Персональные инструменты
 

Ревизор идет в банк (о проверке банков аудиторами)

Материал из CustisWiki

Перейти к: навигация, поиск
Алексей Зенин, наш ведущий аналитик направления «Финансовые институты», рассказал «Российской Бизнес-газете» о вступившем в силу 31 марта Указании Банка России, регламентирующем проведение надзорных проверок банков аудиторскими организациями. Что это указание означает для банков и аудиторов? Какие требования по защите информации, полученной в ходе проверок, теперь предъявляются к аудиторам? Потребуются ли дополнительные затраты на обеспечение криптозащиты? Ответы на эти вопросы — в материале «Ревизор идет в банк» на сайте и в бумажной версии издания.

Во вторник, 31 марта, вступило в силу Указание Банка России № 3463-У «Об особенностях организации и проведения проверок кредитных организаций (их филиалов) аудиторскими организациями по поручению Совета директоров Банка России», а также «Положение о порядке проведения отбора аудиторских организаций для проведения проверок кредитных организаций» № 442-П.

Регулятор осуществляет проверки кредитных организаций в ходе банковского надзора в соответствии со ст. 73 Федерального закона «О Центральном банке Российской Федерации». Целью этих проверок является оценка общего состояния кредитной организации либо отдельных направлений ее деятельности. Проверяется соблюдение законодательства, достоверность учета, величина и достаточность собственных средств, корректность показателей регламентной отчетности.

Инструкция № 147-И «О порядке проведения проверок кредитных организаций уполномоченными представителями ЦБ РФ» допускала привлечение к проверкам аудиторов и ранее. Однако именно вступившие в силу 31 марта документы позволяют поставить данную практику «на поток».

Указание ЦБ обязывает аудиторскую организацию обеспечивать защиту данных, полученных в ходе проверки, от компрометации или искажения. Обычно к отчету о результатах проверки прилагаются электронные документы — они передаются в ЦБ на электронном носителе. Носитель должен сопровождаться описью, содержащей перечень всех файлов, результат вычисления хэш-функции для каждого из них, а также отчет о проверке антивирусной программой на отсутствие вредоносного кода. Результат вычисления хэш-функции (или просто «хэш») файла — это электронная подпись, позволяющая проверить, что в файл не вносилось никаких изменений.

Если к антивирусной программе Указание ЦБ не предъявляет особых требований, то алгоритм вычисления криптографического хэша обязан соответствовать ГОСТ Р 34.11-2012 «Информационная технология. Криптографическая защита информации. Функция хэширования».

На алгоритме хэширования стоит остановиться подробнее. Хэш-функции играют важную роль в криптографии и используются для создания электронной подписи, аутентификации и обеспечения целостности данных. Стандарт ГОСТ Р 34.11-2012 разработан Центром защиты информации и специальной связи ФСБ России с участием ОАО «ИнфоТеКС» и вступил в силу 1 января 2013 года. Часто вместо официального названия хэш-функцию, предписанную стандартом, называют «Стрибог» — в честь древнеславянского божества, покровителя ветров и атмосферы. Данная хэш-функция обладает увеличенной до 512 бит длиной хэш-кода, что делает невозможным применение атак, известных на момент разработки стандарта, и в некоторых случаях дает почти двукратный прирост скорости обработки хэшируемых данных. Тестами подтверждена более высокая производительность алгоритма по сравнению со старым стандартом хэширования.

К счастью, жесткое требование нормативного документа использовать хэш-функцию «Стрибог», ставшую российским стандартом хэширования, не будет обременительным для аудиторов. Текст стандарта дает исчерпывающее описание реализации, позволяющее квалифицированному программисту самостоятельно разработать программу за несколько рабочих дней. А в сети Интернет доступны исходные коды готовой программы хэширования на языке Си.


Любые правки этой статьи будут перезаписаны при следующем сеансе репликации. Если у вас есть серьезное замечание по тексту статьи, запишите его в раздел «discussion».

Репликация: База Знаний «Заказных Информ Систем» → «Ревизор идет в банк (о проверке банков аудиторами)»