Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Как одновременно
соответствовать различным
регуляторным требованиям
и лучшим практикам в
области ИБ и ИТ
Андрей Дроздов, C...
Источники требований и лучших практик в области ИБ
• Межгосударственные соглашения и национальное законодательство
• Регул...
Кроме ИБ есть еще требования и лучшие практики в
области ИТ и бизнеса

Безопасность
Соответствие ИТ
целям бизнеса

Непреры...
Общие области стандартов и требований

•

Требования в отношении корпоративного управления (Governance) –
организационные ...
Общий подход к проверке выполнения требований

Контроли
Политики
Цели контроля будут достигнуты

Процедуры

Контроли

Прак...
Корпоративное управление ИТ и ИБ

Корпоративное управление – комплекс
управленческих решений и практик, применяемых
высшим...
Области корпоративного управления

Область

Описание

Стратегическое
соответствие

Направлено на обеспечение соответствия ...
Взаимосвязь различных требований и стандартов в
области систем управления и контроля
COBIT выступает в качестве зонтичного...
COBIT 5 – стандарт корпоративного управления ИТ

COBIT 5 помогает предприятиям получить
оптимальную пользу от ИТ, достигая...
COBIT 5 – Публикации

© 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федера...
COBIT 5 – Принципы

© 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федераци...
COBIT 5 – Факторы влияния

© 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Ф...
COBIT 5 – Эталонная модель процессов
Уровни возможностей
процессов:
0- Неполный процесс
1- Осуществленный процесс
2- Управ...
Непротиворечивое и эффективное внедрение
стандартов

•

Получить одобрение руководства и заинтересованных сторон.
Определи...
Поддержка высшего руководства

Предпосылки к распределению ролей в рамках корпоративного управления
является владельцем ин...
Роли и ответственность в рамках корпоративного
управления ИБ

1
Высшее
руководство

Определение направлений развития ИБ, с...
COBIT 5 - Implementation

© 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Фе...
Mapping стандартов

© 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федераци...
Mapping стандартов

© 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федераци...
Mapping стандартов

© 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федераци...
Mapping стандартов

© 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федераци...
Mapping стандартов

© 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федераци...
Профессиональные сертификации и обучение

CISSP, 27001 LA, QSA, ISA, PCIP…
Повышение осведомленности (Awareness)
© 2013 ЗА...
Андрей Дроздов
Старший менеджер
KPMG
Tel: +7 495 937-44-44, ext. 15463
10 Пресненская
E-mail: adrozdov@kpmg.ru
набережная,...
You’ve finished this document.
Download and read it offline.
Upcoming SlideShare
Americans and CEO Pay: 2016 Public Perception Survey on CEO Compensation
Next
Upcoming SlideShare
Americans and CEO Pay: 2016 Public Perception Survey on CEO Compensation
Next
Download to read offline and view in fullscreen.

0

Share

Как одновременно соответствовать различным регуляторным требованиям

Download to read offline

Related Books

Free with a 30 day trial from Scribd

See all

Related Audiobooks

Free with a 30 day trial from Scribd

See all
  • Be the first to like this

Как одновременно соответствовать различным регуляторным требованиям

  1. 1. Как одновременно соответствовать различным регуляторным требованиям и лучшим практикам в области ИБ и ИТ Андрей Дроздов, CISM, CISA, CGEIT 27.02.2014, Семинар RISSPA, Санкт-Петербург
  2. 2. Источники требований и лучших практик в области ИБ • Межгосударственные соглашения и национальное законодательство • Регуляторы • Платежные системы • Профессиональные ассоциации и саморегулируемые организации • Корпоративные политики и стандарты • Деловые партнеры • Клиенты Требования могут содержаться как в документах обязательного применения, так и в стандартах (лучших практиках), которые в случае присоединения к ним организаций становятся для них обязательными. Методы контроля соблюдения требований: • • • • • Надзор со стороны регуляторов Инспекционные проверки, инициированные регуляторами и платежными системами Внешний аудит/оценка соответствия Внутренний аудит, самооценка Контроль со стороны руководства организаций Примеры 152-ФЗ, 161-ФЗ, 382-П, СТО БР ИББС 1.0, PCI DSS, ISO 27001 , SOC2, CSA © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения. . 1
  3. 3. Кроме ИБ есть еще требования и лучшие практики в области ИТ и бизнеса Безопасность Соответствие ИТ целям бизнеса Непрерывность ИТ сервисов Управление комплексной средой Соответствие регуляторным требованиям Цена/Качество Примеры ITIL, TOGAF, ISO 20000, ISO 22301 (BS 25999), ISO 9000, COBIT, BASEL, SOX, COSO, ISO 38500, ISO 31000, ISAE 3402… Стандарты и требования постоянно обновляются Несмотря на области пересечения, зачастую внедрение этих различных требований не гармонизировано (пример –управление рисками) © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения. . 2
  4. 4. Общие области стандартов и требований • Требования в отношении корпоративного управления (Governance) – организационные структуры, вовлечение высшего руководства, политики, управление рисками) • Цикличная модель постоянного совершенствования (PDCA, EDM/PBRM, Business as Usual) • Требования в отношении общих ИТ/ИБ контролей (например, контроль доступа, антивирусная защита, безопасность сетевой инфраструктуры, жизненный цикл ИС и т.п.) • Требования к самооценке, внешней оценке, аудиту, тестам на проникновения • Требования к обучению и осведомленности © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения. . 3
  5. 5. Общий подход к проверке выполнения требований Контроли Политики Цели контроля будут достигнуты Процедуры Контроли Практики созданные для обеспечения достаточной уверенности в том, что Руководства Регламенты Нежелательные события будут предотвращены/ своевременно идентифицированы Тестирование контролей Дизайн и реализация контроля ■ Изучение контроля, описание контроля, тестирование эффективности внедрения дизайна контроля Операционная эффективность контроля ■ С помощью репрезентативной выборки производится тестирование эффективности функционирования рассматриваемого контроля в течение выбранного периода проверки (Пример – ISAE3402/SOC2 Type 2). © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения. . 4
  6. 6. Корпоративное управление ИТ и ИБ Корпоративное управление – комплекс управленческих решений и практик, применяемых высшим руководством, с целью: Определения стратегического направления Обеспечения достижения целей Адекватного управления рисками Надлежащего использования ресурсов www.itgi.org www.itgi.org RESOURCE MANAGEMENT Корпоративное управление ИТ и ИБ Ответственность Совета Директоров и руководства Неотъемлемая часть корпоративного управления, состоящая из руководства, организационных структур и процессов, обеспечивающих соответствие ИТ и ИБ текущим и стратегическим целям организации © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения. . 5
  7. 7. Области корпоративного управления Область Описание Стратегическое соответствие Направлено на обеспечение соответствия стратегических планов и планов по ИТ и ИБ; определение, поддержание и оценку привносимой пользы; а также взаимосвязи процессов ИБ и бизнес-процессов Достижение целей Рассматривает привносимую ИТ и ИБ пользу как цикл, обеспечивающий достижение декларируемых преимуществ от ИТ и ИБ в соответствии со стратегией с учетом оптимизации затрат Управление ресурсами Рассматривает оптимизацию инвестиций в ИБ и надлежащее управление критичными ИТ и ИБ ресурсами: процессами, инфраструктурой и персоналом. Ключевые проблемы относящиеся к оптимизации знаний и инфраструктуры Управление рисками Необходимость осведомленности высшего руководства в области рисков, четкого понимания единого подхода в отношении рисков, требований законодательства, прозрачности в отношении существенных рисков, а также включения процесса управления рисками в практику организации Управление производительностью Мониторинг реализации стратегии и планов, использования ресурсов, эффективности процессов и мер с использованием системы сбалансированных показателей © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения. . 6
  8. 8. Взаимосвязь различных требований и стандартов в области систем управления и контроля COBIT выступает в качестве зонтичного стандарта, связывая требования ИТ/ИБ и бизнеса COSO, BASEL II CobiT BS 25999 ЧТО ISO 27001 СТО БР ИББС 382-П PCI DSS ISO 9000 КАК ITIL ОБЛАСТЬ ПРИМЕНЕНИЯ © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения. . 7
  9. 9. COBIT 5 – стандарт корпоративного управления ИТ COBIT 5 помогает предприятиям получить оптимальную пользу от ИТ, достигая баланса между достижением преимуществ и обеспечением приемлемого уровня рисков и затрат ресурсов. Эффективность Соответствие требованиям Эволюция COBIT © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения. . 8
  10. 10. COBIT 5 – Публикации © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения. . 9
  11. 11. COBIT 5 – Принципы © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения. . 10
  12. 12. COBIT 5 – Факторы влияния © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения. . 11
  13. 13. COBIT 5 – Эталонная модель процессов Уровни возможностей процессов: 0- Неполный процесс 1- Осуществленный процесс 2- Управляемый процесс 3- Установленный процесс 4- Предсказуемый процесс 5- Оптимизирующий процесс Методология оценки в соответствие с ISO 15504 описана в Process Assessment Model (PAM): Using COBIT 5 © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения. . 12
  14. 14. Непротиворечивое и эффективное внедрение стандартов • Получить одобрение руководства и заинтересованных сторон. Определиться с зонтичным стандартом • Создать профильные организационные структуры корпоративного управления (комитеты) • Применять рекомендации по внедрению зонтичного стандарта (например, COBIT 5 Implementation) • Внедрять необходимые специализированные стандарты (ISO 27001, СТО БР ИББС, 382-П, PCI DSS и т.п.), обеспечивая непротиворечивость интерпретации требований и терминологии • Использовать mapping стандартов и требований • Учиться, учиться и учиться! © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения. . 13
  15. 15. Поддержка высшего руководства Предпосылки к распределению ролей в рамках корпоративного управления является владельцем информации и информационных ресурсов понимает угрозы и риски деятельности организации Руководство несет ответственность за выделение и эффективное использование ресурсов по ИБ несет ответственность за последствия Необходимое участие высшего руководства в информационной безопасности:  Рассмотрение вопросов информационной безопасности на собраниях Совета Директоров  Распределение ответственности за обеспечение ИБ, оказание поддержки и подотчетность ответственных  Создание и контроль Комитета по ИТ и ИБ и участие в их работе  Обеспечение эффективности политики информационной безопасности путем ее рассмотрения и утверждения, мониторинга и оценки эффективности и результативности процессов и мер, контроля соответствия путем аудита  Демонстрация собственного участия, приверженности установленным правилам и принципам, выполнение требований наравне со всеми сотрудниками © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения. . 14
  16. 16. Роли и ответственность в рамках корпоративного управления ИБ 1 Высшее руководство Определение направлений развития ИБ, стратегические цели, оценка результатов и требования по исправлению недостатков Владельцы бизнес-процессов Определение требований к ИБ, обеспечение достижения пользы от ИБ и определение рисков 2 3 Руководство ИТ и ИБ 4 Внутренний Аудит Обеспечение и совершенствование процессов и мер по обеспечению ИБ в соответствии с требованиями владельцев бизнес-процессов и оценкой рисков Обеспечение независимой оценки того, что ИБ предоставляет требуемые сервисы, соответствует требованиям нормативных документов © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения. . 15
  17. 17. COBIT 5 - Implementation © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения. . 16
  18. 18. Mapping стандартов © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения. . 17
  19. 19. Mapping стандартов © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения. . 18
  20. 20. Mapping стандартов © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения. . 19
  21. 21. Mapping стандартов © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения. . 20
  22. 22. Mapping стандартов © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения. . 21
  23. 23. Профессиональные сертификации и обучение CISSP, 27001 LA, QSA, ISA, PCIP… Повышение осведомленности (Awareness) © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Настоящий документ носит конфиденциальный характер и предназначен для ограниченного использования и обращения. . 22
  24. 24. Андрей Дроздов Старший менеджер KPMG Tel: +7 495 937-44-44, ext. 15463 10 Пресненская E-mail: adrozdov@kpmg.ru набережная, Блок C Москва, Россия 123317 www.kpmg.ru © 2013 ЗАО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации и находящаяся под контролем KPMG Europe LLP; член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Все права защищены. KPMG, логотип KPMG и слоган “cutting through complexity”являются зарегистрированными товарными знаками ассоциации KPMG International.

Views

Total views

1,092

On Slideshare

0

From embeds

0

Number of embeds

3

Actions

Downloads

22

Shares

0

Comments

0

Likes

0

×