2015-03-22
431
Целью включения в число институтов ЭГ информационного контроля и аудита является создание системы постоянного мониторинга использования ИКТ-систем в деятельность органов государственной власти и управления. Мониторинг должен сопровождаться оценкой соответствия ИКТ-систем и практики их использования определённому набору требований и критериев. Набор требований и критериев, соответствие которым проверяется в процессе аудита, определяется нормативным правовым регулированием, а также внутренними регламентами деятельности контролёра или соглашением между заказчиком аудита и аудиторской организацией (мандатом аудитора).
В рамках осуществления процедур контроля и проведения информационного аудита оценивается соответствие ИКТ-систем совокупности требований и критериев, включающей:
· применимые нормативные правовые требования;
· инструкции, регламенты, иные внутренние документы, определяющие функционирование ИКТ-системы;
· применимые общепринятые стандарты и практики деятельности;
|
|
|
· гражданско-правовые договора, определяющие функционирование ИКТ-систем или их отдельных компонент;
· задачи, для решения которых создана система;
· интересы владельцев организации, её клиентов, или иных заинтересованных лиц, определяемых в соответствии с условиями аудита, и являющихся адресатами аудиторского заключения;
· иные требования, определяемые в соответствии с мандатом аудитора.
Нормативные правовые акты содержат наиболее формализованную компоненту из всей совокупности требований. Тем не менее, даже контроль и оценка функционирования ИКТ-систем в этой области уже представляют определённую сложность. Основной проблемой при оценке соответствия ИКТ-систем нормам права являются:
· трудности идентификации всех нормативных правовых актов, применимых к контролируемой ИКТ-системе;
· наличие среди идентифицированных актов противоречащих друг другу норм.
Проводя оценку соответствия ИКТ-систем требованиям нормативных правовых актов, контролёр или аудитор указывает применимые, по его мнению, акты, и анализирует обнаруженные пробелы или противоречия в законодательстве с целью оценки возможных последствий для контролируемой ИКТ-системы.
Требования к ИКТ-системам поддержки процессов государственного управления систематизируются в наборе нормативных правовых актов, определяющих следующие компоненты ЭГ:
· архитектуру программного обеспечения ЭГ, определяющую выбор технологий для создания программно-аппаратных комплектов, а также устанавливающую требования к необходимым для их разработки и функционирования техническим средствам и иным видам обеспечения;
|
|
|
· систему административной регламентации деятельности органов государственной власти, формализующую административные процессы органов государственной власти и управления;
· государственное информационное регулирование, определяющее особенности правовых режимов для различных видов информации, находящихся в ИКТ-системах органов государственной власти и управления;
· государственный учёт, требования к которому унифицируют подходы к систематическому сбору, обработке, хранению и использованию данных о лицах и объектах, используемых в государственном управлении;
· использование инфраструктуры обеспечения доступа граждан к информации государства, которая должна обеспечивать предоставление гражданам юридически значимой информации в виде, пригодном для защиты их прав и для принятия решений о качестве государственного управления.
Идентификация и оценка внутренних документов, регламентирующих использование ИКТ-систем в органах государственной власти и управления, обычно не составляет труда, и эти документы, как правило, достаточно согласованы друг с другом. Как указывалось выше, внутренние регламентные документы сами являются предметом оценки соответствия их содержания (например, требованиям нормативных правовых актов или интересам заказчика аудита), и одновременно рассматриваются как наборы требований, которым должны соответствовать программно-аппаратные компоненты ИКТ-систем и практика их эксплуатации.
Гражданско-правовые договора, определяющие функционирование ИКТ-систем или их отдельных компонент, составляют часть требований к использованию ИКТ-систем в случае передачи части технологической или административной эксплуатации систем внешним подрядчикам. Идентификация таких договоров, как правило, не представляет проблемы. При информационном контроле и аудите систем, обслуживание которых распределено между несколькими организациями, оценке подлежит, в первую очередь распределение полномочий и ответственности, устанавливаемое регламентирующими такое распределение договорами. Кроме того, при эксплуатации ИКТ-систем, распределённых между несколькими организациями, аудитор должен выразить мнение об обоснованности такого распределения, о балансе выгод и издержек этого распределения для органов государственный власти и для граждан.
Оценка ИКТ-систем на соответствие применимым общепринятым стандартам и практикам деятельности требует от контролёра или информационного аудитора идентификации этих правил, осуществляемой на основании предыдущего опыта, интервью с представителями аудируемого лица или иных лиц, занимающихся деятельностью в той же или смежной области. Контролёр или аудитор указывают идентифицированные ими стандарты, или описывают практики, не имеющие чёткой формализации. Составляя мнение о соответствии ИКТ-систем критериям этой категории, контролёр или аудитор обязан чётко идентифицировать, являются ли рассмотренные им критерии обязательными или рекомендательными для данной системы.
Общая оценка соответствия ИКТ-систем задачам, ради которых она создавалась, а также интересам заинтересованных лиц, указанных регулирующими актами, регламентом внутренней проверки или заказчиком аудита, в наибольшей степени зависит от квалификации и опыта проверяющего. В рамках информационного аудита от аудитора ожидаются ответы и оценки в связи с такими характеристиками ИКТ-системы, как полезность, доступность, целостность и конфиденциальность. Информационный аудит предполагает ответы на вопросы:
· Полезность. Используются ли система для достижения целей, стоящих перед аудируемым лицом и в интересах указанных заинтересованных лиц? Соответствуют ли издержки создания и эксплуатации системы приобретаемым выгодам?
|
|
|
· Доступность. Доступна ли система для использования в те моменты, когда это требуется? Достигает ли необходимая информация уполномоченных лиц вовремя и в адекватных форматах?
· Целостность. Доступна ли через систему точная, непротиворечивая и своевременная информация? Соблюдаются ли при функционировании системы принципы транзакционности обработки данных и журналирования изменений в данных?
· Конфиденциальность. Получают ли через систему доступ к информации только авторизованные лица?
При ответе на эти выше вопросы также принимается во внимание, не противоречат ли требования полезности, доступности, целостности и конфиденциальности нормативным правовым актам и регламентам использования ИКТ-системы, упомянутым выше.
