Согласно российским стандартам в области менеджмента информационной безопасности (ИБ), являющимся аутентичными международным стандартам, таким как [1, 2], организация на регулярной основе должна осуществлять внутренний аудит системы менеджмента информационной безопасности. Аудит – это независимая проверка и оценка деятельности организации путем анализа и оценки процессов, проектов, отчетности, продуктов. Аудит, как вид деятельности, не является статичным, неизменным, он эволюционирует. С точки зрения ведущих международных аудиторских компаний, в частности [3, 4], современный этап эволюции аудита – это переход от реактивности (выявление недостатков постфактум) к проактивности (предсказательность результатов действий или событий до их завершения). Верность утверждения для российского внутреннего аудита подтверждена итогами IX Национальной научно-практической конференции [5]. Движение к проактивности в аудите определяет актуальность следующих задач:

1) обработка до 100 % информации, порождаемой деятельностью, находящейся в фокусе внимания аудита;

2) обработка информации в режиме, близком к онлайн;

3) наличие мощного инструментария для анализа данных и моделирования на их основе дальнейшего развития исследуемых событий, а также обладание соответствующими навыками работы с ним у аудиторов.

При проведении проверок у аудитора возникает дилемма. С одной стороны, он обязан предоставить владельцам / акционерам / руководству организации данные, максимально приближенные к достоверному состоянию процессов менеджмента ИБ, информацию о выявленных недостатках и рекомендациях по их устранению. С другой стороны, время проверки жестко ограничено; выгрузка исходных данных из информационных систем организации занимает значительное время; получаемые из различных информационных систем и других источников данные имеют различные, не всегда стандартные форматы; используемый инструментарий имеет недостатки, поскольку наиболее часто используемые в работе электронные таблицы (MSExcel, LOCalc) в силу внутренних ограничений уже не в состоянии обеспечить требуемый функционал.

Вышеприведенные, а также другие факторы, например: нежелание сотрудничать, скрытое противодействие персонала проверяемой организации, оценка работы аудиторов только по количественным показателям (количеству наблюдений или по времени, затраченному на одно наблюдение) – указывают на то, что проверки осуществляются поверхностно. При этом недостатки в процессах менеджмента ИБ могут быть обнаружены, однако объяснить их природу и дать действенные рекомендации бизнесу аудитору становится затруднительно.

Как результат, определенная в ГОСТ ИСО/МЭК 27002–2012 цель независимых проверок – «обеспечение уверенности в сохраняющейся работоспособности, адекватности и эффективности подхода организации к менеджменту информационной безопас-ности» [2] – не может быть достигнута.

Одним из вариантов устранения некоторых из вышеназванных недостатков является применение в ходе аудиторских проверок программ, разработанных самими аудиторами и предназначенных для оперативной обработки данных, – так называемая «малая автоматизация». Подобный подход, хотя и является низовым звеном в цепи автоматизации аудиторских процедур, тем не менее находится в рамках парадигмы развития аудита в направлении роботизации процедур и применения искусственного интеллекта, о чем говорится, например, в работах [3, 6, 7], а также подтверждается результатами конференций института внутренних аудиторов [8].

1.     ГОСТ Р ИСО/МЭК 27001–2006. Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования: введ. 2008–02–01. – Переизд. – М.: Стандартинформ, 2019. – URL: http://docs.cntd.ru/document/gost-r-iso-mek-27001-2006 (дата обращения: 18.03.2021).

2.     ГОСТ Р ИСО/МЭК 27002–2012. Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности: взамен ГОСТ Р ИСО/МЭК 17799–2005: введ. 2014–01–01. – М.: Стандартинформ, 2014. – URL: http://docs.cntd.ru/document/1200103619 (дата обращения: 18.03.2021).

3.     Ernst & Young. Does a disrupted Internal Audit (IA) function mean a stronger strategic partner? – 2018. – URL: https://assets.ey.com/content/dam/ey-sites/ey-com/en_gl/topics/advisory/ey-future-of-internal-audit.pdf (дата обращения: 18.03.2021).

4.     PricewaterhouseCoopers. Internal Audit Transformation: PwC. – 2020. – URL: https://www.pwc.com/us/en/services/risk-assurance/internal-audit-transformation.html (accessed: 18.03.2021).

5.     Итоги IX Национальной научно-практической конференции «Внутренний контроль и аудит в России: Новые тенденции в условиях цифровизации». – М., 2020. – URL: http://nuiac.ru/ix-post (дата обращения: 18.03.2021).

6.     Chuprunov M. Auditing and GRC Automation in SAP. – Berlin; Heidelberg: Springer, 2013. – 525 p.

7.     Внутренний аудитор: журнал / издание Ассоциации «Институт внутренних аудиторов». – 2019. – № 1 (5). – 81 с.

8.     NIST SP 800-53. Security and Privacy Controls for Federal Information Systems and Organizations. – Rev. 4. – 2013. – 462 p. – URL: https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf (accessed: 18.03.2021).

9.     ГОСТ Р 57580.1–2017. Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер: введ. 2018–01–01. – М.: Стандартинформ, 2020. – 179 с. – URL: http://docs.cntd.ru/document/1200146534 (дата обращения: 18.03.2021).

10.   Приказ от 25.12.2017 г. № 239 «Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации» / Федеральная служба по техническому и экспортному контролю. – М., 2017. – 32 с. – URL: https://fstec.ru/en/53-normotvorcheskaya/akty/prikazy/1592-prikaz-fstek-rossii-ot-25-dekabrya-2017-g-n-239 (дата обращения: 18.03.2021).

11.   Приказ от 18.02.2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» / Федеральная служба по техническому и экспортному контролю. – М., 2013. – 19 с. – URL: https://fstec.ru/normotvorcheskaya/akty/53-prikazy/691 (дата обращения: 18.03.2021).