СПЕЦИФИКА ОБЕСПЕЧЕНИЯ КОНФИДЕНЦИАЛЬНОСТИ ИНФОРМАЦИИ В АУДИТОРСКИХ ОРГАНИЗАЦИЯХ

Ковалева О. О.
СПЕЦИФИКА ОБЕСПЕЧЕНИЯ КОНФИДЕНЦИАЛЬНОСТИ ИНФОРМАЦИИ В АУДИТОРСКИХ ОРГАНИЗАЦИЯХ
ФГБОУ  ВПО «МГТУ им. Носова»,
институт энергетики и автоматизированных систем,
факультет информатики

Kovalyova O.O.
SPECIFICITY OF ENSURING CONFIDENTIALITY OF INFORMATION IN AUDIT ORGANISATIONS
Nosov Magnitogorsk State Technical University,
Power Engineering and Automated Systems Institute,
Department of Informatics and Information Technology

Аннотация. В работе рассматривается особенность осуществления аудиторской деятельности. Также в работе уделено внимание необходимости и проблематике обеспечения конфиденциальности информации аудиторских организаций.

Abstract. In this paper we describe the use of specificity of audit activity. Also in this paper we pay attention to the need and problem of ensuring confidentiality of information of audit organizations.

Проблема организации и поддержания защиты обменных процессов в информационной среде, отвечающей определенным правилам и требованиям политики информационной безопасности любой современной организации, в настоящее время является весьма актуальной. С развитием рыночных отношений информация перестала играть эфемерную роль, превратившись в чрезвычайно важный и весомый ресурс, имеющий свои стоимостные характеристики. Новые технологии также стремительно развиваются, таким образом, давая толчок появлению усовершенствованных или абсолютно новых угроз различного типа, реализующих в себе нанесение как имиджевого ущерба организации, так и финансового, поэтому вопрос обеспечения безопасного хранения, обработки и обмена информацией со временем не теряет своей остроты, а совсем наоборот – требует большего внимания. Наиболее важна эта проблема для организаций, осуществляющих свою деятельность в работе с информацией, требующей особого внимания и защиты – конфиденциальной информацией, относящейся к коммерческой тайне и персональным данным. Таким образом, возникает острая необходимость в обеспечении защиты обменных процессов между аудиторскими и аудируемыми организациями.

Особенность осуществления аудиторской деятельности заключается в том, что аудиторские организации в обязательном или инициативном порядке привлекаются к проведению независимых проверок бухгалтерской (финансовой) отчетности хозяйствующих субъектов с целью установления достоверности этой отчетности, а также к оказанию сопутствующих аудиту услуг. Таковые организации могут осуществлять свою деятельность как в отношении любых юридических лиц вне зависимости от их организационно-правовой формы и вида деятельности, так и в отношении любых физических лиц, занимающихся предпринимательской деятельностью без образования юридического лица и зарегистрированных в качестве индивидуальных предпринимателей. Можно сказать, что деятельность любой аудиторской компании непосредственно связана со сбором и анализом информации о деятельности хозяйствующих субъектов.

В качестве источников информации для осуществления аудита служат первичные документы о проведении любых хозяйственных операций, движении денежных средств и других финансовых ресурсов, персональные сведения работников, все внутренние документы организаций и т.д. Кроме этого, в ходе проведения проверки аудиторская организация анализирует полученную информацию, создает рабочие документы, проводит тестирование различных ситуаций. Вся собранная и созданная информация о хозяйствующем субъекте хранится в аудиторской организации вместе с аудиторским заключением о проверке или отчетом о выполнении специального аудиторского задания при оказании сопутствующих аудиту услуг. Аудиторское заключение – строго регламентированный документ, который предоставляется аудиторской организацией заказчику, является частью бухгалтерской отчетности [1, ст. 6]. Вместе с этим заключением руководителю хозяйствующего субъекта передается подробный отчет по проведенной проверке с указанием всех нарушений и недостатков, выявленных в ходе ее проведения, а также анализом деятельности организации за проверяемый период, оценка влияния выявленных нарушений на достоверность отчетности и т.д. Обычно отчет называется «Письменная информация аудитора руководителю аудируемого лица». Содержание отчета аудитора строго конфиденциально, не подлежит разглашению, как и вся информация, полученная аудиторской организацией в ходе проверки. Аудиторская организация, получившая в ходе своей профессиональной деятельности доступ к конфиденциальной информации аудируемого лица, обязана обеспечить ее сохранность [1, ст. 9].

На данный момент в российском законодательстве нет чёткого определения понятия «конфиденциальная информация». В утратившем силу федеральном законе № 24 «Об информации, информатизации и защите информации» говорится, что конфиденциальная информация – документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации. Действующий ФЗ «Об информации, информационных технологиях и защите информации» (далее «Об информации») термина «конфиденциальная информация» не содержит. Однако он описывает понятие «конфиденциальности». «Конфиденциальность информации – обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия её обладателя». Согласно этому же закону «информация – сведения (сообщения, данные) независимо от формы их представления». Также в Указе Президента Российской Федерации «Об утверждении перечня сведений конфиденциального характера» к сведениям конфиденциального характера относятся персональные данные; тайна следствия и судопроизводства, сведения о защищаемых лицах; служебная тайна; сведения, связанные с профессиональной деятельностью (врачебная, нотариальная, аудиторская тайна); сведения, связанные с коммерческой деятельностью – коммерческая тайна, а также сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них [3]. Таким образом, в Российской Федерации конфиденциальность определяется как обязательное для выполнения лицом, получившим доступ к определенным сведениям (сообщениям, данным) независимо от формы их представления, требование не передавать их третьим лицам, без согласия лица, самостоятельно создавшего информацию либо получившего на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам. Приведенный список сведений, содержащийся в Указе Президента РФ, невозможно считать полным так, как закон «Об информации, информационных технологиях и о защите информации» разрешает обладателю информации наделять её статусом конфиденциальности самостоятельно. Поэтому, список в Указе Президента Российской Федерации «Об утверждении перечня сведений конфиденциального характера» является примерным [2, ст. 2].

Конфиденциальность информации – важный аспект деятельности аудиторских организаций. Поскольку аудиторские организации обладают доступом к полной и достоверной информации о проверяемом субъекте хозяйствования, то именно эти организации подвержены повышенному вниманию со стороны правоохранительных органов, Федеральной Налоговой Службы, конкурентов и множества других учреждений, проявляющих интерес к этой информации. Также одной из проблем обеспечения конфиденциальности информации аудиторских организаций является вопрос о государственном регулировании предоставления конфиденциальной информации различным государственным органам. Этот вопрос достаточно сложен, так как федеральный закон «Об аудиторской деятельности» хоть и обязывает аудиторов соблюдать аудиторскую тайну, но в то же время, предусматривает ее предоставление государственным органам в исключительных случаях, например, при инициации уголовного судопроизводства в отношении заказчика аудиторской организации [1, ст. 9]. Следовательно, аудиторские организации должны обеспечить максимальное выполнение таких мер обеспечения конфиденциальности информации, как, например, разработка и внедрение политики информационной безопасности, которая представляет собой документ, включающий перечень организационных и программно-технических мер обеспечения безопасности информации и ее целостности в частности. Согласно мнению специалистов: «первостепенным аспектом разработки политики информационной безопасности является анализ рисков информационной системы» [5]. Анализ рисков заключается в определении ресурсов системы предприятия (как информационных, так и технических, программных и других), идентификации угроз, которым ресурсы могут быть подвержены, а также перечень контрмер, необходимых для предотвращения реализации угроз в отношении ресурсов организации. В настоящее время используются два подхода к анализу рисков: базовый, включающий в себя проверку на наличие стандартного набора защиты от наиболее распространенных угроз и выполнение требований сертификата безопасности, и полный, который предполагает более детализированную оценку ресурсов предприятия, характеристик рисков и уязвимостей. В случае специфики аудиторской деятельности, аудиторским организациям целесообразно использовать полный подход к анализу рисков своей информационной системы. Однако наряду с приведенной стандартной мерой безопасности в отношении конфиденциальной информации, аудиторские организации должны руководствоваться стандартами аудиторской деятельности. В них закреплены принципы аудиторской деятельности – это принцип независимости, конфиденциальности, профессиональной этики. Каждая аудиторская организация в обязательном порядке разрабатывает внутренние стандарты в целях практической реализации указанных принципов. Все работники аудиторских организаций знакомятся с внутренними стандартами и обязуются их соблюдать [1, ст. 10].

Таким образом, деятельность аудиторских организаций неразрывно связана с конфиденциальной информацией, принадлежащей другим компаниям – именно в этом заключена специфика аудиторской деятельности. Аудиторские организации должны не просто защищать эту информацию, но и обеспечивать ее конфиденциальность. Сроки действия аудиторской тайны не установлены законодательно, что означает обязанность сохранять в тайне конфиденциальную информацию об операциях клиентов, полученную при оказании профессиональных услуг, без ограничения сроков и независимо от продолжения или прекращения непосредственных отношений с ним. Следовательно, неправильное пользование информационными активами, находящимися во владении аудиторских организаций, может повлечь за собой серьезные последствия, вплоть до лишения свободы на срок до трех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет [4, ст. 202]. Для того чтобы избежать этих последствий, аудиторские организации должны соблюдать принцип конфиденциальности и в этом им может помочь такая простая мера, как разработка и внедрение политики информационной безопасности, которая способна не только обеспечить конфиденциальность защищаемой информации, но и ее доступность и целостность.

Литература
1. Федеральный закон «Об аудиторской деятельности» [Принят 30 декабря 2008 г.] // Собрание законодательства РФ. – 2009. – N 1. Ст. 15.
2. Федеральный закон «Об информации, информационных технологиях и о защите информации»: Часть первая [Принят 27 июля 2006 г.] // Собрание законодательства РФ. – 2006. – N 31 (1 ч.). Ст. 3448.
3. Указ Президента РФ «Об утверждении перечня сведений конфиденциального характера» [Принят 6 марта 1997 г.] // Собрание законодательства РФ. – 1997. – N 10. Ст. 1127.
4. Гражданский Кодекс Российской Федерации. Полный текст (части первая, вторая, третья и четвертая). – М.: Юркнига, 2007. -500с.
5. Чернова Е.В., Попова И.В., Попова Е.В., Зленко И.В. Обеспечение безопасности системы информационно-аналитической поддержки научных исследований // Программные продукты и системы / под ред. С.В Емельянова. – № 4(88) 2009 – 192 с. – 48-51.