close

Вход

Забыли?

вход по аккаунту

зерновых и масличных 06.03.2015.;doc

код для вставкиСкачать
www.pwc.com/ua
Отраслевые
стандарты –
практическая
интерпретация
Стандарт ISO/IEC 27001
PwC
2
Стандарт ISO/IEC 27001: группа стандартов
ISO 27000
Группа стандартов ISO 27000
27000
27001
Системы
управления
информационной
безопасностью –
Обзор и
терминология
Системы
управления
информационной
безопасностью Требования
Одним из основных
компонентов Стандарта
ISO 27001 являются принципы
построения внутренних СУИБ
27002
Кодекс правил
управления
информационной
безопасностью
27003
27004
Руководство по
внедрению СУИБ
Оценка
управления
информационной
безопасностью
Рекомендации по
различным направлениям,
описывающие механизмы
контроля и цели контроля.
27006
27007
Управление
рисками
информационной
безопасности
Требования к
органам,
осуществляющим
аудит и
сертификацию
СУИБ
Рекомендации по
аудиту систем
управления
информационной
безопасностью
Стандарты ISO 27001 и 27002
являются
взаимодополняющими:
•
ISO 27001 описывает
структуру управления
согласно передовой практике и
требования к сертификации
•
ISO 27002 содержит
конкретные рекомендации в
области контроля
СУИБ
PwC
27005
3
ISO/IEC 27001: направления информационной безопасности
Система управления информационной безопасностью
114 механизмов контроля в 14 доменах
PwC
Политика
информационной
безопасности
Организация
информационной
безопасности
Безопасность
персонала
Управление
активами
Контроль доступа
Криптография
Физическая
защита и защита
от воздействия
окружающей
среды
Безопасность
операций
Безопасность
коммуникаций
Приобретение
систем,
разработка и
поддержка
Отношения с
поставщиками
Управление
инцидентами
информационной
безопасности
Информационная безопасность в
управлении непрерывностью операций
Выполнение
обязательств
4
ISO/IEC 27001: направления информационной безопасности
Система управления информационной безопасностью
114 механизмов контроля в 14 доменах
Политика
информационной
безопасности
Организация
информационной
безопасности
Безопасность
персонала
Физическая
защита и защита
Безопасность
Криптография…Обеспечение
от воздействия стратегической
операций
окружающей руководством
поддержки
среды
Управление
активами
Контроль доступа
Приобретение
Безопасность
и
операционной систем,
коммуникаций
разработка и
информационной поддержка
безопасности в соответствии с требованиями бизнеса и
действующими нормативно-правовыми актами…
Управление
Отношения с Ключевые
инцидентами
положения: Информационная безопасность в
поставщиками
информационной
управлении непрерывностью операций
• Политика
информационной безопасности
безопасности
Выполнение
обязательств
• Регулярный пересмотр политики информационной
безопасности
PwC
5
ISO/IEC 27001: направления информационной безопасности
Система управления информационной безопасностью
114 механизмов контроля в 14 доменах
Политика
информационной
безопасности
Организация
информационной
безопасности
Безопасность
персонала
Управление
активами
Контроль доступа
Физическая
Приобретение
защита и защита управленческой структуры с целью
…Формирование
Безопасность
Безопасность
систем,
Криптография
от воздействия
коммуникаций
операций
запускаокружающей
и контроля процесса внедрения системы разработка и
поддержка
среды
информационной
безопасности в организации…
Ключевые положения:
Отношения с •
поставщиками•
•
•
PwC
Управление
Ролиинцидентами
и обязанности
Информационная безопасность в
Разделение
обязанностей
информационной
управлении непрерывностью операций
безопасности с официальными органами и
Взаимодействие
специальными группами заинтересованных лиц
Информационная безопасность в управлении проектами
Выполнение
обязательств
6
ISO/IEC 27001: направления информационной безопасности
Система управления информационной безопасностью
114 механизмов контроля в 14 доменах
Политика
информационной
безопасности
Организация
информационной
безопасности
Безопасность
персонала
Управление
активами
Контроль доступа
Физическая того, что сотрудники, подрядчики и пользователи
…Обеспечение
Приобретение
защита и защита
Безопасность
Безопасность
систем,
сторон понимают свои коммуникаций
обязанности и соответствуют
Криптографиявнешних
от воздействия
операций
разработка и
окружающейкоторые
требованиям,
им выдвигаются для выполнения
ими
поддержка
среды
необходимых функций, … осведомлены и выполняют свои обязанности
в области информационной безопасности…
Управление
Отношения с
инцидентами
Информационная безопасность в
Ключевые
положения:управлении
поставщиками
информационной
непрерывностью операций
• Отбор
кадров
безопасности
PwC
Выполнение
обязательств
• Условия трудоустройства
• Обязанности руководства
• Осведомленность, обучение и повышение квалификации в области
информационной безопасности
• Прекращение трудоустройства / изменение служебных обязанностей
7
ISO/IEC 27001: направления информационной безопасности
Система управления информационной безопасностью
114 механизмов контроля в 14 доменах
Политика
информационной
безопасности
Организация
информационной
безопасности
Безопасность
персонала
Управление
активами
Физическая
…Обеспечение
уровня защиты
защита и защитанадлежащего
Безопасность
Безопасность
Криптографиясоответствии
от воздействия
с ее значимостью
коммуникаций
операцийдля организации…
окружающей
среды
Контроль доступа
Приобретение
информации
в
систем,
разработка и
поддержка
Ключевые положения:
•
•
Отношения с •
поставщиками
•
•
•
•
•
PwC
Инвентаризация активов и определение владельцев
Допустимый
пользователь активов
Управление
инцидентами
Информационная безопасность в
Возврат
активов
информационной
управлении непрерывностью операций
Классификация
информации
безопасности
Маркировка и эксплуатация активов
Управление съемными носителями информации
Ликвидация носителей информации
Передача материальных носителей информации
Выполнение
обязательств
8
ISO/IEC 27001: направления информационной безопасности
Система управления информационной безопасностью
114 механизмов контроля в 14 доменах
Политика
информационной
безопасности
Организация
информационной
безопасности
Безопасность
персонала
Управление
активами
Контроль доступа
Физическая
Приобретение
…Обеспечение
санкционированного доступа
защита и защита
Безопасность
Безопасность
систем,
Криптографияпользователей
от воздействия
и предотвращение
коммуникаций
операций
разработка и
окружающей
несанкционированного
доступа
к
системам
и
сервисам…
поддержка
среды
Ключевые положения:
•
Отношения с•
поставщиками
PwC
•
•
•
•
•
•
Управление
Политика
контроля доступа
инцидентами
Информационная
безопасность в
Предоставление прав доступа
пользователям
информационной
управлении непрерывностью операций
Привилегированный
доступ
безопасности
Проверка доступа
Отзыв доступа
Доступ к сетям /сетевым сервисам
Управление паролями
Доступ к исходному коду
Выполнение
обязательств
9
ISO/IEC 27001: направления информационной безопасности
Система управления информационной безопасностью
114 механизмов контроля в 14 доменах
Политика
информационной
безопасности
Криптография
Организация
информационной
безопасности
Безопасность
персонала
Управление
активами
Контроль доступа
Физическая
Приобретение
защита и защита
Безопасность
Безопасность
…Обеспечение
надлежащего
и
эффективного
систем,
от воздействия
коммуникаций
операций
разработка и
использования
средств криптографии для защиты
окружающей
поддержка
среды
конфиденциальности,
достоверности и целостности
информации…
Управление
Отношения с
поставщиками
инцидентами положения:
Информационная безопасность в
Ключевые
информационной
управлении непрерывностью
операций
• Политика криптографического
контроля
безопасности
•
PwC
Выполнение
обязательств
Управление ключами
10
ISO/IEC 27001: направления информационной безопасности
Система управления информационной безопасностью
114 механизмов
контроля в 14 доменах
…Предотвращение
несанкционированного
Политика
информационной
безопасности
PwC
Организация
информационной
безопасности
Криптография
Физическая
защита и защита
от воздействия
окружающей
среды
Отношения с
поставщиками
Управление
инцидентами
информационной
безопасности
физического
доступа,
повреждения
и
негативного влияния на информацию и
системы обработки данных… и нарушения
режима
работы организации
…
Безопасность
Управление
персонала
активами
Контроль доступа
Ключевые положения:
• Периметр физической безопасности и контроль
входа
Приобретение
•Безопасность
Средства безопасности
Безопасность
систем,
• операций
Угрозы окружающей
среды
коммуникаций
разработка и
поддержка
• Защита и техническое обслуживание
оборудования
• Безопасность системы кабелей
• Перебазирование имущества
• Безопасная ликвидация оборудования
Выполнение
безопасность
в
• Информационная
Политика чистого
стола/чистого
экрана
управлении непрерывностью операций
обязательств
11
…Обеспечение корректности и безопасности операций в системах
обработки
данных…
ISO/IEC
27001:
направления информационной безопасности
Ключевые положения:
Система
управления информационной безопасностью
• Операционные
процедуры
114 механизмов
контроля
в 14 доменах
• Управление изменениями
и управление
функциональными
возможностями
• Разделение среды разработки, среды тестирования и операционной среды
• Контроль вредоносного ПО
• Политика
Создание резервных
копий
Организация
Безопасность
• Регистрация событий
и защита системного
журнала Управление
Контроль доступа
информационной
информационной
персонала
активами
безопасности
• безопасности
Синхронизация часов
• Программное обеспечение операционной системы
PwC
Криптография
Физическая
защита и защита
от воздействия
окружающей
среды
Отношения с
поставщиками
Управление
инцидентами
информационной
безопасности
Безопасность
операций
Безопасность
коммуникаций
Информационная безопасность в
управлении непрерывностью операций
Приобретение
систем,
разработка и
поддержка
Выполнение
обязательств
12
ISO/IEC 27001: направления информационной безопасности
Система
управления информационной
безопасностью
…Обеспечение
защиты информации
в сетях и средствах
114 механизмов
контроля в 14 доменах
обработки
информации…
Ключевые положения:
Политика
информационной
безопасности
PwC
• Безопасность сети
• Разделение функций в сетях
Организация
Безопасность
Управление
Контроль доступа
информационной
• Передача данных
персонала
активами
безопасности
• Соглашения о конфиденциальности или неразглашении
информации
Криптография
Физическая
защита и защита
от воздействия
окружающей
среды
Отношения с
поставщиками
Управление
инцидентами
информационной
безопасности
Безопасность
операций
Безопасность
коммуникаций
Информационная безопасность в
управлении непрерывностью операций
Приобретение
систем,
разработка и
поддержка
Выполнение
обязательств
13
ISO/IEC 27001: направления информационной безопасности
Система управления информационной безопасностью
114 механизмов контроля в 14 доменах
Политика
Организация
…Обеспечение
безопасности Безопасность
как
неотъемлемого
Управление
информационной
информационной
персонала
активами
элемента информационных
систем
в течение всего
их
безопасности
безопасности
Контроль доступа
жизненного цикла…
Физическая
Ключевые положения:
защита и защита
Безопасность
• Требования к от
безопасности
Криптография
воздействия
операций
• Безопасная разработка
окружающей
среды
• Контроль внесения
изменений в системы
• Тестирование и тестовые данные
Отношения с
поставщиками
PwC
Управление
инцидентами
информационной
безопасности
Безопасность
коммуникаций
Информационная безопасность в
управлении непрерывностью операций
Приобретение
систем,
разработка и
поддержка
Выполнение
обязательств
14
ISO/IEC 27001: направления информационной безопасности
Система управления информационной безопасностью
114 механизмов контроля в 14 доменах
Политика
информационной
безопасности
Криптография
…Обеспечение защиты информации организации, к
которой
имеют доступ поставщики…
Организация
информационной
безопасности
Безопасность
персонала
Ключевые положения:
Управление
активами
• Определение поставщиков и подготовка необходимой
документации
• Физическая
Управление отношениями с поставщиками
Приобретение
защита и защита
Безопасность
Безопасность
систем,
• от Определение
и мониторинг доступа к информации
воздействия
коммуникаций
операций
разработка и
• окружающей
Мониторинг услуг
поддержка
среды
Отношения с
поставщиками
PwC
Контроль доступа
Управление
инцидентами
информационной
безопасности
Информационная безопасность в
управлении непрерывностью операций
Выполнение
обязательств
15
ISO/IEC 27001: направления информационной безопасности
Система управления информационной безопасностью
114единого
механизмов
контроля в 14подхода
доменах к управлению
…Использование
эффективного
инцидентами в системе информационной безопасности,
включая оповещения о событиях и слабых местах в системе
безопасности…
Политика
Организация
информационной
информационной
Ключевые положения:
безопасности
безопасности
Безопасность
персонала
Управление
активами
Контроль доступа
• Мониторинг событий информационной безопасности и подготовка
отчетности о них
• Оценка событий
информационной безопасности
Физическая
Приобретение
защитана
и защита
• Реагирование
инциденты Безопасность
информационной Безопасность
безопасности
систем,
Криптография
от воздействия
• Сбор доказательств
коммуникаций
операций
разработка и
окружающей
среды
Отношения с
поставщиками
PwC
Управление
инцидентами
информационной
безопасности
поддержка
Информационная безопасность в
управлении непрерывностью операций
Выполнение
обязательств
16
ISO/IEC 27001: направления информационной безопасности
Система управления информационной безопасностью
114 механизмов контроля в 14 доменах
…Непрерывность функционирования системы информационной
безопасности должна быть встроена в систему управления
непрерывностью
бизнеса организации для постоянной защиты
Политика
Организация
Управление
информации
в любой Безопасность
момент
времени
и упреждения
Контроль доступа
информационной
информационной
персонала
активами
безопасности
безопасности
неблагоприятных происшествий…
Ключевые положения:
Физическая
• Планирование,
внедрение и мониторинг
защита и защита
Безопасность
Криптография
от воздействия
информационной
безопасности операций
окружающей
• Доступность
средств обработки данных
непрерывности
Безопасность
коммуникаций
среды
Отношения с
поставщиками
PwC
Управление
инцидентами
информационной
безопасности
Информационная безопасность в
управлении непрерывностью операций
Приобретение
системы
систем,
разработка и
поддержка
Выполнение
обязательств
17
ISO/IEC 27001: направления информационной безопасности
…Предотвращение нарушения нормативно-правовых и договорных
обязательств, связанных с информационной безопасностью, и
Система управления
информационной
безопасностью
невыполнения
требований
к безопасности.
Внедрение и
114
механизмов
контроля
в
14
доменах
функционирование системы информационной безопасности в
соответствии с политиками и процедурами организации…
Ключевые положения:
Политика
Организация
•
Определение
применимого законодательства
условий
Безопасность и договорных
Управление
информационной
информационной
•
Права интеллектуальной собственности
персонала
активами
безопасности
безопасности
•
Защита учетных записей
•
Неприкосновенность и защита личной информации
•
Регулирование механизмов криптографического контроля
•
Независимая
оценка информационной безопасности
Физическая
•
Соблюдение
политики
защита и защитаи стандартов
Безопасность
Безопасность
Криптография
от воздействия
•
Анализ соблюдения
техническихопераций
условий
коммуникаций
окружающей
среды
Отношения с
поставщиками
PwC
Управление
инцидентами
информационной
безопасности
Информационная безопасность в
управлении непрерывностью операций
Контроль доступа
Приобретение
систем,
разработка и
поддержка
Выполнение
обязательств
18
Стандарт ISO/IEC 27001: зрелость систем и
отчетность
“Устойчивое
соблюдение”
Зрелость систем и отчетность
Зрелость
• Принятие ISO 27001/2 может использоваться для оценки
зрелости систем информационной безопасности
• Отчетность о зрелости систем может готовиться
организацией самостоятельно или с привлечением
внешних сторон для демонстрации эффективности
информационной безопасности и сравнения с другими
организациями
“Принятие ISO
27001/2”
Полное принятие ISO 27001/2,
сертификация не
осуществляется
“Принятие избранных практик
ISO 27001/2”
“Контроль
безопасности”
Использование
рекомендаций ISO 27001/2 в
отношении проблемных
областей
Использование механизмов
контроля с фокусом на важные
для руководства области
Соблюдение требований
PwC
19
Стандарт SSAE 16
PwC
20
Стандарт SSAE 16: Задачи
Стандарты проведения аттестации:
Составление отчета о механизмах контроля в организации,
предоставляющей услуги
Задача стандарта SSAE 16: предоставление аудитору руководства по
составлению отчета о механизмах контроля в организациях, предоставляющих
услуги организациям-пользователям, в тех случаях, когда эти механизмы
контроля имеют отношение к внутреннему контролю организаций-пользователей
в процессе подготовки финансовой отчетности.
Задача аудитора организации, предоставляющей услуги: получение достаточной
уверенности в том, что:
• составленное руководством описание системы предоставляющей услуги организации объективно
представляет систему, которая была спроектирована и внедрена в течение указанного периода (или, в
случае отчета первого типа, по состоянию на указанную дату).
• дизайн механизмов контроля, связанных с задачами контроля, указанными в составленном руководством
описании системы предоставляющей услуги организации, был надлежащим в течение указанного периода
(или, в случае отчета первого типа, по состоянию на указанную дату).
• механизмы контроля, включенные в объем анализа, функционировали эффективно и позволяли получить
достаточную уверенность в том, что задачи контроля, указанные в составленном руководством описании
системы предоставляющей услуги организации, были выполнены на протяжении всего указанного
периода.
PwC
21
Стандарт SSAE 16: виды отчетов
Предмет и критерии аттестации
Отчет I
типа
Отчет II
типа
Заключение о достоверном представлении составленного руководством описания
системы организации, предоставляющей услуги:
Проверяется составленное руководством описание системы организации, предоставляющей услуги, которая
имеет отношение к внутреннему контролю организаций-пользователей в процессе подготовки финансовой
отчетности, а также утверждение руководства о достоверности представления этого описания.
Составленное
руководством
описание
представляет
особенности
проектирования и внедрения системы организации, предоставляющей
услуги
X
X
Составленное руководством
искажений
информации,
предоставляющей услуги
X
X
описание не содержит пропусков или
связанной
с
системой
организации,
Заключение об адекватности дизайна [и эффективности функционирования] механизмов
контроля:
Проверяется дизайн [и эффективность функционирования] механизмов контроля, необходимых для
выполнения задач контроля, указанных в составленном руководством описании системы организации,
предоставляющей услуги.
Руководство определило риски для процесса подготовки финансовой
отчетности организациями-пользователями
X
X
Дизайн механизмов контроля, указанных в утверждении руководства,
позволяет получить достаточную уверенность в том, что эти риски не
воспрепятствуют выполнению задач контроля, указанных в описании
X
X
Механизмы контроля последовательно применялись на протяжении всего
указанного периода
PwC
X
22
Федеральный закон США об
управлении информационной
безопасностью (FISMA)
PwC
23
Федеральный закон США об управлении
информационной безопасностью (FISMA)
Цели:
•
•
•
•
создание комплексной нормативной базы для обеспечения эффективности механизмов
контроля информационной безопасности информационных ресурсов, обслуживающих
деятельность и активы федерального правительства;
обеспечение разработки и функционирования минимальных механизмов контроля,
необходимых для защиты федеральной информации и информационных систем;
признание того, что коммерческие продукты информационной безопасности обеспечивают
современные, динамичные, отказоустойчивые и эффективные решения в сфере
информационной безопасности, в связи с чем рыночные решения по защите критических
инфраструктур информации, разработанные, созданные и обслуживаемые частным сектором,
признаются важными для национальной защиты и экономической безопасности нации; а
также
признание того, что выбор конкретных решений в области аппаратного и программного
обеспечения информационной безопасности из имеющихся продуктов коммерческой
разработки должен оставаться на усмотрение отдельных федеральных органов.
FISMA требует разработки, документирования и внедрения каждым федеральным органом
единой для этого органа программы обеспечения информационной безопасности
информации и информационных систем, обслуживающих деятельность и активы этого
федерального органа, включая предоставляемые или управляемые другим федеральным
органом, подрядчиком или другим источником.
PwC
24
FISMA: Минимальные требования безопасности
Планирование противодействия рискам
Компьютерные
операции
Внесение
изменений и
разработка
программ
Доступ к
системам и
данным
Планирование
безопасности
PwC
Безопасность управления персоналом
Информирование и
обучение
Оценка
рисков
Контроль
доступа
Защита
систем и
коммуникаций
План действий
на случай
внештатной
ситуации
Идентификация
и подтверждение
подлинности
пользователя
Управление
конфигурацией систем
Меры в
аварийной
ситуации
Безопасность
персонала
Физическая
защита и защита
от воздействия
окружающей
среды
Защита
носителей
Мониторинг
Сертификация,
аккредитация и
оценка
безопасности
Подотчетность
и аудит
Услуги
разработки и
приобретение
систем
Обслуживание
Целостность
систем и
информации
25
Принципы конфиденциальности
Safe Harbour между США и ЕС
Закон по обеспечению доступности
и подотчетности в медицинском
страховании (HIPAA)
PwC
26
Принципы конфиденциальности между США и
ЕС (Safe Harbour)
Директива Еврокомиссии о защите данных
Концепция конфиденциальности Safe Harbour между США и
ЕС, принятая Министерством торговли США
Принципы конфиденциальности данных
Уведомление
Доступ
PwC
Выбор
Безопасность
Дальнейшая
передача
(третьим
сторонам)
Целостность
данных
Обеспечение
применения
27
Закон по обеспечению доступности и
подотчётности в медицинском страховании
(HIPAA)
HIPAA
Правило конфиденциальности
Правило безопасности
национальные стандарты по защите
конфиденциальности определенной
медицинской информации
национальный комплекс
стандартов безопасности по защите
конфиденциальности определенной
информации, которая хранится или
передается в электронном виде
Что защищается?
PwC
Как защищается?
28
Спасибо!
Александр Яцышин
Старший консультант отдела Аудита Рисков в PwC Украина
Mobile: +380 50 383 5148
E-mail: [email protected]
БЦ «Евразия», 10 этаж
ул. Жилянская 75
Киев 01032, Украина
Об Александре
За три года своей работы в PwC Александр принимал участие во многих проектах по тестированию и оценке ИТ систем с
точки зрения их функциональной эффективности, а также защищенности операций и данных. Александр накопил
значительный опыт по аудиту механизмов контроля в ИТ на разных уровнях ИТ-инфраструктуры, а также в сложных
прикладных системах (таких как SAP ERP, Oracle EBS), внедренных на производственных предприятиях, в финансовых
организациях и банках.
Данная публикация была подготовлена только для общего руководства и ознакомления и не представляет собой профессиональный совет (консультацию). Не следует
совершать какие -либо действия, основываясь на информации в данной публикации без получения профессиональной консультации. PwC не заявляет и не гарантирует
(прямо или опосредованно), что информация в данной публикации является полной и точной и, в рамках, предусмотренных законом, ООО Аудиторская фирма
«ПрайсвотерхаусКуперс (Аудит)», его участники, сотрудники, и агенты не берут на себя никаких обязательств , ответственности или обязанностей в отношении какихлибо последствий, наступивших в результате совершения действий, либо воздержания от их совершения на основании информации, указанной в данной публикации, или
за принятие каких-либо решений, основанных на такой информации.
© 2014 Общество с ограниченной ответственностью Аудиторская фирма «ПрайсвoтерхаусКуперс (Аудит)». Все права защищены.
PwC - это фирма-участник сети PwC, зарегистрированная в Украине, а в некоторых случаях международная сеть фирм PwC. Каждая фирма сети является
самостоятельным юридическим лицом. Более подробную информацию можно найти на веб-странице www.pwc.com/structure.
1/--страниц
Пожаловаться на содержимое документа