Enviar búsqueda
Cargar
Как одновременно соответствовать различным регуляторным требованиям
•
0 recomendaciones
•
1,197 vistas
R
RISSPA_SPb
Seguir
Tecnología
Denunciar
Compartir
Denunciar
Compartir
1 de 24
Descargar ahora
Descargar para leer sin conexión
Recomendados
Измерение эффективности ИБ
Измерение эффективности ИБ
Aleksey Lukatskiy
Финансовое измерение ИБ. 10 кейсов
Финансовое измерение ИБ. 10 кейсов
Aleksey Lukatskiy
Americans and CEO Pay: 2016 Public Perception Survey on CEO Compensation
Americans and CEO Pay: 2016 Public Perception Survey on CEO Compensation
Stanford GSB Corporate Governance Research Initiative
โครงร่างโครงงานคอมิวเตอร์
โครงร่างโครงงานคอมิวเตอร์
28801125399
past tense
past tense
mariagutierrezsp
JOBS Act Rulemaking Comments on SEC File Number S7-09-13 Dated February 11, 2014
JOBS Act Rulemaking Comments on SEC File Number S7-09-13 Dated February 11, 2014
Jason Coombs
7
7
Baska789
IIS Security And Programming Countermeasures
IIS Security And Programming Countermeasures
Jason Coombs
Recomendados
Измерение эффективности ИБ
Измерение эффективности ИБ
Aleksey Lukatskiy
Финансовое измерение ИБ. 10 кейсов
Финансовое измерение ИБ. 10 кейсов
Aleksey Lukatskiy
Americans and CEO Pay: 2016 Public Perception Survey on CEO Compensation
Americans and CEO Pay: 2016 Public Perception Survey on CEO Compensation
Stanford GSB Corporate Governance Research Initiative
โครงร่างโครงงานคอมิวเตอร์
โครงร่างโครงงานคอมิวเตอร์
28801125399
past tense
past tense
mariagutierrezsp
JOBS Act Rulemaking Comments on SEC File Number S7-09-13 Dated February 11, 2014
JOBS Act Rulemaking Comments on SEC File Number S7-09-13 Dated February 11, 2014
Jason Coombs
7
7
Baska789
IIS Security And Programming Countermeasures
IIS Security And Programming Countermeasures
Jason Coombs
Fairmont presentation
Fairmont presentation
cmaionaise
JOBS Act Rulemaking Comments on SEC File Number S7-11-13 Dated June 6, 2014
JOBS Act Rulemaking Comments on SEC File Number S7-11-13 Dated June 6, 2014
Jason Coombs
Affrontare il colloquio di lavoro
Affrontare il colloquio di lavoro
Serena Sbanchi
Tugas SISTEM OPERASI II
Tugas SISTEM OPERASI II
andy taiwan
Трудный путь к соответствию требованиям PCI DSS (путевые заметки)
Трудный путь к соответствию требованиям PCI DSS (путевые заметки)
RISSPA_SPb
Passive voice
Passive voice
marimarhaba
Presentazione luigi pugliese
Presentazione luigi pugliese
Luigi Pugliese
2010 07-07 ujang-inovasi-produk,_kepuasan_konsumen_dan_loyalitas_konsumen_seb...
2010 07-07 ujang-inovasi-produk,_kepuasan_konsumen_dan_loyalitas_konsumen_seb...
Yuyu Wahyudin
Carthographic Map Explanation
Carthographic Map Explanation
Andrea González
Xaviers Powerpoint
Xaviers Powerpoint
xavierdiaz325
Apple history Year vice
Apple history Year vice
Tijinet
Workshop BI/DWH AGILE TESTING SNS Bank English
Workshop BI/DWH AGILE TESTING SNS Bank English
Marcus Drost
Missyoufr lingerie sexy
Missyoufr lingerie sexy
Missyou Angel
Slc opening round football 2013
Slc opening round football 2013
slcdigitalnetwork
Workshop BI/DWH AGILE TESTING SNS Bank Dutch
Workshop BI/DWH AGILE TESTING SNS Bank Dutch
Marcus Drost
Mobile First
Mobile First
cmaionaise
Kpmg it safety 2016
Kpmg it safety 2016
Diana Frolova
PraxisCom аудит бизнес процессов
PraxisCom аудит бизнес процессов
PraxisCom LLC
Организация эффективной системы комплаенс у партнеров компании
Организация эффективной системы комплаенс у партнеров компании
Awara Direct Search
Politics
Politics
cnpo
Iq net sr10_Polyakova
Iq net sr10_Polyakova
annagpolyakova
Кризис результативности ИТ: фиксируем проблему, ищем решения
Кризис результативности ИТ: фиксируем проблему, ищем решения
IBS
Más contenido relacionado
Destacado
Fairmont presentation
Fairmont presentation
cmaionaise
JOBS Act Rulemaking Comments on SEC File Number S7-11-13 Dated June 6, 2014
JOBS Act Rulemaking Comments on SEC File Number S7-11-13 Dated June 6, 2014
Jason Coombs
Affrontare il colloquio di lavoro
Affrontare il colloquio di lavoro
Serena Sbanchi
Tugas SISTEM OPERASI II
Tugas SISTEM OPERASI II
andy taiwan
Трудный путь к соответствию требованиям PCI DSS (путевые заметки)
Трудный путь к соответствию требованиям PCI DSS (путевые заметки)
RISSPA_SPb
Passive voice
Passive voice
marimarhaba
Presentazione luigi pugliese
Presentazione luigi pugliese
Luigi Pugliese
2010 07-07 ujang-inovasi-produk,_kepuasan_konsumen_dan_loyalitas_konsumen_seb...
2010 07-07 ujang-inovasi-produk,_kepuasan_konsumen_dan_loyalitas_konsumen_seb...
Yuyu Wahyudin
Carthographic Map Explanation
Carthographic Map Explanation
Andrea González
Xaviers Powerpoint
Xaviers Powerpoint
xavierdiaz325
Apple history Year vice
Apple history Year vice
Tijinet
Workshop BI/DWH AGILE TESTING SNS Bank English
Workshop BI/DWH AGILE TESTING SNS Bank English
Marcus Drost
Missyoufr lingerie sexy
Missyoufr lingerie sexy
Missyou Angel
Slc opening round football 2013
Slc opening round football 2013
slcdigitalnetwork
Workshop BI/DWH AGILE TESTING SNS Bank Dutch
Workshop BI/DWH AGILE TESTING SNS Bank Dutch
Marcus Drost
Mobile First
Mobile First
cmaionaise
Destacado
(16)
Fairmont presentation
Fairmont presentation
JOBS Act Rulemaking Comments on SEC File Number S7-11-13 Dated June 6, 2014
JOBS Act Rulemaking Comments on SEC File Number S7-11-13 Dated June 6, 2014
Affrontare il colloquio di lavoro
Affrontare il colloquio di lavoro
Tugas SISTEM OPERASI II
Tugas SISTEM OPERASI II
Трудный путь к соответствию требованиям PCI DSS (путевые заметки)
Трудный путь к соответствию требованиям PCI DSS (путевые заметки)
Passive voice
Passive voice
Presentazione luigi pugliese
Presentazione luigi pugliese
2010 07-07 ujang-inovasi-produk,_kepuasan_konsumen_dan_loyalitas_konsumen_seb...
2010 07-07 ujang-inovasi-produk,_kepuasan_konsumen_dan_loyalitas_konsumen_seb...
Carthographic Map Explanation
Carthographic Map Explanation
Xaviers Powerpoint
Xaviers Powerpoint
Apple history Year vice
Apple history Year vice
Workshop BI/DWH AGILE TESTING SNS Bank English
Workshop BI/DWH AGILE TESTING SNS Bank English
Missyoufr lingerie sexy
Missyoufr lingerie sexy
Slc opening round football 2013
Slc opening round football 2013
Workshop BI/DWH AGILE TESTING SNS Bank Dutch
Workshop BI/DWH AGILE TESTING SNS Bank Dutch
Mobile First
Mobile First
Similar a Как одновременно соответствовать различным регуляторным требованиям
Kpmg it safety 2016
Kpmg it safety 2016
Diana Frolova
PraxisCom аудит бизнес процессов
PraxisCom аудит бизнес процессов
PraxisCom LLC
Организация эффективной системы комплаенс у партнеров компании
Организация эффективной системы комплаенс у партнеров компании
Awara Direct Search
Politics
Politics
cnpo
Iq net sr10_Polyakova
Iq net sr10_Polyakova
annagpolyakova
Кризис результативности ИТ: фиксируем проблему, ищем решения
Кризис результативности ИТ: фиксируем проблему, ищем решения
IBS
Современные тенденции и будущее отчетности в области устойчивого развития
Современные тенденции и будущее отчетности в области устойчивого развития
Delocsr
Критерии оценки полноты и эффективности реализации антикоррупционных мероприя...
Критерии оценки полноты и эффективности реализации антикоррупционных мероприя...
Awara Direct Search
Внедрение систем электронного документооборота (СЭД)
Внедрение систем электронного документооборота (СЭД)
MauerGroup LLC
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Expolink
Aудит
Aудит
HLB Hamt
Presentation Rearden Group
Presentation Rearden Group
inforce2000
Услуги BDO в Украине компаниям транспортного сектора
Услуги BDO в Украине компаниям транспортного сектора
BDO Ukraine LLC
Подходы к созданию интегрированных систем менеджмента для современных ИТ-Комп...
Подходы к созданию интегрированных систем менеджмента для современных ИТ-Комп...
Grigoriy Chkheidze
Forum Zakupki 2015 Кредитная политика
Forum Zakupki 2015 Кредитная политика
Zakupki.Prom.ua
Совместные практики по решению кейсов (CTI-Cisco)
Совместные практики по решению кейсов (CTI-Cisco)
Cisco Russia
Komek машинери 06.06.13
Komek машинери 06.06.13
Expolink
Первоочередные задачи: корпоративная отчетность, налаживание коммункаций межд...
Первоочередные задачи: корпоративная отчетность, налаживание коммункаций межд...
КРОК
мсфо для руководителей
мсфо для руководителей
Dmitry Davydkov
Пезентация
Пезентация
Алексей Малахов
Similar a Как одновременно соответствовать различным регуляторным требованиям
(20)
Kpmg it safety 2016
Kpmg it safety 2016
PraxisCom аудит бизнес процессов
PraxisCom аудит бизнес процессов
Организация эффективной системы комплаенс у партнеров компании
Организация эффективной системы комплаенс у партнеров компании
Politics
Politics
Iq net sr10_Polyakova
Iq net sr10_Polyakova
Кризис результативности ИТ: фиксируем проблему, ищем решения
Кризис результативности ИТ: фиксируем проблему, ищем решения
Современные тенденции и будущее отчетности в области устойчивого развития
Современные тенденции и будущее отчетности в области устойчивого развития
Критерии оценки полноты и эффективности реализации антикоррупционных мероприя...
Критерии оценки полноты и эффективности реализации антикоррупционных мероприя...
Внедрение систем электронного документооборота (СЭД)
Внедрение систем электронного документооборота (СЭД)
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Aудит
Aудит
Presentation Rearden Group
Presentation Rearden Group
Услуги BDO в Украине компаниям транспортного сектора
Услуги BDO в Украине компаниям транспортного сектора
Подходы к созданию интегрированных систем менеджмента для современных ИТ-Комп...
Подходы к созданию интегрированных систем менеджмента для современных ИТ-Комп...
Forum Zakupki 2015 Кредитная политика
Forum Zakupki 2015 Кредитная политика
Совместные практики по решению кейсов (CTI-Cisco)
Совместные практики по решению кейсов (CTI-Cisco)
Komek машинери 06.06.13
Komek машинери 06.06.13
Первоочередные задачи: корпоративная отчетность, налаживание коммункаций межд...
Первоочередные задачи: корпоративная отчетность, налаживание коммункаций межд...
мсфо для руководителей
мсфо для руководителей
Пезентация
Пезентация
Más de RISSPA_SPb
RISSPA SPb вчера, сегодня, завтра
RISSPA SPb вчера, сегодня, завтра
RISSPA_SPb
PCI DSS как перейти с версии 2.0 на 3.0
PCI DSS как перейти с версии 2.0 на 3.0
RISSPA_SPb
Особенности взаимодействия организаций в рамках программы соответствия PCI DSS
Особенности взаимодействия организаций в рамках программы соответствия PCI DSS
RISSPA_SPb
Разработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS, как ее видит жуткий зануда
RISSPA_SPb
Всесторонние аспекты защиты Mobile point of sale
Всесторонние аспекты защиты Mobile point of sale
RISSPA_SPb
История одного стартапа
История одного стартапа
RISSPA_SPb
Как построить систему управления информационными рисками
Как построить систему управления информационными рисками
RISSPA_SPb
Гибридные облака как средство защиты персональных данных
Гибридные облака как средство защиты персональных данных
RISSPA_SPb
Cтандарт PCI DSS изменения в новой версии
Cтандарт PCI DSS изменения в новой версии
RISSPA_SPb
Практический опыт специалиста по информационной безопасности
Практический опыт специалиста по информационной безопасности
RISSPA_SPb
Заблуждения и стереотипы относительно анализа кода
Заблуждения и стереотипы относительно анализа кода
RISSPA_SPb
RISSPA SPb
RISSPA SPb
RISSPA_SPb
Más de RISSPA_SPb
(12)
RISSPA SPb вчера, сегодня, завтра
RISSPA SPb вчера, сегодня, завтра
PCI DSS как перейти с версии 2.0 на 3.0
PCI DSS как перейти с версии 2.0 на 3.0
Особенности взаимодействия организаций в рамках программы соответствия PCI DSS
Особенности взаимодействия организаций в рамках программы соответствия PCI DSS
Разработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Всесторонние аспекты защиты Mobile point of sale
Всесторонние аспекты защиты Mobile point of sale
История одного стартапа
История одного стартапа
Как построить систему управления информационными рисками
Как построить систему управления информационными рисками
Гибридные облака как средство защиты персональных данных
Гибридные облака как средство защиты персональных данных
Cтандарт PCI DSS изменения в новой версии
Cтандарт PCI DSS изменения в новой версии
Практический опыт специалиста по информационной безопасности
Практический опыт специалиста по информационной безопасности
Заблуждения и стереотипы относительно анализа кода
Заблуждения и стереотипы относительно анализа кода
RISSPA SPb
RISSPA SPb
Как одновременно соответствовать различным регуляторным требованиям
1.
Как одновременно соответствовать различным регуляторным
требованиям и лучшим практикам в области ИБ и ИТ Андрей Дроздов, CISM, CISA, CGEIT 27.02.2014, Семинар RISSPA, Санкт-Петербург
2.
Источники требований и
лучших практик в области ИБ • Межгосударственные соглашения и национальное законодательство • Регуляторы • Платежные системы • Профессиональные ассоциации и саморегулируемые организации • Корпоративные политики и стандарты • Деловые партнеры • Клиенты Требования могут содержаться как в документах обязательного применения, так и в стандартах (лучших практиках), которые в случае присоединения к ним организаций становятся для них обязательными. Методы контроля соблюдения требований: • • • • • Надзор со стороны регуляторов Инспекционные проверки, инициированные регуляторами и платежными системами Внешний аудит/оценка соответствия Внутренний аудит, самооценка Контроль со стороны руководства организаций Примеры 152-ФЗ, 161-ФЗ, 382-П, СТО БР ИББС 1.0, PCI DSS, ISO 27001 , SOC2, CSA © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения. . 1
3.
Кроме ИБ есть
еще требования и лучшие практики в области ИТ и бизнеса Безопасность Соответствие ИТ целям бизнеса Непрерывность ИТ сервисов Управление комплексной средой Соответствие регуляторным требованиям Цена/Качество Примеры ITIL, TOGAF, ISO 20000, ISO 22301 (BS 25999), ISO 9000, COBIT, BASEL, SOX, COSO, ISO 38500, ISO 31000, ISAE 3402… Стандарты и требования постоянно обновляются Несмотря на области пересечения, зачастую внедрение этих различных требований не гармонизировано (пример –управление рисками) © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения. . 2
4.
Общие области стандартов
и требований • Требования в отношении корпоративного управления (Governance) – организационные структуры, вовлечение высшего руководства, политики, управление рисками) • Цикличная модель постоянного совершенствования (PDCA, EDM/PBRM, Business as Usual) • Требования в отношении общих ИТ/ИБ контролей (например, контроль доступа, антивирусная защита, безопасность сетевой инфраструктуры, жизненный цикл ИС и т.п.) • Требования к самооценке, внешней оценке, аудиту, тестам на проникновения • Требования к обучению и осведомленности © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения. . 3
5.
Общий подход к
проверке выполнения требований Контроли Политики Цели контроля будут достигнуты Процедуры Контроли Практики созданные для обеспечения достаточной уверенности в том, что Руководства Регламенты Нежелательные события будут предотвращены/ своевременно идентифицированы Тестирование контролей Дизайн и реализация контроля ■ Изучение контроля, описание контроля, тестирование эффективности внедрения дизайна контроля Операционная эффективность контроля ■ С помощью репрезентативной выборки производится тестирование эффективности функционирования рассматриваемого контроля в течение выбранного периода проверки (Пример – ISAE3402/SOC2 Type 2). © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения. . 4
6.
Корпоративное управление ИТ
и ИБ Корпоративное управление – комплекс управленческих решений и практик, применяемых высшим руководством, с целью: Определения стратегического направления Обеспечения достижения целей Адекватного управления рисками Надлежащего использования ресурсов www.itgi.org www.itgi.org RESOURCE MANAGEMENT Корпоративное управление ИТ и ИБ Ответственность Совета Директоров и руководства Неотъемлемая часть корпоративного управления, состоящая из руководства, организационных структур и процессов, обеспечивающих соответствие ИТ и ИБ текущим и стратегическим целям организации © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения. . 5
7.
Области корпоративного управления Область Описание Стратегическое соответствие Направлено
на обеспечение соответствия стратегических планов и планов по ИТ и ИБ; определение, поддержание и оценку привносимой пользы; а также взаимосвязи процессов ИБ и бизнес-процессов Достижение целей Рассматривает привносимую ИТ и ИБ пользу как цикл, обеспечивающий достижение декларируемых преимуществ от ИТ и ИБ в соответствии со стратегией с учетом оптимизации затрат Управление ресурсами Рассматривает оптимизацию инвестиций в ИБ и надлежащее управление критичными ИТ и ИБ ресурсами: процессами, инфраструктурой и персоналом. Ключевые проблемы относящиеся к оптимизации знаний и инфраструктуры Управление рисками Необходимость осведомленности высшего руководства в области рисков, четкого понимания единого подхода в отношении рисков, требований законодательства, прозрачности в отношении существенных рисков, а также включения процесса управления рисками в практику организации Управление производительностью Мониторинг реализации стратегии и планов, использования ресурсов, эффективности процессов и мер с использованием системы сбалансированных показателей © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения. . 6
8.
Взаимосвязь различных требований
и стандартов в области систем управления и контроля COBIT выступает в качестве зонтичного стандарта, связывая требования ИТ/ИБ и бизнеса COSO, BASEL II CobiT BS 25999 ЧТО ISO 27001 СТО БР ИББС 382-П PCI DSS ISO 9000 КАК ITIL ОБЛАСТЬ ПРИМЕНЕНИЯ © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения. . 7
9.
COBIT 5 –
стандарт корпоративного управления ИТ COBIT 5 помогает предприятиям получить оптимальную пользу от ИТ, достигая баланса между достижением преимуществ и обеспечением приемлемого уровня рисков и затрат ресурсов. Эффективность Соответствие требованиям Эволюция COBIT © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения. . 8
10.
COBIT 5 –
Публикации © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения. . 9
11.
COBIT 5 –
Принципы © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения. . 10
12.
COBIT 5 –
Факторы влияния © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения. . 11
13.
COBIT 5 –
Эталонная модель процессов Уровни возможностей процессов: 0- Неполный процесс 1- Осуществленный процесс 2- Управляемый процесс 3- Установленный процесс 4- Предсказуемый процесс 5- Оптимизирующий процесс Методология оценки в соответствие с ISO 15504 описана в Process Assessment Model (PAM): Using COBIT 5 © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения. . 12
14.
Непротиворечивое и эффективное
внедрение стандартов • Получить одобрение руководства и заинтересованных сторон. Определиться с зонтичным стандартом • Создать профильные организационные структуры корпоративного управления (комитеты) • Применять рекомендации по внедрению зонтичного стандарта (например, COBIT 5 Implementation) • Внедрять необходимые специализированные стандарты (ISO 27001, СТО БР ИББС, 382-П, PCI DSS и т.п.), обеспечивая непротиворечивость интерпретации требований и терминологии • Использовать mapping стандартов и требований • Учиться, учиться и учиться! © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения. . 13
15.
Поддержка высшего руководства Предпосылки
к распределению ролей в рамках корпоративного управления является владельцем информации и информационных ресурсов понимает угрозы и риски деятельности организации Руководство несет ответственность за выделение и эффективное использование ресурсов по ИБ несет ответственность за последствия Необходимое участие высшего руководства в информационной безопасности: Рассмотрение вопросов информационной безопасности на собраниях Совета Директоров Распределение ответственности за обеспечение ИБ, оказание поддержки и подотчетность ответственных Создание и контроль Комитета по ИТ и ИБ и участие в их работе Обеспечение эффективности политики информационной безопасности путем ее рассмотрения и утверждения, мониторинга и оценки эффективности и результативности процессов и мер, контроля соответствия путем аудита Демонстрация собственного участия, приверженности установленным правилам и принципам, выполнение требований наравне со всеми сотрудниками © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения. . 14
16.
Роли и ответственность
в рамках корпоративного управления ИБ 1 Высшее руководство Определение направлений развития ИБ, стратегические цели, оценка результатов и требования по исправлению недостатков Владельцы бизнес-процессов Определение требований к ИБ, обеспечение достижения пользы от ИБ и определение рисков 2 3 Руководство ИТ и ИБ 4 Внутренний Аудит Обеспечение и совершенствование процессов и мер по обеспечению ИБ в соответствии с требованиями владельцев бизнес-процессов и оценкой рисков Обеспечение независимой оценки того, что ИБ предоставляет требуемые сервисы, соответствует требованиям нормативных документов © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения. . 15
17.
COBIT 5 -
Implementation © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения. . 16
18.
Mapping стандартов © 2013
ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения. . 17
19.
Mapping стандартов © 2013
ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения. . 18
20.
Mapping стандартов © 2013
ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения. . 19
21.
Mapping стандартов © 2013
ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения. . 20
22.
Mapping стандартов © 2013
ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения. . 21
23.
Профессиональные сертификации и
обучение CISSP, 27001 LA, QSA, ISA, PCIP… Повышение осведомленности (Awareness) © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения. . 22
24.
Андрей Дроздов Старший менеджер KPMG Tel:
+7 495 937-44-44, ext. 15463 10 Пресненская E-mail: adrozdov@kpmg.ru набережная, Блок C Москва, Россия 123317 www.kpmg.ru © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Все права защищены. KPMG, логотип KPMG и слоган “cutting through complexity”являются зарегистрированными товарными знаками ассоциации KPMG International.
Descargar ahora