повышение заработной платы различным категориям работников бюджетной сферы к 2018 году
Как одновременно соответствовать различным...
-
Upload
risspaspb -
Category
Technology
-
view
352 -
download
2
Transcript of Как одновременно соответствовать различным...
Как одновременно соответствовать различным регуляторным требованиям и лучшим практикам в области ИБ и ИТ Андрей Дроздов, CISM, CISA, CGEIT
27.02.2014, Семинар RISSPA, Санкт-Петербург
1 © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения.
.
Источники требований и лучших практик в области ИБ
Примеры
• Межгосударственные соглашения и национальное законодательство • Регуляторы • Платежные системы • Профессиональные ассоциации и саморегулируемые организации • Корпоративные политики и стандарты • Деловые партнеры • Клиенты Требования могут содержаться как в документах обязательного применения, так и в стандартах (лучших практиках), которые в случае присоединения к ним организаций становятся для них обязательными. Методы контроля соблюдения требований:
152-ФЗ, 161-ФЗ, 382-П, СТО БР ИББС 1.0, PCI DSS, ISO 27001 , SOC2, CSA
• Надзор со стороны регуляторов • Инспекционные проверки, инициированные регуляторами и
платежными системами • Внешний аудит/оценка соответствия • Внутренний аудит, самооценка • Контроль со стороны руководства организаций
2 © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения.
.
Кроме ИБ есть еще требования и лучшие практики в области ИТ и бизнеса
Примеры
ITIL, TOGAF, ISO 20000, ISO 22301 (BS 25999), ISO 9000, COBIT, BASEL, SOX, COSO, ISO 38500, ISO 31000, ISAE 3402… Стандарты и требования постоянно обновляются Несмотря на области пересечения, зачастую внедрение этих различных требований не гармонизировано (пример –управление рисками)
Непрерывность ИТ сервисов
Безопасность
Цена/Качество
Управление комплексной средой
Соответствие ИТ целям бизнеса
Соответствие регуляторным требованиям
3 © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения.
.
Общие области стандартов и требований
• Требования в отношении корпоративного управления (Governance) – организационные структуры, вовлечение высшего руководства, политики, управление рисками)
• Цикличная модель постоянного совершенствования (PDCA, EDM/PBRM, Business as Usual)
• Требования в отношении общих ИТ/ИБ контролей (например, контроль доступа, антивирусная защита, безопасность сетевой инфраструктуры, жизненный цикл ИС и т.п.)
• Требования к самооценке, внешней оценке, аудиту, тестам на проникновения
• Требования к обучению и осведомленности
4 © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения.
.
Общий подход к проверке выполнения требований
Дизайн и реализация контроля
■ Изучение контроля, описание контроля, тестирование эффективности внедрения дизайна контроля
Операционная эффективность контроля
■ С помощью репрезентативной выборки производится тестирование эффективности функционирования рассматриваемого контроля в течение выбранного периода проверки (Пример – ISAE3402/SOC2 Type 2).
Политики
Контроли
Процедуры
Практики
Руководства
Регламенты
созданные для обеспечения достаточной уверенности в
том, что
Цели контроля будут достигнуты
Нежелательные события будут предотвращены/ своевременно
идентифицированы
Контроли
Тестирование контролей
5 © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения.
.
Корпоративное управление ИТ и ИБ
RESOURCE MANAGEMENT
www.itgi.org www.itgi.org
Корпоративное управление – комплекс управленческих решений и практик, применяемых высшим руководством, с целью:
Определения стратегического направления
Обеспечения достижения целей
Адекватного управления рисками
Надлежащего использования ресурсов
Корпоративное управление ИТ и ИБ
Ответственность Совета Директоров и руководства
Неотъемлемая часть корпоративного управления, состоящая из руководства, организационных структур и процессов, обеспечивающих соответствие ИТ и ИБ текущим и стратегическим целям организации
6 © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения.
.
Направлено на обеспечение соответствия стратегических планов и планов по ИТ и ИБ; определение, поддержание и оценку привносимой пользы; а также взаимосвязи процессов ИБ и бизнес-процессов
Область Описание
Стратегическое соответствие
Достижение целей
Управление ресурсами
Управление рисками
Управление производитель-ностью
Рассматривает привносимую ИТ и ИБ пользу как цикл, обеспечивающий достижение декларируемых преимуществ от ИТ и ИБ в соответствии со стратегией с учетом оптимизации затрат
Рассматривает оптимизацию инвестиций в ИБ и надлежащее управление критичными ИТ и ИБ ресурсами: процессами, инфраструктурой и персоналом. Ключевые проблемы относящиеся к оптимизации знаний и инфраструктуры
Необходимость осведомленности высшего руководства в области рисков, четкого понимания единого подхода в отношении рисков, требований законодательства, прозрачности в отношении существенных рисков, а также включения процесса управления рисками в практику организации Мониторинг реализации стратегии и планов, использования ресурсов, эффективности процессов и мер с использованием системы сбалансированных показателей
Области корпоративного управления
7 © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения.
.
Взаимосвязь различных требований и стандартов в области систем управления и контроля
CobiT
ISO 9000
ITIL ЧТО КАК
ОБЛАСТЬ ПРИМЕНЕНИЯ
ISO 27001 СТО БР ИББС
382-П PCI DSS
COSO, BASEL II
BS 25999
COBIT выступает в качестве зонтичного стандарта, связывая требования ИТ/ИБ и бизнеса
8 © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения.
.
COBIT 5 – стандарт корпоративного управления ИТ
Эволюция COBIT
COBIT 5 помогает предприятиям получить оптимальную пользу от ИТ, достигая баланса между достижением преимуществ и обеспечением приемлемого уровня рисков и затрат ресурсов.
Соответствие требованиям
Эффективность
9 © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения.
.
COBIT 5 – Публикации
10 © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения.
.
COBIT 5 – Принципы
11 © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения.
.
COBIT 5 – Факторы влияния
12 © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения.
.
COBIT 5 – Эталонная модель процессов
Уровни возможностей процессов: 0- Неполный процесс 1- Осуществленный процесс 2- Управляемый процесс 3- Установленный процесс 4- Предсказуемый процесс 5- Оптимизирующий процесс Методология оценки в соответствие с ISO 15504 описана в Process Assessment Model (PAM): Using COBIT 5
13 © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения.
.
Непротиворечивое и эффективное внедрение стандартов
• Получить одобрение руководства и заинтересованных сторон. Определиться с зонтичным стандартом
• Создать профильные организационные структуры корпоративного управления (комитеты)
• Применять рекомендации по внедрению зонтичного стандарта (например, COBIT 5 Implementation)
• Внедрять необходимые специализированные стандарты (ISO 27001, СТО БР ИББС, 382-П, PCI DSS и т.п.), обеспечивая непротиворечивость интерпретации требований и терминологии
• Использовать mapping стандартов и требований
• Учиться, учиться и учиться!
14 © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения.
.
Поддержка высшего руководства
Необходимое участие высшего руководства в информационной безопасности:
Рассмотрение вопросов информационной безопасности на собраниях Совета Директоров Распределение ответственности за обеспечение ИБ, оказание поддержки и подотчетность
ответственных Создание и контроль Комитета по ИТ и ИБ и участие в их работе Обеспечение эффективности политики информационной безопасности путем ее рассмотрения и
утверждения, мониторинга и оценки эффективности и результативности процессов и мер, контроля соответствия путем аудита
Демонстрация собственного участия, приверженности установленным правилам и принципам, выполнение требований наравне со всеми сотрудниками
Предпосылки к распределению ролей в рамках корпоративного управления
Руководство
является владельцем информации и информационных ресурсов
понимает угрозы и риски деятельности организации
несет ответственность за выделение и эффективное использование ресурсов по ИБ
несет ответственность за последствия
15 © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения.
.
Руководство ИТ и ИБ
Роли и ответственность в рамках корпоративного управления ИБ
Высшее руководство
Владельцы бизнес-процессов
Внутренний Аудит
2
4
3
1 Определение направлений развития ИБ, стратегические цели, оценка результатов и требования по исправлению
недостатков
Определение требований к ИБ, обеспечение достижения пользы от ИБ и определение рисков
Обеспечение и совершенствование процессов и мер по обеспечению ИБ в соответствии с требованиями владельцев бизнес-процессов и оценкой рисков
Обеспечение независимой оценки того, что ИБ предоставляет требуемые сервисы, соответствует
требованиям нормативных документов
16 © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения.
.
COBIT 5 - Implementation
17 © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения.
.
Mapping стандартов
18 © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения.
.
Mapping стандартов
19 © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения.
.
Mapping стандартов
20 © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения.
.
Mapping стандартов
21 © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения.
.
Mapping стандартов
22 © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения.
.
Профессиональные сертификации и обучение
CISSP, 27001 LA, QSA, ISA, PCIP… Повышение осведомленности (Awareness)
© 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Все права защищены.
KPMG, логотип KPMG и слоган “cutting through complexity”являются зарегистрированными товарными знаками ассоциации KPMG International.
Андрей Дроздов Старший менеджер KPMG Tel: +7 495 937-44-44, ext. 15463 10 Пресненская E-mail: [email protected] набережная, Блок C Москва, Россия 123317
www.kpmg.ru