Практика проведения аудита ИБ
www.pwc.ru/cybersecurity
30 мая 2015
2PwC
Структура проектаОсновные этапы и их ключевые аспекты
Подготовка Старт проекта
• Готовность участников
• Сбор первичных сведений
• Планирование работ на объекте
• Выход на объект
• Осмотры и встречи
• Протоколирование работ
• Оценка достаточности
• Корректировки методики и сроков
• Подготовка проектов• Согласование
документов• Корректировки и
подготовка финальных версий
• Утверждение
• Цели и границы• Методика
реализации• Гарантии и
изменения• Требования к
Исполнителю• Критерии выбора
Исполнителя
• Разъяснение дальнейших действий
• Адаптация результатов
• Утверждение внутренних планов
Работы на объекте
Отчетные материалы
Обработка результатов
Май 2015
3PwC
• Оценка соответствия• Разработка общих рекомендаций по
приведению в соответствие;• Содействие в повышении уровня
информационной безопасности– адаптация рекомендаций по приведению в
соответствие ;– приоритезация работ по приведению в
соответствие:o по критичности,o по ресурсоемкости выполнения,o по влиянию на оценку;
– последующее приведение в соответствие силами Исполнителя.
Подготовка
Май 2015
Определение целей проекта Определение границ проекта
• Границы области– объектный подход:
o по территориальным признакам,o по подразделениям Банка,o по количеству или типам объектов среды
(АБС, СВТ, сотрудник и т.п.)– процессный подход;
• Выбор области – достаточная избыточность;– тиражируемость и масштабируемость
результатов.• Временные рамки проекта
– длительность проекта;– анализируемый период или по состоянию
на момент проверки.• Ресурсы и сервисы проекта
– со стороны Заказчика (трудозатраты, сервисы проектного управления, ИТ-сервисы);
– со стороны Исполнителя (трудозатраты, сервисы).
4PwC
• Отраслевые и международные стандарты и лучшие практики проведения аудита.
• Обмен информацией– защита информации при передаче;– роли представителей Сторон
(управленческие, исполнительские, информационные);
– схема коммуникаций (централизованная или децентрализованная).
• Обоснование выборки– математическое;– экспертно-статистическое.
• Работы на объекте– планирование работ;– степень присутствия Исполнителя на
объекте;– степень отвлечения сотрудников
Заказчика;– протоколирование работ.
Подготовка
Май 2015
• Специальные способы сбора и обработки свидетельств аудита– использование специальных средств для
сбора и анализа свидетельств;– автоматизированная обработка
свидетельств;– автоматизированная постановка и
контроль задач.• Отчетные материалы
– состав, структура, оформление;– порядок предоставления и согласования;– защита результатов.
• Корректировки и изменения– изменение сроков (отпуска, неэффективное
взаимодействие, разъяснения);– добавление критериев аудита, выходящих
за рамки базового набора;– изменение области (расширение при
недостаточности свидетельств);– границы приема свидетельств.
Методика реализации
5PwC
• Бизнес гарантии – стоимость;– сроки;– персонал (команда).
• Изменения в нормативной и законодательной базе проекта– состояние закрепляется
на момент подписания договора и неизменно;
– изменения могут быть учтены в течение проекта.
• Гарантии достоверности результатов– срок и условия действия
гарантий;– безвозмездная защита
результатов при возникновении претензий со стороны Регуляторов.
Подготовка
Май 2015
Гарантии и изменения
• Проектный опыт компании и зрелость услуги (аудит и приведение в соответствие)
• Образование, квалификации и проектный опыт участников проектной команды
• Участие в профильных организациях и сообществах
• Активная аналитическая деятельность (публикации, выступления)
• Наличие лицензий (при планировании дальнейшего сотрудничества)
• Проектное управление и контроль качества
Требования к Исполнителю
Критерии выбора Исполнителя
• Прозрачный порядок и критерии отбора
• Математическое обоснование выбора– по требованиям к
участнику;– по требованиям к проекту.
6PwC
ПодготовкаРезультаты подготовки
Май 2015
Цели и границы
Методика реализации
Гарантии и изменения
Требования к Исполнителю
Критерии выбора Исполнителя
7PwC
• Параллельные активности у ключевых участников команды Исполнителя отсутствуют
• Роли участников проекта распределены
• Подразделения Заказчика оповещены и готовы к предоставлению информации – проведена разъяснительная работа;– задачи внесены в планы работы
подразделений.• Отпуска и командировки участников
проекта учтены в общем плане работ
Старт проекта
Май 2015
Готовность участников Планирование работ на объекте
• Специфика деятельности Заказчика понята Исполнителем
• Составлен детализированный план работ на объекте содержащий– определен точный перечень Систем и ПО;– понятные темы и вопросы для
интервьюируемых;– определен персонифицированный перечень
интервьюируемых.• Встречи назначены и внесены в
календари
• Используются опросные формы• Перечень запрашиваемых документов
определен и понятен Заказчику• Осуществляется двухсторонний учет
всех переданных/полученных материалов
Сбор первичных сведений Выход на объект
• Рабочие места аудиторов оборудованы и настроены
• Вступительное совещание подготовлено
8PwC
• Взаимная терпимость– готовность к непониманию и даже к
негативу со стороны представителей Заказчика
– готовность к не высокому уровню навыков общения и ведения переговоров у представителей Исполнителя
• Применение технических навыков и ПО только по согласованию
• Сбор информации для приведения в соответствие, а не только для оценки
Работы на объекте
Май 2015
Осмотры и встречи Оценка достаточности
• Предоставление информации о ходе проекта– предварительные недостатки;– эфективность взаимодействия;– достаточность собранных свидетельств .
• Подготовка и согласование ежедневных протоколов
• Тайм-трекинг
Протоколирование работ Корректировка методики и сроков
• Проводимые работы соответствуют задачам и целям проекта
• Объем полученной информации возможно обработать в плановые сроки
• Неизменность вовлеченности проектной команды Исполнителя в проект
9PwC
Отчетные материалы
Май 2015
• Состав и структура отчетных документов– соответствуют стандартам;– отражают рискориентированный подход;– содержат описание всех стадий проекта
и результатов;– содержат рекомендации по дальнейшим
действиям;– содержат сводные данные для
Руководства;– содержат описание сильных сторон ИБ
Заказчика,– содержат описание бизнес-выгод от
устранения недостатков
• Содержания отчетных документов– отсутствие формальных фраз;– четкие и понятные формулировки
недостатков;– минимально необходимое описание
собранных свидетельств;– учитывают специфика Заказчика;– написаны на языке понятном бизнесу,– наглядно отображают результаты.
Подготовка проектов документов
10PwC
• Согласование по мере готовности
• Много этапное согласование
• Веерная рассылка всем согласующим лицам и прямое взаимодействие представителей Сторон
• Единая точка обратной связи
• Очное согласование
Отчетные материалы
Май 2015
Согласование документов
• Корректировка сроков проекта
• Отчетные материалы соответствуют заявленным целям проекта
• Разъяснительная работа с согласующими лицами Заказчика
• Соблюдение корпоративных стилей
• Внесение изменений в специальное ПО для оценки (если использовалось)
Корректировка и подготовка фин. версий
Утверждение
• Защита результатов проекта перед Заказчиком– наглядные
презентационные материалы;
– представители целевой группы не является специалистами ИБ;
– демонстрация средств автоматизации (если передаются Заказчику).
• Завершение взаимодействия с Исполнителем, но не завершение проекта
11PwC
Обработка результатов
Май 2015
• Приведение в соответствие требует существенных сроков и ресурсов
• Возможно увеличение бюджета ИБ
• Возможно изменение штата ИБ или более активное привлечение аутсорсеров
• Большинство подразделений будет вовлечено в процесс приведения в соответствие
Разъяснение дальнейших действий
• Выбор посильных и наиболее приоритетных работ
• Корректировка Стратегии ИБ
Адаптация результатов
Утверждение внутренних планов
• План совершенствования ИБ распространяется на большинство подразделений Банка
• Работы по совершенствованию ИБ включены в личные планы сотрудников всех вовлеченных подразделений, а не только подразделения ИБ
• Применение систем управления задачами
Проверка Действия Планирование
Выполнение
12PwC
Ключевые моменты
Май 2015
Большая вовлеченность Исполнителя в специфику деятельности Заказчика и опыт работ в данной отрасли повышает адаптивность отчетных материалов, но может оказать влияние на стоимость и сроки проекта
Результаты аудита могут быть использованы в бизнес-целях (репутация, конкурентоспособность, доверие партнеров и клиентов)
Планирование работ и активное взаимодействие делают понятным и наглядно отображают ход проекта
Совершенство методологии и автоматизация позволяют оптимизировать использование ресурсов
Качество подготовки оказывает прямое влияние на длительность, эффективность и результат проекта
PwC
Мы помогаем нашим клиентам управлять киберрисками
Для достижения целей, поставленных клиентами при реализации различных проектов, в PwC в равной степени привлекаются как местные, так и международные специалисты на всех этапах выполнения проекта – от проектирования до ее внедрения.
180 000сотрудников PwC
по всему миру
38 000консультантов PwC
по всему миру
9 600консультантов PwC
в ИТ-сфере по всему миру
Фирмы нашей международной сети работают в
776 офисах в 158 странах мира
Лидер на рынке услуг по трансформации бизнеса на базе ИТ-решений
Forrester, 3-й квартал 2012 года
Специалисты PwC обладают богатым опытом оказания консультационных услуг вузам
Лидер в областибизнес-консультирования
Отчет MarketScape компании IDC за 2012 год
В штате PwC CEE работает множество квалифицированных специалистов:CISA – 39 человекCISM– 7 человекPMP – 8 человекCRISC – 5 человекCISSP – 4 человекаISO 27001– 12 человек
2 000консультантов PwC
в области кибербезопасностипо всему миру
PwC
Глобальное исследование по вопросам информационной безопасности
Приглашаем вас принять участие в нашем исследовании
www.pwc.ru/gsiss2016
Окончание опроса 12 июня 2015 года
Спасибо за внимание!
Настоящий документ подготовлен исключительно в качестве общего руководства по вопросам, представляющим интерес, и не является профессиональной консультацией. Информация, содержащаяся в данной публикации, не может служить основанием для каких-либо действий, предпринимаемых без предварительного обращения к профессиональным консультантам. PricewaterhouseCoopers LLP не дает никаких подтверждений и гарантий (явных или подразумеваемых) относительно точности и полноты информации, содержащейся в данной публикации. Если иное не предусмотрено законодательством, PricewaterhouseCoopers LLP, ее члены, сотрудники и представители снимают с себя всякую ответственность и отказываются от обязательств перед любым лицом за использование данной информации и отказ от ее использования, а также любые решения, принятые на ее основании.
© 2015 ЗАО «ПвК Аудит». Все права защищены.
Под «PwC» понимается ЗАО «ПвК Аудит» или, в зависимости от контекста, другие фирмы, входящие в глобальную сеть PricewaterhouseCoopers International Limited (PwCIL). Каждая фирма сети является самостоятельным юридическим лицом.
PwC в России (www.pwc.ru) предоставляет услуги в области аудита и бизнес-консультирования, а также налоговые и юридические услуги компаниям разных отраслей. В офисах PwC в Москве, Санкт-Петербурге, Екатеринбурге, Казани, Новосибирске, Ростове-на-Дону, Краснодаре, Воронеже, Южно-Сахалинске и Владикавказе работают более 2 600 специалистов. Мы используем свои знания, богатый опыт и творческий подход для разработки практических советов и решений, открывающих новые перспективы для бизнеса. Глобальная сеть фирм PwC объединяет более 195 000 сотрудников в 157 странах.
Бренд PwC объединяет фирмы, входящие в глобальную сеть фирм PricewaterhouseCoopers International Limited (PwCIL).
«PwC в России» означает фирмы сети PwCIL, осуществляющие деятельность в России.
Роман ЧаплыгинДиректор, Отдел анализа и контроля рисков,Услуги в области информационной безопасностиТел: + 7 (495) 967 6056E-mail: [email protected]
Вступайте в наш CyberSecurity Clubв Facebook