четверг, 29 сентября 2011 г.

Решения по автоматизации оценки соответствия ИБ - Обзор новой версии BSAT

В продолжение тематики автоматизации процедур оценки соответствия ИБ кредитных организаций требованиям СТО БР ИББС-1.0 в данном посте хочу поподробнее остановиться на решении от компании LeetSoft, которая анонсировала выход новой версии своей программы BSAT 1.2.

Рассмотрим ее функционал с учетом последних обновлений.
  • Радует интерфейс программы - видно, что разработчики постарались сделать его достаточно простым, понятным и удобным в плане работы с ним - хотя местами все-таки намельчили =).
  • Как я уже говорил ранее, разработчики BSAT в своей программе впервые реализовали раздельную оценок частных показателей по двум шкалам, предлагая аудиторам вместо выставления конечных оценок (0; 0,25; 0,5; 0,75; 1), оценивать отдельно "степень документированности" и "степень выполнения" требования частного показателя (если они присутствуют), а расчет оценки самого частного показателя система берет на себя. Подобное решение с практической точки зрение более удобно и понятно при оценке частных показателей ИБ, да к тому же позволяет потом, при возвращении к частному показателю, быстро понять из каких соображений получилась итоговая оценка. Жаль только, что в BSAT итоговая оценка частного показателя не отображают в самом окне оценки, а доступна только в выгрузках, хотя это м.б. и не столь существенно (напомню, подобный функционал в настоящее время есть у нового решения ISM Revision, но нет в Estimate Tool и в ExactFlow "Оценка соответствия").

  • Наконец-то разработчики реализовали в версии 1.2 системы возможность прикрепления к частным показателям свидетельств аудита ИБ (документы, устные высказывания, наблюдения),  что на мой взгляд является большим плюсом для таких систем, поскольку позволяет в одном месте аккумулировать все сведения, касающиеся оценки соответствия.

    Правда нашел ряд недоработок в реализации этого функционала, например такие как:
    • отсутствие возможности загрузки самих документов - сейчас можно забить только наименование документа, кем и когда он был утвержден и краткое его описание, при этом поля "утвержден" и "дата документа" являются обязательными для заполнения и не позволяют прикрепить документ, не обладающий такими параметрами (например, какой-нибудь журнал или лист ознакомления) - я бы все-таки порекомендовал в качестве обязательного параметра оставить только "наименование документа";
    • возможность прикрепления к каждому частному показателю только одного опроса и одного наблюдения, хотя по факту часто бывает, что их может быть и несколько.
  • В системе добавились выгрузки свидетельств аудита в разрезе частных показателей ИБ, но при этом нет общей выгрузки тех же перечней документов, опросов или наблюдений - в отдельных случаях они могут пригодиться.
  • В системе не реализована оценка уточняющих вопросов по персональным данным Приложения "В" СТО БР ИББС-1.2-2010, а также нет оценки влияния уточняющих вопросов на оценки частных показателей ИБ. В этом плане разработчики ограничились лишь отображением списка уточняющих вопросов для частных показателей ИБ, как некой подсказки при оценке частного показателя. - На мой взгляд это все-таки не полноценный учет, так как подобное решение не несет реальной автоматизации действий аудитора, а заставляет его каждый раз при оценке частного показателя, у которого есть уточняющие вопросы, заново оценивать эти вопросы в наложении с требованием самого частного показателя. Меня, как аудитора, подобная автоматизация не особо прельщает.
  • В системе не реализована раздельная оценка частных показателей ИБ в рамках групповых показателей М1-М6 по направлениям банковского платежного, информационного и технологического процесса, в рамках которого обрабатываются ПДн.
  • В системе жестко проставлены способы оценки по всем частным показателям ИБ (оцениваются только по документированию / только по выполнению / по документированию и выполнению), при этом поменять их не представляется возможным, как, например, можно в Estimate Tool в настройках программы или в ISM Revision в процессе оценке показателей.
  • Неоспоримым плюсом системы является экспорт и импорт результатов оценок, а также возможность создание оценки на основе существующей, в том числе предыдущей, оценки соответствие. В случае с самооценками - эта функция весьма полезна для банков, так как позволяет сосредоточиться на описании только изменений, произошедших с момента прошлой самооценки. К сожалению в демо-версии системы функции импорта/экспорта не доступны, поэтому оценить их возможности нет.
В целом впечатления система оставляет вполне положительные как в плане ее реализации, так и функционала. Единственное пожелание к разработчикам, это все-таки подумать над большей автоматизацией (все тот же учет вопросов приложения "В").

среда, 7 сентября 2011 г.

Оценка частных показателей в рамках групповых показателей М1-М6 СТО БР ИББС-1.2-2010 по трем направлениям (БПТП, БИТП, БТППДн)

Сегодня зашел спор насчет того, нужно ли при проведении оценки соответствия ИБ требованиям СТО БР ИББС-1.0 оценивать частные показатели ИБ в рамках групповых показателей М1-М6 СТО БР ИББС-1.2-2010 отдельно по трем направлениям или достаточно выбирать минимальную оценку применительно сразу ко всем оцениваемым направлениям. В связи с эти в рамках данного поста я хочу последовательно изложить свою позицию по этому вопросу. Итак, начнем по порядку. 

Оценка соответствия ИБ требования Стандарта СТО БР ИББС-1.0 выполняется в соответствии с Методикой оценки соответствия СТО БР ИББС-1.2, которая является Стандартом, т. е. ее требования обязательны для выполнения.

Согласно п.7.4 СТО БР ИББС-1.2:
"Оценивание частных показателей в рамках групповых показателей М1÷М6 необходимо осуществлять раздельно по результатам анализа выполнения соответствующих требований СТО БР ИББС -1.0 по следующим направлениям:
— банковский платежный технологический процесс (М7) - (
далее - БПТП);
— банковский информационный технологический процесс (М8) - (
далее - БИТП);
— банковский технологический процесс, в рамках которого обрабатываются персональные данные (М10) - (
далее - БТППДн)."
Далее, согласно п. 7.7 СТО БР ИББС-1.2 оценки М1-М6, полученные по направлениям БПТП, БИТП, БТППДн используются при формировании оценок:
EVбптп (степень выполнения требований СТО БР ИББС- 1.0, регламентирующих БПТП) - оценки М1-М6 берутся применительно к БПТП;
— EVбитп (степень выполнения требований СТО БР ИББС- 1.0, регламентирующих БИТП) - оценки М1-М6 берутся применительно к БИТП;
— EV1озпд (степень выполнения требований СТО БР ИББС -1.0, регламентирующих защиту ПДн в ИСПДн, без учета оценки степени выполнения требований СТО БР ИББС -1.0 по обеспечению ИБ при использовании СКЗИ) и EV2озпд (степень выполнения требований СТО БР ИББС -1.0, регламентирующих защиту ПДн в ИСПДн, с учетом оценки степени выполнения требований СТО БР ИББС -1.0 по обеспечению ИБ при использовании СКЗИ) - оценки М1-М6 берутся применительно к БТППДн.

И это четко прописано в Стандарте, поэтому разночтений насчет этого быть не должно (!).

Далее оценки EVбитп, EVбптп, EV1озпд, EV2озпд, полученные с учетом оценивания М1-М6 по направлениям БПТП, БИТП, БТППДнв соответствии с  п.7.6 СТО БР ИББС-1.2 формируют итоговую оценку EV1, отражающую степень выполнения требований СТО БР ИББС -1.0 по направлению “текущий уровень ИБ организации” (EV 1 определяется по наименьшему значению из оценок EVбитп, EVбптп и  EV2озпд).

А в соответствии с  п.11.6 СТО БР ИББС-1.2 оценка EV1озпд и оценка группового показателя М6 (EVм6), опять таки полученная применительно только к БТППДн, включаются в "Подтверждение соответствия организации БС РФ требоватниям СТО БР ИББС-1.0", направляемое регуляторам.

Кроме того, как справедливо было замечено, уточняющие вопросы частных показателей Приложения "В" СТО БР ИББС-1.2, согласно разделу 10 того же СТО БР ББС-1.2, рассматриваются только применительно к БТППДн. При оценке по БПТП и БИТП уточняющие вопросы можно не учитывать.

Надеюсь, я привел достаточно оснований, что оценивать частные показатели в рамках групповых М1-М6 все-таки надо раздельно по БПТП, БИТП и БТППДн (ввиду текущих требований Стандарта СТО БР ИББС-1.2).

Теперь вкратце хотел бы остановиться на том, чем же будет отличаться результат, если оценивать М1-М6 в общем по всем направлениям сразу, например, путем выбора минимальной оценки по БПТП, БИТП и БТППДн, как это предлагается тут. В этом случае, все оценки будут усредняться (а вернее минимизироваться) на уровне частных показателей, в итоге оценка общего группового показателя будет не более минимальной из оценок, которые можно было бы получить, если оценивали отдельно по трем направлениям (а может быть и меньше, так как один частный показатель применительно к БПТП может быть больше чем применительно к БИТП, а другой показатель наоборот по БПТП меньше, а по БИТП больше, в итоге, выбирая минимальную из оценок, мы получаем, что итоговая оценка частного показателя получится меньше все трех оценок, получаемых при отдельной оценке по направлениям).

Далее лавина нарастает, оценки EVбитп, EVбптп, EV1озпд, EV2озпд при оценивании в общем по всем направлениям получаются не больше (а может и меньше) оценок, которые были бы получены при отдельном оценивании по направлениям.

Все это хитросплетение приведет к тому, что итоговая оценка EV1, а за ней и итоговый уровень R будет меньше того уровня, который должен получить при оценке в соответствии с требованиями Стандарта.

Вот такая вот петрушка =).


P.S. Напоследок хотел бы высказать свое мнение, насчет оправданности приведенных выше требований Стандарта по отдельному оцениванию показателей М1-М6 по направлениям БПТП, БИТП и БТППДн.

Я, как и многие мои коллеги, считаю, что все-таки с этим требованием ЦБ несколько перегнул палку. Отдельная оценка по разным направляем усложняет процесс оценки соответствия, увеличия трудозатраты на ее выполнение и документирование результатов. - Мне кажется вполне было бы достаточно введения учета уточняющих вопросов Приложения "В" и оценок по М9-М10, особенно с учетом того, что оценка большей части частных показателей из M1-M6 действительно может не отличаться по разным направлениям (о чем также справедливо было отмечено тут).

Если обратиться к истории и заглянуть в предыдущую версию Стандарта СТО БР ИББС-1.2, то там мы обнаружим п. 7.4 совсем в другой редакции: 
"Оценивание частных показателей в рамках групповых показателей М1÷М6 необходи мо осуществлять по результатам анализа выполнения соответствующих требований СТО БР ИББС -1.0 применительно к организации в целом, включая банковский платежный технологический процесс (М7) и банковский информационный технологический процесс (М8)."
Т.е. раньше в этом плане все было просто отлично - Но (!). Пришел 2010 г. и новые редакции Стандартов, адаптированные под требования законодательства по обработке и обеспечению безопасности ПДн, которые и внесли свои коррективы. 

Поэтому, т.к. теперь требование звучит иначе, то деваться пока некуда, надо оценивать так, как того требует Стандарт, а не пытаться искать оправдания нежеланию более детального анализа выполнения требований по ИБ в организациях БС РФ. Тем более (как я уже говорил тут) этому официально учат аудиторов на курсах в АИС.

Делать же по другому - значит не в полной мере выполнять требования Стандарта.