"Международный стандарт аудита 315 (пересмотренный, 2019 г.) "Выявление и оценка рисков существенного искажения" (введен в действие на территории Российской Федерации Приказом Минфина России от 27.10.2021 N 163н) (ред. от 16.10.2023) (с изм. и доп.,...

2. Примеры существующих общих средств ИТ-контроля, сгруппированных по ИТ-процессам, следующие

2. Примеры существующих общих средств ИТ-контроля, сгруппированных по ИТ-процессам, следующие.

(a) Процесс управления доступом:

- Аутентификация

Средства контроля, которые обеспечивают доступ пользователя к ИТ-приложению или другому аспекту ИТ-среды, предусматривают использование собственных учетных данных пользователя (то есть пользователь не использует учетные данные другого пользователя).

- Авторизация

Средства контроля, которые позволяют пользователям получить доступ к информации, необходимой исключительно для выполнения их должностных обязанностей, что способствует надлежащему разделению должностных обязанностей.

- Инициализация

Средства контроля, авторизующие новых пользователей и изменения в правах доступа существующих пользователей.

- Деинициализация

Средства контроля, отзывающие права доступа пользователя после прекращения трудового договора или перевода.

- Привилегированный доступ

Средства контроля за доступом администраторов или ключевых пользователей.

- Проверки пользовательского доступа

Средства контроля, предусматривающие повторную сертификацию или оценку пользовательского доступа для продолжения авторизации в течение продолжительного периода.

- Средства контроля за настойками безопасности

Как правило, в каждой технологии предусмотрены основные параметры настойки, которые помогают ограничить доступ к среде.

- Физический доступ

Средства контроля за физическим доступом к центру обработки и передачи данных и аппаратным средствам. По существу, доступ может быть использован для обхода других средств контроля.

(b) Процесс управления внесением изменений в программы и других изменений в ИТ-среду:

- Процесс управления изменениями

Средства контроля за процессом разработки, программирования, тестирования и перенесения изменений в производственную среду (то есть для конечного пользователя).

- Разделение должностных обязанностей по переносу изменений

Средства контроля, которые разделяют доступ в целях проведения и переноса изменений в производственную среду.

- Разработка, приобретение или внедрение систем

Средства контроля за первоначальной разработкой или внедрением ИТ-приложений (или в отношении других аспектов ИТ-среды).

- Преобразование данных

Средства контроля за преобразованием данных в ходе разработки, внедрения или обновления ИТ-среды.

(c) Процесс управления ИТ-операциями:

Планирование заданий

Средства контроля за доступом в целях планирования и инициирования заданий или программ, которые могут влиять на финансовую отчетность.

- Мониторинг заданий

Средства контроля, осуществляющие мониторинг заданий или программ по составлению финансовой отчетности в целях их успешного выполнения.

- Резервное копирование и восстановление

Средства контроля, обеспечивающие резервное копирование данных финансовой отчетности в соответствии с планом, наличие и доступность таких данных в целях своевременного восстановления в случае сбоя системы или атаки.

- Обнаружение вторжений

Средства контроля по мониторингу уязвимостей и (или) вторжений в ИТ-среду.

В таблице ниже приведены примеры общих средств ИТ-контроля, используемых для реагирования на типовые риски, возникающие вследствие использования ИТ, в том числе для разных ИТ-приложений, с учетом их характера.

Процесс

Риски

Средства контроля

ИТ-приложения

ИТ-процесс

Примеры рисков, возникающих вследствие использования ИТ

Пример общих средств ИТ-контроля

Несложное коммерческое программное обеспечение - применимо (да/нет)

Умеренно сложное коммерческое программное обеспечение или ИТ-приложения среднего размера - применимо (да/нет)

Большие или сложные ИТ-приложения (например, система управления предприятием) применимо (да/нет)

Управление доступом

Пользовательские права доступа:

пользователи имеют права доступа, превышающие уровень, необходимый для выполнения порученных им обязанностей, что может стать причиной ненадлежащего разделения должностных обязанностей.

Руководство утверждает характер и объем пользовательских прав доступа для нового и измененного доступа пользователей, включая стандартное применение профилей/ролей, важные операции по составлению финансовой отчетности и разделение обязанностей.

Да - вместо проверок пользовательского доступа, указанных ниже.

Да.

Да.

Доступ уволенных или переведенных пользователей своевременно удаляется или изменяется.

Да - вместо проверок пользовательского доступа, указанных ниже.

Да.

Да.

Пользовательский доступ периодически проверяется.

Да - вместо средств контроля по инициализации/деинициализации, указанных выше.

Да - для определенных приложений.

Да.

Осуществляется мониторинг разделения должностных обязанностей, и права доступа, которые приводят к возникновению конфликта, либо удаляются, либо привязываются к компенсирующим средствам контроля, что документируется и тестируется.

Неприменимо - разделение с помощью системы отсутствует.

Да - для определенных приложений.

Да.

Привилегированные права доступа (например, администраторы конфигурации, данных и безопасности) авторизованы и надлежащим образом ограничены

Да - по всей вероятности, только на уровне ИТ-приложения.

Да - ИТ-приложение и определенные уровни ИТ-среды для платформы.

Да - на всех уровнях ИТ-среды для платформы.

Управление доступом

Параметры настройки системы: системные настройки и обновления недостаточны для ограничения доступа к системе должным образом уполномоченными и надлежащими пользователями.

Аутентификация доступа осуществляется с использованием уникального пользовательского идентификатора или других методов в качестве механизма подтверждения того, что пользователи уполномочены иметь доступ к системе.

Параметры паролей соответствуют стандартам компании или отрасли (например, минимальная длина и сложность пароля, истечение срока, блокировка учетной записи).

Да - аутентификация только с помощью пароля.

Да комбинация аутентификации с помощью пароля и многофакторной аутентификации.

Да.

Основные элементы настройки безопасности внедрены надлежащим образом.

Неприменимо - технические настройки безопасности отсутствуют.

Да - для определенных приложений и баз данных.

Да.

Управление изменения ми

Изменения в приложениях: ненадлежащие изменения вносятся в прикладные системы или программы, которые содержат соответствующие автоматизированные средства контроля (то есть настраиваемые параметры, автоматизированные алгоритмы, автоматизированные расчеты и автоматизированное извлечение данных), или в логику отчетов.

Изменения в приложениях надлежащим образом тестируются и утверждаются до переноса в производственную среду.

Неприменимо - не проверяют установленный исходный код программы.

Да - для некоммерческого программного обеспечения.

Да.

Доступ для внедрения изменений в производственную среду приложения надлежащим образом ограничен и отделен от среды разработки.

Неприменимо.

Да - для некоммерческого программного обеспечения.

Да.

Управление изменения ми

Изменения в базах данных: ненадлежащие изменения вносятся в структуру базы данных и взаимосвязи между данными.

Изменения в базах данных надлежащим образом тестируются и утверждаются до переноса в производственную среду.

Неприменимо - изменения в базы данных организации не вносятся.

Да - для некоммерческого программного обеспечения.

Да.

Управление изменения ми

Изменения в системном программном обеспечении: в системное программное обеспечение вносятся ненадлежащие изменения (например, в операционную систему, сеть, программное обеспечение по управлению изменениями и контролю доступа).

Изменения в системном программном обеспечении надлежащим образом тестируются и утверждаются до переноса в производственную среду.

Неприменимо - нет изменения в системном программном обеспечении.

Да.

Да.

Управление изменения ми

Преобразование данных: преобразование данных, полученных из устаревших систем или предыдущих версий, связано с ошибками в данных, если в результате преобразования переносятся неполные, избыточные, устаревшие или неточные данные.

Руководство утверждает результаты преобразования данных (например, действия по сведению баланса и проведению сверки) из старой прикладной системы или структуры данных в новую прикладную систему или структуру данных и осуществляет мониторинг проведения преобразования в соответствии с установленной политикой и процедурами преобразования.

Неприменимо - регламентируется средствами контроля, применяемыми вручную.

Да.

Да.

ИТ-операции

Сеть: сеть не предотвращает в должной мере получение ненадлежащего доступа к информационным системам неуполномоченными пользователями.

Аутентификация доступа осуществляется с использованием уникального пользовательского идентификатора или других методов в качестве механизма подтверждения того, что пользователи уполномочены иметь доступ к системе.

Параметры паролей соответствуют корпоративным или профессиональным стандартам и политике (например, минимальная длина и сложность пароля, истечение срока, блокировка учетной записи).

Неприменимо - отдельный метод сетевой аутентификации не используется.

Да.

Да.

Архитектура сети предусматривает сегментацию с отделением приложений с выходом в интернет от внутренней сети, где имеется доступ к приложениям, относящимся к системе внутреннего контроля за составлением финансовой отчетности.

Неприменимо - сегментация сети не используется.

Да - с применением суждений.

Да - с применением суждений.

Группа сотрудников, ответственных за сетевое управление, периодически проводит сканирование периметра сети на уязвимость, а также расследует потенциальные факторы уязвимости.

Неприменимо.

Да - с применением суждений.

Да - с применением суждений.

Периодически создаются напоминания, которые уведомляют об угрозах, выявленных системами обнаружения вторжений. Эти угрозы расследуются группой специалистов, ответственных за сетевое управление.

Неприменимо.

Да - с применением суждений.

Да - с применением суждений.

Средства контроля внедрены в целях ограничения доступа к виртуальной частной сети (VPN) уполномоченными и надлежащими пользователями.

Неприменимо - виртуальная частная сеть отсутствует.

Да - с применением суждений.

Да - с применением суждений.

ИТ-операции

Резервное копирование и восстановление данных: при потере данных невозможно восстановление финансовых данных или своевременный доступ к ним.

Резервное копирование финансовых данных осуществляется на регулярной основе в соответствии с установленным графиком и периодичностью.

Неприменимо - используется резервное копирование вручную сотрудниками финансовой службы.

Да.

Да.

ИТ-операции

Планирование заданий: использование систем управления производством, программ или выполнение заданий приводит к неточной, неполной или несанкционированной обработке данных.

Только уполномоченные пользователи имеют доступ для проведения обновления пакетных заданий (включая задания, относящиеся к интерфейсу) в программном обеспечении по планированию заданий.

Неприменимо - пакетные задания отсутствуют.

Да - для определенных приложений.

Да.

Осуществляется мониторинг важнейших систем, программ или заданий, и ошибки, допущенные при обработке, исправляются, чтобы обеспечить успешное выполнение.

Неприменимо - мониторинг заданий не осуществляется.

Да - для определенных приложений.

Да.

1. Характер общих средств ИТ-контроля, обычно используемых для каждого из аспектов ИТ-среды