Защита информационных технологий. Новая специальность

Существуют три основных вида услуг по защите ИТ: экспертиза, обзор и консалтинг.

Экспертиза и обзор подпадают под стандарты заверения (attestation standards), поэтому требования здесь жестче, чем в сфере консалтинга, который регулируется Положением о стандартах услуг консалтинга AICPA. Решая, какую услугу предложить, бухгалтер должен помнить, что при контракте заверения (аттестации) риск ответственности перед третьей стороной - больше.

Согласно стандартам заверения, специалист, выполняющий обзор или экспертизу, должен дать письменное заключение о надежности письменных гарантий работоспособности ИТ данного юридического лица (the reliability of a written assertion by management regarding the entity's IT operations). Раздел АТ 100 Стандартов гласит: "Акт должен быть составлен по разумным критериям, которые либо были приняты компетентным органом с соблюдением должной процедуры, либо указаны в акте достаточно ясно и полно, чтобы их мог понять сведущий читатель".

Если клиентом является правительственное или финансовое учреждение, критерии могут отвечать требованиям АТ 100. Одна из хороших альтернатив - Цели контроля информационных технологий (Control Objectives for Information Technology -COBIT), принятые Фондом аудита и управления информационной безопасностью.

Если контракт имеет отношение к консалтингу (например, проверка работоспособности и изучение возможностей совершенствования работы системы), то для его исполнения не требуется соответствие каким-либо критериям. В большинстве случаев, руководство будет удовлетворено, если консультант выявит слабые места во внутреннем управлении и даст рекомендации по усилению контроля.

За услугами по проверке защиты ИТ обращаются, в основном, государственные и финансовые учреждения, а также крупные корпорации. Этого требует законодательство или необходимость предоставить гарантии третьей стороне.

К услугам консалтинга чаще всего прибегают после того, как руководство (благодаря ряду случаев) теряет уверенность в своих системах и нуждается в объективном совете по повышению уровня безопасности и снижению риска. Форма консалтинга позволяет специалисту предоставлять услуги, не опасаясь юридической ответственности или ограничений. Хотя многие компании среднего размера обращаются за "компьютерным аудитом", обычно они удовлетворяются контрактом на консалтинговые услуги.

Наиболее распространенный заказ по защите ИТ - проверка работоспособности средств управления (например, предприятию требуется система средств управления для защиты информации от несанкционированного доступа и обеспечения ее целостности и доступности). По завершении такого проекта специалист составляет акт с перечислением слабых мест в средствах управлении и рекомендациями по возможным улучшениям.