Как одновременно соответствовать различным регуляторным требованиям и лучшим практикам в области ИБ и ИТ Андрей Дроздов, CISM, CISA, CGEIT

27.02.2014, Семинар RISSPA, Санкт-Петербург

1 © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения.

.

Источники требований и лучших практик в области ИБ

Примеры

• Межгосударственные соглашения и национальное законодательство • Регуляторы • Платежные системы • Профессиональные ассоциации и саморегулируемые организации • Корпоративные политики и стандарты • Деловые партнеры • Клиенты Требования могут содержаться как в документах обязательного применения, так и в стандартах (лучших практиках), которые в случае присоединения к ним организаций становятся для них обязательными. Методы контроля соблюдения требований:

152-ФЗ, 161-ФЗ, 382-П, СТО БР ИББС 1.0, PCI DSS, ISO 27001 , SOC2, CSA

• Надзор со стороны регуляторов • Инспекционные проверки, инициированные регуляторами и

платежными системами • Внешний аудит/оценка соответствия • Внутренний аудит, самооценка • Контроль со стороны руководства организаций

2 © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения.

.

Кроме ИБ есть еще требования и лучшие практики в области ИТ и бизнеса

Примеры

ITIL, TOGAF, ISO 20000, ISO 22301 (BS 25999), ISO 9000, COBIT, BASEL, SOX, COSO, ISO 38500, ISO 31000, ISAE 3402… Стандарты и требования постоянно обновляются Несмотря на области пересечения, зачастую внедрение этих различных требований не гармонизировано (пример –управление рисками)

Непрерывность ИТ сервисов

Безопасность

Цена/Качество

Управление комплексной средой

Соответствие ИТ целям бизнеса

Соответствие регуляторным требованиям

3 © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения.

.

Общие области стандартов и требований

• Требования в отношении корпоративного управления (Governance) – организационные структуры, вовлечение высшего руководства, политики, управление рисками)

• Цикличная модель постоянного совершенствования (PDCA, EDM/PBRM, Business as Usual)

• Требования в отношении общих ИТ/ИБ контролей (например, контроль доступа, антивирусная защита, безопасность сетевой инфраструктуры, жизненный цикл ИС и т.п.)

• Требования к самооценке, внешней оценке, аудиту, тестам на проникновения

• Требования к обучению и осведомленности

4 © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения.

.

Общий подход к проверке выполнения требований

Дизайн и реализация контроля

■ Изучение контроля, описание контроля, тестирование эффективности внедрения дизайна контроля

Операционная эффективность контроля

■ С помощью репрезентативной выборки производится тестирование эффективности функционирования рассматриваемого контроля в течение выбранного периода проверки (Пример – ISAE3402/SOC2 Type 2).

Политики

Контроли

Процедуры

Практики

Руководства

Регламенты

созданные для обеспечения достаточной уверенности в

том, что

Цели контроля будут достигнуты

Нежелательные события будут предотвращены/ своевременно

идентифицированы

Контроли

Тестирование контролей

5 © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения.

.

Корпоративное управление ИТ и ИБ

RESOURCE MANAGEMENT

www.itgi.org www.itgi.org

Корпоративное управление – комплекс управленческих решений и практик, применяемых высшим руководством, с целью:

Определения стратегического направления

Обеспечения достижения целей

Адекватного управления рисками

Надлежащего использования ресурсов

Корпоративное управление ИТ и ИБ

Ответственность Совета Директоров и руководства

Неотъемлемая часть корпоративного управления, состоящая из руководства, организационных структур и процессов, обеспечивающих соответствие ИТ и ИБ текущим и стратегическим целям организации

6 © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения.

.

Направлено на обеспечение соответствия стратегических планов и планов по ИТ и ИБ; определение, поддержание и оценку привносимой пользы; а также взаимосвязи процессов ИБ и бизнес-процессов

Область Описание

Стратегическое соответствие

Достижение целей

Управление ресурсами

Управление рисками

Управление производитель-ностью

Рассматривает привносимую ИТ и ИБ пользу как цикл, обеспечивающий достижение декларируемых преимуществ от ИТ и ИБ в соответствии со стратегией с учетом оптимизации затрат

Рассматривает оптимизацию инвестиций в ИБ и надлежащее управление критичными ИТ и ИБ ресурсами: процессами, инфраструктурой и персоналом. Ключевые проблемы относящиеся к оптимизации знаний и инфраструктуры

Необходимость осведомленности высшего руководства в области рисков, четкого понимания единого подхода в отношении рисков, требований законодательства, прозрачности в отношении существенных рисков, а также включения процесса управления рисками в практику организации Мониторинг реализации стратегии и планов, использования ресурсов, эффективности процессов и мер с использованием системы сбалансированных показателей

Области корпоративного управления

7 © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения.

.

Взаимосвязь различных требований и стандартов в области систем управления и контроля

CobiT

ISO 9000

ITIL ЧТО КАК

ОБЛАСТЬ ПРИМЕНЕНИЯ

ISO 27001 СТО БР ИББС

382-П PCI DSS

COSO, BASEL II

BS 25999

COBIT выступает в качестве зонтичного стандарта, связывая требования ИТ/ИБ и бизнеса

8 © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения.

.

COBIT 5 – стандарт корпоративного управления ИТ

Эволюция COBIT

COBIT 5 помогает предприятиям получить оптимальную пользу от ИТ, достигая баланса между достижением преимуществ и обеспечением приемлемого уровня рисков и затрат ресурсов.

Соответствие требованиям

Эффективность

9 © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения.

.

COBIT 5 – Публикации

10 © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения.

.

COBIT 5 – Принципы

11 © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения.

.

COBIT 5 – Факторы влияния

12 © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения.

.

COBIT 5 – Эталонная модель процессов

Уровни возможностей процессов: 0- Неполный процесс 1- Осуществленный процесс 2- Управляемый процесс 3- Установленный процесс 4- Предсказуемый процесс 5- Оптимизирующий процесс Методология оценки в соответствие с ISO 15504 описана в Process Assessment Model (PAM): Using COBIT 5

13 © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения.

.

Непротиворечивое и эффективное внедрение стандартов

• Получить одобрение руководства и заинтересованных сторон. Определиться с зонтичным стандартом

• Создать профильные организационные структуры корпоративного управления (комитеты)

• Применять рекомендации по внедрению зонтичного стандарта (например, COBIT 5 Implementation)

• Внедрять необходимые специализированные стандарты (ISO 27001, СТО БР ИББС, 382-П, PCI DSS и т.п.), обеспечивая непротиворечивость интерпретации требований и терминологии

• Использовать mapping стандартов и требований

• Учиться, учиться и учиться!

14 © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения.

.

Поддержка высшего руководства

Необходимое участие высшего руководства в информационной безопасности:

Рассмотрение вопросов информационной безопасности на собраниях Совета Директоров Распределение ответственности за обеспечение ИБ, оказание поддержки и подотчетность

ответственных Создание и контроль Комитета по ИТ и ИБ и участие в их работе Обеспечение эффективности политики информационной безопасности путем ее рассмотрения и

утверждения, мониторинга и оценки эффективности и результативности процессов и мер, контроля соответствия путем аудита

Демонстрация собственного участия, приверженности установленным правилам и принципам, выполнение требований наравне со всеми сотрудниками

Предпосылки к распределению ролей в рамках корпоративного управления

Руководство

является владельцем информации и информационных ресурсов

понимает угрозы и риски деятельности организации

несет ответственность за выделение и эффективное использование ресурсов по ИБ

несет ответственность за последствия

15 © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения.

.

Руководство ИТ и ИБ

Роли и ответственность в рамках корпоративного управления ИБ

Высшее руководство

Владельцы бизнес-процессов

Внутренний Аудит

2

4

3

1 Определение направлений развития ИБ, стратегические цели, оценка результатов и требования по исправлению

недостатков

Определение требований к ИБ, обеспечение достижения пользы от ИБ и определение рисков

Обеспечение и совершенствование процессов и мер по обеспечению ИБ в соответствии с требованиями владельцев бизнес-процессов и оценкой рисков

Обеспечение независимой оценки того, что ИБ предоставляет требуемые сервисы, соответствует

требованиям нормативных документов

16 © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения.

.

COBIT 5 - Implementation

17 © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения.

.

Mapping стандартов

18 © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения.

.

Mapping стандартов

19 © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения.

.

Mapping стандартов

20 © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения.

.

Mapping стандартов

21 © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения.

.

Mapping стандартов

22 © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения.

.

Профессиональные сертификации и обучение

CISSP, 27001 LA, QSA, ISA, PCIP… Повышение осведомленности (Awareness)

© 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Все права защищены.

KPMG, логотип KPMG и слоган “cutting through complexity”являются зарегистрированными товарными знаками ассоциации KPMG International.

Андрей Дроздов Старший менеджер KPMG Tel: +7 495 937-44-44, ext. 15463 10 Пресненская E-mail: adrozdov@kpmg.ru набережная, Блок C Москва, Россия 123317

www.kpmg.ru