Letyshops

Защита информационных технологий. Новая специальность

Брюс Нирон

В кратком изложении

Защита ИТ в XXI веке

В пору расцвета "больших" ЭВМ безопасность играла важную роль: указания по защите компьютеров содержались в каждом циркуляре. С переходом на ПК и сети, когда связь и информация стали ключом к повышению производительности, защита информационных технологий (ИТ) вновь приобрела большое значение

Дипломированный бухгалтер, желающий включить защиту ИТ в набор своих услуг, должен уметь оценить и выполнить возможный контракт. Техническая подготовка имеет значение, но главное для удовлетворения запросов клиентов - технология, деловое know-how.

Основная цель проектов по защите ИТ - уменьшить риск: выявить опасность на любом уровне (операционном, финансовом, кадровом); создать профилактические механизмы, чтобы свести к минимуму вероятность реализации опасений компании; определить схему действий в случае возникновения проблем.

В 1968 году журнал Harvard Business Review опубликовал статью Брандта Аллена (Brandt Allen) "Опасность грядет: берегите компьютер". Защита ИТ тогда не казалась вопросом первостепенной важности. От компьютерной системы требовался результат, и побыстрее. Статья Аллена заставила обратить внимание на безопасность ИТ, возник спрос на услуги по их защите.

"Большие" ЭВМ тридцать лет назад стоили миллионы долларов и играли определяющую роль в успехе бизнеса и в образовании, но позволить их себе могли только богатые компании. Ничего не изменилось. Только теперь контракты по защите ИТ заключают и предприятия, имеющие серверные "фермы" (много сетевых серверов в одном месте).

Последствия нарушений защиты ИТ бывают различными: от изуродованной компьютерными хулиганами базовой страницы компании до промышленного шпионажа, хищения информации разработчика, разрушения системы и уничтожения данных.

Серверные фермы и помещения, где установлены сетевые серверы - современные потомки вычислительных центров, и их важная роль создают потребность в обеспечении безопасности ИТ. С завершением эры изолированных ПК и приходом эры сетей спрос на услуги по защите ИТ будет только расти.

Виды услуг по защите ИТ

Существуют три основных вида услуг по защите ИТ: экспертиза, обзор и консалтинг.

Экспертиза и обзор подпадают под стандарты заверения (attestation standards), поэтому требования здесь жестче, чем в сфере консалтинга, который регулируется Положением о стандартах услуг консалтинга AICPA. Решая, какую услугу предложить, бухгалтер должен помнить, что при контракте заверения (аттестации) риск ответственности перед третьей стороной - больше.

Согласно стандартам заверения, специалист, выполняющий обзор или экспертизу, должен дать письменное заключение о надежности письменных гарантий работоспособности ИТ данного юридического лица (the reliability of a written assertion by management regarding the entity's IT operations). Раздел АТ 100 Стандартов гласит: "Акт должен быть составлен по разумным критериям, которые либо были приняты компетентным органом с соблюдением должной процедуры, либо указаны в акте достаточно ясно и полно, чтобы их мог понять сведущий читатель".

Если клиентом является правительственное или финансовое учреждение, критерии могут отвечать требованиям АТ 100. Одна из хороших альтернатив - Цели контроля информационных технологий (Control Objectives for Information Technology -COBIT), принятые Фондом аудита и управления информационной безопасностью.

Если контракт имеет отношение к консалтингу (например, проверка работоспособности и изучение возможностей совершенствования работы системы), то для его исполнения не требуется соответствие каким-либо критериям. В большинстве случаев, руководство будет удовлетворено, если консультант выявит слабые места во внутреннем управлении и даст рекомендации по усилению контроля.

За услугами по проверке защиты ИТ обращаются, в основном, государственные и финансовые учреждения, а также крупные корпорации. Этого требует законодательство или необходимость предоставить гарантии третьей стороне.

К услугам консалтинга чаще всего прибегают после того, как руководство (благодаря ряду случаев) теряет уверенность в своих системах и нуждается в объективном совете по повышению уровня безопасности и снижению риска. Форма консалтинга позволяет специалисту предоставлять услуги, не опасаясь юридической ответственности или ограничений. Хотя многие компании среднего размера обращаются за "компьютерным аудитом", обычно они удовлетворяются контрактом на консалтинговые услуги.

Наиболее распространенный заказ по защите ИТ - проверка работоспособности средств управления (например, предприятию требуется система средств управления для защиты информации от несанкционированного доступа и обеспечения ее целостности и доступности). По завершении такого проекта специалист составляет акт с перечислением слабых мест в средствах управлении и рекомендациями по возможным улучшениям.

Специальные знания не обязательны

Большую часть проектов по защите ИТ осуществляют аудиторы по ИТ, специалисты бухгалтерских фирм или отделов внутреннего контроля. Делать это могут не только технические специалисты: 60-80% знаний, необходимых для выполнения контракта, применяются и в аудите финансовой отчетности. Остальную часть информации можно найти в учебниках по аппаратному и программному обеспечению, на Web-страницах, в справочниках и на профессиональных курсах по защите ИТ.

В своей работе специалисты по защите ИТ большей частью опираются на беседы и наблюдения. Специалист не нуждается в анализе компьютерной отчетности, если в договоре речь не идет о аттестации или испытании. В любом случае, профессионал, который справился со сдачей экзамена на звание CPA, сможет разобраться в отчетах по безопасности, если освоит терминологию.

Временные затраты и гонорар

Время, необходимое для проекта, напрямую зависит от вида услуг. Все проекты включают следующие этапы:

  • первая встреча с руководством;
  • планирование;
  • исследование;
  • подготовка графика работы и анкеты;
  • собеседования и наблюдения;
  • проверка документов;
  • работа по подготовке документов;
  • контроль;
  • консультации;
  • написание черновика и подача отчета в окончательном виде.

Обзор и услуги консалтинга занимают меньше времени, чем экспертиза, поскольку обычно не включают испытаний. Обзор и экспертиза аттестационного уровня могут включать помощь руководству в подготовке гарантийных документов и проверке их соответствия дополнительным профессиональным стандартам.

В процедуру экспертизы входит разработка испытаний, отбор образцов и анализ результатов. Срок выполнения задач может быть разным в зависимости от процедур, принятых в каждой фирме, и от размера и степени ИТ-операций клиента. Некоторые фирмы строят свои графики, прибавляя к среднему количеству часов, необходимых для финансового аудита, еще 25%. Поскольку клиенты полагают, что выполнение проекта по защите ИТ требует особых знаний, специалист может поднять свою стандартную почасовую ставку.

Что указать в договоре

В идеальном письменном соглашении (Engagement Letters) четко указывается тип предоставляемой услуги и конкретные системы ИТ, которые будут изучены. Если консалтинг включает испытания, в договоре следует обозначить, что испытание основывается на мнении специалиста и проводится выборочно.

Договор аттестации, как и договор аудита, должен отражать тот факт, что окончательный отчет соответствует требованиям стандартов отчетности. В договоре на услуги консалтинга следует указать, что объект контракта не аттестация и не аудит, а значит контракт не дает гарантий на компьютерную систему, внутренние средства управления компьютерной системой, финансовую отчетность или что-либо другое.

В договоре следует отметить, что все пункты, изложенные в окончательном отчете, справедливы на время работы и на дату отчета и не распространяются на будущий период, поскольку инструменты управления могут стать хуже или изменятся другие условия, отражающиеся на ИТ. Также необходимо зафиксировать, что, хотя специалист не ставит целью выявить факты возможного мошенничества, при их обнаружении они будут немедленно доведены до сведения руководства. Наконец, в договоре должно быть указано, что результатом работы станет письменный акт о недостатках и рисках, а также рекомендации по улучшению контроля.

Окончание в следующем выпуске.

Продолжение в выпусках: #96

 

 

Реклама: