30.06.2015 Аудиторская организация и ее работники, индивидуальный аудитор и работники, с которыми им заключены трудовые договоры, обязаны соблюдать требование об обеспечении конфиденциальности информации, составляющей аудиторскую тайну (ст. 9 Федерального закона «Об аудиторской деятельности»).

В отличие от лицензионных требований при работе аудитора со сведениями,  составляющими  государственную тайну, а  также при работе со  сведениями, имеющими статус охраняемой законом  коммерческой тайны (ст.5 Федерального закона «О коммерческой тайне»), четких требований о работе аудитора с конфиденциальной информацией в законодательстве не содержится.

Аудитору часто доступна значительная  доля  информации коммерческого характера об аудируемом лице. Такая информация не всегда бывает четко обозначена в соответствии с установленной законом «О коммерческой тайне» процедурами (составление перечня, нанесение грифа и др), однако она  является конфиденциальной и ценной для предприятия , а значит, составляет аудиторскую тайну.

Постановлением Правительства № 79 от 3 февраля 2012 г определяется понятие  «технической защиты конфиденциальной информации», под которой понимается выполнение работ или оказание услуг по ее защите от несанкционированного доступа, от утечки по техническим каналам.

Однако было бы наивно полагать что, выполнив работы по технической защите конфиденциальной информации с помощью сторонней компании, имеющей лицензию  ФСТЭК, аудитор сможет убедить клиентов, что его аудиторская тайна защищена. В интернете немало объявлений о том, как такую лицензию приобрести и сколько это стоит. Вероятно поэтому в конкурсных заданиях на проведение аудита информационных систем крупные компании, такие как АФК «Система», указывают требование о наличие у аудиторов сертификатов CISSP или CISA. Такие квалификации сдаются на английском языке и количество их обладателей очень невелико.

Международные консорциум по информационной безопасности (ISC) придает большое значение вопросам управления и анализа рисков, администрированию, организационным вопросам,  политикам, стандартам, процедурам, связанным с информационной безопасностью, персоналу, доступу и многим другим вопросам, а не только технической защите.

Комплексные знания о современных угрозах, уязвимостях, подходах, организационных решениях и методах обеспечения  безопасности конфиденциальной информации  важно иметь в арсенале многим аудиторам.  
Программа Диплома по Информационной безопасности, предложенная Си-Пи-Эй  Россия  (CPA Russia), использует лучший международный опыт в этой области. Экзамен по ИБ,  сопровождающийся бесплатными учебными материалами на русском языке,  был предложен кандидатам CPA(Rus) в июньскую сессию 2015г.

Все статьи