четверг, 31 марта 2011 г.

СОИБ. Анализ. Инструменты для оценки соответствия стандарту СТО БР ИББС

Последнее время СТО БР ИББС набирает обороты среди банков. Уже более 50% кредитных организаций заявило о желании соответствовать это стандарту.
В соответствии со стандартом необходимо проведение регулярных мероприятий по оценке (как внутренней, так и внешней) соответствия Банка стандарту и совершенствование СОИБ.
Так как процесс оценки достаточно трудоемкий и непростой, то средства автоматизации оценки будут очень кстати.
Достаточно давно я уже познакомился с ПО ExactFlow «Оценка соответствия» производства компании Pacifica. Но так как стоимость его была достаточно высокой – 190 000 руб. по акции, то дальше тестирования дело не пошло.
И вот недавно обнаружил ещё одно неплохое средство автоматизации оценки – ПО Программный комплекс Bank Security Assessment Tool (BSAT) производства компании LeetSoft (http://www.leetsoft.ru).
По результатам тестирования выяснилось, что данное ПО достаточно простое и удобное в использовании. С его помощью можно минимальными силами провести самооценку и подготовить отчетные документы, а так-же уведомление для Банка России. Самое главное – его стоимость в 25 000 руб. гораздо привлекательнее. Так что для Банков можно только порекомендовать данное ПО.
Инструмент корректно работает с неактуальными групповыми показателями.
Есть возможность учитывать уточняющие вопросы приложения B – они выводятся как справочные при оценке показателей.
Есть возможность экспортировать оценку в файл и подгружать из файла.
Конечно у BSAT нашлись и недостатки – отсутствует возможность внесения информации о собранных свидетельствах оценки и прикреплять файлы, которая есть у ExactFlow. Отсутствует возможность планирования оценок и сравнения нескольких оценок.
Без этих функций использовать BSAT как средство для внешнего аудита затруднительно. Разработчик продукта сообщил что до лета планируется выпуск обновления для BSAT в котором будут реализованы данные функции.
Кроме приведенных выше на рынке существует ещё несколько подобных программных комплексов. После окончания тестирования возможно напишу и про них.

5 комментариев:

Артем комментирует...

http://ru.wikipedia.org/wiki/%D0%A1%D0%A2%D0%9E_%D0%91%D0%A0_%D0%98%D0%91%D0%91%D0%A1 - тут статистика чуть другая. 66% приняли стандарт. еще 15% примут в ближайшее время.

Артем комментирует...

СТО БР ИББС (в википедии). статистика от туда.

IBSec комментирует...

Насчет статистики принятия Стандарта - в презентации Курило 66 % относилось в общем к принявшим или планирующим принять, а не чисто к уже принявшем стандарт.
Я в свое время делал более свежую статистику по результатам III Конференции "IT-безопасность в финансовом секторе" - можно глянуть тут: http://ibsec.blogspot.com/2011/03/10_28.html.

Не видели более новых данных ?

ААА комментирует...

http://sborisov.blogspot.com/2011/03/blog-post_31.html

новая версия BSAT. Реализована "тройная" оценка М1-М6, полная реализация уточняющих вопросов и многое другое.

ААА комментирует...

http://leetsoftru.blogspot.com/2011/10/bsat-13.html#more

вот нужная ссылка :)