Главная » Безопасность » Защита6 » Сертификация по требованиям стандарта SysTrust

Сертификация по требованиям стандарта SysTrust

 

По существу, аудит в области информационных технологий, хотя и не имеет никакого отношения к финансовому аудиту, часто является дополнением к нему в качестве коммерческой услуги, предлагаемой аудиторскими фирмами своим клиентам, в связи с повышением зависимости бизнеса клиентов от ИТ. Идея заключается в том, что использование надежных и безопасных ИТ систем до определенной степени гарантирует надежность финансовой отчетности организации. Хорошие результаты ИТ аудита в некоторых случаях позволяют проводить финансовый аудит в сокращенном варианте экономя время и деньги клиентов.

Отвечая потребностям бизнеса, Американским Институтом Сертифицированных Публичных Бухгалтеров (AICPA) и Канадским Институтом Общественных Бухгалтеров (CICA) разработали стандарт SysTrust для проведения ИТ аудита, который является дополнением к финансовому аудиту — razgovorodele.ru. SysTrust позволяет финансовым аудиторам расширить область своей деятельности, путем использования простого и понятного набора требований для оценки надежности и безопасности ИС. В стандарте SysTrust ИС оценивается в терминах ее доступности, безопасности, целостности и эксплуатационной надежности.

Под доступностью традиционно понимается возможность ИС предоставлять информационные сервисы в любых режимах функционирования и при любых нагрузках, предусмотренных условиями ее эксплуатация, с задержками, не превышающими установленные требования. Под безопасностью понимается защищенность ИС от физического и логического несанкционированного доступа. В качестве средств обеспечения безопасности в основном рассматриваются средства разграничения физического и логического доступа к ресурсам ИС. Под целостностью понимается возможность ИС обеспечить сохранение таких свойств обрабатываемой в системе информации как полнота, точность, актуальность, своевременность и аутентичность. Эксплуатационная надежность ИС определяется возможностью изменения конфигурации и обновления системы для обеспечения таких ее свойств как доступность, безопасность и целостность.

Критерии для оценки описанных четырех свойств ИС определены в документе «Принципы и критерии для оценки надежности систем». В ходе сертификации по требованиям стандарта SysTrust аудитор оценивает соответствие ИС критериям доступности, безопасности, целостности и эксплуатационной надежности, проверяя наличие в системе необходимых механизмов контроля — razgovorodele.ru. Затем аудитор производит тестирование механизмов контроля с целью определения их работоспособности и эффективности. Если в результате тестирования подтверждается соответствие ИС критериям SysTrust, аудитор выпускает отчет по аттестации.

В отчете формулируется выводы относительно полноты и эффективности реализации руководством организации механизмов контроля в аттестуемой ИС. В дополнение к отчету по аттестации, аудитор готовит общее описание обследуемой ИС. Во многих случаях также готовится утверждение руководства организации относительно эффективности механизмов контроля, позволяющих обеспечить соответствие ИС критериям SysTrust. Обследование ИС и оценка ее соответствия критериям SysTrust производится в соответствии с «Руководством по Проведению Аттестации».

Обследование ИС и оценка ее соответствия критериям SysTrust

Примером проведения аудита крупнейшей компании на соответствие требованиям стандарта SysTrust может служить сертификация системы BeeOffice, принадлежащей компании «Вымпелком».