Kpmg it safety 2016

Регулирование и практики УИБ вэпоху Cloud&DigitalКонстантин Аушев______________________________V (Юбилейная) конференция «Развитие информационной безопасности в Казахстане»

2

Статус документа: Публичный

© 2016 ТОО «КПМГ Такс энд Эдвайзори», компания, зарегистрированная в соответствии с законодательством Республики Казахстан, член сети независимых фирм KPMG, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Все права защищены.

3- и 4-я технологические революции

Social media

Третья индустриальная революция:Цифровые инноваций

Мобильные технологий

Natural language

Облачные вычисления

Широкомасштабная сеть

Персонализация

Интернет вещей

Машинное самообучение

Искусственный интеллект

Predictive analytics

РобототехникаСенсорыGPS

IPv6

Mobile first

FinTech

Геймификация

3D печать

DevOps

Гибкие технологий

Мотивационный дизайн

Хранение в облаке

Crowdsourcing

Большие данные

Apps

Blockchain

Четвертая индустриальная революция: Возможности инноваций

Нововведения путем внедрения цифровых технологий для:

• Непрерывное продвижение технологий вперед• Внедрения привлекательных и доступных

решений• Оцифровки и «умная» автоматизации практически

всех сервисов и услуг• Обеспечения постоянного доступа к данным

Социальные медиаПредиктивная аналитика

3



Провайдеры облачных технологий (SaaS, IaaS, PaaS) активнее других аутсорсеров предлагают рынку инновационные решения, сервисы и инструменты, предоставляя ряд возможностей по сокращению издержек. Облачные технологии также играют значимую роль при создании центров разделяемых сервисов. Популярность «облаков» растет, но, тем не менее, результаты опроса КПМГ в мире показывают, что процесс перехода к таким технологиям протекает достаточно медленно. В числе основных препятствий, названных респондентами, – риски, связанные с безопасностью и защитой персональных данных, проблемы интеграции с существующими процессами и решениями, риски нарушения требований регуляторов. Боязнь подобных рисков понятна, но ими вполне возможно управлять.

Безопасность – ключевой барьер перехода в облака

60%компаний тратят меньше 10% ИТ-

бюджета на облака

71%тратят меньше 20%

ИТ-бюджета на облака

28%

Местонахождениеданных–рискибезопасностиизащитыперсональных

данных

17%

ПроблемыинтеграцииссуществующейоперационноймодельюИТ

16%

Опасениянесоответствиярегуляторнымтребованиям

Источник: Глобальное исследование КПМГ (KPMG IT Outsourcing Service Provider Performance & Satisfaction Study 2014/15).

Затраты компаний на облачные технологии растут не очень быстрыми темпами

Основные барьеры, препятствующие инвестициям в облачные технологии

Стандарты и требования к информационной безопасности

5



Таким образом, для ИТ-аутсорсинга на первое место выходят вопросы обеспечения безопасности, целостности, доступности, конфиденциальности данных и соблюдения регуляторных требований. Эти вопросы затрагиваются целым рядом стандартов и положений, в том числе специфичных для отдельных стран. К счастью, локальные стандарты и акты обычно базируются на международных положениях, и, применяя передовые мировые практики, можно удовлетворить всем требованиям.

В центре внимания – защита информации

ISO 22301

HIPAA

ITILCOBIT

COSO SSAEISAE

SOC

ISO 27002

ISO 21827

CMM

PCI

ANSI

ISO 20000

ISO 17799

WebTrust

SysTrust

SOX 404

FFIEC ITGI

NIST

CISP

EV SSL

TIER

СТО БР ИББС382-П

6



Многие стандарты сфокусированы на узком сегменте информационной безопасностиКарта стандартов

Тип стандарта

Контрольная среда

Информационная безопасность ИТ-сервисы Разработка ПО

Системы финансовой отчетности

Специфические требования к технологиям

Лучшие практики COBIT

COSO ISO 27002 ITIL

ISO 20000-2

CMM/ISO 9001

ISO 21827

IT Controls / SOX ISO

ANSI

Сертификация/ критерии аудита

ISO 27001

ISO 22301

ISO 20000-1

Требования регуляторов/ индустрии

FFIEC

HIPAA, HITRUST

PCI

ISO 2700X

Постановление 29

SOX

PCAOB

EV SSL

Требования к аттестации ИС

Аудиторский подход

ISAE / SSAE

SysTrust

WebTrust

SOC2/SOC3

PCAOB WebTrust CA

WebTrust EV

7



Традиционные методы оценки ИТ и ИБ

— Подходы к управлению ИТ-процессами. Процессы, роли и ответственность

— Цели контроля и средства их достижения

Управление ИТ Информационная безопасностьCOBIT (up to 4.1) ISO 27001

79329

435552

712 836

0100200300400500600700800900

01020304050607080

2006 2010 2011 2012 2013 2014

Россия Ост. страны СНГ США и Канада

— «Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасностью»

— Измерение общих подходов и оценка контролей

8



ISO 22301 является относительно новым стандартом и еще немногие организации успели по нему сертифицироваться. Однако, многие опираются на него при построении систем управления непрерывностью бизнеса

Рост внимания к непрерывности бизнеса

Количество компаний, для которых важна эффективность СОНБ на стороне поставщиков

услуг

Источник: The 2015 – 2016 Continuity Insights and KPMG Global BCM Program Benchmarking Study.

Тим Мэтью, исполнительный директор, Eterprise Resiliency, Educational Testing Service (ETS)

«[Результаты] показывают, что влияние ISO 22301 даже выше, чем

многие в Америке могли подумать».

Линдон Бёрд, технический директор BSI

«Удивляет и вдохновляет, что более 42% респондентов обозначили ISO 22301 как стандарт, влияющий на их программы [по BCP]. Особенно если

учесть, что исследование 2011–2012 показало общее влияние стандартов BS25999-2 и ASIS/BSI

BCM.01:2010 на уровне всего 16%».

«Очевидно, сертификация рассматривается полезным шагом –более 50% респондентов отметили,

что их организация собирается получить сертификацию от DRI, еще

34% - от BCI…».

Майк Джанко, менеджер, The Goodyear Tire & Rubber Co.

21 % 58 %2005 2015

Количество компаний, рассматривающие в рамках планов BCP угрозы кибербезопасности

25 % 70 %2005 2015

9



Согласно требованиям HIPAA (Health Insurance Portability and Accountability Act) уровень защищенности медицинских сведений не должен уменьшаться только потому, что организация передала часть функций по их обработке и хранению третьей стороне.

HIPAA – требования к защите медицинских сведений

Медицинские страховые

организации

Медицинские информационно-

аналитические центры

Лечебные и профилактические

организации

Поставщики медицинского ПО

Административные меры

■ Анализ рисков■ Управление рисками■ Санкционная политика■ Анализ СОИБ

Процедуры и ответственность

■ Управление кадрами■ Управление доступом■ Осведомленность

пользователей■ Управление инцидентами■ Непрерывность бизнеса■ Оценка поставщиков

Физическая безопасность

■ Физический доступ■ Контроль оборудования и

устройств

Технологические меры

■ Логический доступ■ Передача данных■ Целостность данных■ Аудит контролей

Безопасность и защита персональных данных

PHI –Protected Health

Information

10



В требованиях стандарта прописано, что его положения распространяются как на сами организации, занимающиеся процессингом карточных транзакций, так и на их провайдеров сервисных услуг. В виду того, что международные платежные системы (Visa, MasterCard, American Express, JCB и др.) выставляют требования по соответствию PCI DSS работающим с ними банкам и процессинговым центрам, стандарт влияет на центры обработки данных и провайдеров облачных услуг.

Требования к банкам и платежным системам

Управление файерволами Системные настройки Защищенное хранение данных

Шифрование при передаче данных

Антивирусная защита Технические средства защиты Разграничение прав доступа Авторизация и

аутентификация

Физическая защита данных

Логирование и мониторинг

Тестирование СОИБ

Политики и процедуры

Требования центральных банков

PCI DSS

РФ: (Само-)оценка по 382-П, СТО БР ИББС + отчетность в CERT КР: Стандарты по ИБ, ежегодный ИТ-аудит

Гонконг: Ряд циркуляров + анкеты для отчетности, регулярные аудиты

Отчеты сервис-провайдера

12



Аббревиатура SOC расшифровывается как Service Organization Control reports (Отчеты сервисных организаций о системе контроля). Существуют три типа SOC-отчетов: SOC1 (более известны как ISAE 3402/SSAE 16 – ранее SAS 70), SOC2, SOC3.

Новые типы отчетности сервис-провайдеров

В прошлом… Сейчас…

Австралия UKКитай/ Гонконг

Чили Канада И др.

ISAE 3402Мир

SSAE 16США

SOC1 SOC2 SOC3

Прочие локальные стандарты:

13



Контроли над процессами формирования финансовой отчетности (ICOFR) Любые операционные контроли

SOC1 (ISAE 3402 / SSAE 16) SOC2(ISAE 3000, Trust Services)

SOC3(ISAE 3000, Trust Services)

Общие сведения Подробный отчет для пользователей услуг и их финансовых аудиторов

Подробный отчет для пользователей услуг, их аудиторов и других определенных сторон (например, руководства, регуляторов, консультантов по сделкам слияния-поглощения)

Короткий отчет, который может публично распространяться. При этом обязательно должна бытьвыполнена проверка операционной эффективности контролей.

Применимость Риски неправильного формирования финансовой отчетности пользователей услуг и контроли, покрывающие эти риски. Риски и контроли формулируются провайдером. Наиболее применимо для провайдеров, занимающихся обработкой финансовых транзакций или поддерживающих финансовые системы.

Фокус на доменах:– Безопасность– Доступность– Конфиденциальность– Целостность обработки данных– Защита персональных данных.

Применимо для широкого круга провайдеров.

Отчеты сервис-провайдеров SAS 70 были предназначены для клиентов и их аудиторов, охватывая контекст финансовой отчетности. Сейчас AICPAвыделяет три типа SOC-отчетов, покрывая более широкий круг потребностей клиентов – таких, как информационная безопасность, конфиденциальность, защита персональных данных, доступность услуг. При этом стандарт подготовки отчетов SOC1 в США и Канаде основывался на международном стандарте ISAE 3402. Два других типа отчетов были введены для возможности охвата контролей на стороне сервис-провайдера, которые не влияют на финансовую отчетность.

Эволюция SAS 70 - ответ на эволюцию сорсинг-моделей

14



Отчеты SOC2/3 были выделены для возможности охватить контроли, не относящиеся к фин. отчетности

Домены, покрываемые отчетами SOC2/3

Безопасность (обязательный домен)

Доступность Конфиденциальность Целостность обработки Защита персональныхданных

Политика ИБ Осведомленность

пользователей и коммуникации Оценка рисков Логический доступ Физический доступ Защита окружающей среды Мониторинг Аутентификация

пользователей Управление инцидентами Управление активами Разработка и поддержка

систем Защита персонала Управление

конфигурациями Управление изменениями Комплайенс

Политика непрерывности Резервное копирование Восстановление

деятельности Управление

непрерывностью бизнеса

Политика конфиденциальности Сбор конфиденциальных

данных Обработка

конфиденциальных данных Раскрытие информации Обеспечение

конфиденциальности при разработке информационных систем

Политики целостности обработки Полнота, корректность,

своевременность и авторизация при выполнении операции ввода/ вывода данных и их обработки

Управлениеперсональными данными Уведомление сторон Получение согласий на

обработку Сбор данных Использование, хранение и

уничтожение Ограничение доступа Раскрытия Контроль качества Мониторинг процессов

обработки персональных данных и законодательства

15



Адаптируемость SOC-отчетов под целевую аудиториюВопрос SOC2SM / SOC3SM (ISAE3000, Trust Services Principles) SOC1 (ISAE 3402 / SSAE 16)

Фокус отчета Операционные контроли Контроли над финансовой отчетностью клиентов

Тип оказываемых услуг Поддержка инфраструктуры Разработка, поддержка ПО Выполнение прочих процедур, затрагивающих людей

и данные клиентов

Обработка транзакций Ведение регистров бухгалтерского учета Подготовка финансовых отчетов Выполнение прочих процедур, оказывающих

значительное влияние на финансовую отчетность клиентов

Выполнение общих ИТ-контролей

Домены контроля Безопасность Доступность Конфиденциальность Целостность обработки данных Защита персональных данных

Контроли над процессом обработки транзакций Общие ИТ-контроли

Уровень стандартизации Провайдер выбирает домены Специфицированы критерии, которым должны

отвечать контроли, но не цели контроля

Провайдер определяет цели контроля, которые могут сильно меняться в зависимости от типа услуг

Пользователи отчета SOC 2: пользователи услуг, их аудиторы и другие заранее определенные стороны (например, регуляторы)

SOC 3: Широкая публика

Пользователи услуг и их финансовые аудиторы

16



Независимая проверка (аттестация) SOC2/3-отчетов строится на основе признаваемых во всем мире принципах и критериях Trust Services (SysTrust, WebTrust) – это набор требований, разработанных Американским институтом сертифицированных бухгалтеров (AICPA) и Канадским институтом дипломированных бухгалтеров (CICA) с целью обеспечения уверенности во внутренних контролях за бизнес-процессами. Критерии определены для доменов контроля (безопасность, доступность, конфиденциальность, целостность обработки, персональные данные). Выбор доменов определяется провайдером.

Отчеты SOC1 (ISAE 3402, SSAE 16) требуют от сервис-провайдера описания бизнеса, бизнес-процессов, целей контроля и самих контролей в контексте процессов формирования финансовой отчетности пользователей услуг. Прочие услуги, процессы и контроли не должны входить в отчеты SOC1 (в том числе такие, как защита персональных данных и восстановление деятельности в случае ЧС).

ЦОД, облачные сервисы, службы поддержки, разработчики – их SOC-отчеты интересны клиентам

SOC 1 (ISAE 3402 / SSAE 16)Контроли над процессами, влияющими на финансовую отчетность

SOC 2 / SOC 3Операционные контроли

Финансовые услуги

Управление активами и депозитарные услуги

Обработка страховых случаев

Расчет и начисление заработной платы

Обработка платежей

Облачные ERP-услуги

ЦОД

Управление и поддержка ИТ-систем

Облачные услуги (SaaS, PaaS, IaaS)

HR-услуги

Обеспечение безопасности

Сервисы корпоративной почты, удаленных рабочих мест, организации телеконференций

Любые услуги, для которых крайне важны соблюдение вопросов безопасности, доступности или защиты персональных данных

17



SOC1 (ISAE 3402 / SSAE 16) SOC2 SOC3

Заключение аудитора Заключение аудитора Заключение аудитора

Утверждение руководства Утверждение руководства Утверждение руководства

Описание Системы процессов и контролей



Цели контроля Критерии Критерии (ссылочно)

Процедуры контроля Процедуры контроля -

Процедуры проверки операционной эффективности*

Процедуры проверки операционной эффективности*

-

Результаты процедур* Результаты процедур* -

Прочая информация (опционально) Прочая информация (опционально) -

*Только для отчетов II типа. Примерный вид:Типичные разделы:

• Общее представление о компании, ее бизнесе, структуре владения, региональных офисах

• Организационная структура• Общие принципы руководства• Ключевые комитеты• Управление рисками• Организация системы внутреннего контроля• Функция внутреннего аудита• Внутренние и внешние коммуникации• Мониторинг и комплайенс• Процессы на аутсорсинге• Контроли на стороне пользователей

SOC-отчет – исчерпывающий источник информации

18



Обычно сервис-провайдеры не попадают под юрисдикцию регуляторов их клиентов, поэтому регуляторы требуют организации обладать достаточной уверенностью (reasonable assurance) в эффективности средств контроля на стороне провайдеров.

Решения регуляторов

Банк в Гонконге

ИТ-центры в России

Требования регулятора (Монетарное агентство –HKMA, 2015):

TM-G-1: Общие принципы управления технологическим риском

TM-G-2: Непрерывность бизнеса

SA-2: Политика по аутсорсингу

IC-1: Общие контроли по управлению рисками

SOC 2

Схожие принципы действуют в:Сингапур (Директивы MAS по аутсорсингу)

— Австралия (Пруденциальныестандарты по аутсорсингу)

— Китай (Директивы CBRC по регулированию информационных рисков, связанных с аутсорсингом, для банков)

— США (FISMA)— Великобритания (FCA)— Евросоюз (принимаются новые

требования)— Международные (ISO, PCI, Basel)

Спасибо

КОНСТАНТИН АУШЕВ, CISAМенеджерКонсультирование в области ИТ

[email protected]

© 2016 ТОО «КПМГ Такс энд Эдвайзори», компания, зарегистрированная в соответствии с законодательством Республики Казахстан, член сети независимых фирм KPMG, входящих в ассоциацию KPMG International Cooperative(“KPMG International”), зарегистрированную по законодательству Швейцарии. Все права защищены. KPMG и логотип KPMG являются зарегистрированными товарными знаками ассоциации KPMG International.

Информация, содержащаяся в настоящем документе, носит общий характер и подготовлена без учета конкретных обстоятельств того или иного лица или организации. Хотя мы неизменно стремимся представлять своевременную и точную информацию, мы не можем гарантировать того, что данная информация окажется столь же точной на момент получения или будет оставаться столь же точной в будущем. Предпринимать какие-либо действия на основании такой информации можно только после консультаций с соответствующими специалистами и тщательного анализа конкретной ситуации.

kpmg.kz kpmg.com/app

Presentations & Public Speaking

Kpmg it safety 2016