вторник, 6 сентября 2011 г.

СОИБ. Анализ. Инструменты для оценки соответствия стандарту СТО БР ИББС 3

В одном из предыдущих сообщений (1 и 2) я рассмотрел несколько инструментов оценки соответствия стандарту СТО БР ИББС.
Сегодня хочу написать ещё несколько слов протестированном инструменте ISM Revision: Audit Manager от ISM SYSTEMS.
Основные особенности:

· Позволяет заранее определить программу аудитов и самооценок и проводить их в соответствии с программой.
· Позволяет сформировать план мероприятий в рамках самооценки. Но мероприятия разбиты на «анализ документов» и «проведение самооценки на месте». А логично было бы выделить «проведение наблюдений» и «проведение опросов».
· План мероприятий очень ограничен. Кроме названий мероприятия и даты – ничего нельзя зафиксировать. А хотелось бы внести участников и хотя бы перечни ключевых вопросов.
· Позволяет описать документальные свидетельства, прикрепить файлы.
· Позволяет задокументировать наблюдения и опросы. Но получившийся перечень свидетельств не содержит полей для подписи со стороны проверяемой стороны. Нет возможности гарантировать достоверность свидетельств.
· При ответе на уточняющие вопросы есть возможность привести основания, рекомендации, прикрепить свидетельства. Но это всё не жестко требуется. Можно просто выставить оценку.
· При оценке частных показателей, для информации приводятся связанные уточняющие вопросы и показатели связанные с данным.
· При оценке частных показателей из M1-M6, оценка может выставляться выставляется по 3 направлениям (БПТП, БИТП, ОЗПД).
· В системе уже жестко закреплены шкалы оценки показателей. Так что если разработчик выставил их правильно, то аудитор не сможет ошибиться.
· В системе есть возможность создания ответов по всем направлениям. Но подтверждение соответствия отправляемое в ЦБ почему-то не содержит круговой диаграммы. А её стоило бы включить.
· UPD: В системе нет возможности экспортировать, импортировать оценку и сравнить результаты нескольких оценок.
· В демо-версии нет возможности добавлять пользователей, ограничено количество частных показателей. С демо-версией приходится работать по протоколу HTTP, так что заполнять туда реальные данные не советую.
· По цене (45 000 руб. в год за SaaS или 95 000 руб. за полноценный сервер) – дешевле Пацифики, но дороже BSAT и Estimate Tool.
Обнаруженные косяки:
· UPD: В системе некорректно рассчитывается групповой показатель если он полностью неактуален. Система оценивает его как 0. В диаграмме этот показатель тоже 0. Ситуация конечно редкая, но всё-таки надо поправить.
· В браузере Google Chrome 8 – есть проблемы с масштабированием и не прокручиваются перечни частных показателей.
Но в целом продукт хороший. Реализованы фишки, которых пока нет у других.
Для самооценки продукт уже достаточен.
Для использования аудитором надо доработать модуль планирования и добавить возможность сравнения результатов.

6 комментариев:

Сергей Борисов комментирует...

Уже после написания заметки обнаружил, что аналогичный публикации уже есть у IBSec
http://ibsec.blogspot.com/2011/08/10.html
http://ibsec.blogspot.com/2011/08/10-2.html

ААА комментирует...

пару моментов, которые хотелось бы добавить к обзору..

Программа использует незащищенный протокол в своей работе. Конфиденциальные данные по самооценке предлагает хранить в облаке на чужих серверах.

Сергей Борисов комментирует...

Разработчик утверждает что соединение будет по SSL.

Но в демо-версии это не так.

На счет данных на чужом сервере -это конечно минус. Надо подписывать жесткое соглашение об ответственности.
А для аудитора вообще беда. Где гарантии что разработчик не сольет базу клиентов дружественному партнеру?

IBSec комментирует...

Пожалуй добавлю еще пару комментов:
- насчет отсутствия диаграммы в подтверждении соответствия - в стандарте нет требования о необходимости ее включения, если только для красоты =).
- насчет жесткого закрепления шкалы оценки показателей - в программе помимо уже зашитых шкал возможно и ручная их корректировка (справа вверху там есть волшебная кнопочка) - очень удобно, когда ты не согласен с логикой разработчика, а такое вполне может быть и нечего особого в этом нет, на то ты и аудитор =)

Сергей Титов комментирует...

Здравствуйте коллеги. Меня зовут Сергей Титов, я являюсь ведущим разработчиком компании ISM SYSTEMS. Спасибо большое за детальный обзор, ряд пожеланий показались нам очень интересными и мы обязательно постараемся их реализовать.

Еще несколько комментариев по статье:

1) "План мероприятий очень ограничен. Кроме названий мероприятия и даты – ничего нельзя зафиксировать. А хотелось бы внести участников и хотя бы перечни ключевых вопросов."

Мы планируем реализовать этот функционал в рамках составления детальных опросников под каждого интервьюируемого. Но возможно включим это и в план мероприятий.

2) "Позволяет задокументировать наблюдения и опросы. Но получившийся перечень свидетельств не содержит полей для подписи со стороны проверяемой стороны. Нет возможности гарантировать достоверность свидетельств."

Реализуем в следующем релизе, но в любом случае наши выгрузки можно сохранить в doc и добавить любое оформление в соответствии с документооборотом банка

3) "В системе уже жестко закреплены шкалы оценки показателей. Так что если разработчик выставил их правильно, то аудитор не сможет ошибиться."

Не совсем так :) Система допускает изменение логики оценки, но эта функция не сразу заметна. В окошке оценки уточняющего вопроса или частного показателя есть справа вверху рядом с иконкой вопросика иконка с шестеренкой. Она позволяет "разлочить" логику системы и выставить все по-своему.

4) "Программа использует незащищенный протокол в своей работе."

Коллеги, это демо ! Для реального SaaS у нас будет использоваться SSL. Сервер находится у нас в России, а не на забугорном хостинге. Мы даем выбор, если опасаетесь брать SaaS, то ставьте себе собственный эпплайенс.

5) По повод того, насколько она подходит аудиторам. Коллеги, мы создаем в первую очередь систему для банка. Это не просто софтинка для самооценки, в перспективе - это комплексная, модульная система автоматизации управления ИБ. Мы постараемся конечно же учесть пожелания аудиторов, но в первую очередь мы ориентируемся на банки.

6) По цене скажу следующее. Наша система построена на веб-технологиях и никак не ограничивает количество ее пользователей. С ней можно работать удаленно разным пользователям одновременно. BSAT хоть и стоит дешевле, но если будете покупать несколько экземпляров (для филиалов) цена будет выше. Ну и ограничения локальной версии думаю понятны.

Сергей Борисов комментирует...

Сергей Титов:
Спасибо за подробные комментарии.

"Мы планируем реализовать этот функционал в рамках составления детальных опросников под каждого интервьюируемого. Но возможно включим это и в план мероприятий."

Да, нужного результата можно достичь разными вариантами.
Например если вы будете вводить опросники, то в план мероприятий можно будет указать кого планируется опрашивать и название опросника.

Но опросники это не всё.
Есть ещё наблюдения. По моему опыту надо провести наблюдение в 10 местах (АРМ АИБ, рабочее место пользователя, сервер АБС и т.п.)
В каждом наблюдаемом месте нужно выполнить порядка 10 задач (проверить наличие документов на месте, проверить работоспособность механизмов безопасности, посмотреть журналы, проверить состав ПО, наличие наклеек/учетных номеров и т.п.)

В плане мероприятий надо предусмотреть хотя бы ссылки места наблюдения.


Если совсем фантазировать, то нужен не план, а план-отчет.
Чтобы можно было поставить отметку, что мероприятие выполнено.