования на возможность несанкционированного проникновения является — имитация действий злоумышленника (общеизвестно, что часто западные, а сегодня и отечественные компании берут на работу бывших «хакеров» для повышения безопасности или тестирования надежности своих систем защиты).
Аудит защищенности информационных систем. [13]
Необходимость проведения мероприятий по аудиту возникает в ситуациях, когда:
существует вероятность, что информационная система предприятия не обеспечивает должного уровня защиты бизнеса и производственного процесса;
проводится автоматизация документооборота и внедрение ERP и CRM (финансовых) систем;
покупатель информационной системы требует ее независимой оценки состояния безопасности;
При этом различают следующие разновидности IT — аудита:
периодический независимый внешний аудит (необходимый по законодательству);
периодический внутренний аудит (по инициативе руководства или службы ИТ предприятия);
специальный аудит Наиболее простым видом аудита — является, как ни странно, обычное сканирование ресурсов предприятия на наличие уязвимостей, что позволяет выявить большинство известных «дыр» в информационных системах и получить подробные рекомендации по их устранению. Недостатком же данного вида контроля — является то, что наиболее серьезные угрозы, могут быть не замечены при просмотре отчета сканера, поскольку сканирование осуществляется удаленно и не затрагивает содержимое на локальной машине. А это могут быть, например — пароли доступа к бухгалтерии или электронной почте, рабочие чертежи строительных проектов, что составляет значительный интерес для конкурентов.
Как уже упоминалось, при проведении проверки, имитация взлома информационной системы проводится на двух уровнях: внешнем (через корпоративную сеть) и внутреннем (непосредственно на рабочих местах пользователей). Что в конечном итоге позволяет выявить не только большую часть угроз, но и выявить критически важные узлы в системе, требующие дополнительной информационной защиты.
Аудит с применением методов социальной инженерии.
Пожалуй, из всех методов проверки особняком стоит — аудит с применением методов социальной инженерии. Он заключается в осуществлении попыток получить конфиденциальную информацию у сотрудников предприятия с помощью обмана или психологического давления.
Как правило, аудиторы, не афишируя о проведении проверки, связываются с сотрудниками по электронной почте, телефону или ICQ и пытаются получить интересующую информацию. Нередки случаи, когда удается получить удаленный доступ к внутренним ресурсам предприятия путем якобы «письма от службы поддержки». Данные о самих сотрудниках были получены из бухгалтерских документов в свободном доступе, а путем анализа конфигурации сети даже удалось узнать, где находится каждый из них и какое ПО установлено на рабочих местах.
Вообще, иногда компетентность службы ИТ предприятия находится под очень большим вопросом, так как при аудите удается не только перехватывать целевой трафик, но и путем простейшей подмены MAC и IP адреса вволю пользоваться «чужим Интернетом». А удаленный процесс с именем системного сервиса позволяет управлять файлами на таких машинах. Причем установить его не составляет труда, т.к. при установке лицензионной операционной системе администратор ставил на всех машинах одинаковые пароли доступа на учетную запись.
К сожалению, немногие знают, что идентификация пользователя по уникальному MAC адресу сетевого устройства (назначенному производителем оборудования) очень легко «ломается» например, утилитой «MacMakeUp», осуществляющей перепрошивку внутреннего адресного пространства ПЗУ. [13]
Таким образом, наиболее эффективным является комплексный аудит, включающий в себя все перечисленные виды проверок и тестирования, так как только он позволяет дать оценку защищенности информационной сети предприятия.
В заключение следует отметить, что при сертификации информационной системы предприятия на соответствие ISO 27 001:
2005, аудит может проводиться только теми специалистами, которые не были вовлечены или задействованы при создании системы безопасности этого же предприятия, что позволит избежать влияния чьих-либо интересов.
ЗАКЛЮЧЕНИЕ
Дипломная работа была посвящена исследованию дистанционного аудита. Подводя итоги всему вышеизложенному, можно сделать следующие выводы.
Дистанционный аудит предоставляет возможность внутренним аудиторам адаптировать имеющиеся технологии к изменяющейся информационной среде. Непрерывный аудит удаляет ограничение выбора времени проверки, дистанционный аудит удаляет ограничение местоположения. Проведение дистанционного аудита может заставить аудиторов переосмыслить способ, которым выполняется аудит и способ, которым аудиторская группа будет формироваться и управляться.
В дополнение к требованиям мотивации и технологическим потребностям дистанционного аудита, реинжиниринг процессов аудита играет центральную роль. От перебалансировки и переназначения действий аудиторской деятельности к осуществлению всеобъемлющей аналитики, многие вопросы аудита сохраняются в отношении реинжиниринг процесса. В некоторых случаях дистанционный аудит зависит от переразработки бизнес-процессов непосредственно.
Отметим возможные препятствия, которые могут иметь место при внедрении непрерывного аудита.
Препятствия к внедрению непрерывного аудита можно разделить на два вида: технические и организационные.
Технические препятствия обусловлены, прежде всего, сложностью разработки подобных систем и высокими требованиями к обеспечению их безопасности. Последнее особенно важно, поскольку интерактивный обмен внешнего аудитора с КИС аудируемой организации идет, как правило, посредством использования сети Интернет, которая сегодня еще не достаточно защищена от несанкционированного доступа. Существующий недостаток соответствующих мер безопасности при использовании сети Интернет может препятствовать широкому использованию ее для передачи финансовых отчетов и других данных, необходимых для осуществления дистанционного аудита. При проведении непрерывного аудита большое значение имеет также обеспечение надежной защиты используемых файлов, строгое соблюдение стандартов и норм безопасности данных.
Вместе с тем, прогресс в развитии информационных технологий, широкомасштабные (за рубежом) исследования в области автоматизации аудита позволяют сделать вывод, что технические препятствия к внедрению непрерывного аудита будут в ближайшее время преодолены.
Кроме технических, основные препятствия к внедрению непрерывного аудита, связаны во многом, с опасением аудируемой организации, что проведение такого аудита сделает деятельность организации слишком «прозрачной», позволит легко выявлять промахи руководства и некачественную работу персонала. Большинство аргументов, приводимых против внедрения непрерывного аудита (таких, например, как «привязанность» к существующей системе автоматизированного бухгалтерского учета), вызваны, в первую очередь, этими опасениями. Также непрерывный аудит требует, чтобы внешние аудиторы имели прямой доступ к информационным системам аудируемой организации. Предоставление такого доступа требует высокого уровня доверия между внешним аудитором и аудируемой организацией.
Такой фактор, как подготовка кадров для бухгалтерского персонала аудируемой организации не имеет существенного значения, поскольку эксплуатация системы непрерывного аудита практически мало чем отличается от эксплуатации обычной системы автоматизированного бухгалтерского учета. Большое значение этот фактор имеет для службы внутреннего контроля, а также для аудиторской организации, осуществляющей внешний аудит, поскольку комплект инструментальных средств для обработки информации, предоставляемой непрерывным аудитом, как правило, включает различные информационные и сетевые инструменты, позволяющие получать, обрабатывать и сохранять результаты непрерывного аудита.
Несомненно, переход к непрерывному аудиту — процесс не без препятствий, требующий нового мышления относительно контроля и аудита и их роли в совершенствовании деятельности аудируемой организации. Вместе с тем, этот переход несет аудируемой организации целый ряд выгод: более короткий контрольный цикл, увеличенная гибкость управления, настраиваемые отчеты и доклады для клиентуры и третьих лиц, сокращение затрат, связанных с аудитом. Для органов государственного аудита и аудиторских фирм использование технологии непрерывного аудита позволяет существенно расширить масштаб их деятельности и ее информационную обеспеченность, больше посвящать свои ресурсы аналитической работе, другим услугам.
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ Федеральный закон от 30.
12.2008 № 307-ФЗ «Об аудиторской деятельности» // Собрание законодательства РФ, 05.
01.2009, № 1, ст. 15.
Лимская декларация руководящих принципов контроля. // Контролинг, № 1, 1991.
Правило (Стандарт) аудиторской деятельности «Аудит в условиях компьютерной обработки данных» (одобрено Комиссией по аудиторской деятельности при Президенте РФ 22.
01.1998
Протокол № 2) // Аудиторские ведомости, № 3, 1998.
Правило (стандарт) аудиторской деятельности «Проведение аудита с помощью компьютеров» (одобрено Комиссией по аудиторской деятельности при Президенте РФ 11.
07.2000
Протокол № 1) // Аудиторские ведомости, № 10, 2000.
Правило (стандарт) аудиторской деятельности «Оценка риска и внутренний контроль. Характеристика и учет среды компьютерной и информационной систем» (одобрено Комиссией по аудиторской деятельности при Президенте РФ 11.
07.2000
Протокол № 1) // Аудиторские ведомости", № 10, 2000
Международные стандарты аудита и Кодекс этики профессиональных бухгалтеров (1999). — М.: МЦРСБУ, 2000. — 699 с.
Классификация автоматизированных систем и стандартные функциональные профили защищённости обрабатываемой информации от несанкционированного доступа НД ТЗИ 2.5−005−99
Общие положения по защите информации в компьютерных системах от несанкционированного доступа НД ТЗИ 1.1−002−99
Критерии оценки защищенности информации в компьютерных системах от несанкционированного доступа НД ТЗИ 2.5−004.
ГТК Р 015. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации Аксененко А. Ф. Аудит: современная организация и развитие // Бухгалтерский учет, № 4, 1992.
Аренс А., Лоббек Дж. Аудит. // Пер. с англ. Я. В. Соколов. — М.: Финансы и статистика, 1995. — 560 с.
Бадло С. IT угрозы и аудит информационных систем. Режим доступа: [
http://academy.kz]
Бадло С. Информационная безопасность. Защита буфера обмена. — DIGITAL KAZAKHSTAN, Астана, 2008, № 10, с.48
Белуха Н. Т. Аудит. — Киев: Знания; КОО, 2000.
Головин А. В. Реализация модели ролевого разграничения доступа для автоматизированного рабочего места пользователя / А. В. Головин, В. В. Поляков, В. П. Каракулин // Известия Алт
ГУ (Барнаул). — 2009. — № 1. — c. 91−92.
Головин А. В. Частично контролируемая компьютерная система для критическихприложений / А. В. Головин, В. В. Поляков, В. П. Каракулин // Известия Алт
ГУ (Барнаул). — 2007. — № 1. — c. 52−54.
Головин А.В., Поляков В. В., Лапин С. А. Ролевое разграничение доступа для автоматизированного рабочего места пользователя при оперативном удаленном управлении конфиденциальной информацией // Доклады ТУСУРа, № 1 (21), часть 1, июнь 2010.
Джек К. Роберртсон. Аудит. — М.: KPMG, АФ «Контакт», 1993. — 496 с.
Додж Р. Краткое руководство по стандартам и нормам аудита. // Пер. с англ.: предисловие С. А. Стукова. — М.: Финансы и статистика; ЮНИТИ, 1992. — 240 с.
Камыишнов П. И. Практическое пособие по аудиту. — М.: Инфра-М, 1996.
Куканова Н. Политика безопасности делает систему защиты эффективной // Интернет издание о высоких технологиях: CNews: аналитика, 2007 // Режим доступа: [
http://www.cnews.ru/reviews/free/security2007/articles/policy.shtml]
Лабынцев Н. Т., Ковалева О. В. Аудит: теория и практика. — М.: ПРИОР, 2000.
Мещеряков Р. В. Специальные вопросы информационной безопасности / Р. В. Мещеряков, А. А. Шелупанов. — Томск: ИОА СО РАН, 2003. — 224 с.
Мышьякова Л. С. Разработка методики аудита на основе теории жизненного цикла организации. // Проблемы современной экономики, № 4 (28), 2008.
Налетова И.А., Слободчикова Т. Е. Аудит. — М.: ФОРУМ: ИНФРА-М, 2005. — 176 с.
Омельянчук А. М. Усиленные алгоритмы в системах доступа особо важных объектов // Системы безопасности. — 2005. — № 2. — c. 116−120.
Подольский В. И. Аудит. — 4-е изд., перераб. и доп. — М.: ЮНИТИ-ДАНА, 2010.
Соколова Е.С., Ситнов А. А. Международные стандарты аудита. — М.: МФПА, 2004. — 54 с.
Шешукова Т.Г., Городилов М. А. Аудит: теория и практика применения международных стандартов. — М.: Финансы и статистика, 2005. — 184 с.
Шлейников В. И. Непрерывный аудит: перспективы, выгоды и затраты внедрения, применение в бюджетной сфере. // Аудит и финансовый анализ, № 1, 2007.
Шрамко В. Н. Комбинированные системы идентификации и аутентификации // PCWeek / RE. — 2004. — № 45 [Электронный реcурс]. — Режим доступа: [
http://daily.sec.ru/dailypblshow.cfm?rid=5&pid=12 928&pos=4&stp=25&cd=13&cm=4&cy=2010], свободный (дата обращения: 21.
05.2010).
Колин М. Н. Что такое удаленный аудит? // [Режим доступа:
http://www.irca.org/inform/issue26/CMacNee.html]
Alles M.A., A. Kogan, and M.A. Vasarhelyi. Principles and Problems of Audit Automation as a Precursor to Continuous Auditing, working paper. Working paper, Rutgers Accounting Research Center, Rutgers Business School. — 2010.
A rmbrust, M., A. F ox, R. G riffith, A. J
oseph, R. K atz, A. K
onwinski, et al. 2009. A bove the clouds: a Berkeley view of cloud computing. EECS D epartment, University of California, Berkeley, Tech. R ep.
UCB/EECS-2009;28, 07−013.
Cho, V. A study on the impact of organisational learning to the effectiveness of electronic document management systems. International Journal of Technology Management 50(2). — 2010. — 182−207.
Deakin, E. Distributions of financial accounting ratios: some empirical evidence. Accounting Review 51(1). — 1976. — 90−96.
DeYoung, L. Hypertext challenges in the auditing domain. Proceedings of the second annual ACM conference on hypertext. — 1989. — 180.
E llis, C.A., S.J. Gibbs, and G. R ein. G
roupware: some issues and experiences. C ommunications of the ACM 34(1). — 1991. — 39−58.
Hammer M. Reengineering work: don’t automate, obliterate. Harvard Business Review 68(4). — 1990. — 104−112.
H oitash, R., A. K ogan, R. S rivastava, and M.A. Vasarhelyi.
2006. M easuring information latency. The International Journal of Digital Accounting Research 6(May).
Nigrini, M.J. and L.J. Mittermaier. The use of Benford’s Law as an aid in analytical procedures. Auditing: A Journal of Practice and Theory 16(2). — 1997. — 52−67.
Prosch M. Protecting personal information using generally accepted privacy principles (GAPP) and continuous control monitoring to enhance corporate governance. International Journal of Disclosure and Governance 5(2). — 2008. — 153−166.
Ryan Teeter, Michael Alles, Miklos A. Vasarhelyi. Удаленный аудит. 4.
09.10 // Режим доступа [
http://papers.ssrn.com/sol3/papers.cfm?abstract_id=1 668 638]
Sayana, S. Using CAATs to support IS audit. Information Systems Control Journal 1. — 2003. — 21−23.
Sprague Jr, R. Electronic document management: Challenges and opportunities for information systems managers. MIS Quarterly 19(1). — 1995. — 29−49.
Tabor, R.H. and J.T. Willis. Empirical evidence on the changing role of analytical review procedures. Auditing: A Journal of Practice & Theory 4(2). — 1985. — 93−109.
Teeter, R.A., G. Brennan, M.G. Alles, and M.A. Vasarhelyi. Aiding the audit: Using the IT audit as a springboard for continuous controls monitoring. Working paper, CarLab, Rutgers Business School. — 2010.
Tridgell A. Efficient Algorithms for Sorting and Synchronization: a thesis submitted for the degree of Doctor of Philosophy at The Australian National University. — February 1999. — 106 p.
Vasarhelyi M.A., and S. Kuenkaikaew. Continuous auditing and continuous control monitoring: case studies from leading organizations. Working paper, Rutgers Accounting Research Center, Rutgers Business School. — 2010.
Vasarhelyi, M.A., M.G. Alles, and K.T. Williams. 2010. Continuous assurance for the now economy. A Thought Leadership Paper for the Institute of Chartered Accountants in Australia, forthcoming May.
Vasarhelyi, M.A.and M. Greenstein 2003. Underlying principles of the electronization of business: a research agenda. International Journal of Accounting Information Systems 4(1):1−25.
Дистанционный аудит Локальный аудит
Менеджеры
Аудиторская группа
Аудиторская группа Документы
ИКТ
Отбор и аналитика
Рис. 1. Защищенная компьютерная система Синхронизация
Синхронизация
Синхронизация
Интернет
Текущая запись пользователя 1
Текущая запись пользователя 3
База данных пользователей и ролей филиала 1
Клиент
Локальная сеть
Шлюз
Локальная сеть головной организации
Шлюз
Текущая запись пользователя 1
Текущая запись пользователя 2
Текущая запись пользователя 3
База данных пользователей и ролей
Сервер
Текущая запись пользователя 2
Текущая запись пользователя 3
База данных пользователей и ролей филиала 2
Клиент
Локальная сеть
Шлюз
