Контакты
Подписка
Контакты
Подписка
МЕНЮ
Контакты
Подписка

Внутренний аудит ИБ: этический аспект

Внутренний аудит ИБ: этический аспект

В рубрику "Право и нормативы" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Внутренний аудит ИБ: этический аспект

Георгий Гарбузов
Дирекция информационной безопасности Службы внутреннего контроля Страховой группы "УралСиб"

Внутренний аудит1 сегодня является важной частью системы информационной безопасности (СИБ) в любой организации, уделяющей внимание вопросам ИБ. Обычно определяемый как деятельность, направленная на получение объективных сведений о предмете с целью определения степени его соответствия предъявляемым требованиям, внутренний аудит располагается в третьем секторе классического цикла Деминга-Шухарта Plan-Do-Check-Act. Внутренний аудит обеспечивает возможность для совершенствования, "тюнинга" СИБ, изначально построенной, например, на лучших практиках (таких, как ISO 27001 или СТО ЦБ РФ). От того, насколько качественным будет сам внутренний аудит, зависит эффективность мер по совершенствованию СИБ, ее соответствие актуальным нуждам предприятия.

Однако сегодня хочется поговорить не о том, как должен быть построен процесс внутреннего аудита технологически, - в мире существует немало профессиональных стандартов, позволяющих выстроить эффективный процесс. Сегодня мы вкратце рассмотрим этический аспект деятельности аудитора и дизайн-процессов аудита именно с позиций профессиональной этики.

Кодекс этики может носить международный, национальный или корпоративный характер, а собственные кодексы этики имеют юристы, врачи, адвокаты, журналисты, финансовые аудиторы и другие профессиональные сообщества. Кратко рассмотрим некоторые из них.

ISACA2 - Ассоциация аудита и контроля информационных систем

Члены   ассоциации   ISACA должны:

  • поддерживать внедрение и всячески способствовать обеспечению соответствия информационных систем стандартам и регламентам;
  • действовать беспристрастно, добросовестно и профессионально, соответствовать требованиям профессиональных стандартов и лучших практик;
  • действовать в интересах заинтересованных сторон, честно и с соблюдением законности; поддерживать высокие стандарты профессионализма, не предпринимать действий, их порочащих;
  • сохранять конфиденциальность информации, полученной в ходе аудита, не распространять и не использовать ее без разрешения ее обладателя;
  • проявлять профессионализм в зоне своей ответственности, предпринимать только те действия, которые могут быть выполнены с должным уровнем профессионализма;
  • информировать соответствующих лиц о результатах работ, сообщая без утайки все ставшие известными факты, имеющие отношение к объекту аудита;
  • просвещать и обучать заинтересованные стороны в области защиты и использования информационных систем.

 

(ISC)23 - Международный консорциум по сертификации в области безопасности информационных систем

 

Каноны кодекса:

1. Защита общественных и партнерских интересов:

  • защищать общественные интересы и конфиденциальность;
  • содействовать повсеместному внедрению мер обеспечения безопасности;
  • сохранять и развивать инфраструктуру общества;
  • препятствовать противоправным и антиобщественным действиям.

2. Действовать честно, достойно, ответственно, справедливо и законно:

  • говорить только правду; держать заинтересованных лиц в курсе о предпринимаемых усилиях;
  • обращать внимание на все факты и договоренности, явные или мнимые;
  • быть одинаково честным со всеми. При разрешении конфликтов блюсти общественные интересы, учитывать интересы заинтересованных лиц, простых граждан и профессионального сообщества;
  • давать разумные советы, препятствовать распространению слухов и непроверенной информации. Быть честным, объективным, внимательным; выносить только обоснованные суждения и не выходить за рамки своей компетенции;
  • в случае конфликта с законодательством отдавать предпочтение законам той юрисдикции, под действием которой выполняются работы.

3. Оказывать услуги добросовестно и компетентно:

  • защищать информационные системы, приложения и информацию заказчика;
  • относиться с уважением к доверию заказчика и привилегиям, которые он предоставляет;
  • предотвращать конфликты интересов и ситуации, способствующие их развитию;
  • выполнять только те работы, которые могут быть выполнены компетентно и квалифицированно.

4. Развивать и защищать профессию:

  • способствовать росту профессионализма. При прочих равных условиях отдавать предпочтение    сертифицированным специалистам. Препятствовать лицам, чья манера ведения дел или репутация может дискредитировать профессию;
  • не дискредитировать другие профессии, нечаянно или по злому умыслу;
  • заботиться о собственном профессиональном уровне; совершенствовать свои знания и навыки, всемерно способствовать обучению заинтересованных лиц и делиться с ними собственными знаниями и опытом.

IIA4 - Институт внутренних аудиторов

Основные этические принципы:

1. Честность.

Внутренний аудитор должен:

  • Выполнять работу честно, тщательно и ответственно.
  • Соблюдать законность и сообщать о случаях ее нарушения.
  • Не принимать участия в противозаконной или дискредитирующей профессию деятельности.
  • Уважать цели и следовать этическим принципам организации.

2. Объективность.

Внутренний аудитор должен:

  • Не принимать участия в деятельности, которая может повлиять на объективность.
  • Не принимать предложений, могущих оказать влияние на профессиональное суждение.
  • Сообщать обо всех значимых выявленных фактах.

3. Конфиденциальность.

Внутренний аудитор должен:

  • Разумно использовать и защищать полученную информацию.
  • Не использовать полученную информацию в собственных целях, а также в целях, нарушающих закон или противоречащих требованиям организации.

4. Компетентность.

Внутренний аудитор должен:

  • Оказывать только те услуги, для оказания которых имеется достаточно знаний и опыта.
  • Действовать в соответствии с международными стандартами аудита.
  • Постоянно совершенствовать профессиональные навыки и качество работы.

Кодекс этики аудитора России (принят Советом по аудиторской деятельности при Минфине РФ, протокол № 16 от 28.08.03)

Фундаментальные принципы (статья 16):

  • честность;
  • независимость;
  • объективность;
  • профессиональная компетентность и должная тщательность;
  • конфиденциальность;
  • профессиональное поведение;
  • регламентирующие документы.

RISSPA5 (Россия) - Сообщество профессионалов в области информационной безопасности

Основные положения кодекса этики:

  • защищать информационное сообщество и его инфраструктуру;
  • действовать честно, ответственно, профессионально и легально;
  • решать поставленные задачи с должным вниманием и компетентностью;
  • развивать и защищать профессию.

Как видно, Кодекс ассоциации RISSPA во многом схож с Кодексом (ISC)2.

Заключение и выводы

В дополнение к вышеназванным существуют и другие похожие документы: The British Computer Society’s Code of Good Practice and Code of Conduct, Association for Computing Machinery’s Code of Ethics, American Institute of Certified Public Accountants’s Code of Ethics, Institute of Management Accountants’s Code of Ethics и другие. Однако базовые этические принципы (честность, независимость, объективность, профессионализм, конфиденциальность) остаются неизменными вне зависимости от конкретного документа или сообщества. Как же можно это использовать в своей организации?

Во-первых, нужно разработать и согласовать между всеми заинтересованными сторонами собственный кодекс этики и декларировать приверженность ему. При этом в кодекс можно включить "частные" ценности вашей организации, например здоровый образ жизни или социальную ответственность (волонтерство). Кодекс может охватывать не только подразделение внутреннего аудита, но и всю службу ИБ организации. Это повысит доверие к службе и создаст определенный фильтр для отсева заведомо неподходящих работников.

Во-вторых, стоит тщательнее подбирать людей на роль внутренних аудиторов. Не каждый хороший специалист может быть хорошим аудитором, ведь для аудитора важны и его человеческие качества, и внешний вид, и манеры. Выбирайте внутренних аудиторов из числа наиболее уравновешенных и аккуратных, обладающих высокими моральными качествами работников. К руководителю аудиторской группы предъявляются дополнительные требования - он может не быть глубоким профессионалом во всех областях аудита, но должен уметь организовать людей в команде, быть для них авторитетом и уметь отделять важное от второстепенного.

В-третьих, нужно выстроить процессы аудита так, чтобы минимизировать число конфликтов как между членами команды аудита, так и между командой и аудируемыми. Выводы аудиторов при отсутствии злого умысла нарушителей должны указывать на недостатки процессов, а не на ошибки конкретных людей. Нужно помнить, что при проведении аудита всегда действует презумпция невиновности и благонадежности, и основная задача аудита не наказание виновных, а беспристрастный сбор фактов, их объективная интерпретация и вынесение рекомендаций по устранению недоработок. Если суметь объяснить это работникам организации и всячески демонстрировать следование принятым этическим нормам, они поверят в то, что аудитор не враг, а помощник, действующий во благо организации и ее работников.

 1 В российском законодательстве аудитом называют "независимую проверку бухгалтерской (финансовой) отчетности аудируемого лица в целях выражения мнения о достоверности такой отчетности" (в редакции 307-ФЗ "Об аудиторской деятельности"), однако мы все же будем придерживаться этого термина для определения оценки информационной безопасности.

2 Кодекс доступен по адресу http://www.isaca.org/Content/ContentGroups/Certification3/CGEIT2/Code_of_Professional_Ethics.htm

3 Кодекс доступен по адресу https://www.isc2.org/ethics/

4 Кодекс доступен по адресу http://www.theiia.org/guidance/stan-dards-and-guidance/ippf/code-of-ethics/english/

5 Кодекс доступен no адресу http://www.risspa.ru/code_of_ethics

Опубликовано: Журнал "Information Security/ Информационная безопасность" #1, 2010

Приобрести этот номер или подписаться

Статьи про теме

Контакты
 
Подписка

Мы в соцсетях

Copyright © 2018-2022, ООО "ГРОТЕК"