Информационная безопасность как результат интерпретации акта Сарбаниса-Оксли (С. Леденко, И. Чикалев, "Банковское дело в Москве", N 1, январь 2006 г.)

Информационная безопасность
как результат интерпретации акта Сарбаниса-Оксли

Расследование, проведенное после ряда громких скандалов, в которые были вовлечены крупные американские компании (Enron, HeathSouth, Adelphia, Tyco, WorldComm, Quest Communications и Global Crossing), выявило факты неточности ведения финансовой документации, а в некоторых случаях - корпоративную коррупцию и мошенничество.

В результате скандалов пострадало огромное количество вкладчиков и инвесторов. Резонанс был настолько сильный, что Комиссия по ценным бумагам США потребовала введения обязательного использования внутреннего контроля.

В 2002 году в США был принят акт Сарбаниса-Оксли (SOX), который устанавливает правила корпоративного управления, требования и стандарты для компаний, представленных на фондовой бирже США и зарегистрированных комиссией по ценным бумагам США (US Securities and Exchange Commission - SEC).

Очень много написано о важности Акта и внутреннего контроля, однако мало сведений о том, какую исключительную роль играют при этом информационные технологии в этой сфере. Большинство согласно, что реализация финансовой отчетности во многом зависит от хорошо управляемого, отлаженного информационного окружения. При этом очевидна прямая взаимосвязь SOX с информационной инфраструктурой и системой ИТ-безопасности компании.

В окончательных правилах относительно Акта Сарбаниса-Оксли Комиссия по ценным бумагам США сделала специальное заявление по рекомендациям Комитету спонсорских организаций комиссии Джеймса Тредуэя (Committee of the Sponsoring Organizations of the Treadway Commission - COSO), касающееся необходимости приведения в соответствие с SOX вопросов, связанных с управлением и аудитом информационной безопасности. Секция 404 Акта Сарбаниса-Оксли сфокусирована на требованиях внутреннего контроля и финансовой отчетности. Она требует от менеджмента компаний, подпадающих под действие SOX, оценивать эффективность внутреннего контроля организации через финансовую отчетность и представлять ежегодную отчетность о результатах этой оценки. Кроме того, секция 302 требует от исполнительного директора (CEO) и финансового директора (CFO) подтверждать не только то, что финансовые отчеты точны и правдивы, но и то, что над ведением финансовой отчетности обеспечен должный уровень контроля.

В марте 2004 года Управление по надзору за отчетностью открытых компаний (US Public Company Accounting Oversight Board - PCAOB) утвердило стандарт аудита PCAOB N 2 под названием "An Audit of Internal Control over Financial Reporting Performed in Conjunction with an Audit of Financial Statements". Он устанавливает требования по проведению аудита внутреннего контроля через финансовую отчетность, а также содержит важные указания по возможностям и подходам, требуемым от аудиторов. Документ обязал высший руководящий состав не просто заверять тот факт, что вся система находится под контролем, но и то, что в организации контролируются такие процессы, как создание финансовой информации, доступ к ней, ее сбор, хранение, передача и использование. Стандарт N 2 включает в себя требования к аудиторам по контролю проведения транзакций, включая то, кем они были инициированы, авторизованы, зарегистрированы, обработаны и переданы. Вследствие большого объема и сложности проведение транзакций обычно автоматизируется с использованием прикладных систем. Надежность этих систем, в свою очередь, складывается из надежности сети, базы данных, операционных систем и так далее. Все вместе они составляют ИТ-системы, от которых зависит надежность и безопасность финансовой отчетности. Поэтому информационные системы обязательно должны учитываться при планировании и оценке внутреннего контроля.

Управление по надзору за отчетностью открытых компаний считает, что информационные технологии должны эффективно способствовать достижению целей управления. Оно разработало требования к управлению и обязало непременно учитывать их при оценке организации внутреннего контроля, разработке и модернизации программного обеспечения, компьютерных операциях, доступе к программам и данным. Требования PCAOB устанавливают те направления, в которых зарегистрированные на бирже компании должны сфокусировать свои усилия, чтобы определить, должным ли образом разработано специфическое ИТ-управление по отношению к транзакциям и эффективно ли оно работает.

Акт Сарбаниса-Оксли требует от компании выбрать и применять соответствующий механизм (структуру) внутреннего контроля. Комитет спонсорских организаций комиссии Джеймса Тредуэя разработал ряд средств управления финансовыми процессами. Они известны как Руководящие принципы COSO (COSO Guidelines). Наибольшую популярность приобрел Internal Control - Integrated Framework.

Однако для обеспечения ИТ-контроля необходимы дополнительные критерии. PCAOB отметило лишь важность управления ИТ, но не определило конкретные средства его обеспечения. В качестве основы, обеспечивающей выполнение дополнительных требований управления информационными процессами в соответствии с SOX, были использованы Руководящие принципы по аудиту ИТ-инфраструктур (CobiT - Сontrol Objectives IT), опубликованные Институтом управления информационными технологиями (IT Governance Institute).

Для определения целей управления ИТ, контрольных мероприятий и проверок тщательному анализу были подвергнуты основные категории управления ИТ, установленные PCAOB. Было определено, что все 12 целей управления, заложенные в CobiT, тесно связаны со стандартом PCAOB. CobiT обеспечивает управление процессами выполнения операционных и согласительных (compliance) задач. Эти задачи относятся напрямую к финансовой отчетности, требуемой в соответствии с актом Сарбаниса-Оксли. Кроме того, используются и другие руководства по управлению ИТ, включая стандарт ISO17799 и Information Technology Infrastructure Library (ITIL).

В любой организации присутствуют, по крайней мере, три основных элемента: управление предприятием, бизнес-процессы и сервис обмена (shared service).

Исполнительный менеджмент - устанавливает и реализует стратегию через бизнес-процессы. На уровне предприятия или юридического лица определяются цели, устанавливаются политики и принимаются решения о том, как разместить и управлять ресурсами организации. С точки зрения информационных технологий устанавливаются политики и другие общие для всего предприятия правила, которые доводятся до всех работников организации.

Бизнес-процессы - основной механизм организации, главной задачей которого является обеспечение прибыли акционеров. Прием, обработка и выходные данные - функции бизнес-процессов. В большинстве случаев бизнес-процессы автоматизированы и интегрированы со сложными и высокоэффективными системами ИТ.

Сервисы ИТ - это те сервисы, которые требуются при наличии более чем одного отдела или процесса. Однако такие сервисы, как безопасность, передача данных или хранение, необходимы любому подразделению или отделу. Все сервисы ИТ часто управляются центральной ИТ-службой.

Компания должна осуществлять контроль в области ИТ во всех пяти существенных компонентах внутреннего контроля COSO, которые включают:

среда управления;

оценка рисков;

контрольные функции;

информация и взаимодействие;

мониторинг.

Управление ИТ обычно включает в себя среду управления ИТ, компьютерные операции, доступ к программам и данным, разработку и изменение программ. Это управление необходимо применять ко всем системам: от обычного персонального компьютера до среды клиент-сервер.

Среда управления ИТ включает в себя процесс управления ИТ, мониторинг и отчетность. В свою очередь, процесс управления ИТ объединяет стратегический план информационных систем, процесс управления рисками ИТ, управление правилами соответствия установленным нормам, политики ИТ, процедуры и стандарты. Мониторинг и отчетность требуются для уверенности, что ИТ соответствуют бизнес-требованиям и включают в себя организационную структуру ИТ, которая обеспечивает адекватную сегрегацию затрат (пошлин), способствуя достижению целей организации. Структура ИТ-управления должна быть спроектирована таким образом, чтобы обеспечить гарантии тому, что ИТ способствуют бизнесу и ИТ-риски минимальны.

Учитывая накопленный опыт обеспечения совместимости с SOX и трудности, с которыми столкнулись компании, особенно малого бизнеса, в ноябре 2005 года SEC выпустила новое руководство для помощи малым компаниям в работе по обеспечению совместимости с секцией 404. COSO разработал соответствующие поправки. Рекомендации, выпущенные Комитетом (COSO), одобрены Дональдом Николэйзеном (Donald Nicolaisen), главным бухгалтером Комиссии по ценным бумагам и биржам, в качестве "важной помощи малым фирмам в понимании и применении принципов внутреннего контроля COSO по применению раздела 404 закона Сарнбаниса-Оксли".

Новое методическое руководство COSO выделяет 26 фундаментальных принципов, связанных с вышеперечисленными пятью компонентами внутреннего контроля. Документ определяет каждый принцип, описывает его признаки, перечисляет разнообразие подходов, которые малые компании могут использовать, содержит реальные примеры эффективного применения этих концепций малыми компаниями.

В одобрении этих правил, связанных с секцией 404, американская Комиссия по ценным бумагам и биржам указала, что менеджмент должен опираться на оценку эффективности системы внутреннего контроля, связанного с формированием финансовой отчетности, в том числе ориентироваться на принцип доступности финансовой отчетности для общественного обсуждения. Принципы COSO удовлетворяют этим критериям и широко используются менеджментом и аудиторами при выполнении требований Раздела 404.

Следует отметить, что выполнение требований совместимости ИТ-инфраструктуры с Актом Сарбаниса-Оксли получило достаточно широкое распространение не только в США, но и в Европе. Принципы аудита CobiT официально рекомендованы ЕС в качестве стандарта ИТ-аудита. Необходимо отметить, что ИТ-инфраструктура, совместимая с требованиями SOX, не только повышает эффективность средств управления безопасностью данных. Она делает бизнес более эффективным, позволяет повысить уровень доверия как к финансовой информации, так и в целом ко всем элементам ИТ-инфраструктуры.

"Схема"

Более того, в США принято решение о необходимости обеспечить совместимость с SOX государственных федеральных органов. Начиная с 2006 финансового года, все федеральные агентства США - по распоряжению управления менеджмента и бюджета (US Office of Management and Budget - OMB) - будут обязаны выполнять циркуляр А123, являющийся практически отражением Акта Сарбаниса-Оксли для государственной сферы. Как и в SOX, циркуляр 123 требует от федеральных агентств документировать внутренний контроль путем представления финансовой отчетности и осуществления процессов оценки. Таким образом, роль Акта Сарбаниса-Оксли еще более возрастает, в том числе и в области ИТ-инфраструктуры, которая должна обеспечить совместимость его требованиям.

В то же время, как показал опрос, проведенный CIO и PricewaterhouseCoopers в американском штате Калифорния, лишь половина опрошенных фирм согласна с требованиями по обеспечению совместимости с SOX. Тем не менее, в США растет число фирм, в которых проводится аудит информационной безопасности. Так, согласно данным исследования CSI/FBI "Состояние компьютерной преступности, 2005 год", доля респондентов в США, которые проводят аудит информационной безопасности, возросла с 82% в 2004 году до 87% в 2005-м.

В этом же исследовании выяснялось мнение о влиянии SOX на обеспечение ИТ-безопасности в компаниях. Впервые раздел "Влияние Акта Сарбаниса-Оксли" появился в 2004 году. Как следует из аналитического отчета 2005 года, респонденты, представляющие восемь из 14 секторов, считают, что SOX повлиял на ИТ-безопасность их компаний. В 2004 году такое мнение высказывали представители лишь пяти секторов. Примечательно, что половина респондентов - представителей финансовой сферы заявили о повышении внимания к информационной безопасности в результате необходимости обеспечить совместимость с SOX.

Применение средств ИТ-аудита, несомненно, потребуется и при реализации требований нового Базельского соглашения по капиталу, опубликованного в 2004 году Базельским комитетом по банковскому надзору Банка международных расчетов (BIS) под названием "Международная конвергенция измерения капитала и стандартов капитала: новые подходы" ("Базель II"). Основное внимание в этой части будет необходимо уделить операционным рискам, и в этом плане принципы и критерии COSO и СobiT будут также востребованы. Предполагается, что реализация "Базель II" в отношении российского банковского сектора произойдет в 2008-2009 годах.

Влияние Акта Сарбаниса-Оксли на информационную безопасность
процент респондентов, согласных с утверждением

"Диаграмма"

С. Леденко,

руководитель информационно-аналитического центра STT Group

И. Чикалев,

директор по системам и средствам защиты информации

STT Group, к.т.н

"Банковское дело в Москве", N 1, январь 2006 г.