Upload
diana-frolova
View
32
Download
0
Embed Size (px)
Citation preview
Регулирование и практики УИБ вэпоху Cloud&DigitalКонстантин Аушев______________________________V (Юбилейная) конференция «Развитие информационной безопасности в Казахстане»
2
Статус документа: Публичный
© 2016 ТОО «КПМГ Такс энд Эдвайзори», компания, зарегистрированная в соответствии с законодательством Республики Казахстан, член сети независимых фирм KPMG, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Все права защищены.
3- и 4-я технологические революции
Social media
Третья индустриальная революция:Цифровые инноваций
Мобильные технологий
Natural language
Облачные вычисления
Широкомасштабная сеть
Персонализация
Интернет вещей
Машинное самообучение
Искусственный интеллект
Predictive analytics
РобототехникаСенсорыGPS
IPv6
Mobile first
FinTech
Геймификация
3D печать
DevOps
Гибкие технологий
Мотивационный дизайн
Хранение в облаке
Crowdsourcing
Большие данные
Apps
Blockchain
Четвертая индустриальная революция: Возможности инноваций
Нововведения путем внедрения цифровых технологий для:
• Непрерывное продвижение технологий вперед• Внедрения привлекательных и доступных
решений• Оцифровки и «умная» автоматизации практически
всех сервисов и услуг• Обеспечения постоянного доступа к данным
Социальные медиаПредиктивная аналитика
3
Статус документа: Публичный
© 2016 ТОО «КПМГ Такс энд Эдвайзори», компания, зарегистрированная в соответствии с законодательством Республики Казахстан, член сети независимых фирм KPMG, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Все права защищены.
Провайдеры облачных технологий (SaaS, IaaS, PaaS) активнее других аутсорсеров предлагают рынку инновационные решения, сервисы и инструменты, предоставляя ряд возможностей по сокращению издержек. Облачные технологии также играют значимую роль при создании центров разделяемых сервисов. Популярность «облаков» растет, но, тем не менее, результаты опроса КПМГ в мире показывают, что процесс перехода к таким технологиям протекает достаточно медленно. В числе основных препятствий, названных респондентами, – риски, связанные с безопасностью и защитой персональных данных, проблемы интеграции с существующими процессами и решениями, риски нарушения требований регуляторов. Боязнь подобных рисков понятна, но ими вполне возможно управлять.
Безопасность – ключевой барьер перехода в облака
60%компаний тратят меньше 10% ИТ-
бюджета на облака
71%тратят меньше 20%
ИТ-бюджета на облака
28%
Местонахождениеданных–рискибезопасностиизащитыперсональных
данных
17%
ПроблемыинтеграцииссуществующейоперационноймодельюИТ
16%
Опасениянесоответствиярегуляторнымтребованиям
Источник: Глобальное исследование КПМГ (KPMG IT Outsourcing Service Provider Performance & Satisfaction Study 2014/15).
Затраты компаний на облачные технологии растут не очень быстрыми темпами
Основные барьеры, препятствующие инвестициям в облачные технологии
Стандарты и требования к информационной безопасности
5
Статус документа: Публичный
© 2016 ТОО «КПМГ Такс энд Эдвайзори», компания, зарегистрированная в соответствии с законодательством Республики Казахстан, член сети независимых фирм KPMG, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Все права защищены.
Таким образом, для ИТ-аутсорсинга на первое место выходят вопросы обеспечения безопасности, целостности, доступности, конфиденциальности данных и соблюдения регуляторных требований. Эти вопросы затрагиваются целым рядом стандартов и положений, в том числе специфичных для отдельных стран. К счастью, локальные стандарты и акты обычно базируются на международных положениях, и, применяя передовые мировые практики, можно удовлетворить всем требованиям.
В центре внимания – защита информации
ISO 22301
HIPAA
ITILCOBIT
COSO SSAEISAE
SOC
ISO 27002
ISO 21827
CMM
PCI
ANSI
ISO 20000
ISO 17799
WebTrust
SysTrust
SOX 404
FFIEC ITGI
NIST
CISP
EV SSL
TIER
СТО БР ИББС382-П
6
Статус документа: Публичный
© 2016 ТОО «КПМГ Такс энд Эдвайзори», компания, зарегистрированная в соответствии с законодательством Республики Казахстан, член сети независимых фирм KPMG, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Все права защищены.
Многие стандарты сфокусированы на узком сегменте информационной безопасностиКарта стандартов
Тип стандарта
Контрольная среда
Информационная безопасность ИТ-сервисы Разработка ПО
Системы финансовой отчетности
Специфические требования к технологиям
Лучшие практики COBIT
COSO ISO 27002 ITIL
ISO 20000-2
CMM/ISO 9001
ISO 21827
IT Controls / SOX ISO
ANSI
Сертификация/ критерии аудита
ISO 27001
ISO 22301
ISO 20000-1
Требования регуляторов/ индустрии
FFIEC
HIPAA, HITRUST
PCI
ISO 2700X
Постановление 29
SOX
PCAOB
EV SSL
Требования к аттестации ИС
Аудиторский подход
ISAE / SSAE
SysTrust
WebTrust
SOC2/SOC3
PCAOB WebTrust CA
WebTrust EV
7
Статус документа: Публичный
© 2016 ТОО «КПМГ Такс энд Эдвайзори», компания, зарегистрированная в соответствии с законодательством Республики Казахстан, член сети независимых фирм KPMG, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Все права защищены.
Традиционные методы оценки ИТ и ИБ
— Подходы к управлению ИТ-процессами. Процессы, роли и ответственность
— Цели контроля и средства их достижения
Управление ИТ Информационная безопасностьCOBIT (up to 4.1) ISO 27001
79329
435552
712 836
0100200300400500600700800900
01020304050607080
2006 2010 2011 2012 2013 2014
Россия Ост. страны СНГ США и Канада
— «Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасностью»
— Измерение общих подходов и оценка контролей
8
Статус документа: Публичный
© 2016 ТОО «КПМГ Такс энд Эдвайзори», компания, зарегистрированная в соответствии с законодательством Республики Казахстан, член сети независимых фирм KPMG, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Все права защищены.
ISO 22301 является относительно новым стандартом и еще немногие организации успели по нему сертифицироваться. Однако, многие опираются на него при построении систем управления непрерывностью бизнеса
Рост внимания к непрерывности бизнеса
Количество компаний, для которых важна эффективность СОНБ на стороне поставщиков
услуг
Источник: The 2015 – 2016 Continuity Insights and KPMG Global BCM Program Benchmarking Study.
Тим Мэтью, исполнительный директор, Eterprise Resiliency, Educational Testing Service (ETS)
«[Результаты] показывают, что влияние ISO 22301 даже выше, чем
многие в Америке могли подумать».
Линдон Бёрд, технический директор BSI
«Удивляет и вдохновляет, что более 42% респондентов обозначили ISO 22301 как стандарт, влияющий на их программы [по BCP]. Особенно если
учесть, что исследование 2011–2012 показало общее влияние стандартов BS25999-2 и ASIS/BSI
BCM.01:2010 на уровне всего 16%».
«Очевидно, сертификация рассматривается полезным шагом –более 50% респондентов отметили,
что их организация собирается получить сертификацию от DRI, еще
34% - от BCI…».
Майк Джанко, менеджер, The Goodyear Tire & Rubber Co.
21 % 58 %2005 2015
Количество компаний, рассматривающие в рамках планов BCP угрозы кибербезопасности
25 % 70 %2005 2015
9
Статус документа: Публичный
© 2016 ТОО «КПМГ Такс энд Эдвайзори», компания, зарегистрированная в соответствии с законодательством Республики Казахстан, член сети независимых фирм KPMG, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Все права защищены.
Согласно требованиям HIPAA (Health Insurance Portability and Accountability Act) уровень защищенности медицинских сведений не должен уменьшаться только потому, что организация передала часть функций по их обработке и хранению третьей стороне.
HIPAA – требования к защите медицинских сведений
Медицинские страховые
организации
Медицинские информационно-
аналитические центры
Лечебные и профилактические
организации
Поставщики медицинского ПО
Административные меры
■ Анализ рисков■ Управление рисками■ Санкционная политика■ Анализ СОИБ
Процедуры и ответственность
■ Управление кадрами■ Управление доступом■ Осведомленность
пользователей■ Управление инцидентами■ Непрерывность бизнеса■ Оценка поставщиков
Физическая безопасность
■ Физический доступ■ Контроль оборудования и
устройств
Технологические меры
■ Логический доступ■ Передача данных■ Целостность данных■ Аудит контролей
Безопасность и защита персональных данных
PHI –Protected Health
Information
10
Статус документа: Публичный
© 2016 ТОО «КПМГ Такс энд Эдвайзори», компания, зарегистрированная в соответствии с законодательством Республики Казахстан, член сети независимых фирм KPMG, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Все права защищены.
В требованиях стандарта прописано, что его положения распространяются как на сами организации, занимающиеся процессингом карточных транзакций, так и на их провайдеров сервисных услуг. В виду того, что международные платежные системы (Visa, MasterCard, American Express, JCB и др.) выставляют требования по соответствию PCI DSS работающим с ними банкам и процессинговым центрам, стандарт влияет на центры обработки данных и провайдеров облачных услуг.
Требования к банкам и платежным системам
Управление файерволами Системные настройки Защищенное хранение данных
Шифрование при передаче данных
Антивирусная защита Технические средства защиты Разграничение прав доступа Авторизация и
аутентификация
Физическая защита данных
Логирование и мониторинг
Тестирование СОИБ
Политики и процедуры
Требования центральных банков
PCI DSS
РФ: (Само-)оценка по 382-П, СТО БР ИББС + отчетность в CERT КР: Стандарты по ИБ, ежегодный ИТ-аудит
Гонконг: Ряд циркуляров + анкеты для отчетности, регулярные аудиты
Отчеты сервис-провайдера
12
Статус документа: Публичный
© 2016 ТОО «КПМГ Такс энд Эдвайзори», компания, зарегистрированная в соответствии с законодательством Республики Казахстан, член сети независимых фирм KPMG, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Все права защищены.
Аббревиатура SOC расшифровывается как Service Organization Control reports (Отчеты сервисных организаций о системе контроля). Существуют три типа SOC-отчетов: SOC1 (более известны как ISAE 3402/SSAE 16 – ранее SAS 70), SOC2, SOC3.
Новые типы отчетности сервис-провайдеров
В прошлом… Сейчас…
Австралия UKКитай/ Гонконг
Чили Канада И др.
ISAE 3402Мир
SSAE 16США
SOC1 SOC2 SOC3
Прочие локальные стандарты:
13
Статус документа: Публичный
© 2016 ТОО «КПМГ Такс энд Эдвайзори», компания, зарегистрированная в соответствии с законодательством Республики Казахстан, член сети независимых фирм KPMG, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Все права защищены.
Контроли над процессами формирования финансовой отчетности (ICOFR) Любые операционные контроли
SOC1 (ISAE 3402 / SSAE 16) SOC2(ISAE 3000, Trust Services)
SOC3(ISAE 3000, Trust Services)
Общие сведения Подробный отчет для пользователей услуг и их финансовых аудиторов
Подробный отчет для пользователей услуг, их аудиторов и других определенных сторон (например, руководства, регуляторов, консультантов по сделкам слияния-поглощения)
Короткий отчет, который может публично распространяться. При этом обязательно должна бытьвыполнена проверка операционной эффективности контролей.
Применимость Риски неправильного формирования финансовой отчетности пользователей услуг и контроли, покрывающие эти риски. Риски и контроли формулируются провайдером. Наиболее применимо для провайдеров, занимающихся обработкой финансовых транзакций или поддерживающих финансовые системы.
Фокус на доменах:– Безопасность– Доступность– Конфиденциальность– Целостность обработки данных– Защита персональных данных.
Применимо для широкого круга провайдеров.
Отчеты сервис-провайдеров SAS 70 были предназначены для клиентов и их аудиторов, охватывая контекст финансовой отчетности. Сейчас AICPAвыделяет три типа SOC-отчетов, покрывая более широкий круг потребностей клиентов – таких, как информационная безопасность, конфиденциальность, защита персональных данных, доступность услуг. При этом стандарт подготовки отчетов SOC1 в США и Канаде основывался на международном стандарте ISAE 3402. Два других типа отчетов были введены для возможности охвата контролей на стороне сервис-провайдера, которые не влияют на финансовую отчетность.
Эволюция SAS 70 - ответ на эволюцию сорсинг-моделей
14
Статус документа: Публичный
© 2016 ТОО «КПМГ Такс энд Эдвайзори», компания, зарегистрированная в соответствии с законодательством Республики Казахстан, член сети независимых фирм KPMG, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Все права защищены.
Отчеты SOC2/3 были выделены для возможности охватить контроли, не относящиеся к фин. отчетности
Домены, покрываемые отчетами SOC2/3
Безопасность (обязательный домен)
Доступность Конфиденциальность Целостность обработки Защита персональныхданных
Политика ИБ Осведомленность
пользователей и коммуникации Оценка рисков Логический доступ Физический доступ Защита окружающей среды Мониторинг Аутентификация
пользователей Управление инцидентами Управление активами Разработка и поддержка
систем Защита персонала Управление
конфигурациями Управление изменениями Комплайенс
Политика непрерывности Резервное копирование Восстановление
деятельности Управление
непрерывностью бизнеса
Политика конфиденциальности Сбор конфиденциальных
данных Обработка
конфиденциальных данных Раскрытие информации Обеспечение
конфиденциальности при разработке информационных систем
Политики целостности обработки Полнота, корректность,
своевременность и авторизация при выполнении операции ввода/ вывода данных и их обработки
Управлениеперсональными данными Уведомление сторон Получение согласий на
обработку Сбор данных Использование, хранение и
уничтожение Ограничение доступа Раскрытия Контроль качества Мониторинг процессов
обработки персональных данных и законодательства
15
Статус документа: Публичный
© 2016 ТОО «КПМГ Такс энд Эдвайзори», компания, зарегистрированная в соответствии с законодательством Республики Казахстан, член сети независимых фирм KPMG, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Все права защищены.
Адаптируемость SOC-отчетов под целевую аудиториюВопрос SOC2SM / SOC3SM (ISAE3000, Trust Services Principles) SOC1 (ISAE 3402 / SSAE 16)
Фокус отчета Операционные контроли Контроли над финансовой отчетностью клиентов
Тип оказываемых услуг Поддержка инфраструктуры Разработка, поддержка ПО Выполнение прочих процедур, затрагивающих людей
и данные клиентов
Обработка транзакций Ведение регистров бухгалтерского учета Подготовка финансовых отчетов Выполнение прочих процедур, оказывающих
значительное влияние на финансовую отчетность клиентов
Выполнение общих ИТ-контролей
Домены контроля Безопасность Доступность Конфиденциальность Целостность обработки данных Защита персональных данных
Контроли над процессом обработки транзакций Общие ИТ-контроли
Уровень стандартизации Провайдер выбирает домены Специфицированы критерии, которым должны
отвечать контроли, но не цели контроля
Провайдер определяет цели контроля, которые могут сильно меняться в зависимости от типа услуг
Пользователи отчета SOC 2: пользователи услуг, их аудиторы и другие заранее определенные стороны (например, регуляторы)
SOC 3: Широкая публика
Пользователи услуг и их финансовые аудиторы
16
Статус документа: Публичный
© 2016 ТОО «КПМГ Такс энд Эдвайзори», компания, зарегистрированная в соответствии с законодательством Республики Казахстан, член сети независимых фирм KPMG, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Все права защищены.
Независимая проверка (аттестация) SOC2/3-отчетов строится на основе признаваемых во всем мире принципах и критериях Trust Services (SysTrust, WebTrust) – это набор требований, разработанных Американским институтом сертифицированных бухгалтеров (AICPA) и Канадским институтом дипломированных бухгалтеров (CICA) с целью обеспечения уверенности во внутренних контролях за бизнес-процессами. Критерии определены для доменов контроля (безопасность, доступность, конфиденциальность, целостность обработки, персональные данные). Выбор доменов определяется провайдером.
Отчеты SOC1 (ISAE 3402, SSAE 16) требуют от сервис-провайдера описания бизнеса, бизнес-процессов, целей контроля и самих контролей в контексте процессов формирования финансовой отчетности пользователей услуг. Прочие услуги, процессы и контроли не должны входить в отчеты SOC1 (в том числе такие, как защита персональных данных и восстановление деятельности в случае ЧС).
ЦОД, облачные сервисы, службы поддержки, разработчики – их SOC-отчеты интересны клиентам
SOC 1 (ISAE 3402 / SSAE 16)Контроли над процессами, влияющими на финансовую отчетность
SOC 2 / SOC 3Операционные контроли
Финансовые услуги
Управление активами и депозитарные услуги
Обработка страховых случаев
Расчет и начисление заработной платы
Обработка платежей
Облачные ERP-услуги
ЦОД
Управление и поддержка ИТ-систем
Облачные услуги (SaaS, PaaS, IaaS)
HR-услуги
Обеспечение безопасности
Сервисы корпоративной почты, удаленных рабочих мест, организации телеконференций
Любые услуги, для которых крайне важны соблюдение вопросов безопасности, доступности или защиты персональных данных
17
Статус документа: Публичный
© 2016 ТОО «КПМГ Такс энд Эдвайзори», компания, зарегистрированная в соответствии с законодательством Республики Казахстан, член сети независимых фирм KPMG, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Все права защищены.
SOC1 (ISAE 3402 / SSAE 16) SOC2 SOC3
Заключение аудитора Заключение аудитора Заключение аудитора
Утверждение руководства Утверждение руководства Утверждение руководства
Описание Системы процессов и контролей
Описание Системы процессов и контролей
Описание Системы процессов и контролей
Цели контроля Критерии Критерии (ссылочно)
Процедуры контроля Процедуры контроля -
Процедуры проверки операционной эффективности*
Процедуры проверки операционной эффективности*
-
Результаты процедур* Результаты процедур* -
Прочая информация (опционально) Прочая информация (опционально) -
*Только для отчетов II типа. Примерный вид:Типичные разделы:
• Общее представление о компании, ее бизнесе, структуре владения, региональных офисах
• Организационная структура• Общие принципы руководства• Ключевые комитеты• Управление рисками• Организация системы внутреннего контроля• Функция внутреннего аудита• Внутренние и внешние коммуникации• Мониторинг и комплайенс• Процессы на аутсорсинге• Контроли на стороне пользователей
SOC-отчет – исчерпывающий источник информации
18
Статус документа: Публичный
© 2016 ТОО «КПМГ Такс энд Эдвайзори», компания, зарегистрированная в соответствии с законодательством Республики Казахстан, член сети независимых фирм KPMG, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Все права защищены.
Обычно сервис-провайдеры не попадают под юрисдикцию регуляторов их клиентов, поэтому регуляторы требуют организации обладать достаточной уверенностью (reasonable assurance) в эффективности средств контроля на стороне провайдеров.
Решения регуляторов
Банк в Гонконге
ИТ-центры в России
Требования регулятора (Монетарное агентство –HKMA, 2015):
TM-G-1: Общие принципы управления технологическим риском
TM-G-2: Непрерывность бизнеса
SA-2: Политика по аутсорсингу
IC-1: Общие контроли по управлению рисками
SOC 2
Схожие принципы действуют в:Сингапур (Директивы MAS по аутсорсингу)
— Австралия (Пруденциальныестандарты по аутсорсингу)
— Китай (Директивы CBRC по регулированию информационных рисков, связанных с аутсорсингом, для банков)
— США (FISMA)— Великобритания (FCA)— Евросоюз (принимаются новые
требования)— Международные (ISO, PCI, Basel)
© 2016 ТОО «КПМГ Такс энд Эдвайзори», компания, зарегистрированная в соответствии с законодательством Республики Казахстан, член сети независимых фирм KPMG, входящих в ассоциацию KPMG International Cooperative(“KPMG International”), зарегистрированную по законодательству Швейцарии. Все права защищены. KPMG и логотип KPMG являются зарегистрированными товарными знаками ассоциации KPMG International.
Информация, содержащаяся в настоящем документе, носит общий характер и подготовлена без учета конкретных обстоятельств того или иного лица или организации. Хотя мы неизменно стремимся представлять своевременную и точную информацию, мы не можем гарантировать того, что данная информация окажется столь же точной на момент получения или будет оставаться столь же точной в будущем. Предпринимать какие-либо действия на основании такой информации можно только после консультаций с соответствующими специалистами и тщательного анализа конкретной ситуации.
kpmg.kz kpmg.com/app