SlideShare une entreprise Scribd logo

Как одновременно соответствовать различным регуляторным требованиям

R
RISSPA_SPb
Technologie
1  sur  24
Télécharger pour lire hors ligne
Как одновременно соответствовать различным регуляторным требованиям и лучшим практикам в области ИБ и ИТ Андрей Дроздов, CISM, CISA, CGEIT 27.02.2014, Семинар RISSPA, Санкт-Петербург
Источники требований и лучших практик в области ИБ • Межгосударственные соглашения и национальное законодательство • Регуляторы • Платежные системы • Профессиональные ассоциации и саморегулируемые организации • Корпоративные политики и стандарты • Деловые партнеры • Клиенты Требования могут содержаться как в документах обязательного применения, так и в стандартах (лучших практиках), которые в случае присоединения к ним организаций становятся для них обязательными. Методы контроля соблюдения требований: • • • • • Надзор со стороны регуляторов Инспекционные проверки, инициированные регуляторами и платежными системами Внешний аудит/оценка соответствия Внутренний аудит, самооценка Контроль со стороны руководства организаций Примеры 152-ФЗ, 161-ФЗ, 382-П, СТО БР ИББС 1.0, PCI DSS, ISO 27001 , SOC2, CSA © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения. . 1
Кроме ИБ есть еще требования и лучшие практики в области ИТ и бизнеса Безопасность Соответствие ИТ целям бизнеса Непрерывность ИТ сервисов Управление комплексной средой Соответствие регуляторным требованиям Цена/Качество Примеры ITIL, TOGAF, ISO 20000, ISO 22301 (BS 25999), ISO 9000, COBIT, BASEL, SOX, COSO, ISO 38500, ISO 31000, ISAE 3402… Стандарты и требования постоянно обновляются Несмотря на области пересечения, зачастую внедрение этих различных требований не гармонизировано (пример –управление рисками) © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения. . 2
Общие области стандартов и требований • Требования в отношении корпоративного управления (Governance) – организационные структуры, вовлечение высшего руководства, политики, управление рисками) • Цикличная модель постоянного совершенствования (PDCA, EDM/PBRM, Business as Usual) • Требования в отношении общих ИТ/ИБ контролей (например, контроль доступа, антивирусная защита, безопасность сетевой инфраструктуры, жизненный цикл ИС и т.п.) • Требования к самооценке, внешней оценке, аудиту, тестам на проникновения • Требования к обучению и осведомленности © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения. . 3
Общий подход к проверке выполнения требований Контроли Политики Цели контроля будут достигнуты Процедуры Контроли Практики созданные для обеспечения достаточной уверенности в том, что Руководства Регламенты Нежелательные события будут предотвращены/ своевременно идентифицированы Тестирование контролей Дизайн и реализация контроля ■ Изучение контроля, описание контроля, тестирование эффективности внедрения дизайна контроля Операционная эффективность контроля ■ С помощью репрезентативной выборки производится тестирование эффективности функционирования рассматриваемого контроля в течение выбранного периода проверки (Пример – ISAE3402/SOC2 Type 2). © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения. . 4
Корпоративное управление ИТ и ИБ Корпоративное управление – комплекс управленческих решений и практик, применяемых высшим руководством, с целью: Определения стратегического направления Обеспечения достижения целей Адекватного управления рисками Надлежащего использования ресурсов www.itgi.org www.itgi.org RESOURCE MANAGEMENT Корпоративное управление ИТ и ИБ Ответственность Совета Директоров и руководства Неотъемлемая часть корпоративного управления, состоящая из руководства, организационных структур и процессов, обеспечивающих соответствие ИТ и ИБ текущим и стратегическим целям организации © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения. . 5
Области корпоративного управления Область Описание Стратегическое соответствие Направлено на обеспечение соответствия стратегических планов и планов по ИТ и ИБ; определение, поддержание и оценку привносимой пользы; а также взаимосвязи процессов ИБ и бизнес-процессов Достижение целей Рассматривает привносимую ИТ и ИБ пользу как цикл, обеспечивающий достижение декларируемых преимуществ от ИТ и ИБ в соответствии со стратегией с учетом оптимизации затрат Управление ресурсами Рассматривает оптимизацию инвестиций в ИБ и надлежащее управление критичными ИТ и ИБ ресурсами: процессами, инфраструктурой и персоналом. Ключевые проблемы относящиеся к оптимизации знаний и инфраструктуры Управление рисками Необходимость осведомленности высшего руководства в области рисков, четкого понимания единого подхода в отношении рисков, требований законодательства, прозрачности в отношении существенных рисков, а также включения процесса управления рисками в практику организации Управление производительностью Мониторинг реализации стратегии и планов, использования ресурсов, эффективности процессов и мер с использованием системы сбалансированных показателей © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения. . 6
Взаимосвязь различных требований и стандартов в области систем управления и контроля COBIT выступает в качестве зонтичного стандарта, связывая требования ИТ/ИБ и бизнеса COSO, BASEL II CobiT BS 25999 ЧТО ISO 27001 СТО БР ИББС 382-П PCI DSS ISO 9000 КАК ITIL ОБЛАСТЬ ПРИМЕНЕНИЯ © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения. . 7
COBIT 5 – стандарт корпоративного управления ИТ COBIT 5 помогает предприятиям получить оптимальную пользу от ИТ, достигая баланса между достижением преимуществ и обеспечением приемлемого уровня рисков и затрат ресурсов. Эффективность Соответствие требованиям Эволюция COBIT © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения. . 8
COBIT 5 – Публикации © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения. . 9
COBIT 5 – Принципы © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения. . 10
COBIT 5 – Факторы влияния © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения. . 11
COBIT 5 – Эталонная модель процессов Уровни возможностей процессов: 0- Неполный процесс 1- Осуществленный процесс 2- Управляемый процесс 3- Установленный процесс 4- Предсказуемый процесс 5- Оптимизирующий процесс Методология оценки в соответствие с ISO 15504 описана в Process Assessment Model (PAM): Using COBIT 5 © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения. . 12
Непротиворечивое и эффективное внедрение стандартов • Получить одобрение руководства и заинтересованных сторон. Определиться с зонтичным стандартом • Создать профильные организационные структуры корпоративного управления (комитеты) • Применять рекомендации по внедрению зонтичного стандарта (например, COBIT 5 Implementation) • Внедрять необходимые специализированные стандарты (ISO 27001, СТО БР ИББС, 382-П, PCI DSS и т.п.), обеспечивая непротиворечивость интерпретации требований и терминологии • Использовать mapping стандартов и требований • Учиться, учиться и учиться! © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения. . 13
Поддержка высшего руководства Предпосылки к распределению ролей в рамках корпоративного управления является владельцем информации и информационных ресурсов понимает угрозы и риски деятельности организации Руководство несет ответственность за выделение и эффективное использование ресурсов по ИБ несет ответственность за последствия Необходимое участие высшего руководства в информационной безопасности:  Рассмотрение вопросов информационной безопасности на собраниях Совета Директоров  Распределение ответственности за обеспечение ИБ, оказание поддержки и подотчетность ответственных  Создание и контроль Комитета по ИТ и ИБ и участие в их работе  Обеспечение эффективности политики информационной безопасности путем ее рассмотрения и утверждения, мониторинга и оценки эффективности и результативности процессов и мер, контроля соответствия путем аудита  Демонстрация собственного участия, приверженности установленным правилам и принципам, выполнение требований наравне со всеми сотрудниками © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения. . 14
Роли и ответственность в рамках корпоративного управления ИБ 1 Высшее руководство Определение направлений развития ИБ, стратегические цели, оценка результатов и требования по исправлению недостатков Владельцы бизнес-процессов Определение требований к ИБ, обеспечение достижения пользы от ИБ и определение рисков 2 3 Руководство ИТ и ИБ 4 Внутренний Аудит Обеспечение и совершенствование процессов и мер по обеспечению ИБ в соответствии с требованиями владельцев бизнес-процессов и оценкой рисков Обеспечение независимой оценки того, что ИБ предоставляет требуемые сервисы, соответствует требованиям нормативных документов © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения. . 15
COBIT 5 - Implementation © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения. . 16
Mapping стандартов © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения. . 17
Mapping стандартов © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения. . 18
Mapping стандартов © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения. . 19
Mapping стандартов © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения. . 20
Mapping стандартов © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения. . 21
Профессиональные сертификации и обучение CISSP, 27001 LA, QSA, ISA, PCIP… Повышение осведомленности (Awareness) © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения. . 22
Андрей Дроздов Старший менеджер KPMG Tel: +7 495 937-44-44, ext. 15463 10 Пресненская E-mail: adrozdov@kpmg.ru набережная, Блок C Москва, Россия 123317 www.kpmg.ru © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Все права защищены. KPMG, логотип KPMG и слоган “cutting through complexity”являются зарегистрированными товарными знаками ассоциации KPMG International.

Recommandé

Измерение эффективности ИБ
Измерение эффективности ИБИзмерение эффективности ИБ
Измерение эффективности ИБAleksey Lukatskiy
 
Финансовое измерение ИБ. 10 кейсов
Финансовое измерение ИБ. 10 кейсовФинансовое измерение ИБ. 10 кейсов
Финансовое измерение ИБ. 10 кейсовAleksey Lukatskiy
 
Americans and CEO Pay: 2016 Public Perception Survey on CEO Compensation
Americans and CEO Pay: 2016 Public Perception Survey on CEO CompensationAmericans and CEO Pay: 2016 Public Perception Survey on CEO Compensation
Americans and CEO Pay: 2016 Public Perception Survey on CEO CompensationStanford GSB Corporate Governance Research Initiative
 
โครงร่างโครงงานคอมิวเตอร์
โครงร่างโครงงานคอมิวเตอร์โครงร่างโครงงานคอมิวเตอร์
โครงร่างโครงงานคอมิวเตอร์28801125399
 
past tense
past tensepast tense
past tensemariagutierrezsp
 
JOBS Act Rulemaking Comments on SEC File Number S7-09-13 Dated February 11, 2014
JOBS Act Rulemaking Comments on SEC File Number S7-09-13 Dated February 11, 2014JOBS Act Rulemaking Comments on SEC File Number S7-09-13 Dated February 11, 2014
JOBS Act Rulemaking Comments on SEC File Number S7-09-13 Dated February 11, 2014Jason Coombs
 
7
77
7Baska789
 
IIS Security And Programming Countermeasures
IIS Security And Programming CountermeasuresIIS Security And Programming Countermeasures
IIS Security And Programming CountermeasuresJason Coombs
 

Recommandé

Измерение эффективности ИБ
Измерение эффективности ИБИзмерение эффективности ИБ
Измерение эффективности ИБAleksey Lukatskiy
 
Финансовое измерение ИБ. 10 кейсов
Финансовое измерение ИБ. 10 кейсовФинансовое измерение ИБ. 10 кейсов
Финансовое измерение ИБ. 10 кейсовAleksey Lukatskiy
 
Americans and CEO Pay: 2016 Public Perception Survey on CEO Compensation
Americans and CEO Pay: 2016 Public Perception Survey on CEO CompensationAmericans and CEO Pay: 2016 Public Perception Survey on CEO Compensation
Americans and CEO Pay: 2016 Public Perception Survey on CEO CompensationStanford GSB Corporate Governance Research Initiative
 
โครงร่างโครงงานคอมิวเตอร์
โครงร่างโครงงานคอมิวเตอร์โครงร่างโครงงานคอมิวเตอร์
โครงร่างโครงงานคอมิวเตอร์28801125399
 
past tense
past tensepast tense
past tensemariagutierrezsp
 
JOBS Act Rulemaking Comments on SEC File Number S7-09-13 Dated February 11, 2014
JOBS Act Rulemaking Comments on SEC File Number S7-09-13 Dated February 11, 2014JOBS Act Rulemaking Comments on SEC File Number S7-09-13 Dated February 11, 2014
JOBS Act Rulemaking Comments on SEC File Number S7-09-13 Dated February 11, 2014Jason Coombs
 
7
77
7Baska789
 
IIS Security And Programming Countermeasures
IIS Security And Programming CountermeasuresIIS Security And Programming Countermeasures
IIS Security And Programming CountermeasuresJason Coombs
 
Fairmont presentation
Fairmont presentationFairmont presentation
Fairmont presentationcmaionaise
 
JOBS Act Rulemaking Comments on SEC File Number S7-11-13 Dated June 6, 2014
JOBS Act Rulemaking Comments on SEC File Number S7-11-13 Dated June 6, 2014JOBS Act Rulemaking Comments on SEC File Number S7-11-13 Dated June 6, 2014
JOBS Act Rulemaking Comments on SEC File Number S7-11-13 Dated June 6, 2014Jason Coombs
 
Affrontare il colloquio di lavoro
Affrontare il colloquio di lavoroAffrontare il colloquio di lavoro
Affrontare il colloquio di lavoroSerena Sbanchi
 
Tugas SISTEM OPERASI II
Tugas SISTEM OPERASI IITugas SISTEM OPERASI II
Tugas SISTEM OPERASI IIandy taiwan
 
Трудный путь к соответствию требованиям PCI DSS (путевые заметки)
Трудный путь к соответствию требованиям PCI DSS (путевые заметки)Трудный путь к соответствию требованиям PCI DSS (путевые заметки)
Трудный путь к соответствию требованиям PCI DSS (путевые заметки)RISSPA_SPb
 
Passive voice
Passive voicePassive voice
Passive voicemarimarhaba
 
Presentazione luigi pugliese
Presentazione luigi pugliesePresentazione luigi pugliese
Presentazione luigi puglieseLuigi Pugliese
 
2010 07-07 ujang-inovasi-produk,_kepuasan_konsumen_dan_loyalitas_konsumen_seb...
2010 07-07 ujang-inovasi-produk,_kepuasan_konsumen_dan_loyalitas_konsumen_seb...2010 07-07 ujang-inovasi-produk,_kepuasan_konsumen_dan_loyalitas_konsumen_seb...
2010 07-07 ujang-inovasi-produk,_kepuasan_konsumen_dan_loyalitas_konsumen_seb...Yuyu Wahyudin
 
Carthographic Map Explanation
Carthographic Map Explanation Carthographic Map Explanation
Carthographic Map Explanation Andrea González
 
Xaviers Powerpoint
Xaviers PowerpointXaviers Powerpoint
Xaviers Powerpointxavierdiaz325
 
Apple history Year vice
Apple history Year viceApple history Year vice
Apple history Year viceTijinet
 
Workshop BI/DWH AGILE TESTING SNS Bank English
Workshop BI/DWH AGILE TESTING SNS Bank EnglishWorkshop BI/DWH AGILE TESTING SNS Bank English
Workshop BI/DWH AGILE TESTING SNS Bank EnglishMarcus Drost
 
Missyoufr lingerie sexy
Missyoufr lingerie sexyMissyoufr lingerie sexy
Missyoufr lingerie sexyMissyou Angel
 
Slc opening round football 2013
Slc opening round football 2013Slc opening round football 2013
Slc opening round football 2013slcdigitalnetwork
 
Workshop BI/DWH AGILE TESTING SNS Bank Dutch
Workshop BI/DWH AGILE TESTING SNS Bank DutchWorkshop BI/DWH AGILE TESTING SNS Bank Dutch
Workshop BI/DWH AGILE TESTING SNS Bank DutchMarcus Drost
 
Mobile First
Mobile FirstMobile First
Mobile Firstcmaionaise
 
Kpmg it safety 2016
Kpmg it safety 2016Kpmg it safety 2016
Kpmg it safety 2016Diana Frolova
 
PraxisCom аудит бизнес процессов
PraxisCom аудит бизнес процессовPraxisCom аудит бизнес процессов
PraxisCom аудит бизнес процессовPraxisCom LLC
 
Организация эффективной системы комплаенс у партнеров компании
Организация эффективной системы комплаенс у партнеров компанииОрганизация эффективной системы комплаенс у партнеров компании
Организация эффективной системы комплаенс у партнеров компанииAwara Direct Search
 
Politics
PoliticsPolitics
Politicscnpo
 
Iq net sr10_Polyakova
Iq net sr10_Polyakova Iq net sr10_Polyakova
Iq net sr10_Polyakovaannagpolyakova
 
Кризис результативности ИТ: фиксируем проблему, ищем решения
Кризис результативности ИТ: фиксируем проблему, ищем решенияКризис результативности ИТ: фиксируем проблему, ищем решения
Кризис результативности ИТ: фиксируем проблему, ищем решенияIBS
 

Contenu connexe

En vedette

Fairmont presentation
Fairmont presentationFairmont presentation
Fairmont presentationcmaionaise
 
JOBS Act Rulemaking Comments on SEC File Number S7-11-13 Dated June 6, 2014
JOBS Act Rulemaking Comments on SEC File Number S7-11-13 Dated June 6, 2014JOBS Act Rulemaking Comments on SEC File Number S7-11-13 Dated June 6, 2014
JOBS Act Rulemaking Comments on SEC File Number S7-11-13 Dated June 6, 2014Jason Coombs
 
Affrontare il colloquio di lavoro
Affrontare il colloquio di lavoroAffrontare il colloquio di lavoro
Affrontare il colloquio di lavoroSerena Sbanchi
 
Tugas SISTEM OPERASI II
Tugas SISTEM OPERASI IITugas SISTEM OPERASI II
Tugas SISTEM OPERASI IIandy taiwan
 
Трудный путь к соответствию требованиям PCI DSS (путевые заметки)
Трудный путь к соответствию требованиям PCI DSS (путевые заметки)Трудный путь к соответствию требованиям PCI DSS (путевые заметки)
Трудный путь к соответствию требованиям PCI DSS (путевые заметки)RISSPA_SPb
 
Presentazione luigi pugliese
Presentazione luigi pugliesePresentazione luigi pugliese
Presentazione luigi puglieseLuigi Pugliese
 
2010 07-07 ujang-inovasi-produk,_kepuasan_konsumen_dan_loyalitas_konsumen_seb...
2010 07-07 ujang-inovasi-produk,_kepuasan_konsumen_dan_loyalitas_konsumen_seb...2010 07-07 ujang-inovasi-produk,_kepuasan_konsumen_dan_loyalitas_konsumen_seb...
2010 07-07 ujang-inovasi-produk,_kepuasan_konsumen_dan_loyalitas_konsumen_seb...Yuyu Wahyudin
 
Carthographic Map Explanation
Carthographic Map Explanation Carthographic Map Explanation
Carthographic Map Explanation Andrea González
 
Apple history Year vice
Apple history Year viceApple history Year vice
Apple history Year viceTijinet
 
Workshop BI/DWH AGILE TESTING SNS Bank English
Workshop BI/DWH AGILE TESTING SNS Bank EnglishWorkshop BI/DWH AGILE TESTING SNS Bank English
Workshop BI/DWH AGILE TESTING SNS Bank EnglishMarcus Drost
 
Missyoufr lingerie sexy
Missyoufr lingerie sexyMissyoufr lingerie sexy
Missyoufr lingerie sexyMissyou Angel
 
Slc opening round football 2013
Slc opening round football 2013Slc opening round football 2013
Slc opening round football 2013slcdigitalnetwork
 
Workshop BI/DWH AGILE TESTING SNS Bank Dutch
Workshop BI/DWH AGILE TESTING SNS Bank DutchWorkshop BI/DWH AGILE TESTING SNS Bank Dutch
Workshop BI/DWH AGILE TESTING SNS Bank DutchMarcus Drost
 

En vedette (16)

Fairmont presentation
Fairmont presentationFairmont presentation
Fairmont presentation
 
JOBS Act Rulemaking Comments on SEC File Number S7-11-13 Dated June 6, 2014
JOBS Act Rulemaking Comments on SEC File Number S7-11-13 Dated June 6, 2014JOBS Act Rulemaking Comments on SEC File Number S7-11-13 Dated June 6, 2014
JOBS Act Rulemaking Comments on SEC File Number S7-11-13 Dated June 6, 2014
 
Affrontare il colloquio di lavoro
Affrontare il colloquio di lavoroAffrontare il colloquio di lavoro
Affrontare il colloquio di lavoro
 
Tugas SISTEM OPERASI II
Tugas SISTEM OPERASI IITugas SISTEM OPERASI II
Tugas SISTEM OPERASI II
 
Трудный путь к соответствию требованиям PCI DSS (путевые заметки)
Трудный путь к соответствию требованиям PCI DSS (путевые заметки)Трудный путь к соответствию требованиям PCI DSS (путевые заметки)
Трудный путь к соответствию требованиям PCI DSS (путевые заметки)
 
Passive voice
Passive voicePassive voice
Passive voice
 
Presentazione luigi pugliese
Presentazione luigi pugliesePresentazione luigi pugliese
Presentazione luigi pugliese
 
2010 07-07 ujang-inovasi-produk,_kepuasan_konsumen_dan_loyalitas_konsumen_seb...
2010 07-07 ujang-inovasi-produk,_kepuasan_konsumen_dan_loyalitas_konsumen_seb...2010 07-07 ujang-inovasi-produk,_kepuasan_konsumen_dan_loyalitas_konsumen_seb...
2010 07-07 ujang-inovasi-produk,_kepuasan_konsumen_dan_loyalitas_konsumen_seb...
 
Carthographic Map Explanation
Carthographic Map Explanation Carthographic Map Explanation
Carthographic Map Explanation
 
Xaviers Powerpoint
Xaviers PowerpointXaviers Powerpoint
Xaviers Powerpoint
 
Apple history Year vice
Apple history Year viceApple history Year vice
Apple history Year vice
 
Workshop BI/DWH AGILE TESTING SNS Bank English
Workshop BI/DWH AGILE TESTING SNS Bank EnglishWorkshop BI/DWH AGILE TESTING SNS Bank English
Workshop BI/DWH AGILE TESTING SNS Bank English
 
Missyoufr lingerie sexy
Missyoufr lingerie sexyMissyoufr lingerie sexy
Missyoufr lingerie sexy
 
Slc opening round football 2013
Slc opening round football 2013Slc opening round football 2013
Slc opening round football 2013
 
Workshop BI/DWH AGILE TESTING SNS Bank Dutch
Workshop BI/DWH AGILE TESTING SNS Bank DutchWorkshop BI/DWH AGILE TESTING SNS Bank Dutch
Workshop BI/DWH AGILE TESTING SNS Bank Dutch
 
Mobile First
Mobile FirstMobile First
Mobile First
 

Similaire à Как одновременно соответствовать различным регуляторным требованиям

PraxisCom аудит бизнес процессов
PraxisCom аудит бизнес процессовPraxisCom аудит бизнес процессов
PraxisCom аудит бизнес процессовPraxisCom LLC
 
Организация эффективной системы комплаенс у партнеров компании
Организация эффективной системы комплаенс у партнеров компанииОрганизация эффективной системы комплаенс у партнеров компании
Организация эффективной системы комплаенс у партнеров компанииAwara Direct Search
 
Politics
PoliticsPolitics
Politicscnpo
 
Iq net sr10_Polyakova
Iq net sr10_Polyakova Iq net sr10_Polyakova
Iq net sr10_Polyakovaannagpolyakova
 
Кризис результативности ИТ: фиксируем проблему, ищем решения
Кризис результативности ИТ: фиксируем проблему, ищем решенияКризис результативности ИТ: фиксируем проблему, ищем решения
Кризис результативности ИТ: фиксируем проблему, ищем решенияIBS
 
Современные тенденции и будущее отчетности в области устойчивого развития
Современные тенденции и будущее отчетности в области устойчивого развитияСовременные тенденции и будущее отчетности в области устойчивого развития
Современные тенденции и будущее отчетности в области устойчивого развитияDelocsr
 
Критерии оценки полноты и эффективности реализации антикоррупционных мероприя...
Критерии оценки полноты и эффективности реализации антикоррупционных мероприя...Критерии оценки полноты и эффективности реализации антикоррупционных мероприя...
Критерии оценки полноты и эффективности реализации антикоррупционных мероприя...Awara Direct Search
 
Внедрение систем электронного документооборота (СЭД)
Внедрение систем электронного документооборота (СЭД)Внедрение систем электронного документооборота (СЭД)
Внедрение систем электронного документооборота (СЭД)MauerGroup LLC
 
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Expolink
 
Presentation Rearden Group
Presentation Rearden GroupPresentation Rearden Group
Presentation Rearden Groupinforce2000
 
Услуги BDO в Украине компаниям транспортного сектора
Услуги BDO в Украине компаниям транспортного сектораУслуги BDO в Украине компаниям транспортного сектора
Услуги BDO в Украине компаниям транспортного сектораBDO Ukraine LLC
 
Подходы к созданию интегрированных систем менеджмента для современных ИТ-Комп...
Подходы к созданию интегрированных систем менеджмента для современных ИТ-Комп...Подходы к созданию интегрированных систем менеджмента для современных ИТ-Комп...
Подходы к созданию интегрированных систем менеджмента для современных ИТ-Комп...Grigoriy Chkheidze
 
Forum Zakupki 2015 Кредитная политика
Forum Zakupki 2015 Кредитная политикаForum Zakupki 2015 Кредитная политика
Forum Zakupki 2015 Кредитная политикаZakupki.Prom.ua
 
Совместные практики по решению кейсов (CTI-Cisco)
Совместные практики по решению кейсов (CTI-Cisco)Совместные практики по решению кейсов (CTI-Cisco)
Совместные практики по решению кейсов (CTI-Cisco)Cisco Russia
 
Komek машинери 06.06.13
Komek машинери 06.06.13Komek машинери 06.06.13
Komek машинери 06.06.13Expolink
 
Первоочередные задачи: корпоративная отчетность, налаживание коммункаций межд...
Первоочередные задачи: корпоративная отчетность, налаживание коммункаций межд...Первоочередные задачи: корпоративная отчетность, налаживание коммункаций межд...
Первоочередные задачи: корпоративная отчетность, налаживание коммункаций межд...КРОК
 
мсфо для руководителей
мсфо для руководителеймсфо для руководителей
мсфо для руководителейDmitry Davydkov
 

Similaire à Как одновременно соответствовать различным регуляторным требованиям (20)

Kpmg it safety 2016
Kpmg it safety 2016Kpmg it safety 2016
Kpmg it safety 2016
 
PraxisCom аудит бизнес процессов
PraxisCom аудит бизнес процессовPraxisCom аудит бизнес процессов
PraxisCom аудит бизнес процессов
 
Организация эффективной системы комплаенс у партнеров компании
Организация эффективной системы комплаенс у партнеров компанииОрганизация эффективной системы комплаенс у партнеров компании
Организация эффективной системы комплаенс у партнеров компании
 
Politics
PoliticsPolitics
Politics
 
Iq net sr10_Polyakova
Iq net sr10_Polyakova Iq net sr10_Polyakova
Iq net sr10_Polyakova
 
Кризис результативности ИТ: фиксируем проблему, ищем решения
Кризис результативности ИТ: фиксируем проблему, ищем решенияКризис результативности ИТ: фиксируем проблему, ищем решения
Кризис результативности ИТ: фиксируем проблему, ищем решения
 
Современные тенденции и будущее отчетности в области устойчивого развития
Современные тенденции и будущее отчетности в области устойчивого развитияСовременные тенденции и будущее отчетности в области устойчивого развития
Современные тенденции и будущее отчетности в области устойчивого развития
 
Критерии оценки полноты и эффективности реализации антикоррупционных мероприя...
Критерии оценки полноты и эффективности реализации антикоррупционных мероприя...Критерии оценки полноты и эффективности реализации антикоррупционных мероприя...
Критерии оценки полноты и эффективности реализации антикоррупционных мероприя...
 
Внедрение систем электронного документооборота (СЭД)
Внедрение систем электронного документооборота (СЭД)Внедрение систем электронного документооборота (СЭД)
Внедрение систем электронного документооборота (СЭД)
 
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
 
Aудит
AудитAудит
Aудит
 
Presentation Rearden Group
Presentation Rearden GroupPresentation Rearden Group
Presentation Rearden Group
 
Услуги BDO в Украине компаниям транспортного сектора
Услуги BDO в Украине компаниям транспортного сектораУслуги BDO в Украине компаниям транспортного сектора
Услуги BDO в Украине компаниям транспортного сектора
 
Подходы к созданию интегрированных систем менеджмента для современных ИТ-Комп...
Подходы к созданию интегрированных систем менеджмента для современных ИТ-Комп...Подходы к созданию интегрированных систем менеджмента для современных ИТ-Комп...
Подходы к созданию интегрированных систем менеджмента для современных ИТ-Комп...
 
Forum Zakupki 2015 Кредитная политика
Forum Zakupki 2015 Кредитная политикаForum Zakupki 2015 Кредитная политика
Forum Zakupki 2015 Кредитная политика
 
Совместные практики по решению кейсов (CTI-Cisco)
Совместные практики по решению кейсов (CTI-Cisco)Совместные практики по решению кейсов (CTI-Cisco)
Совместные практики по решению кейсов (CTI-Cisco)
 
Komek машинери 06.06.13
Komek машинери 06.06.13Komek машинери 06.06.13
Komek машинери 06.06.13
 
Первоочередные задачи: корпоративная отчетность, налаживание коммункаций межд...
Первоочередные задачи: корпоративная отчетность, налаживание коммункаций межд...Первоочередные задачи: корпоративная отчетность, налаживание коммункаций межд...
Первоочередные задачи: корпоративная отчетность, налаживание коммункаций межд...
 
мсфо для руководителей
мсфо для руководителеймсфо для руководителей
мсфо для руководителей
 
Пезентация
ПезентацияПезентация
Пезентация
 

Plus de RISSPA_SPb

RISSPA SPb вчера, сегодня, завтра
RISSPA SPb вчера, сегодня, завтраRISSPA SPb вчера, сегодня, завтра
RISSPA SPb вчера, сегодня, завтраRISSPA_SPb
 
PCI DSS как перейти с версии 2.0 на 3.0
PCI DSS как перейти с версии 2.0 на 3.0PCI DSS как перейти с версии 2.0 на 3.0
PCI DSS как перейти с версии 2.0 на 3.0RISSPA_SPb
 
Особенности взаимодействия организаций в рамках программы соответствия PCI DSS
Особенности взаимодействия организаций в рамках программы соответствия PCI DSSОсобенности взаимодействия организаций в рамках программы соответствия PCI DSS
Особенности взаимодействия организаций в рамках программы соответствия PCI DSSRISSPA_SPb
 
Разработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS, как ее видит жуткий занудаРазработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS, как ее видит жуткий занудаRISSPA_SPb
 
Всесторонние аспекты защиты Mobile point of sale
Всесторонние аспекты защиты Mobile point of saleВсесторонние аспекты защиты Mobile point of sale
Всесторонние аспекты защиты Mobile point of saleRISSPA_SPb
 
История одного стартапа
История одного стартапаИстория одного стартапа
История одного стартапаRISSPA_SPb
 
Как построить систему управления информационными рисками
Как построить систему управления информационными рискамиКак построить систему управления информационными рисками
Как построить систему управления информационными рискамиRISSPA_SPb
 
Гибридные облака как средство защиты персональных данных
Гибридные облака как средство защиты персональных данныхГибридные облака как средство защиты персональных данных
Гибридные облака как средство защиты персональных данныхRISSPA_SPb
 
Cтандарт PCI DSS изменения в новой версии
Cтандарт PCI DSS изменения в новой версииCтандарт PCI DSS изменения в новой версии
Cтандарт PCI DSS изменения в новой версииRISSPA_SPb
 
Практический опыт специалиста по информационной безопасности
Практический опыт специалиста по информационной безопасностиПрактический опыт специалиста по информационной безопасности
Практический опыт специалиста по информационной безопасностиRISSPA_SPb
 
Заблуждения и стереотипы относительно анализа кода
Заблуждения и стереотипы относительно анализа кодаЗаблуждения и стереотипы относительно анализа кода
Заблуждения и стереотипы относительно анализа кодаRISSPA_SPb
 

Plus de RISSPA_SPb (12)

RISSPA SPb вчера, сегодня, завтра
RISSPA SPb вчера, сегодня, завтраRISSPA SPb вчера, сегодня, завтра
RISSPA SPb вчера, сегодня, завтра
 
PCI DSS как перейти с версии 2.0 на 3.0
PCI DSS как перейти с версии 2.0 на 3.0PCI DSS как перейти с версии 2.0 на 3.0
PCI DSS как перейти с версии 2.0 на 3.0
 
Особенности взаимодействия организаций в рамках программы соответствия PCI DSS
Особенности взаимодействия организаций в рамках программы соответствия PCI DSSОсобенности взаимодействия организаций в рамках программы соответствия PCI DSS
Особенности взаимодействия организаций в рамках программы соответствия PCI DSS
 
Разработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS, как ее видит жуткий занудаРазработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS, как ее видит жуткий зануда
 
Всесторонние аспекты защиты Mobile point of sale
Всесторонние аспекты защиты Mobile point of saleВсесторонние аспекты защиты Mobile point of sale
Всесторонние аспекты защиты Mobile point of sale
 
История одного стартапа
История одного стартапаИстория одного стартапа
История одного стартапа
 
Как построить систему управления информационными рисками
Как построить систему управления информационными рискамиКак построить систему управления информационными рисками
Как построить систему управления информационными рисками
 
Гибридные облака как средство защиты персональных данных
Гибридные облака как средство защиты персональных данныхГибридные облака как средство защиты персональных данных
Гибридные облака как средство защиты персональных данных
 
Cтандарт PCI DSS изменения в новой версии
Cтандарт PCI DSS изменения в новой версииCтандарт PCI DSS изменения в новой версии
Cтандарт PCI DSS изменения в новой версии
 
Практический опыт специалиста по информационной безопасности
Практический опыт специалиста по информационной безопасностиПрактический опыт специалиста по информационной безопасности
Практический опыт специалиста по информационной безопасности
 
Заблуждения и стереотипы относительно анализа кода
Заблуждения и стереотипы относительно анализа кодаЗаблуждения и стереотипы относительно анализа кода
Заблуждения и стереотипы относительно анализа кода
 
RISSPA SPb
RISSPA SPbRISSPA SPb
RISSPA SPb
 

Как одновременно соответствовать различным регуляторным требованиям

  • 1. Как одновременно соответствовать различным регуляторным требованиям и лучшим практикам в области ИБ и ИТ Андрей Дроздов, CISM, CISA, CGEIT 27.02.2014, Семинар RISSPA, Санкт-Петербург
  • 2. Источники требований и лучших практик в области ИБ • Межгосударственные соглашения и национальное законодательство • Регуляторы • Платежные системы • Профессиональные ассоциации и саморегулируемые организации • Корпоративные политики и стандарты • Деловые партнеры • Клиенты Требования могут содержаться как в документах обязательного применения, так и в стандартах (лучших практиках), которые в случае присоединения к ним организаций становятся для них обязательными. Методы контроля соблюдения требований: • • • • • Надзор со стороны регуляторов Инспекционные проверки, инициированные регуляторами и платежными системами Внешний аудит/оценка соответствия Внутренний аудит, самооценка Контроль со стороны руководства организаций Примеры 152-ФЗ, 161-ФЗ, 382-П, СТО БР ИББС 1.0, PCI DSS, ISO 27001 , SOC2, CSA © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения. . 1
  • 3. Кроме ИБ есть еще требования и лучшие практики в области ИТ и бизнеса Безопасность Соответствие ИТ целям бизнеса Непрерывность ИТ сервисов Управление комплексной средой Соответствие регуляторным требованиям Цена/Качество Примеры ITIL, TOGAF, ISO 20000, ISO 22301 (BS 25999), ISO 9000, COBIT, BASEL, SOX, COSO, ISO 38500, ISO 31000, ISAE 3402… Стандарты и требования постоянно обновляются Несмотря на области пересечения, зачастую внедрение этих различных требований не гармонизировано (пример –управление рисками) © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения. . 2
  • 4. Общие области стандартов и требований • Требования в отношении корпоративного управления (Governance) – организационные структуры, вовлечение высшего руководства, политики, управление рисками) • Цикличная модель постоянного совершенствования (PDCA, EDM/PBRM, Business as Usual) • Требования в отношении общих ИТ/ИБ контролей (например, контроль доступа, антивирусная защита, безопасность сетевой инфраструктуры, жизненный цикл ИС и т.п.) • Требования к самооценке, внешней оценке, аудиту, тестам на проникновения • Требования к обучению и осведомленности © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения. . 3
  • 5. Общий подход к проверке выполнения требований Контроли Политики Цели контроля будут достигнуты Процедуры Контроли Практики созданные для обеспечения достаточной уверенности в том, что Руководства Регламенты Нежелательные события будут предотвращены/ своевременно идентифицированы Тестирование контролей Дизайн и реализация контроля ■ Изучение контроля, описание контроля, тестирование эффективности внедрения дизайна контроля Операционная эффективность контроля ■ С помощью репрезентативной выборки производится тестирование эффективности функционирования рассматриваемого контроля в течение выбранного периода проверки (Пример – ISAE3402/SOC2 Type 2). © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения. . 4
  • 6. Корпоративное управление ИТ и ИБ Корпоративное управление – комплекс управленческих решений и практик, применяемых высшим руководством, с целью: Определения стратегического направления Обеспечения достижения целей Адекватного управления рисками Надлежащего использования ресурсов www.itgi.org www.itgi.org RESOURCE MANAGEMENT Корпоративное управление ИТ и ИБ Ответственность Совета Директоров и руководства Неотъемлемая часть корпоративного управления, состоящая из руководства, организационных структур и процессов, обеспечивающих соответствие ИТ и ИБ текущим и стратегическим целям организации © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения. . 5
  • 7. Области корпоративного управления Область Описание Стратегическое соответствие Направлено на обеспечение соответствия стратегических планов и планов по ИТ и ИБ; определение, поддержание и оценку привносимой пользы; а также взаимосвязи процессов ИБ и бизнес-процессов Достижение целей Рассматривает привносимую ИТ и ИБ пользу как цикл, обеспечивающий достижение декларируемых преимуществ от ИТ и ИБ в соответствии со стратегией с учетом оптимизации затрат Управление ресурсами Рассматривает оптимизацию инвестиций в ИБ и надлежащее управление критичными ИТ и ИБ ресурсами: процессами, инфраструктурой и персоналом. Ключевые проблемы относящиеся к оптимизации знаний и инфраструктуры Управление рисками Необходимость осведомленности высшего руководства в области рисков, четкого понимания единого подхода в отношении рисков, требований законодательства, прозрачности в отношении существенных рисков, а также включения процесса управления рисками в практику организации Управление производительностью Мониторинг реализации стратегии и планов, использования ресурсов, эффективности процессов и мер с использованием системы сбалансированных показателей © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения. . 6
  • 8. Взаимосвязь различных требований и стандартов в области систем управления и контроля COBIT выступает в качестве зонтичного стандарта, связывая требования ИТ/ИБ и бизнеса COSO, BASEL II CobiT BS 25999 ЧТО ISO 27001 СТО БР ИББС 382-П PCI DSS ISO 9000 КАК ITIL ОБЛАСТЬ ПРИМЕНЕНИЯ © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения. . 7
  • 9. COBIT 5 – стандарт корпоративного управления ИТ COBIT 5 помогает предприятиям получить оптимальную пользу от ИТ, достигая баланса между достижением преимуществ и обеспечением приемлемого уровня рисков и затрат ресурсов. Эффективность Соответствие требованиям Эволюция COBIT © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения. . 8
  • 10. COBIT 5 – Публикации © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения. . 9
  • 11. COBIT 5 – Принципы © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения. . 10
  • 12. COBIT 5 – Факторы влияния © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения. . 11
  • 13. COBIT 5 – Эталонная модель процессов Уровни возможностей процессов: 0- Неполный процесс 1- Осуществленный процесс 2- Управляемый процесс 3- Установленный процесс 4- Предсказуемый процесс 5- Оптимизирующий процесс Методология оценки в соответствие с ISO 15504 описана в Process Assessment Model (PAM): Using COBIT 5 © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения. . 12
  • 14. Непротиворечивое и эффективное внедрение стандартов • Получить одобрение руководства и заинтересованных сторон. Определиться с зонтичным стандартом • Создать профильные организационные структуры корпоративного управления (комитеты) • Применять рекомендации по внедрению зонтичного стандарта (например, COBIT 5 Implementation) • Внедрять необходимые специализированные стандарты (ISO 27001, СТО БР ИББС, 382-П, PCI DSS и т.п.), обеспечивая непротиворечивость интерпретации требований и терминологии • Использовать mapping стандартов и требований • Учиться, учиться и учиться! © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения. . 13
  • 15. Поддержка высшего руководства Предпосылки к распределению ролей в рамках корпоративного управления является владельцем информации и информационных ресурсов понимает угрозы и риски деятельности организации Руководство несет ответственность за выделение и эффективное использование ресурсов по ИБ несет ответственность за последствия Необходимое участие высшего руководства в информационной безопасности:  Рассмотрение вопросов информационной безопасности на собраниях Совета Директоров  Распределение ответственности за обеспечение ИБ, оказание поддержки и подотчетность ответственных  Создание и контроль Комитета по ИТ и ИБ и участие в их работе  Обеспечение эффективности политики информационной безопасности путем ее рассмотрения и утверждения, мониторинга и оценки эффективности и результативности процессов и мер, контроля соответствия путем аудита  Демонстрация собственного участия, приверженности установленным правилам и принципам, выполнение требований наравне со всеми сотрудниками © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения. . 14
  • 16. Роли и ответственность в рамках корпоративного управления ИБ 1 Высшее руководство Определение направлений развития ИБ, стратегические цели, оценка результатов и требования по исправлению недостатков Владельцы бизнес-процессов Определение требований к ИБ, обеспечение достижения пользы от ИБ и определение рисков 2 3 Руководство ИТ и ИБ 4 Внутренний Аудит Обеспечение и совершенствование процессов и мер по обеспечению ИБ в соответствии с требованиями владельцев бизнес-процессов и оценкой рисков Обеспечение независимой оценки того, что ИБ предоставляет требуемые сервисы, соответствует требованиям нормативных документов © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения. . 15
  • 17. COBIT 5 - Implementation © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения. . 16
  • 18. Mapping стандартов © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения. . 17
  • 19. Mapping стандартов © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения. . 18
  • 20. Mapping стандартов © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения. . 19
  • 21. Mapping стандартов © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения. . 20
  • 22. Mapping стандартов © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения. . 21
  • 23. Профессиональные сертификации и обучение CISSP, 27001 LA, QSA, ISA, PCIP… Повышение осведомленности (Awareness) © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения. . 22
  • 24. Андрей Дроздов Старший менеджер KPMG Tel: +7 495 937-44-44, ext. 15463 10 Пресненская E-mail: adrozdov@kpmg.ru набережная, Блок C Москва, Россия 123317 www.kpmg.ru © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Все права защищены. KPMG, логотип KPMG и слоган “cutting through complexity”являются зарегистрированными товарными знаками ассоциации KPMG International.