5 июня, пятница 06:29
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Проводим самооценку по СТО БР ИББС-1.2-2010

Свернуть
Это важная тема.
X
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Уваджаемые банкиры, не уже ли так никто и не подскаже.

    Комментарий


    • Сообщение от ajull Посмотреть сообщение
      Уваджаемые банкиры, не уже ли так никто и не подскаже.
      А здесь нет конкретики.
      Например сейчас потеря конфиденциальности СНИЛС не является критичной для субъекта. Но если пойдем по пути САСШ и сделаем возможность взять кредит лишь по одному номеру соцстрахования, то потеря конфиденциальности резко увеличивает тяжесть последствий.

      Или факт перевода 5 тыр для субъекта с ЗП в 50 тыр в мегаполисе и для бабульки-пенсионерки в глубинке также будет иметь совершенно разную тяжесть последствий нарушения конфиденциальности - даже в случае потери этой суммы в первом случае субъект не сильно пострадает материально, во втором случае эта сумма может оказаться больше суммы на месячное прожитие субъекта.

      Т.ч., к сожалению, в этом вопросе нет и не может быть шаблонного решения

      Комментарий


      • Сообщение от ajull Посмотреть сообщение
        Уваджаемые банкиры, не уже ли так никто и не подскаже.
        Ну и еще к вопросу "тяжести последствий"

        Комментарий


        • Для автоматизации самооценки купили BSAT.
          Сеня получил письмо:
          Здравствуйте, коллеги!
          Сообщаем Вам, что с сегодняшнего дня доступна новая версия программы - 1.1. Обновление на версию 1.1 с версий 1.0.х произойдет автоматически и бесплатно.
          В новой версии добавлено:
          - импорт/экспорт оценок в файл .asmt;
          - оценка частных показателей ИБ с учётом уточняющих вопросов Приложения В Методики оценки СТО БР ИББС-1.2-2010;
          - выбор типов ИСПДн в окне оценки;
          - клик по секторам диаграммы переносит на выбранный групповой показатель;
          - добавлена возможность создания новой оценки на основе имеющихся.
          Спасибо за Ваши отзывы! Они помогают нам делать программу лучше и удобнее!
          Так же сообщаем Вам, что с 1 мая изменится цена на версию Standard. Старая цена - 24 990р., новая - 49 990р.
          Изменится и ценовая политика - филиалы банка теперь смогу приобрести лицензию BSAT со скидками вплоть до 80%.

          Так что кому надо - налетай!

          Комментарий


          • Сообщение от whirlwind Посмотреть сообщение
            Помогите, хочу подвести итог и начать самооценку, но не понимаю многих моментов:
            1) Как оценивать те или иные частные показатели, по степени выполнения или по степени документированности или и по степени выполнения и документированности? может быть исходя из самого вопроса делать вывод?
            Выбор не всегда однозначен. Если речь идет о наличии требования (документа), о его содержании (полноте содержания) - то шкала документированности. Если "выполняются ли", "реализуется ли", "назначены ли" "согласованы ли" - то шкала выполнения.

            Часто бывает, что идет требование ИБ, а за ним тут же вопрос "документируется ли предыдущее требование?".

            Сообщение от whirlwind Посмотреть сообщение
            2) Что с уточнающими вопросами - я на них отвечаю, потом смотрю на какие частные показатели ссылаются они и по таблице из методики ,,Таблица 7 — Рекомендуемые критерии выставления оценок частных показателей ИБ на основе оценки вопросов Приложения В,, выставляю частным показателям оценки. (таким образом все частные показатели на которые ссылаются уточняющие вопросы оцениваются иначе, но ведь таблица 7 имеет рекомендательный характер). В общем то с уточняющими вопросами лес полный
            Вообще сложно запутать сильнее работу с Приложением В, чем это сделано в Методике. Однако приложение обязательное! http://leetsoftru.blogspot.com/2011/04/12.html - тут расписано более или менее подробно.

            Лично я бы не стал устанавливать жёсткую связь между ответами на уточняющие вопросы Приложения В и частными показателями ИБ, ибо по смыслу они часто не совпадают.

            Комментарий


            • Решил немного доработать табличку уважаемого Беркута и добавить туда расчет показателей с учетом Приложения В. Прошу глянуть на логику расчетов на примере показателей М2.1 и М2.2. Вкратце это так: берется минимальное значение из всех уточняющих вопросов для данного частного показателя, потом берется значение частного показателя, и минимальное значение этих двух чисел умножается на коэффициент.
              Уточняющие вопросы выбраны только для ИСПДн-И.

              Оценка с учетом Приложения B.zip

              Комментарий


              • Пока ждал ответа доделал полностью всю таблицу. Логика та же.
                Оценка с учетом Приложения B.zip

                Комментарий


                • Думаю, Приложение В не так интересно, как появившаяся диаграмма

                  Комментарий


                  • Ладно стебаться-то
                    Я про нее забыл кстати... экспериментировал когда-то. Меня больше интересует правильность моей "логики"... Вроде как должна работать...

                    Комментарий


                    • Ребята, вот есть ещё такое условие как степень оценки (степень документированности и степень выполнения) - как быть с этим ? и ещё не мешало бы учет нормировки при выставлении неоцениваемых показателей, чтобы сумма коэффициентов значимости приводилась к 1 ... Опять же эксперту нужно отвечать сразу не на все вопросы Приложения B (кои там в выложенном файлике, я понял, приводятся не все,а только для ИСПДН-И), а только на текущие (к примеру он отвечает на вопрос M1.1 - и тут опа гиперссылочка на приложение B - а там автофильтр на те вопросы, которые требуются для ответа на вопрос M1.1 - ну что-то такое...

                      Комментарий


                      • и тут опа
                        я сделал маненька по-другому... сначала отвечаешь на все вопросы частных показателей, а потом уже - на дополнительные из Приложения В. И вот тут уже и опа - выполняется пересчет тех показателей, которые связаны с дополнительными вопросами. А то получится что он по нескольку раз будет отвечать на одни и те же вопросы приложения...

                        Комментарий


                        • Сообщение от В.Травников Посмотреть сообщение
                          Прошу глянуть на логику расчетов на примере показателей М2.1 и М2.2. Вкратце это так: берется минимальное значение из всех уточняющих вопросов для данного частного показателя, потом берется значение частного показателя, и минимальное значение этих двух чисел умножается на коэффициент.
                          Уточняющие вопросы выбраны только для ИСПДн-И.
                          [ATTACH]42201[/ATTACH]
                          Обратите внимание на таблицу 7 на 15 странице Методики оценки. Возьмем произвольное поле:
                          "Требование всех вопросов Приложения В, соответствующих оцениваемому частному показателю, частично установлены во внутренних документах организации и выполняются в неполном объеме."

                          Т.е. оценивать вопросы Приложения В необходимо все разом, да и при этом качественно (вначале степень документированности требования, затем - степень выполнения), а не количественно.
                          В этом есть здравый смысл.

                          Ваша система даст сбой, если, к примеру, будет 2 ответа на уточняющие вопросы Приложения В. Первый - требование частично зафиксировано, не выполняется (т.е. 0). Второй - требование не зафиксировано, однако выполняется (т.е. 0,5).

                          Если брать по-минимуму - будет 0. Если оценивать качественно (требования всех вопросов зафиксированы частично, выполняются - частично.) - будет 0,25.

                          Комментарий


                          • мньда... согласен. количественно не получится... правда если изменить немного таблицу, сделав конечной цифрой именно оценку всех уточняющих вопросов для данного частного показателя... но тогда становится под вопрос вся автоматизация обработки... а при попытке представить таблицу для оценки качественно - формулы начали вылезать за пределы мозга...

                            пичалька

                            Комментарий


                            • авторы методики смутили всех качественной оценкой в Методике и количественной в Приложении А.

                              Вдумайтесь, одной оценке 0,25 соответствует 3 абсолютно разных ситуации!
                              - требования установлены, не выполняются - 0,25;
                              - требования частично установлены, частично выполняются - 0,25;
                              - требования не установлены - частично выполняются - 0,25.

                              ситуации ведь совершено разные! а как потом понять по Приложению А что же не так? Что провалили - бумажку или выполнение?

                              Комментарий


                              • Как то я уже в этой ветке писал предложение по оценки частных показателей с учетом уточняющих вопросов и вот повторюсь:
                                Как оценить частный показатель, учитывать значения уточняющих вопросов?! Просмотрев методику я не обнаружил конкретной формулы для таких расчетов. В матчасти есть хорошая формула нахождения среднего значения (x1+x2+x3....xn)/n. Вот я ее и применил, например 2 и 3 уточняющий вопрос, из Приложения В, влияют на показатель М2.1., соответственно у нас есть три аргумента - значение показателя M2.1. без у.в., значение у.в. 2 и у.в.3, следовательно итоговое значение M2.1. = к.з.*((значение М2.1. без у.в. + у.в.2 + у.в.3)/)3.
                                Если перевсти все в цифры, то M2.1 без у.в. = 1 (при условии, что требования выполнены), у.в. 2 = 1, у.в. = 1, к.з. = 0,0536 следовательно Итог М2.1. = 0,0536*((1+1+1)/3)= 0,0536, что и требовалось доказать , если все требования выполнябтся, то итоговое значение M2.1. не должно превышать 0,0536, так как это значение к.з. установленно не нами и изменять его не рекомендую.
                                Какие проблемы могут возникнуть? Если значение получиться больше 0,0536, то нарушится условие нормирования показателей частного показателя M2.1., т.е. сумма будет равна например 1,1, а должна быть 1. Вы можете перенормировать к.з., но тогда вы намерено увеличиваете значимость одних показателей и уменьшаете значимость других, не знаю на сколько положительно это оценит ЦБ + регуляторы.

                                По моему это самый простой подход , но можно конечно и более сложный и объективный подход предложит .

                                у.в. - уточняющий вопрос;
                                к.з. - коэффициент значимости.

                                Комментарий


                                • Сообщение от Ерохин Сергей Посмотреть сообщение
                                  Как оценить частный показатель, учитывать значения уточняющих вопросов?!
                                  Частный показатель оценивается не выше степени документированности и выполнения требований всех уточняющих вопросов, влияющих на выбранный частный показатель.

                                  первая ячейка первого столбца таблицы 7 на странице 15 Методики.

                                  Комментарий


                                  • Решил продублировать здесь свой вопрос:
                                    Преамбула: В "общих положениях" и в "методике самооценки" немало внимания было уделено "ролям", хотя, по большей части, тем ролям, которые связанны с ИБ.

                                    Амбула: Пункт 7.1.5. "общих положений", гласит: "Формирование ролей должно осуществляться на основании существующих бизнес-процессов организации БС РФ и проводиться с целью исключения концентрации полномочий и снижения риска инцидентов ИБ, связанных с потерей информационными активами свойств доступности, целостности или конфиденциальности.
                                    Формирование ролей не должно выполняться по принципу фиксации фактических сложившихся прав и полномочий персонала организации БС РФ."
                                    При внимательном рассмотрении данного пункта возникают следующие вопросы:
                                    1. Какие существуют критерии этой самой «концентрации полномочий», и как вообще проводится их оценка?
                                    2. Понятно, что «формирование ролей не должно выполняться по принципу фиксации», но тогда, наверняка должна существовать какая то методология их создания? Опять таки должны существовать какие ни будь критерии эффективности роли, а так же методы их оценки.

                                    Так вот, где все это можно почитать (изучить), и ,желательно, в популярной форме?

                                    Комментарий


                                    • Коллеги, сделал удобную табличку, связывающую уточняющие вопросы Приложения В и частные показатели.
                                      лежит тут
                                      http://leetsoft.ru/install/prilbtable.pdf

                                      а как пользоваться тут
                                      http://leetsoftru.blogspot.com/2011/...g-post_09.html

                                      Надеюсь, теперь по работе с Приложением В вопросов больше не осталось.

                                      Комментарий


                                      • делает то же самое что и экселевский файлик.
                                        локальная версия бесплатна.
                                        http://medgrid.ru/stobr/download/

                                        Комментарий


                                        • http://medgrid.ru/stobr/download/
                                          есть сетевая платная версия...
                                          но для самооценки достаточно и локальной версии....
                                          есть экспорт в пдф.

                                          Комментарий


                                          • Коллеги, а в каком виде должен быть документ о подтверждении соответствия?
                                            Куда и как слать?
                                            Нет ли у кого "рыбы"?

                                            Комментарий


                                            • Лови пример из программы BSAT Подтверждение &#10.rar

                                              Комментарий


                                              • Сообщение от surfer Посмотреть сообщение
                                                Лови пример из программы BSAT [ATTACH]42810[/ATTACH]
                                                Спасибо!
                                                а куда слать?

                                                Комментарий


                                                • Сообщение от Digreon Посмотреть сообщение
                                                  Спасибо!
                                                  а куда слать?
                                                  Ну если Вы в Москве:
                                                  В Главное управление безопасности и защиты информации Банка России
                                                  Адрес: 107016, Москва, ул. Неглинная, 12

                                                  Комментарий


                                                  • Сообщение от Digreon Посмотреть сообщение
                                                    Коллеги, а в каком виде должен быть документ о подтверждении соответствия?
                                                    Куда и как слать?
                                                    Нет ли у кого "рыбы"?
                                                    Методические рекомендации по выполнению законодательных требований при обработке персональных данных в организациях БС РФ. Приложение 13

                                                    Комментарий


                                                    • Сообщение от surfer Посмотреть сообщение
                                                      Лови пример из программы BSAT [ATTACH]42810[/ATTACH]
                                                      Если я не ошибаюсь диаграммы не обязательно. Не так ли?

                                                      Комментарий


                                                      • Вроде не обязательно. Я послал с ними.

                                                        Комментарий


                                                        • Сообщение от surfer Посмотреть сообщение
                                                          Ну если Вы в Москве:
                                                          В Главное управление безопасности и защиты информации Банка России
                                                          Адрес: 107016, Москва, ул. Неглинная, 12
                                                          А не подскажете, на чье имя? и почему именно туда? В письме на сайте ЦБ сказано: Подтверждение соответствия следует направлять в адрес
                                                          центрального аппарата Банка России.

                                                          Комментарий


                                                          • Запостил по ошибки в софт для С, хотя правильно было бы сюда конечно же.
                                                            Перевел из умной книги про самооценку. Вдруг будет кому полезным.
                                                            Тут

                                                            Комментарий


                                                            • Добрый день!
                                                              Начальство просит отчет о том как у нас обстоят дела с защитой ПДн согласно закону о защите ПДн. Поправьте меня если я не прав. Банк принял СТО БР, значит нужно смотреть какие требования по защите в нем содержаться. Мне надо ответить на 3 вопроса: что нужно сделать? что уже сделано? что будем делать и в какие сроки? Я так понимаю что ответы на эти вопросы содержатся в самооценке в показателе М10. Я с самооценкой еще не сталкивался, так что опыта нет. Подскажите я все правильно думаю?

                                                              Комментарий

                                                              Обработка...
                                                              X