СОИБ. Анализ. Инструменты для оценки соответствия стандарту СТО БР ИББС 3
В одном из предыдущих сообщений (1 и 2) я рассмотрел несколько инструментов оценки соответствия стандарту СТО БР ИББС.
Сегодня хочу написать ещё несколько слов протестированном инструменте ISM Revision: Audit Manager от ISM SYSTEMS.
Основные особенности:
· Позволяет заранее определить программу аудитов и самооценок и проводить их в соответствии с программой.
· Позволяет сформировать план мероприятий в рамках самооценки. Но мероприятия разбиты на «анализ документов» и «проведение самооценки на месте». А логично было бы выделить «проведение наблюдений» и «проведение опросов».
· План мероприятий очень ограничен. Кроме названий мероприятия и даты – ничего нельзя зафиксировать. А хотелось бы внести участников и хотя бы перечни ключевых вопросов.
· Позволяет описать документальные свидетельства, прикрепить файлы.
· Позволяет задокументировать наблюдения и опросы. Но получившийся перечень свидетельств не содержит полей для подписи со стороны проверяемой стороны. Нет возможности гарантировать достоверность свидетельств.
· При ответе на уточняющие вопросы есть возможность привести основания, рекомендации, прикрепить свидетельства. Но это всё не жестко требуется. Можно просто выставить оценку.
· При оценке частных показателей, для информации приводятся связанные уточняющие вопросы и показатели связанные с данным.
· При оценке частных показателей из M1-M6, оценка может выставляться выставляется по 3 направлениям (БПТП, БИТП, ОЗПД).
· В системе уже жестко закреплены шкалы оценки показателей. Так что если разработчик выставил их правильно, то аудитор не сможет ошибиться.
· В системе есть возможность создания ответов по всем направлениям. Но подтверждение соответствия отправляемое в ЦБ почему-то не содержит круговой диаграммы. А её стоило бы включить.
· UPD: В системе нет возможности экспортировать, импортировать оценку и сравнить результаты нескольких оценок.
· В демо-версии нет возможности добавлять пользователей, ограничено количество частных показателей. С демо-версией приходится работать по протоколу HTTP, так что заполнять туда реальные данные не советую.
· По цене (45 000 руб. в год за SaaS или 95 000 руб. за полноценный сервер) – дешевле Пацифики, но дороже BSAT и Estimate Tool.
Обнаруженные косяки:
· UPD: В системе некорректно рассчитывается групповой показатель если он полностью неактуален. Система оценивает его как 0. В диаграмме этот показатель тоже 0. Ситуация конечно редкая, но всё-таки надо поправить.
· В браузере Google Chrome 8 – есть проблемы с масштабированием и не прокручиваются перечни частных показателей.
Но в целом продукт хороший. Реализованы фишки, которых пока нет у других.
Для самооценки продукт уже достаточен.
Для использования аудитором надо доработать модуль планирования и добавить возможность сравнения результатов.
Комментарии
http://ibsec.blogspot.com/2011/08/10.html
http://ibsec.blogspot.com/2011/08/10-2.html
Программа использует незащищенный протокол в своей работе. Конфиденциальные данные по самооценке предлагает хранить в облаке на чужих серверах.
Но в демо-версии это не так.
На счет данных на чужом сервере -это конечно минус. Надо подписывать жесткое соглашение об ответственности.
А для аудитора вообще беда. Где гарантии что разработчик не сольет базу клиентов дружественному партнеру?
- насчет отсутствия диаграммы в подтверждении соответствия - в стандарте нет требования о необходимости ее включения, если только для красоты =).
- насчет жесткого закрепления шкалы оценки показателей - в программе помимо уже зашитых шкал возможно и ручная их корректировка (справа вверху там есть волшебная кнопочка) - очень удобно, когда ты не согласен с логикой разработчика, а такое вполне может быть и нечего особого в этом нет, на то ты и аудитор =)
Еще несколько комментариев по статье:
1) "План мероприятий очень ограничен. Кроме названий мероприятия и даты – ничего нельзя зафиксировать. А хотелось бы внести участников и хотя бы перечни ключевых вопросов."
Мы планируем реализовать этот функционал в рамках составления детальных опросников под каждого интервьюируемого. Но возможно включим это и в план мероприятий.
2) "Позволяет задокументировать наблюдения и опросы. Но получившийся перечень свидетельств не содержит полей для подписи со стороны проверяемой стороны. Нет возможности гарантировать достоверность свидетельств."
Реализуем в следующем релизе, но в любом случае наши выгрузки можно сохранить в doc и добавить любое оформление в соответствии с документооборотом банка
3) "В системе уже жестко закреплены шкалы оценки показателей. Так что если разработчик выставил их правильно, то аудитор не сможет ошибиться."
Не совсем так :) Система допускает изменение логики оценки, но эта функция не сразу заметна. В окошке оценки уточняющего вопроса или частного показателя есть справа вверху рядом с иконкой вопросика иконка с шестеренкой. Она позволяет "разлочить" логику системы и выставить все по-своему.
4) "Программа использует незащищенный протокол в своей работе."
Коллеги, это демо ! Для реального SaaS у нас будет использоваться SSL. Сервер находится у нас в России, а не на забугорном хостинге. Мы даем выбор, если опасаетесь брать SaaS, то ставьте себе собственный эпплайенс.
5) По повод того, насколько она подходит аудиторам. Коллеги, мы создаем в первую очередь систему для банка. Это не просто софтинка для самооценки, в перспективе - это комплексная, модульная система автоматизации управления ИБ. Мы постараемся конечно же учесть пожелания аудиторов, но в первую очередь мы ориентируемся на банки.
6) По цене скажу следующее. Наша система построена на веб-технологиях и никак не ограничивает количество ее пользователей. С ней можно работать удаленно разным пользователям одновременно. BSAT хоть и стоит дешевле, но если будете покупать несколько экземпляров (для филиалов) цена будет выше. Ну и ограничения локальной версии думаю понятны.
Спасибо за подробные комментарии.
"Мы планируем реализовать этот функционал в рамках составления детальных опросников под каждого интервьюируемого. Но возможно включим это и в план мероприятий."
Да, нужного результата можно достичь разными вариантами.
Например если вы будете вводить опросники, то в план мероприятий можно будет указать кого планируется опрашивать и название опросника.
Но опросники это не всё.
Есть ещё наблюдения. По моему опыту надо провести наблюдение в 10 местах (АРМ АИБ, рабочее место пользователя, сервер АБС и т.п.)
В каждом наблюдаемом месте нужно выполнить порядка 10 задач (проверить наличие документов на месте, проверить работоспособность механизмов безопасности, посмотреть журналы, проверить состав ПО, наличие наклеек/учетных номеров и т.п.)
В плане мероприятий надо предусмотреть хотя бы ссылки места наблюдения.
Если совсем фантазировать, то нужен не план, а план-отчет.
Чтобы можно было поставить отметку, что мероприятие выполнено.