Kpmg it safety 2016

Регулированиеи
практикиУИБв
эпохуCloud&Digital
Константин Аушев
______________________________
V (Юбилейная) конференция «Развитие информационной безопасности в Казахстане»

2
Статус документа: Публичный
© 2016 ТОО «КПМГ Такс энд Эдвайзори», компания, зарегистрированная в соответствии с законодательством Республики Казахстан, член сети независимых фирм KPMG, входящих в ассоциацию KPMG International
Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Все права защищены.
3-и4-ятехнологическиереволюции
Social media
Третья индустриальная революция:
Цифровые инноваций
Мобильные технологий
Natural language
Облачные вычисления
Широкомасштабная сеть
Персонализация
Интернет вещей
Машинное самообучение
Искусственный интеллект
Predictive analytics
Робототехника
СенсорыGPS
IPv6
Mobile first
FinTech
Геймификация
3D печать
DevOps
Гибкие технологий
Мотивационный дизайн
Хранение в облаке
Crowdsourcing
Большие данные
Apps
Blockchain
Четвертая индустриальная революция:
Возможности инноваций
Нововведения путем внедрения цифровых
технологий для:
• Непрерывное продвижение технологий вперед
• Внедрения привлекательных и доступных
решений
• Оцифровки и «умная» автоматизации практически
всех сервисов и услуг
• Обеспечения постоянного доступа к данным
Социальные медиа
Предиктивная аналитика

3
Провайдеры облачных технологий (SaaS, IaaS, PaaS) активнее других аутсорсеров предлагают рынку инновационные решения, сервисы и
инструменты, предоставляя ряд возможностей по сокращению издержек. Облачные технологии также играют значимую роль при создании
центров разделяемых сервисов. Популярность «облаков» растет, но, тем не менее, результаты опроса КПМГ в мире показывают, что процесс
перехода к таким технологиям протекает достаточно медленно.
В числе основных препятствий, названных респондентами, – риски, связанные с безопасностью и защитой персональных данных, проблемы
интеграции с существующими процессами и решениями, риски нарушения требований регуляторов. Боязнь подобных рисков понятна, но ими
вполне возможно управлять.
Безопасность–ключевойбарьерпереходавоблака
60%компаний тратят
меньше 10% ИТ-
бюджета на облака
71%тратят меньше 20%
ИТ-бюджета на облака
28%
Местонахождениеданных
–рискибезопасностии
защитыперсональных
данных
17%
Проблемы
интеграциис
существующей
операционной
модельюИТ
16%
Опасения
несоответствия
регуляторным
требованиям
Источник: Глобальное исследование КПМГ (KPMG IT Outsourcing Service Provider Performance & Satisfaction Study 2014/15).
Затраты компаний на облачные технологии
растут не очень быстрыми темпами
Основные барьеры, препятствующие
инвестициям в облачные технологии

Стандартыи
требованияк
информационной
безопасности

5
Таким образом, для ИТ-аутсорсинга на первое место выходят вопросы обеспечения безопасности, целостности, доступности,
конфиденциальности данных и соблюдения регуляторных требований. Эти вопросы затрагиваются целым рядом стандартов и положений, в
том числе специфичных для отдельных стран. К счастью, локальные стандарты и акты обычно базируются на международных положениях, и,
применяя передовые мировые практики, можно удовлетворить всем требованиям.
Вцентревнимания–защитаинформации
ISO 22301
HIPAA
ITIL
COBIT
COSO
SSAE
ISAE
SOC
ISO 27002
ISO 21827
CMM
PCI
ANSI
ISO 20000
ISO 17799
WebTrust
SysTrust
SOX 404
FFIEC
ITGI
NIST
CISP
EV SSL
TIER
СТО БР
ИББС382-П

6
Многиестандартысфокусированынаузкомсегменте
информационнойбезопасности
Карта стандартов
Тип стандарта
Контрольная
среда
Информационная
безопасность
ИТ-сервисы Разработка ПО
Системы
финансовой
отчетности
Специфические
требования к
технологиям
Лучшие практики COBIT
COSO ISO 27002 ITIL
ISO 20000-2
CMM/ISO 9001
ISO 21827
IT Controls / SOX ISO
ANSI
Сертификация/
критерии аудита
ISO 27001
ISO 22301
ISO 20000-1
Требования
регуляторов/
индустрии
FFIEC
HIPAA, HITRUST
PCI
ISO 2700X
Постановление 29
SOX
PCAOB
EV SSL
Требования к
аттестации ИС
Аудиторский
подход
ISAE / SSAE
SysTrust
WebTrust
SOC2/SOC3
PCAOB WebTrust CA
WebTrust EV

7
ТрадиционныеметодыоценкиИТиИБ
— Подходы к управлению ИТ-процессами. Процессы, роли и
ответственность
— Цели контроля и средства их достижения
Управление ИТ
Информационная
безопасностьCOBIT (up to 4.1) ISO 27001
79
329
435
552
712 836
0
100
200
300
400
500
600
700
800
900
0
10
20
30
40
50
60
70
80
2006 2010 2011 2012 2013 2014
Россия Ост. страны СНГ США и Канада
— «Информационные технологии. Методы обеспечения
безопасности. Системы управления информационной
безопасностью»
— Измерение общих подходов и оценка контролей

8
ISO 22301 является относительно новым стандартом и еще немногие организации успели по нему сертифицироваться. Однако,
многие опираются на него при построении систем управления непрерывностью бизнеса
Роствниманиякнепрерывностибизнеса
Количество компаний, для которых важна
эффективность СОНБ на стороне поставщиков
услуг
Источник: The 2015 – 2016 Continuity Insights and KPMG Global BCM Program Benchmarking Study.
Тим Мэтью, исполнительный директор, Eterprise Resiliency,
Educational Testing Service (ETS)
«[Результаты] показывают, что
влияние ISO 22301 даже выше, чем
многие в Америке могли подумать».
Линдон Бёрд, технический директор BSI
«Удивляет и вдохновляет, что более 42%
респондентов обозначили ISO 22301 как стандарт,
влияющий на их программы [по BCP]. Особенно если
учесть, что исследование 2011–2012 показало общее
влияние стандартов BS25999-2 и ASIS/BSI
BCM.01:2010 на уровне всего 16%».
«Очевидно, сертификация
рассматривается полезным шагом –
более 50% респондентов отметили,
что их организация собирается
получить сертификацию от DRI, еще
34% - от BCI…».
Майк Джанко, менеджер,
The Goodyear Tire & Rubber Co.
21% 58%
2005 2015
Количество компаний, рассматривающие в рамках
планов BCP угрозы кибербезопасности
25% 70%
2005 2015

9
Согласно требованиям HIPAA (Health Insurance Portability and Accountability Act) уровень защищенности медицинских сведений не
должен уменьшаться только потому, что организация передала часть функций по их обработке и хранению третьей стороне.
HIPAA–требованиякзащитемедицинскихсведений
Медицинские
страховые
организации
Медицинские
информационно-
аналитические
центры
Лечебные и
профилактические
организации
Поставщики
медицинского ПО
Административные меры
■ Анализ рисков
■ Управление рисками
■ Санкционная политика
■ Анализ СОИБ
Процедуры и
ответственность
■ Управление кадрами
■ Управление доступом
■ Осведомленность
пользователей
■ Управление инцидентами
■ Непрерывность бизнеса
■ Оценка поставщиков
Физическая безопасность
■ Физический доступ
■ Контроль оборудования и
устройств
Технологические меры
■ Логический доступ
■ Передача данных
■ Целостность данных
■ Аудит контролей
Безопасность и защита персональных данных
PHI –
Protected Health
Information

10
В требованиях стандарта прописано, что его положения распространяются как на сами организации, занимающиеся процессингом карточных
транзакций, так и на их провайдеров сервисных услуг. В виду того, что международные платежные системы (Visa, MasterCard, American
Express, JCB и др.) выставляют требования по соответствию PCI DSS работающим с ними банкам и процессинговым центрам, стандарт влияет
на центры обработки данных и провайдеров облачных услуг.
Требованиякбанкамиплатежнымсистемам
Управление файерволами Системные настройки
Защищенное хранение
данных
Шифрование при передаче
данных
Антивирусная защита
Технические средства
защиты
Разграничение прав доступа
Авторизация и
аутентификация
Физическая защита данных
Логирование и мониторинг
Тестирование СОИБ
Политики и процедуры
Требования центральных банков
PCIDSS
РФ: (Само-)оценка по 382-П, СТО БР ИББС + отчетность в CERT
КР: Стандарты по ИБ, ежегодный ИТ-
аудит
Гонконг: Ряд циркуляров + анкеты
для отчетности, регулярные аудиты

Отчетысервис-
провайдера

12
Аббревиатура SOC расшифровывается как Service Organization Control reports (Отчеты сервисных организаций о системе
контроля). Существуют три типа SOC-отчетов: SOC1 (более известны как ISAE 3402/SSAE 16 – ранее SAS 70), SOC2, SOC3.
Новыетипыотчетностисервис-провайдеров
В прошлом… Сейчас…
Австралия UKКитай/
Гонконг
Чили Канада И др.
ISAE 3402
Мир
SSAE 16
США
SOC1 SOC2 SOC3
Прочие локальные стандарты:

13
Контроли над процессами формирования
финансовой отчетности (ICOFR)
Любые операционные контроли
SOC1 (ISAE 3402 / SSAE 16)
SOC2
(ISAE 3000, Trust Services)
SOC3
(ISAE 3000, Trust Services)
Общие сведения Подробный отчет для пользователей услуг и их
финансовых аудиторов
Подробный отчет для пользователей
услуг, их аудиторов и других
определенных сторон (например,
руководства, регуляторов,
консультантов по сделкам слияния-
поглощения)
Короткий отчет, который может
публично распространяться. При
этом обязательно должна быть
выполнена проверка операционной
эффективности контролей.
Применимость Риски неправильного формирования финансовой
отчетности пользователей услуг и контроли,
покрывающие эти риски. Риски и контроли
формулируются провайдером. Наиболее применимо
для провайдеров, занимающихся обработкой
финансовых транзакций или поддерживающих
финансовые системы.
Фокус на доменах:
– Безопасность
– Доступность
– Конфиденциальность
– Целостность обработки данных
– Защита персональных данных.
Применимо для широкого круга провайдеров.
Отчеты сервис-провайдеров SAS 70 были предназначены для клиентов и их аудиторов, охватывая контекст финансовой отчетности. Сейчас AICPA
выделяет три типа SOC-отчетов, покрывая более широкий круг потребностей клиентов – таких, как информационная безопасность,
конфиденциальность, защита персональных данных, доступность услуг. При этом стандарт подготовки отчетов SOC1 в США и Канаде основывался
на международном стандарте ISAE 3402. Два других типа отчетов были введены для возможности охвата контролей на стороне сервис-провайдера,
которые не влияют на финансовую отчетность.
ЭволюцияSAS70-ответнаэволюциюсорсинг-
моделей

14
ОтчетыSOC2/3быливыделеныдлявозможности
охватитьконтроли,неотносящиесякфин.отчетности
Домены, покрываемые отчетами SOC2/3
Безопасность
(обязательный домен)
Доступность Конфиденциальность Целостность обработки Защита персональных
данных
 Политика ИБ
 Осведомленность
пользователей и
коммуникации
 Оценка рисков
 Логический доступ
 Физический доступ
 Защита окружающей среды
 Мониторинг
 Аутентификация
пользователей
 Управление инцидентами
 Управление активами
 Разработка и поддержка
систем
 Защита персонала
 Управление
конфигурациями
 Управление изменениями
 Комплайенс
 Политика непрерывности
 Резервное копирование
 Восстановление
деятельности
непрерывностью бизнеса
 Политика
конфиденциальности
 Сбор конфиденциальных
данных
 Обработка
конфиденциальных данных
 Раскрытие информации
 Обеспечение
конфиденциальности при
разработке
информационных систем
 Политики целостности
обработки
 Полнота, корректность,
своевременность и
авторизация при
выполнении операции
ввода/ вывода данных и
их обработки
персональными данными
 Уведомление сторон
 Получение согласий на
обработку
 Сбор данных
 Использование, хранение и
уничтожение
 Ограничение доступа
 Раскрытия
 Контроль качества
 Мониторинг процессов
обработки персональных
данных и законодательства

15
АдаптируемостьSOC-отчетовподцелевуюаудиторию
Вопрос SOC2SM / SOC3SM (ISAE3000, Trust Services Principles) SOC1 (ISAE 3402 / SSAE 16)
Фокус отчета  Операционные контроли  Контроли над финансовой отчетностью клиентов
Тип оказываемых услуг  Поддержка инфраструктуры
 Разработка, поддержка ПО
 Выполнение прочих процедур, затрагивающих людей
и данные клиентов
 Обработка транзакций
 Ведение регистров бухгалтерского учета
 Подготовка финансовых отчетов
 Выполнение прочих процедур, оказывающих
значительное влияние на финансовую отчетность
клиентов
 Выполнение общих ИТ-контролей
Домены контроля  Безопасность
 Доступность
 Конфиденциальность
 Целостность обработки данных
 Защита персональных данных
 Контроли над процессом обработки транзакций
 Общие ИТ-контроли
Уровень стандартизации  Провайдер выбирает домены
 Специфицированы критерии, которым должны
отвечать контроли, но не цели контроля
 Провайдер определяет цели контроля, которые могут
сильно меняться в зависимости от типа услуг
Пользователи отчета  SOC 2: пользователи услуг, их аудиторы и другие
заранее определенные стороны (например,
регуляторы)
 SOC 3: Широкая публика
 Пользователи услуг и их финансовые аудиторы

16
Независимая проверка (аттестация) SOC2/3-отчетов строится на основе признаваемых во всем мире принципах и критериях Trust Services (SysTrust,
WebTrust) – это набор требований, разработанных Американским институтом сертифицированных бухгалтеров (AICPA) и Канадским институтом
дипломированных бухгалтеров (CICA) с целью обеспечения уверенности во внутренних контролях за бизнес-процессами. Критерии определены для
доменов контроля (безопасность, доступность, конфиденциальность, целостность обработки, персональные данные). Выбор доменов определяется
провайдером.
Отчеты SOC1 (ISAE 3402, SSAE 16) требуют от сервис-провайдера описания бизнеса, бизнес-процессов, целей контроля и самих контролей в контексте
процессов формирования финансовой отчетности пользователей услуг. Прочие услуги, процессы и контроли не должны входить в отчеты SOC1 (в том
числе такие, как защита персональных данных и восстановление деятельности в случае ЧС).
ЦОД,облачныесервисы,службыподдержки,
разработчики–ихSOC-отчетыинтересныклиентам
SOC 1 (ISAE 3402 / SSAE 16)
Контроли над процессами,
влияющими на финансовую
отчетность
SOC 2 / SOC 3
Операционные контроли
 Финансовые услуги
 Управление активами и депозитарные услуги
 Обработка страховых случаев
 Расчет и начисление заработной платы
 Обработка платежей
 Облачные ERP-услуги
 ЦОД
 Управление и поддержка ИТ-систем
 Облачные услуги (SaaS, PaaS, IaaS)
 HR-услуги
 Обеспечение безопасности
 Сервисы корпоративной почты, удаленных рабочих
мест, организации телеконференций
 Любые услуги, для которых крайне важны
соблюдение вопросов безопасности, доступности
или защиты персональных данных

17
SOC1 (ISAE 3402 / SSAE 16) SOC2 SOC3
Заключение аудитора Заключение аудитора Заключение аудитора
Утверждение руководства Утверждение руководства Утверждение руководства
Описание Системы процессов и
контролей
контролей
контролей
Цели контроля Критерии Критерии (ссылочно)
Процедуры контроля Процедуры контроля -
Процедуры проверки операционной
эффективности*
Процедуры проверки операционной
эффективности*
-
Результаты процедур* Результаты процедур* -
Прочая информация (опционально) Прочая информация (опционально) -
*Только для отчетов II типа. Примерный вид:
Типичные разделы:
• Общее представление о компании, ее бизнесе,
структуре владения, региональных офисах
• Организационная структура
• Общие принципы руководства
• Ключевые комитеты
• Управление рисками
• Организация системы внутреннего контроля
• Функция внутреннего аудита
• Внутренние и внешние коммуникации
• Мониторинг и комплайенс
• Процессы на аутсорсинге
• Контроли на стороне пользователей
SOC-отчет–исчерпывающийисточникинформации

18
Обычно сервис-провайдеры не попадают под юрисдикцию регуляторов их клиентов, поэтому регуляторы требуют организации
обладать достаточной уверенностью (reasonable assurance) в эффективности средств контроля на стороне провайдеров.
Решениярегуляторов
Банкв
Гонконге
ИТ-центрыв
России
Требования регулятора
(Монетарное агентство –
HKMA, 2015):
TM-G-1: Общие принципы
управления
технологическим риском
TM-G-2: Непрерывность
бизнеса
SA-2: Политика по
аутсорсингу
IC-1: Общие контроли по
управлению рисками
SOC 2
Схожие принципы действуют в:
Сингапур (Директивы MAS по
аутсорсингу)
— Австралия (Пруденциальные
стандарты по аутсорсингу)
— Китай (Директивы CBRC по
регулированию информационных
рисков, связанных с аутсорсингом,
для банков)
— США (FISMA)
— Великобритания (FCA)
— Евросоюз (принимаются новые
требования)
— Международные (ISO, PCI, Basel)

Спасибо
КОНСТАНТИН АУШЕВ, CISA
Менеджер
Консультирование в области ИТ
kaushev@kpmg.kz

© 2016 ТОО «КПМГ Такс энд Эдвайзори», компания, зарегистрированная в соответствии с законодательством
Республики Казахстан, член сети независимых фирм KPMG, входящих в ассоциацию KPMG International Cooperative
(“KPMG International”), зарегистрированную по законодательству Швейцарии. Все права защищены.
KPMG и логотип KPMG являются зарегистрированными товарными знаками ассоциации KPMG International.
Информация, содержащаяся в настоящем документе, носит общий характер и подготовлена без учета конкретных
обстоятельств того или иного лица или организации. Хотя мы неизменно стремимся представлять своевременную и
точную информацию, мы не можем гарантировать того, что данная информация окажется столь же точной на момент
получения или будет оставаться столь же точной в будущем. Предпринимать какие-либо действия на основании такой
информации можно только после консультаций с соответствующими специалистами и тщательного анализа
конкретной ситуации.
kpmg.kz kpmg.com/app

Kpmg it safety 2016

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Viewers also liked

Viewers also liked (20)

Similar to Kpmg it safety 2016

Similar to Kpmg it safety 2016 (20)

More from Diana Frolova

More from Diana Frolova (14)

Kpmg it safety 2016