Системный и организационный контроль

Для проверки этой статьи нужны дополнительные цитаты . Помогите улучшить эту статью , добавив ссылки на надежные источники . Материалы без источников могут быть оспорены и удалены. Найти источники:  «Системные и организационные элементы управления» – новости  · газеты  · книги  · ученый  · JSTOR ( март 2020 г. ) ( Узнайте, как и когда удалять это сообщение )

Системный и организационный контроль ( SOC ; также иногда называемый контролем сервисных организаций), как определено Американским институтом сертифицированных бухгалтеров (AICPA), — это название набора отчетов, подготовленных в ходе аудита. Он предназначен для использования сервисными организациями (организациями, которые предоставляют информационные системы в качестве услуги другим организациям) для выпуска проверенных отчетов о внутреннем контроле над этими информационными системами для пользователей этих услуг. Отчеты сосредоточены на контроле, сгруппированном в пять категорий, называемых критериями доверительного обслуживания . ^[1] Критерии доверительного обслуживания были установлены AICPA через его Исполнительный комитет по услугам по обеспечению качества (ASEC) в 2017 году (TSC 2017). Эти критерии контроля должны использоваться практикующим специалистом/экзаменатором (сертифицированным бухгалтером, CPA) в заданиях по подтверждению или консультированию для оценки и составления отчетов о контроле информационных систем, предлагаемых в качестве услуги. Задания могут выполняться на уровне всей организации, дочерней компании, подразделения, операционной единицы, продуктовой линейки или функциональной области. Критерии трастовых услуг были смоделированы в соответствии с The Committee of Sponsoring Organizations of the Treadway Commission (COSO) Internal Control - Integrated Framework (COSO Framework). Кроме того, критерии трастовых услуг могут быть сопоставлены с критериями NIST SP 800 - 53 и статьями Общего регламента по защите данных ЕС (GDPR) . Стандарт аудита AICPA Statement on Standards for Attestation Engagements № 18 (SSAE 18), раздел 320, «Отчетность по проверке средств контроля в сервисной организации, относящейся к внутреннему контролю над финансовой отчетностью субъектов-пользователей», определяет два уровня отчетности: тип 1 и тип 2. Дополнительные руководящие материалы AICPA указывают три типа отчетности: SOC 1, SOC 2 и SOC 3.

Критерии услуг доверия были разработаны таким образом, чтобы они могли обеспечить гибкость в применении для лучшего соответствия уникальным элементам управления, внедренным организацией для устранения ее уникальных рисков и угроз, с которыми она сталкивается. Это отличается от других структур контроля, которые предписывают определенные элементы управления независимо от того, применимы они или нет. Применение критериев услуг доверия в реальных ситуациях требует суждения относительно пригодности. Критерии услуг доверия используются при «оценке пригодности дизайна и операционной эффективности элементов управления, относящихся к безопасности, доступности, целостности обработки, конфиденциальности или приватности информации и систем, используемых для предоставления продукта или услуг» - AICPA - ASEC.

Организация критериев Trust Services согласована с 17 принципами COSO с дополнительными дополнительными критериями, организованными в логические и физические элементы управления доступом, системные операции, управление изменениями и снижение рисков. Кроме того, дополнительные дополнительные критерии являются общими для Trust Services Criteria - Common Criteria (CC) и дополнительных конкретных критериев доступности, целостности обработки, конфиденциальности и приватности.

Общие критерии обозначены как «Контрольная среда» (CC1.x), «Информация и коммуникация» (CC2.x), «Оценка рисков» (CC3.x), «Мониторинг средств контроля» (CC4.x) и «Контрольная деятельность, связанная с разработкой и внедрением средств контроля» (CC5.x). Общие критерии подходят и полны для оценки критериев безопасности. Однако существуют дополнительные критерии, специфичные для категории: «Доступность» (Ax), «Целостность обработки» (PI.x), «Конфиденциальность» (Cx) и «Приватность» (Px). Критерии для каждой категории трастовых услуг, рассматриваемых в задании, считаются полными, когда рассматриваются все критерии, связанные с этой категорией.

Отчеты SOC 2 сосредоточены на элементах управления, рассматриваемых в пяти частично пересекающихся категориях, называемых критериями доверительного обслуживания , которые также поддерживают триаду информационной безопасности ЦРУ: ^[1]

1. Безопасность — информация и системы защищены от несанкционированного доступа и раскрытия, а также от повреждения системы, которое может поставить под угрозу доступность, конфиденциальность, целостность и приватность системы.
   • Брандмауэры
   • Обнаружение вторжений
   • Многофакторная аутентификация
2. Доступность — информация и системы доступны для оперативного использования.
   • Мониторинг производительности
   • Восстановление после аварии
   • Обработка инцидентов
3. Конфиденциальность — информация защищена и доступна на законной основе необходимости знать. Применяется к различным типам конфиденциальной информации.
   • Шифрование
   • Контроль доступа
   • Брандмауэры
4. Целостность обработки — системная обработка является полной, действительной, точной, своевременной и авторизованной.
   • Гарантия качества
   • Мониторинг процесса
   • Приверженность принципам
5. Конфиденциальность - личная информация собирается, используется, хранится, раскрывается и уничтожается в соответствии с политикой. Конфиденциальность применяется только к личной информации.
   • Контроль доступа
   • Многофакторная аутентификация
   • Шифрование

Существует два уровня отчетов SOC, которые также определены в SSAE 18: ^[2]

• Тип 1, который описывает системы сервисной организации и то, соответствует ли конструкция указанных элементов управления соответствующим принципам доверия. (Могут ли конструкция и документация достичь целей, определенных в отчете?)
• Тип 2, который также рассматривает операционную эффективность указанных элементов управления в течение определенного периода времени (обычно от 9 до 12 месяцев). (Является ли внедрение целесообразным?)

Существует три типа отчетов SOC. ^[3]

• SOC 1 – Внутренний контроль финансовой отчетности (ICFR) ^[4]
• SOC 2 – Критерии доверительных услуг ^{[5] [6]}
• SOC 3 – Критерии доверительных услуг для общего использования ^[7]

Кроме того, существуют специализированные отчеты SOC по кибербезопасности и цепочке поставок. ^[8]

Отчеты SOC 1 и SOC 2 предназначены для ограниченной аудитории, а именно для пользователей с достаточным пониманием рассматриваемой системы. Отчеты SOC 3 содержат менее конкретную информацию и могут распространяться среди широкой общественности.

Аудиты SOC 2 могут проводиться только сертифицированным бухгалтером (CPA) или сертифицированным техническим экспертом аудиторской фирмы, имеющей лицензию AICPA.

Аудит SOC 2 предоставляет подробный отчет о внутреннем контроле организации, составленный в соответствии с 5 критериями доверительного обслуживания. Он показывает, насколько хорошо организация защищает данные клиентов, и гарантирует им, что организация предоставляет услуги безопасным и надежным способом. Поэтому отчеты SOC 2 предназначены для предоставления только клиентам и другим заинтересованным лицам. ^[9]

• ИСО/МЭК 27001

• «Заявление о стандартах для аттестационных заданий 18, Стандарты аттестации: разъяснение и перекодификация», AICPA
• «Профессиональные стандарты», раздел AT-C 320, AICPA