Contenu connexe
Similaire à Как одновременно соответствовать различным регуляторным требованиям
Similaire à Как одновременно соответствовать различным регуляторным требованиям (20)
Как одновременно соответствовать различным регуляторным требованиям
- 2. Источники требований и лучших практик в области ИБ
• Межгосударственные соглашения и национальное законодательство
• Регуляторы
• Платежные системы
• Профессиональные ассоциации и саморегулируемые организации
• Корпоративные политики и стандарты
• Деловые партнеры
• Клиенты
Требования могут содержаться как в документах обязательного
применения, так и в стандартах (лучших практиках), которые в случае
присоединения к ним организаций становятся для них обязательными.
Методы контроля соблюдения требований:
•
•
•
•
•
Надзор со стороны регуляторов
Инспекционные проверки, инициированные регуляторами и
платежными системами
Внешний аудит/оценка соответствия
Внутренний аудит, самооценка
Контроль со стороны руководства организаций
Примеры
152-ФЗ, 161-ФЗ, 382-П, СТО БР ИББС 1.0, PCI DSS, ISO 27001 , SOC2, CSA
© 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG
International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения.
.
1
- 3. Кроме ИБ есть еще требования и лучшие практики в
области ИТ и бизнеса
Безопасность
Соответствие ИТ
целям бизнеса
Непрерывность
ИТ сервисов
Управление
комплексной средой
Соответствие
регуляторным требованиям
Цена/Качество
Примеры
ITIL, TOGAF, ISO 20000, ISO 22301 (BS 25999), ISO 9000, COBIT, BASEL, SOX, COSO,
ISO 38500, ISO 31000, ISAE 3402…
Стандарты и требования постоянно обновляются
Несмотря на области пересечения, зачастую внедрение этих различных требований
не гармонизировано (пример –управление рисками)
© 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG
International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения.
.
2
- 4. Общие области стандартов и требований
•
Требования в отношении корпоративного управления (Governance) –
организационные структуры, вовлечение высшего руководства,
политики, управление рисками)
•
Цикличная модель постоянного совершенствования (PDCA, EDM/PBRM,
Business as Usual)
•
Требования в отношении общих ИТ/ИБ контролей (например, контроль
доступа, антивирусная защита, безопасность сетевой инфраструктуры,
жизненный цикл ИС и т.п.)
•
Требования к самооценке, внешней оценке, аудиту, тестам на
проникновения
•
Требования к обучению и осведомленности
© 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG
International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения.
.
3
- 5. Общий подход к проверке выполнения требований
Контроли
Политики
Цели контроля будут достигнуты
Процедуры
Контроли
Практики
созданные для обеспечения
достаточной уверенности в
том, что
Руководства
Регламенты
Нежелательные события будут
предотвращены/ своевременно
идентифицированы
Тестирование контролей
Дизайн и реализация контроля
■ Изучение контроля, описание контроля, тестирование
эффективности внедрения дизайна контроля
Операционная эффективность контроля
■ С помощью репрезентативной выборки производится тестирование
эффективности функционирования рассматриваемого контроля в
течение выбранного периода проверки (Пример – ISAE3402/SOC2
Type 2).
© 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG
International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения.
.
4
- 6. Корпоративное управление ИТ и ИБ
Корпоративное управление – комплекс
управленческих решений и практик, применяемых
высшим руководством, с целью:
Определения стратегического направления
Обеспечения достижения целей
Адекватного управления рисками
Надлежащего использования ресурсов
www.itgi.org
www.itgi.org
RESOURCE
MANAGEMENT
Корпоративное управление ИТ и ИБ
Ответственность Совета Директоров и
руководства
Неотъемлемая часть корпоративного
управления, состоящая из руководства,
организационных структур и процессов,
обеспечивающих соответствие ИТ и ИБ
текущим и стратегическим целям организации
© 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG
International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения.
.
5
- 7. Области корпоративного управления
Область
Описание
Стратегическое
соответствие
Направлено на обеспечение соответствия стратегических планов и планов по
ИТ и ИБ; определение, поддержание и оценку привносимой пользы; а также
взаимосвязи процессов ИБ и бизнес-процессов
Достижение целей
Рассматривает привносимую ИТ и ИБ пользу как цикл, обеспечивающий
достижение декларируемых преимуществ от ИТ и ИБ в соответствии со
стратегией с учетом оптимизации затрат
Управление
ресурсами
Рассматривает оптимизацию инвестиций в ИБ и надлежащее управление
критичными ИТ и ИБ ресурсами: процессами, инфраструктурой и персоналом.
Ключевые проблемы относящиеся к оптимизации знаний и инфраструктуры
Управление
рисками
Необходимость осведомленности высшего руководства в области рисков,
четкого понимания единого подхода в отношении рисков, требований
законодательства, прозрачности в отношении существенных рисков, а также
включения процесса управления рисками в практику организации
Управление
производительностью
Мониторинг реализации стратегии и планов, использования ресурсов,
эффективности процессов и мер с использованием системы сбалансированных
показателей
© 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG
International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения.
.
6
- 8. Взаимосвязь различных требований и стандартов в
области систем управления и контроля
COBIT выступает в качестве зонтичного стандарта, связывая требования ИТ/ИБ и бизнеса
COSO, BASEL II
CobiT
BS 25999
ЧТО
ISO 27001
СТО БР ИББС
382-П
PCI DSS
ISO 9000
КАК
ITIL
ОБЛАСТЬ ПРИМЕНЕНИЯ
© 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG
International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения.
.
7
- 9. COBIT 5 – стандарт корпоративного управления ИТ
COBIT 5 помогает предприятиям получить
оптимальную пользу от ИТ, достигая баланса
между достижением преимуществ и обеспечением
приемлемого уровня рисков и затрат ресурсов.
Эффективность
Соответствие
требованиям
Эволюция COBIT
© 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG
International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения.
.
8
- 10. COBIT 5 – Публикации
© 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG
International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения.
.
9
- 11. COBIT 5 – Принципы
© 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG
International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения.
.
10
- 12. COBIT 5 – Факторы влияния
© 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG
International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения.
.
11
- 13. COBIT 5 – Эталонная модель процессов
Уровни возможностей
процессов:
0- Неполный процесс
1- Осуществленный процесс
2- Управляемый процесс
3- Установленный процесс
4- Предсказуемый процесс
5- Оптимизирующий процесс
Методология оценки в
соответствие с
ISO 15504 описана в Process
Assessment
Model (PAM): Using COBIT 5
© 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG
International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения.
.
12
- 14. Непротиворечивое и эффективное внедрение
стандартов
•
Получить одобрение руководства и заинтересованных сторон.
Определиться с зонтичным стандартом
•
Создать профильные организационные структуры корпоративного
управления (комитеты)
•
Применять рекомендации по внедрению зонтичного стандарта
(например, COBIT 5 Implementation)
•
Внедрять необходимые специализированные стандарты (ISO 27001, СТО
БР ИББС, 382-П, PCI DSS и т.п.), обеспечивая непротиворечивость
интерпретации требований и терминологии
•
Использовать mapping стандартов и требований
•
Учиться, учиться и учиться!
© 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG
International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения.
.
13
- 15. Поддержка высшего руководства
Предпосылки к распределению ролей в рамках корпоративного управления
является владельцем информации и информационных ресурсов
понимает угрозы и риски деятельности организации
Руководство
несет ответственность за выделение и эффективное использование ресурсов
по ИБ
несет ответственность за последствия
Необходимое участие высшего руководства в информационной безопасности:
Рассмотрение вопросов информационной безопасности на собраниях Совета Директоров
Распределение ответственности за обеспечение ИБ, оказание поддержки и подотчетность
ответственных
Создание и контроль Комитета по ИТ и ИБ и участие в их работе
Обеспечение эффективности политики информационной безопасности путем ее рассмотрения и
утверждения, мониторинга и оценки эффективности и результативности процессов и мер, контроля
соответствия путем аудита
Демонстрация собственного участия, приверженности установленным правилам и принципам,
выполнение требований наравне со всеми сотрудниками
© 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG
International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения.
.
14
- 16. Роли и ответственность в рамках корпоративного
управления ИБ
1
Высшее
руководство
Определение направлений развития ИБ, стратегические
цели, оценка результатов и требования по исправлению
недостатков
Владельцы
бизнес-процессов
Определение требований к ИБ, обеспечение достижения
пользы от ИБ и определение рисков
2
3
Руководство ИТ и
ИБ
4
Внутренний Аудит
Обеспечение и совершенствование процессов и мер по
обеспечению ИБ в соответствии с требованиями
владельцев бизнес-процессов и оценкой рисков
Обеспечение независимой оценки того, что ИБ
предоставляет требуемые сервисы, соответствует
требованиям нормативных документов
© 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG
International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения.
.
15
- 17. COBIT 5 - Implementation
© 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG
International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения.
.
16
- 18. Mapping стандартов
© 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG
International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения.
.
17
- 19. Mapping стандартов
© 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG
International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения.
.
18
- 20. Mapping стандартов
© 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG
International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения.
.
19
- 21. Mapping стандартов
© 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG
International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения.
.
20
- 22. Mapping стандартов
© 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG
International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения.
.
21
- 23. Профессиональные сертификации и обучение
CISSP, 27001 LA, QSA, ISA, PCIP…
Повышение осведомленности (Awareness)
© 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG
International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения.
.
22
- 24. Андрей Дроздов
Старший менеджер
KPMG
Tel: +7 495 937-44-44, ext. 15463
10 Пресненская
E-mail: adrozdov@kpmg.ru
набережная, Блок C
Москва, Россия 123317
www.kpmg.ru
© 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с
законодательством Российской Федерации и находящаяся под
контролем KPMG Europe LLP; член сети независимых фирм КПМГ,
входящих в ассоциацию KPMG International Cooperative (“KPMG
International”), зарегистрированную по законодательству Швейцарии. Все
права защищены.
KPMG, логотип KPMG и слоган “cutting through complexity”являются
зарегистрированными товарными знаками ассоциации KPMG
International.