СОИБ. Анализ. Инструменты для оценки соответствия стандарту СТО БР ИББС 5


В предыдущих заметках (1, 2, 3) я рассматривал несколько инструментов оценки соответствия стандарту СТО БР ИББС.

Недавно INLINE Technologies анонсировал ещё один инструмент автоматизация процесса проведения оценки соответствия информационной системы кредитно-финансовых организаций требованиям Стандарта Банка России "СиТэК СТО БР Аудитор".


Хочу написать несколько слов о тестировании данного продукта:
·         В данном инструменте отсутствуют возможности планирования. То есть создавать программу оценок, план аудитов и оценок, планировать трудозатраты ответственных лиц мы не можем.
·         Но в инструменте поддерживается множественные оценки. Работа начинается с создания аудита (оценки соответствия).
·         При создании аудита необходимо ввести данные сотрудника – аудитора. В дальнейшем добавление аудиторов и распределение между ними вопросов не предусмотрено. Из этого делаю вывод что инструмент не рассчитан на проведение крупных аудитов (оценок) группой специалистов.
·         Далее предлагается перейти в раздел документы внести все документы полученные на данный момент в результате оценки. Даже если документ не подлежит утверждению (например, перечень) всё равно придется выбрать дату утверждения документа. Возможность массовой загрузки документов отсутствует.


·         Далее предлагается перейти к оцениванию показателей. Как человек опытный сначала перехожу в раздел ИСПДн. Заполняю информацию о существующих ИСПДн и отвечаю на дополнительные вопросы. Выявилась интересная особенность – оценки дополнительных вопросов необходимо делать для каждой ИСПДн независимо.

·         Далее перехожу к оцениванию показателей и замечаю, что зря спешил. Мне не показывают дополнительные вопросы связанные с данным оцениваемым показателем как и их оценки (ведь я должен их учесть при оценке показателя). То есть придется записывать на бумажку или запоминать.
·         Далее перехожу к оцениванию показателей. Для каждого показателя аудитор самостоятельно должен определить шкалу оценки. Рекомендаций от авторов нет. Даже на рекомендованных показателях необходимо самому выбрать
·         Для каждого показателя необходимо привести хотя бы одно свидетельство (документ, опрос, наблюдение). В отличие от документов, опросы и наблюдения независимые для каждого показателя. То есть, нет возможности провести наблюдение или опрос которые касаются сразу нескольких показателей.
·         Интересная возможность – при фиксации свидетельства опрос, мы можем указать длительность опроса. Далее эта информация используется в расчете затрат на оценку соответствия.

·         При оценке частных показателей из M1-M6, нет возможности выставлять оценки по 3 направлениям (БПТП, БИТП, ОЗПД).
·         Не показываются вопросы аналоги. Но показатели M28-M34 рассчитываются автоматически без участия аудитора.
·         Есть возможность экспортировать и импортировать оценки, сравнить результаты оценок. При создании оценки есть возможность использовать документы и перечень ИСПДн из предыдущей оценки.

·         Инструмент позволяет генерировать отчеты о соответствии СТО БР в целом и отчеты по отдельным частным показателям. Нет возможности сгенерировать отдельного отчета с перечнем документов, свидетельствами или наблюдениями. Эта информация включается в общий отчет в формате PDF.
·         В разделе учета затрат можно учесть не только трудозатраты на оценку соответствие, но и затраты (CAPEX, OPEX) на улучшение показателей.
·         Стоимость инструмента составляет  75 000 руб.

В целом продукт неплохой. Реализованы минимально необходимые возможности для оценки, есть свои фишки (сравнение оценок, учет затрат), но есть и к чему стремится.

Идеального инструмента оценки соответствия СТО БР ИББС на рынке пока не появилось - но надежда не умирает.

UPD: Скачать и посмотреть самому демоверсию можно тут http://in-line.ru/upload/all_files/setup.rar

Комментарии

Игорь Бурцев написал(а)…
Сергей, а демку они уже предоставляют. Просто когда я к ним после их анонса обращался, они сказали, что демо версии у них еще нет.
Сергей Борисов написал(а)…
Не было, потом появилась.
Как только прислали - протестировал.
Вообще авторы обещали выложить демо-версию на web сайте.

Всем советую самостоятельно попробовать.
Andrew Gaiko написал(а)…
Этот комментарий был удален автором.
Andrew Gaiko написал(а)…
Спасибо за обзор.
Демо-версия нашего ПО выложена здесь - http://in-line.ru/upload/all_files/setup.rar
Andrew Gaiko написал(а)…
Сергей, благодарим за тестирование и оценку нашего программного обеспечения. Знать мнение потенциальных пользователей продукта для нас очень важно. При этом мы, в свою очередь, хотели бы прокомментировать некоторые выводы, изложенные в отчете:
• планирование проведения оценок и аудитов безусловно важный момент, однако мы не ставили перед собой цели его автоматизировать, наша практика показывает, что решение вопросов планирования работ решается не столько аудиторами, сколько руководством подразделения ИБ или ИТ;
• нереализованность возможностей по распределению полномочий, на наш взгляд, абсолютно не является основанием для вывода о том, что продукт не рассчитан на проведение работ группой аудиторов, поскольку программа обеспечивает гораздо более важные для совместной работы функции импорта, экспорта и идентификации аудитора;
• программа никоим образом не вынуждает аудитора выдумывать и заносить дату утверждения документа в том случае, когда ее нет, достаточно оставить поле пустым (обязательное поле для заполнения «название документа»);
• относительно массовой загрузки документов также есть сомнение, поскольку на этапе документальной проверки аудиторам приходиться читать все документы и оценивать документированность тех или иных требований частных показателей. Трудоемкость ввода названий и реквизитов весьма незначительна;
• на наш взгляд оценки дополнительных вопросов необходимо делать для каждой ИСПДн именно независимо, как правило, в Банке используется несколько ИСПДн (причем, разных классов), так что набор вопросов для каждой может отличаться;
• вывод относительно необходимости запоминать или записывать на бумажку для нас не вполне очевиден. Алгоритм работы программы таков, что те частные показатели, оценка которых формируется на базе дополнительных вопросов, будут посчитаны для значения EV1ОЗПД отдельно (с учетом оценки тех или иных вопросы, на него влияющие), таким образом пользователю нужно получить оценку, и при этом ему не нужно ее считать и знать, как она считается;
• относительно шкалы оценки. Пока что мы не видим необходимости в создании рекомендаций по выставлению оценок. В РС БР ИББС-2.1 и в СТО БР ИББС-1.2 есть таблицы, в которых ЦБ дает свои рекомендации. Дублировать их смысла нет. Если у пользователей возникнут проблемы, будем их решать в рамках тех.поддержки.
• наблюдения или опросы, которые касаются сразу нескольких показателей, имеют место быть. Однако пока что мы считаем данный функционал излишним;
• выставление оценок по трем направлениям (БПТП, БИТП, ОЗПД) будут реализованы в следующем билде ПО;
• над возможностью показывать вопросы аналоги – подумаем. Интересное замечание;
• Отчетность, генерируемая программой, может быть любой. Т.е. покупая наше ПО, пользователь может попросить нас изменить шаблон отчетов (оформление), чтобы отчеты генерировались в соответствии с принятым в Банке корпоративным стилем. Так же сам перечень отчетов может быть изменен по требованию. Например, один из наших заказчиков хотел, чтобы у него создавались плакаты размера А-3 с отображением результатов оценок в графическом виде. Что мы и сделали в кастомизированной под данного заказчика версии «СТО БР Аудитор»;
В целом понимание идеального инструмента у каждого из специалистов, проводящих аудиты, может существенно различаться в виду привычек, личных предпочтений и специфики деятельности и организации. Но мы, безусловно, согласны в том, что надежда не умирает, и в этой связи готовим следующую версию ПО.

Популярные сообщения из этого блога

СКЗИ. НПА. Некоторые вопросы применения криптографии

Модель угроз безопасности клиента финансовой организации

КИИ. Категорирование объектов, часть 3