Дмитрий Григорович, Cтарший менеджер KPMG

Исследование КПМГ.Применение международного опыта на российском рынкеCLOUD RUSSIA 2015: Безопасные решения для повышения конкурентоспособности бизнеса

Москва25 ноября 2015

© 2015 АО «КПМГ», компания, зарегистрированная в соответствии с законодательством Российской Федерации, член сети независимых фирм КПМГ, входящих в ассоциацию KPMG International Cooperative (“KPMG International”), зарегистрированную по законодательству Швейцарии. Все права защищены.

1

Содержание

Введение. Немного статистики

Стандарты и требования к информационнойбезопасности

■ Обзор основных стандартов

■ Серия ISO 27000

■ ISO 22301

■ HIPAA

■ PCI DSS

■ 382-п

SOC-отчеты

■ Типы отчетов сервис-провайдера

■ Обновленные Trust Service Principles

■ Примеры использования

Приложения

Введение. Немного статистики


3

Новая эра позиционирования облаков в качестве ключевой модели эволюции ИТ

Gartner, Inc. определяет облако как один из топ-10 стратегических технологических тенденций на 2015 годы, которые будут иметь значительное влияние на организации в течение следующих трех лет.

Облако предлагает масштабируемость, скорость и централизацию для координации и управления приложениями через различные устройства, которые будут все более важными в условиях развивающейся технологии.

$58млрд.

$191млрд.

Источник: Глобальное исследование КПМГ (KPMG Cloud Survey Report 2014).

Ожидаемый роста рынка облачных услуг в 2020 году

ВведениеНемного статистики

Компании, использующие чисто экономичный подход к облаку упускают дополнительные возможности

- Том Ламоуре, партнер, Advisory Sector, Software and Electronics industries, KPMG

“ “

Основные цели использования облаков в 2014 году

2013

2020

Эффективность затрат

Повышение мобильности

Улучшение связей с клиентами

35% Эффективное управление

32% Разработка новых продуктов

30% Разработка новых бизнес-моделей

28% Переход к глобальной модели услуг

28% Быстрое реагирования


4

Безопасность остается ключевым барьером перехода в облака

Провайдеры облачных технологий (SaaS, IaaS, PaaS) активнее других аутсорсеров предлагают рынку инновационные решения, сервисы и инструменты, предоставляя ряд возможностей по сокращению издержек. Облачные технологии также играют значимую роль при создании центров разделяемых сервисов. Популярность «облаков» растет, но, тем не менее, результаты опроса КПМГ в мире показывают, что процесс перехода к таким технологиям протекает достаточно медленно.

В числе основных препятствий, названных респондентами, – риски, связанные с безопасностью и защитой персональных данных, проблемы интеграции с существующими процессами и решениями, риски нарушения требований регуляторов. Боязнь подобных рисков понятна, но ими вполне возможно управлять.

Безопасность

Конфиденциальность

Затраты76% Функциональность

74% Стоимость владения

74% Простота интеграции в существующую среду

74% Конфигурируемость

67% Дополнительные услуги, предлагаемые провайдером

Источник: Глобальное исследование КПМГ (KPMG Cloud Survey Report 2014).

Какой тип ИТ-проекта является наиболее привлекательным для CEO


Наиболее важные атрибуты организации при поиске облачных решений

62 64 6638 36 340

10

20

30

40

50

60

70

2013 2014 2015

CEO заинтересован в ИТ-проектах, которые делают деньги

CEO заинтересован в ИТ-проектах, которые экономят деньги


5

Спрос на аутсорсинг сети, инфраструктуры и разработки снижается, а выведение дата центров растет

Функции, выведенные CIO на аутсорсинг в 2010 – 2015 годах

Источник: Исследование HARVEY NASH «CIO SURVEY 2015», проведенное при поддержке КПМГ


2010 2011 2012 2013 2014 2015 Вариация за последние 12 мес.

Разработка прикладного ПО 60% 64% 64% 58% 54% 53% -1%

Дата центры N/A 50% 50% 55% 51% 53% 2%

Поддержка прикладного ПО 51% 52% 53% 47% 45% 45% 0%

Сети N/A 53% 50% 47% 45% 40% -5%

ИТ-инфраструктура 53% 38% 38% 37% 46% 42% -4%

Служба Service Desk N/A 42% 38% 31% 38% 42% 4%

Интеграция систем 24% 25% 23% 24% 22% 20% -2%

Аутсорсинг HR 10% 9% 10% 8% 8% 14% 6%

ИТ отдел 6% 5% 6% 4% 8% 7% -2%

Аутсорсинг ИТ (специфические функции) 10% 9% 8% 7% 6% 7% 1%

Аутсорсинг знаний (Knowledge process outsourcing)

1% 2% 1% 1% 2% 2% 0%


6

Доступ к навыкам и фокус на основном бизнесе – самые большие области роста для аутсорсинга

По сравнению с пятью годами ранее, следующие причины перехода на аутсорсинг стали для вас более или менее важными?

Источник: Исследование HARVEY NASH «CIO SURVEY 2015», проведенное при поддержке КПМГ


25%

40%

46%

50%

50%

52%

48%

48%

41%

43%

23%

12%

6%

9%

7%

Экономия средств

Увеличение способность к инновациям

Повышение гибкости в использовании ресурсов

Обеспечение доступа к навыкам, не доступным в штате

Освобождение ресурсов, чтобы сосредоточиться на основном бизнесе

Более важная Прежне Менее важная

Стандарты и требования к информационной безопасности


8

В центре внимания – защита информации Основные стандартыОбзор

ISO 22301

HIPAA

ITIL

COBIT

COSOSSAE

ISAE

SOC

ISO 27002

ISO 21827

CMM

PCI

ANSI

ISO 20000

ISO 17799

WebTrust

SysTrust

SOX 404

FFIEC

ITGINIST

CISPEV SSL

152-ФЗ

СТО БР ИББС

382-П

Таким образом, для ИТ-аутсорсинга на первое место выходят вопросы обеспечения безопасности, целостности, доступности, конфиденциальности данных и соблюдения регуляторных требований. Эти вопросы затрагиваются целым рядом стандартов и положений, в том числе специфичных для отдельных стран. К счастью, локальные стандарты и акты обычно базируются на международных положениях, и, применяя передовые мировые практики, можно удовлетворить всем требованиям.

TIER


9

Многие стандарты сфокусированы на узком сегменте информационной безопасности

Основные стандартыОбзор

Карта стандартов

Тип стандарта

Контрольная среда

Информационная безопасность ИТ-сервисы Разработка ПО

Системы финансовой отчетности

Специфические требования к технологиям

Лучшие практики

COBIT

COSO ISO 27002

СТО БР

ITIL

ISO 20000-2

CMM/ISO 9001

ISO 21827

IT Controls / SOX ISO

ANSI

Сертификация/ критерии аудита

ISO 27001

ISO 22301

ISO 20000-1

Требования регуляторов/ индустрии

FFIEC

HIPAA, HITRUST

PCI

ISO 2700X

382-п

SOX

PCAOB

EV SSL

152-ФЗ

Аудиторский подход

ISAE / SSAE

SysTrust

WebTrust

SOC2/SOC3

PCAOB WebTrust CA

WebTrust EV


10

Основная сертификация по информационной безопасности не может набрать популярность в России

ISO/IEC 27001 – «Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасностью. Требования»

ISO/IEC 27002 – «Информационные технологии. Методы обеспечения безопасности. Практические правила управления информационной безопасностью»

ISO/IEC 27005 – «Информационные технологии. Методы обеспечения безопасности. Управление рисками информационной безопасности»

Требования к ИБСерия ISO 27000

Количество выданных сертификатов ISO/IEC 27001

Источник: ISO 2014 Survey.

Несертификационныестандарты. Однако, иногда

клиенты запрашивают у провайдеров независимую

оценку по данным стандартам вместо

сертификации по ISO 27001.

Сфокусированность на общих подходах к управлению информационной безопасностью, нежели на эффективности отдельных контролей, недоверие к другим сертификатам ISO, дороговизна сертификации – возможные причины непопулярности стандарта в России, который де-

факто является «must-have» на Западе.

273.0 273.0 365.0 477.0 632.0 740.0

3312.0

4482.0

5010.0

6067.0

7466.0

8045.0

1814.0

2365.02741.0

3203.0

3806.0

4330.0

0

1000

2000

3000

4000

5000

6000

7000

8000

9000

0

10

20

30

40

50

60

70

80

90

2009 2010 2011 2012 2013 2014

Россия Ост. страны СНГ США и Канада EC БРИКС


11

Непрерывность бизнеса представлена в ISO 27001, но более полно охвачена в недавно выпущенном ISO 22301

ISO 22301 является относительно новым стандартом и еще немногие организации успели по нему сертифицироваться. Однако, многие опираются на него при построении систем управления непрерывностью бизнеса

Требования к ИБISO 22301

18.3%

27.2%

20.8%

19.4%

42.0%

0% 5% 10% 15% 20% 25% 30% 35% 40% 45%

Прочие

Никакие

ITIL

ISO 27001

ISO 22301

Стандарты, используемые при развитии системы управления непрерывностью бизнеса (помимо регуляторных положений)

Источник: The 2013 – 2014 Continuity Insights and KPMG Global BCM Program Benchmarking Study.

Тим Мэтью, исполнительный директор, EterpriseResiliency, Educational Testing Service (ETS)

«[Результаты] показывают, что влияние ISO 22301 даже выше, чем многие в Америке

могли подумать».

Линдон Бёрд, технический директор BSI

«Удивляет и вдохновляет, что более 42% респондентов обозначили ISO 22301 как

стандарт, влияющий на их программы [по BCP]. Особенно если учесть, что

исследование 2011–2012 показало общее влияние стандартов BS25999-2 и ASIS/BSI

BCM.01:2010 на уровне всего 16%».

«Очевидно, сертификация рассматривается полезным

шагом – более 50% респондентов отметили, что их

организация собирается получить сертификацию от

DRI, еще 34% - от BCI…».

Майк Джанко, менеджер, The Goodyear Tire & Rubber Co.


12

HIPAA – особые требования законодательства США к защите медицинских сведений

Согласно требованиям HIPAA (Health Insurance Portability and Accountability Act) уровень защищенности медицинских сведений не должен уменьшаться только потому, что организация передала часть функций по их обработке и хранению третьей стороне.

Требования к ИБHIPAA

PHI –Protected Health

Information

Медицинские страховые

организации

Медицинские информационно-

аналитические центры

Лечебные и профилактические

организации

Поставщики медицинского

ПО

Административные меры

■ Анализ рисков■ Управление рисками■ Санкционная политика■ Анализ СОИБ

Процедуры и ответственность

■ Управление кадрами■ Управление доступом■ Осведомленность

пользователей■ Управление

инцидентами■ Непрерывность бизнеса■ Оценка поставщиков

Физическая безопасность

■ Физический доступ■ Контроль

оборудования и устройств

Технологические меры

■ Логический доступ■ Передача данных■ Целостность данных■ Аудит контролей

Безопасность и защита персональных данных


13

Стандарт по обеспечению безопасности при осуществлении транзакций по кредитным картам

В требованиях стандарта прописано, что его положения распространяются как на сами организации, занимающиеся процессингом карточных транзакций, так и на их провайдеров сервисных услуг. В виду того, что международные платежные системы (Visa, MasterCard, American Express, JCB и др.) выставляют требования по соответствию PCI DSS работающим с ними банкам и процессинговым центрам, стандарт влияет на центры обработки данных и провайдеров облачных услуг.

Требования к ИБPCI DSS

Управление файерволами

Системные настройки

Защищенное хранение данных

Шифрование при передаче данных

Антивирусная защита

Технические средства защиты

Разграничение прав доступа

Авторизация и аутентификация

Физическая защита данных

Логирование и мониторинг

Тестирование СОИБ

Политики и процедуры

Важный компонент PCI DSS – необходимость сегментирования систем и сетей, участвующих в хранении и обработке финансовых данных, от других систем и сетей. Такое разграничение помимо уменьшения рисков безопасности данных, уменьшает и объем аудита на

соответствие PCI DSS.


14

Требования мегарегулятора – препятствие для аутсорсинга?

Выпущенное в 2012 году Положение Центрального Банка РФ явилось следствием появления закона 161-ФЗ «О национальной платежной системе». В положении регулятор детально прописал технические и административные требования ко всем участникам процесса перевода денежных средств (в т.ч. электронных). Также ЦБ РФ выпустил необязательный стандарты ИБ (СТО БР ИББС).

Несмотря на наличие понятия оператора платежной инфраструктуры и наличия требований к ним, до сих пор не было случаев подачи в Центральный банк результатов оценки по 382-п провайдеров ИТ-услуг. Вместе с тем, именно из-за наличия отдельных положений мегарегулятора банки России зачастую боятся передавать на аутсорсинг такие функции, как центры обработки данных, сервис-деск, поддержка ИТ-систем.

Требования к ИБПоложение 382-п

Операторы по переводу денежных средств

Банковские платежные агенты

Операторы платежных систем

Операторы платежной инфраструктуры

■ информация об остатках денежных средств на банковских счетах;

■ информация об остатках электронных денежных средств;

■ информация о совершенных переводах денежных средств, в том числе информации, содержащейся в извещениях, распоряжениях;

■ информация о платежных клиринговых позициях;■ информация, необходимая для удостоверения

клиентами права распоряжения денежными средствами;

■ ключевая информация СКЗИ■ информация о конфигурации, определяющей

параметры работы автоматизированных систем, используемых для осуществления переводов денежных средств;

■ персональные данные

129контрольных

процедур

3категории проверки

Отчеты сервис-провайдера. Обновление Trust Service Principles


16

Контроли над процессами формирования финансовой отчетности (ICOFR)

Любые операционные контроли

SOC1 (ISAE 3402 / SSAE 16)SOC2

(ISAE 3000, Trust Services)SOC3

(ISAE 3000, Trust Services)

Общие сведения

Подробный отчет для пользователей услуг и их финансовых аудиторов

Подробный отчет для пользователей услуг, их аудиторов и других определенных сторон (например, руководства, регуляторов, консультантов по сделкам слияния-поглощения)

Короткий отчет, который может публично распространяться. При этом обязательно должна быть выполнена проверка операционной эффективности контролей.

Применимость Риски неправильного формирования финансовой отчетности пользователей услуг и контроли, покрывающие эти риски. Риски и контроли формулируются провайдером. Наиболее применимо для провайдеров, занимающихся обработкой финансовых транзакций или поддерживающих финансовые системы.

Фокус на доменах:– Безопасность– Доступность– Конфиденциальность– Целостность обработки данных– Защита персональных данных.

Применимо для широкого круга провайдеров.

SOC-отчеты о системе внутреннего контроля сервисной организации: охватить все и сразу

Отчеты сервис-провайдеров SAS 70 были предназначены для клиентов и их аудиторов, охватывая контекст финансовой отчетности. Сейчас AICPA выделяет три типа SOC-отчетов, покрывая более широкий круг потребностей клиентов – таких, как информационная безопасность, конфиденциальность, защита персональных данных, доступность услуг. При этом стандарт подготовки отчетов SOC1 в США и Канаде основывался на международном стандарте ISAE 3402. Два других типа отчетов были введены для возможности охвата контролей на стороне сервис-провайдера, которые не влияют на финансовую отчетность.

SOC-отчетыТипы отчетов сервис-

провайдера


17

Отчеты SOC2/3 были выделены для возможности охватить контроли, не относящиеся к фин. отчетности

Общие критерииБезопасность, Доступность, Конфиденциальность,

Целостность обработки

Дополнительные критерии Защита персональныхданных

Организация и управление: Система ролей и

ответственности Система управления ролями

и ответственностью Компетентность персонала Рекрутмент персонала и

квалификацияКоммуникация: Осведомленность

пользователей и коммуникации Ответственность

внешних/внутренних пользователей Информированность

пользователей Сообщение об инцидентах Сообщение об измененияхУправление рисками и контроль: Управление рисками системы Митигирущие контроли Мониторинг изменения

рисковой среды

Логический и физический доступ: Идентификация и

авторизация пользователей Модель предоставления

доступа Средства предоставления

доступа Меры безопасности от

внешних угроз Передача данных Контроли предотвращения

неавторизованного доступаСистемные операции: Мониторинг уязвимостей Управление инцидентамиУправление изменениями: Жизненный цикл разработки

систем Обновление инфраструктуры Обнаружение недостатков Изменение компонентов

системыМониторинг: Регулярная оценка или аудит

Доступность: Управление нагрузочной

способностью Резервное копирование и

восстановление деятельности Управление непрерывностью

бизнесаЦелостность обработки: Полнота, корректность,

своевременность и авторизация при выполнении операции ввода/вывода данных, их обработки и хранении Процедуры обработки ошибок

целостностиКонфиденциальность: Политика конфиденциальности Сбор конфиденциальных данных Обработка конфиденциальных

данных Раскрытие информации Обеспечение конфиденциальности

при разработке информационных систем

Политики целостности обработки Полнота, корректность,

своевременность и авторизация при выполнении операции ввода/ вывода данных и их обработки Политика

конфиденциальности Сбор конфиденциальных

данных Обработка

конфиденциальных данных Раскрытие информации Обеспечение

конфиденциальности при разработке информационных систем

SOC-отчетыЧто входит в SOC2/3-

отчет?

Критерии, покрываемые отчетами SOC2/3


18

Независимая проверка (аттестация) SOC2/3-отчетов строится на основе признаваемых во всем мире принципах и критериях Trust Services (SysTrust, WebTrust) – это набор требований, разработанных Американским институтом сертифицированных бухгалтеров (AICPA) и Канадским институтом дипломированных бухгалтеров (CICA) с целью обеспечения уверенности во внутренних контролях за бизнес-процессами. Критерии определены для доменов контроля (безопасность, доступность, конфиденциальность, целостность обработки, персональные данные). Выбор доменов определяется провайдером.

Отчеты SOC1 (ISAE 3402, SSAE 16) требуют от сервис-провайдера описания бизнеса, бизнес-процессов, целей контроля и самих контролей в контексте процессов формирования финансовой отчетности пользователей услуг. Прочие услуги, процессы и контроли не должны входить в отчеты SOC1 (в том числе такие, как защита персональных данных и восстановление деятельности в случае ЧС).

SOC 1 (ISAE 3402 / SSAE 16)Контроли над процессами, влияющими на финансовую отчетность

SOC 2 / SOC 3Операционные контроли

Финансовые услуги

Управление активами и депозитарные услуги

Обработка страховых случаев

Расчет и начисление заработной платы

Обработка платежей

Облачные ERP-услуги

ЦОД

Управление и поддержка ИТ-систем

Облачные услуги (SaaS, PaaS, IaaS)

HR-услуги

Обеспечение безопасности

Сервисы корпоративной почты, удаленных рабочих мест, организации телеконференций

Любые услуги, для которых крайне важны соблюдение вопросов безопасности, доступности или защиты персональных данных

Примеры использования: ЦОД, облачные сервисы, службы поддержки, разработчики и т.д.

SOC-отчетыКакой отчет выбрать?

KPMG, логотип KPMG и слоган “cutting through complexity” являются зарегистрированными товарными знаками или товарными знаками ассоциации KPMG International.


Андрей ЛепёхинПартнёр

[email protected]

Дмитрий ГригоровичСтарший менеджер

[email protected]

mailto:[email protected]

mailto:[email protected]

Приложения


21

SOC1 (ISAE 3402 / SSAE 16) SOC2 SOC3

Заключение аудитора Заключение аудитора Заключение аудитора

Утверждение руководства Утверждение руководства Утверждение руководства

Описание Системы процессов и контролей



Цели контроля Критерии Критерии (ссылочно)

Процедуры контроля Процедуры контроля -

Процедуры проверки операционной эффективности*

Процедуры проверки операционной эффективности*

-

Результаты процедур* Результаты процедур* -

Прочая информация (опционально)

Прочая информация (опционально)

-

*Только для отчетов II типа. Примерный вид:Типичные разделы:

• Общее представление о компании, ее бизнесе, структуре владения, региональных офисах

• Организационная структура• Общие принципы руководства• Ключевые комитеты• Управление рисками• Организация системы внутреннего контроля• Функция внутреннего аудита• Внутренние и внешние коммуникации• Мониторинг и комплайенс• Процессы на аутсорсинге• Контроли на стороне пользователей

SOC-отчетыКакая информация

входит в отчет?

SOC-отчет дает его потребителю гораздо больше информации, чем сертификат соответствия стандарту


22

Пункт отчета Что интересного для читателя?

1. Объем аудита • Охватывает ли отчет все услуги, которые мы получаем от провайдера? Все ли локации?

2. Тип отчета • SOC1, SOC2SM, SOC3SM или другое?• Отчет по состоянию на момент времени (Тип 1) или за период времени (Тип 2)?

3. Охватываемый период • Как соотносится охватываемый период с нашим финансовым годом или сроком получения услуг?

4. Заключение • Не квалифицировано ли мнение аудитора (достигаются ли заявленные цели и выполняются ли критерии)?• Как на нашу организацию влияют оговорки аудитора?

5. Фирма-аудитор • Насколько хороша репутация фирмы-аудитора в предоставлении услуг под подтверждению достоверности отчетов?

6. Субподрядчики • Если часть процессов провайдера осуществляются на стороне субподрядчика, охвачены ли они в отчете?• Если не охвачены, есть ли для нас необходимость в их отдельной проверке (или отдельном SOC-отчете)?

7. Домены/ цели • Достаточно ли покрывают выбранные цели контроля (SOC1) или домены (SOC2, SOC3) получаемые нами услуги?

8. Описание контролей • Достаточно ли детально для понимания описаны процедуры контроля в отчете SOC1/SOC2?

9. Процедуры и результаты проверки

• В достаточной ли мере аудитор выполнил необходимые процедуры проверки?• Если аудитор обнаружил недостатки в осуществлении контроля, могут ли они повлиять на нашу

организацию?10. Дополнительные контроли на стороне

пользователя

• Если выявлены дополнительные контроли на стороне пользователя, внедрены ли они в нашей организации?

11. Изменения в периоде • Если были существенные изменения, как они могли повлиять на нашу организацию?

12. Прочая информация

• Включает ли отчет прочую полезную информацию (например, как среда внутреннего контроля провайдера отвечает требованием различных стандартов и регуляторных требований, таких, как ISO 27001, Cloud Security Alliance, FISMA, HIPAA Security Rule, SOX 404, 382-п, СТО БР ИББС)?

SOC-отчетыКакая информация

входит в отчет?

В SOC-отчет можно включить информацию о соответствии международным стандартам


23

«Безопасность» - фундаментальная и обязательная область SOC2/3-отчета

Домен Принцип Trust Services Когда требуется?

Безопасность

• Система [организации бизнес-процессов и внутренних контролей] защищена от неавторизованного доступа (физического и логического)

• Наиболее запрашиваемая потребителями область проверки• Критерии безопасности также наследуются другими

принципами Trust Services, так как контроли по безопасности являются основой для других доменов

• Применим для любого провайдера

Доступность

• Система доступна для использования и оперирования в соответствии с установленными принципами и договоренностями

• Вторая по популярности область, особенно для случаев, когда восстановление в случае ЧС является частью договора об оказании услуг/ SLA

• Наиболее важный случай применения – строгая необходимость достижения заявленного в SLA уровня доступности сервисов (при этом данная область не может быть покрыта в отчете SOC1)

Конфиденциальность

• Информация, обозначенная какконфиденциальная, защищена в соответствии с установленными принципами и договоренностями

• Затрагивается в случаях, когда клиентам необходима дополнительная уверенность в надежности процессов провайдера относительно сведений, представляющих корпоративную тайну

• Также важен в случаях, когда от провайдера зависит защитаконфиденциальных данных заказчиков услуг его клиентов

Целостность обработки• Обработка данных производится в полном

объема, корректно и авторизованным на это персоналом

• Потенциально может применяться для широкого круга финансовых и нефинансовых услуг, где важно иметь уверенность в полноте, своевременности, корректности обработки данных авторизованным на то персоналом

Защита персональныхданных

• Персональные данные собираются, используются, хранятся, разглашаются и уничтожаются в соответствии с обязательствами, изложенными в соглашении на обработку персональных данных, а также критериями, изложенными в общих принципах AICPA и CICA по защите персональных данных (GAPP)

• Применяется в случаях, когда провайдер непосредственно работает с конечными пользователями услуг и собирает их персональные данные

• Является сильным механизмом, демонстрирующим эффективность программ по защите персональных данных.

SOC-отчетыКак выбрать домены

SOC2/3-проверки?


24

Выбор типа отчета зависит от целевой аудитории и желаемого объема проверки

Вопрос SOC2SM / SOC3SM (ISAE3000, Trust Services Principles) SOC1 (ISAE 3402 / SSAE 16)

Фокус отчета Операционные контроли Контроли над финансовой отчетностью клиентов

Тип оказываемых услуг

Поддержка инфраструктуры Разработка, поддержка ПО Выполнение прочих процедур,

затрагивающих людей и данные клиентов

Обработка транзакций Ведение регистров бухгалтерского учета Подготовка финансовых отчетов Выполнение прочих процедур, оказывающих

значительное влияние на финансовую отчетность клиентов

Выполнение общих ИТ-контролей

Домены контроля Безопасность Доступность Конфиденциальность Целостность обработки данных Защита персональных данных

Контроли над процессом обработки транзакций Общие ИТ-контроли

Уровень стандартизации

Провайдер выбирает домены Специфицированы критерии, которым

должны отвечать контроли, но не цели контроля

Провайдер определяет цели контроля, которые могут сильно меняться в зависимости от типа услуг

Пользователи отчета SOC 2: пользователи услуг, их аудиторы и другие заранее определенные стороны (например, регуляторы)

SOC 3: Широкая публика

Пользователи услуг и их финансовые аудиторы

SOC-отчетыКакой отчет выбрать?

Business

Дмитрий Григорович, Cтарший менеджер KPMG