Издания и мероприятия для банковских специалистов:
 
Методический журнал
МСФО и МСА в кредитной организации
Описание изданияСвежий номер Архив Приобрести/Подписаться
Выходит один раз в квартал.
Объем 112 с. Формат А4.
Издается с 2003 г.
 
 

Аудит управления доступом к информационным системам

Размещено на сайте 01.06.2018
В статье предложена методика оценки качества управления доступом к информационным системам и данным в аудируемой кредитной организации. Даны рекомендации по качественной и количественной оценке соответствующих рисков, основанные на МСА. По каким факторам оценивать качество управления доступом в аудируемом банке? Почему для аудитора важно понимать способ обеспечения доступа? Какая информация о настройке прав доступа должна интересовать аудитора? Как может выглядеть чек-лист аудита системы управления доступом?
 
Михаил ВИННИКОВ, консультант по IT-системам
 
 
Приводятся извлечения из статьи. Полную версию материала читайте в журнале. Подписаться
 
 
Управление доступом — существенный фактор аудиторских рисков, отраженных в МСА.
Неправильная организация доступа к функциям или данным — потенциальный источник рисков как для аудируемой организации, так и для аудитора.
Стандарты управления IT и обеспечения информационной безопасности содержат многочисленные показатели и процессы, уровень выполнения которых может использоваться как оценочный фактор организации управления доступом.
Принципы и механизмы управления доступом к одним и тем же данным и функциям зависят от реализации ИС, но цель едина — минимизация рисков.
В процессе анализа информационных систем организации аудитор должен понять архитектуру построения и управления доступом, чтобы запросить необходимую номенк­латуру документов и отчетов по управлению доступом.
В организации в явном или неявном виде могут применяться разные методы управления доступом, в том числе разные модели для разных компонентов, и хорошо, если в каком-либо документе описано, какая модель где используется.
Одни и те же данные, размещенные в разных информационных системах, должны иметь одинаковый уровень управления доступом.
 
 
 
 
Другие проекты группы «Регламент-Медиа»