СОИБ. Анализ. Инструменты для оценки соответствия стандарту СТО БР ИББС 4


В одной из предыдущих заметок я рассматривал инструмент ISM Revision: Audit Manager от ISM SYSTEMS для оценки соответствия стандарту СТО БР ИББС .

Недавно тот-же производитель запустил бесплатный online-сервис для оценки соответствия СТО БР ИББС. 

Под данным названием компания ISM SYSTEMS предлагает нам перечень из порядка 100 неких мероприятий. Предлагается отметить какие мероприятия из данного перечня уже выполнены в банке и получить некие оценки по названиям похожие на обозначения из СТО БР ИББС–1.2–2010.
Целью оценки соответствия ИБ Банка является определение степени соответствия ИБ организации требованиям СТО БР ИББС–1.0. Как может предлагаемый бесплатный сервис помочь в достижении этой цели?
Во-первых непонятно как связанны предлагаемые мероприятия и СТО БР ИББС. В сервисе не приводится связи между мероприятиями и пунктами стандарта. Нет возможности определить являются ли данные мероприятия избыточными или наоборот недостаточными для полного соответствия СТО БР ИББС.

Например, цитирую СТО БР ИББС–1.2–2010:
“М4.3. Осуществляется ли установка и регулярное обновление средств антивирусной защиты (версий и баз данных) на автоматизированных рабочих местах и серверах АБС администраторами АБС или иными официально уполномоченными лицами?
“М4.4. Организован ли автоматический режим установки обновлений антивирусного программного обеспечения и его баз данных?”

В разделе 2 “Антивирусная защита” онлайн-сервиса ничего подобного нет.
Во вторых часть пунктов стандарта является рекомендациям или часть требований СТО БР ИББС может быть неактуальна для конкретного Банка. В указанно онлайн-сервисе нет возможности указать неактуальные или рекомендуемые мероприятия.
В-третьих мероприятия приведены довольно крупные (особенно касается документов). При этом нет возможности указать частичную степень выполнения мероприятия. А ведь в банке который находится в процессе приведения в соответствие могут быть частично задокументированные процедуры. Пользователи онлайн-сервиса будут получать нули за такие пункты и соответственно неактуальную оценку.
В-четвертых зависимость итоговых показателей от мероприятий не описана и не очевидна. UPD.
В-пятых отсутствуют уточняющие вопросы или мероприятия им соответствующие.
Так-же онлайн-сервис не позволяет сделать необходимые даже для самооценки ИБ действия:
·        Не позволяет планировать мероприятий по оценке;
·        Не позволяет прикреплять или даже указывать свидетельства оценки;
·        Не учитывает возможности выполнения мероприятий только для одного из направления (БПТП, БИТП, ОЗПД);
·        Нет возможности сохранить результаты или отчет.
Таким образом использовать для самооценки ИБ данный онлайн-сервис нельзя.

Тогда для чего же он? Может быть он предназначен для формирования плана мероприятий необходимых для соответствия СТО БР ИББС?
Но и для формирования плана сервис не подходит:
·        Не приводится зависимости между мероприятиями и пунктами стандарта;
·        Не приводится зависимости между мероприятиями и групповыми показателями;
·        Нет возможности экспортировать перечень невыполненных мероприятий.

Остается сделать вывод, что данный сервис сделан исключительно в развлекательных и игровых целях. В таком случаем скажу спасибо авторам хотя бы за это.

Комментарии

Artem Ageev написал(а)…
любое сжатие сопровождается потерей деталей.

но имхо в случае с ИСМ они не достигли ни того ни другого: 100 вопросов слишком много для "экспресс самооценки", а механизм "трансляции" ответов в частные показатели вызывает множество вопросов.

да и правильно сказал автор, что потом с этой "экспресс" оценкой делать?
Анонимный написал(а)…
Не то с Гаранта, не то с Консультанта взял эти таблицы Exel, два часа работы и тот же функционал, вернее шире: и учет частичного выполнения, и корректные итоги, и планирование полуавтоматом.
ISM SYSTEMS написал(а)…
Сергей, мне кажется Вы не до конца поняли смысл этого решения. Этот сервис предназначен для тех, кто хочет быстро оценить свой уровень соответствия и не хочет глубоко вникать в методологию оценки и соблюдать все формальности. Данный сервис конечно же предназначен именно для экспресс-оценки. Для проведения полноценной самооценки с учетом всех требований Стандарта Банка России предназначен наш продукт ISM Revision:Audit Manager. Попытка детализировать мероприятия или ввести частичность выполнения - это бесполезное занятие, вы прийдете к методологии Центрального Банка.
Сергей Борисов написал(а)…
Так вот я и не могу понять, что это такое экспресс-оценка.

Для чего она нужна, как использовать полученные результаты, что дальше делать?

Руководству я такую оценку показать не могу. Ведь у меня не сохраняется промежуточных данных.

Выбрать невыполненные мероприятия не могу.

Даже итоговые цифры и то приходится в ручную переписывать ручкой.
Анонимный написал(а)…
Оценка выполнил-невыполнил бессмыслена. Как раз интересно проанализировать варианты частичного выполнения, например достаточность оргмер для достижения определенного уровня соответствия, выбор критериев с наибольшим весом, анализ вариантов все по немногу или что-то, но полностью и т.п.
Сергей Борисов написал(а)…
Я считаю так: хотите чтобы специалисты пользовались онлайн-сервисом, тогда дайте больше возможностей.

Если подробнее: я считаю что каждому банку необходимо заниматься оценкой ИБ.
Это значит что либо банк использует собственный экселевский файлик, который он постоянно дорабатывает самостоятельно, либо банк использует платный продукт (ExactFlow, Estimete Tool, BSAT, ISM Revision). Других вариантов не дано и тут http://www.ismsys.ru/express-assessment написано что онлайн-сервис для оценки ИБ использовать нельзя.

Есть Банки которые ещё не определились с тем, какой софт для оценки соответствия выбрать. Но для этого есть во первых демо-версии, во вторых версии SaaS, когда можно за небольшие деньги купить подписку на определенное время и если не понравится то поменять продукт.

Есть Банки которые ещё не начали внедрять СТО БР ИББС и сейчас готовятся к этому. Возможно на данном этапе пригодится экспресс-оценка, но только с возможностью экспорта отчета.

Популярные сообщения из этого блога

СКЗИ. НПА. Некоторые вопросы применения криптографии

Модель угроз безопасности клиента финансовой организации

КИИ. Категорирование объектов, часть 3