Berckut, поклон Вам за сей труд!

Спасибо!

http://84.47.171.210:8010/itsd/

Kerber, там всё равно без пол-литры не разберёшься. В принципе, этот софт от упомянутой Ёкселевой таблички ничем не отличается...

Но это же не бесплатно?

Для тестеров бесплатно ))), достаточно проработанный софт, сам сначала табличку ваял, но потом перешел на самооценку от Пасифик, доволен, все для полного внутреннего аудита по СТО БР: объекты наблюдения, респонденты, предоставленные документы, диаграммы, графики и т.д.

Kerber, меня сейчас комплайнс как раз пинает на эту тему, типа: "... зачем нам эта софтина, давайте всё в ёкселе делать..."
У вас, как у уже пользователя, есть весомые аргументы, что на подобные поползновения можно ответить?

Думаю аргументы у Вас появятся, после ознакомления с ПО, регистрируйтесь и пользуйтесь для ознакомления http://pacifica.ru/product/eval_soft.php

Я уже давно ознакомился и ознакомил комплайнс департмент с системой. О результатах я написал выше, комплайнс предлагает юзать ёксель.
Потому и обращаюсь за помощью.

Уважаемый Bercut !

При всем моем respect-е к объему выполненной Вами работы,
коэффициенты для рекомендуемых показателей у Вас вычисляются неверно
(при установке "1" в поле "н/о" должен происходить пересчет коэффициентов
показателей, оставшихся значимыми).

Я попробовал порисовать формулы и получилось одно и то же. А если нет разницы, зачем заморачиваться
Просто так было проще реализовать, поэтому просто сделал выделение цветом. Если знаете, как эту логику можно реализовать в экселе, то милости прошу.

Стандарт и методики СТО БР мы используем с 2006 года, каждые пол года проводим самооценку с участием заинтересованных подразделений, отчитываемся руководству по дельте, для нас это обязательный процесс, поначалу использовали excel, два года как используем ПО. Для одной самооценки в рамках комплекса БР ИББС по защите ПДн конечно достаточно excel.

Все зависит от знания Excel ;-) Я видел ТА-А-А-КИЕ таблицы, что офигеть ;-) Только вводишь в определенные поля значения, система проверяет их корректность, а потом сама все считает, отрисовывает и печатает.

Привожу минимальный пример :

3 показателя : A (0.33), B (0.33), C (0.33), из них C - необязательный

Пусть A=1, B=0.

По формулам, заложенным в СТО БР ИББС, при C="н/о" итог R=0.5

По Вашим формулам, при C="н/о" итог R=0.66

Вот здесь пересчитываются : http://dom.bankir.ru/showthread.php?t=79578

Да, согласен. Благодарю.
Чё-то я перемудрил...

Исправленный вариант
Первое сообщение откорректировать не даёт

Спасибо. Всё замечательно !

Спасибо! Но как быть с уточняющими вопросами из Приложения В к СТО БР ИББС-1.2-2010?

Возникла ещё одна непонятка. Что делать со взаимосвязанными параметрами. Например:
М2.11 Определены ли в документах организации и выполняются ли на стадии эксплуатации АБС процедуры контроля работоспособности (функционирования, эффективности) реализованных в АБС защитных мер?
М2.12 Предусматривают ли указанные в частном показателе М2.11 процедуры документальную фиксацию результатов контроля?
Если мы отвечает на первый, что он полностью не выполняется, то как надо отвечать на второй: что он тоже не выполняется или должна ставиться отметка "н/о"?

ХЗ. Я так и не понял, нужен ли он, если проводится полная оценка, а не только касательно деятельности по обработке ПД.

Похоже надо делать так: провести самооценку. Потом собрать ответы по приложению В. Потом откорректировать результаты самооценки в соответствии с ответами на приложение В.
На это меня подтолкнул вопрос из соседней темы:
http://dom.bankir.ru/showthread.php?...75#post2765475

Берём параметр М3.4 и соответствующее ему требование СТО БР ИББС-1.0 7.4.2. Если не учитывать приложение В, то можно сказать, что средства не сертифицированы, но разрешены руководством и поставить в оценку "1". А с учётом приложения В вопрос 34 и соответствующего ему требования РС БР ИББС-2.3 6.5.12 оценку "1" поставить уже не получится, т.к. примечание о разрешении руководства отсутствует. Вот так вот

Господа, как вы думаете, с какого перепуга я должен выводить оценки EV1ОЗПД и EV2ОЗПД если у меня нет никаких ИСПДН?

Гы
Действительно. Назначить параметры не оцениваемыми и подкорректировать форумы не проблемы, а вот логика при этом будет хромать

Судя по вопросам показаталя M10, все системы, в которых обрабатываются ПДн относятся к ИСПДн. Но ведь это не так.

Закончил проведение самооценки. В принципе, получилось выполнить сразу 2 задача:
1. Собственно, выделить слабые места, с точки зрения исполнения требований.
2. Ввести руководство (а оно тоже принимало в этом участие) в тему. Оказалось очень полезно, т.к. теперь все понимают, чего это, собственно говоря, будет стоить (не в материальном плане).

Вывод (мой, а не руководства): двигаться в сторону внедрения стандарта надо, но вводить его приказом рано.
А пока необходимо выполнить вот такие первоочередные мероприятия:
1. Провести работы по полному выполнению требований разделов 7.10 и 7.11 Стандарта СТО БР ИББС-1.0-2010 в целях исключения нулевого результата итоговой оценки уровня соответствия информационной безопасности.
2. Переработать Политику информационной безопасности банка и провести разработку (выделив положения из Политики информационной безопасности) частник политик информационной безопасности, согласно рекомендаций РС БР ИББС-2.0-2007 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС-1.0». Это также позволит высоко оценить несколько дополнительных параметров.
3. В целях исполнения разделов 8.17 и 8.18 Стандарта СТО БР ИББС-1.0-2010 вынести указанные вопросы на Совет банка, задокументировать процессы принятия соответствующих решений.
4. Максимально подробно документировать процессы, решения и иные свидетельства деятельности по приведению деятельности банка в соответствии с требованиями комплекса СТО БР ИББС, т.к. текущий процесс (направление служебной записки, проведение самооценки, рассмотрение её результатов и т.д.) сам по себе уже является выполнением требований, а документальные свидетельства позволят при следующей самооценке или внешнем аудите высоко оценить некоторые частные показатели информационной безопасности.
Проведение иных мероприятий целесообразно осуществлять только после принятия новой Политики информационной безопасности и частных политик информационной безопасности, так как все остальные документы должны конкретизировать и реализовывать именно их требования.

P.S. Убедился в своей правоте: введение стандарта надо начинать именно с проведения самооценки, а не с издания приказа или разработки документов.

Да, проведение самооценки очень полезно. Видно что же конкретно надо сделать.

Показатель М9 очень порадовал. Если хотя бы что-то одно не сделано, то и итоговый уровень ИБ=0. Так что надо начинать конечно с ПДн.

Вопрос: наличие частных политик какие плюсы дает в самооценке?

Позволяет положительно оценить показатели М15.4 и М15.5
А ещё туда можно запихать много воды. Когда конкретика вроде и не нужна, и, в то же время, требование прописать надо.

Добрый день всем.
Прежде всего хочу присоединиться к благодарностям Беркуту за программу. Хотел делать сам, а тут столько времени сэкономил! Спасибо!

Также возникли трудности с 10-м разделом Методики (уточняющие вопросы).
Не могу понять фразу: "10.2. Для проведения оценки соответствия ИБ в части информационных систем персональных данных необходимо провести оценивание частных показателей настоящего стандарта, попадающих в область оценки, используя все соответствующие частным показателям детализирующие и конкретизирующие вопросы..."
Что это за оценка такая? В каких информационных системах ПД (одной, всех, выборочных)? Можно ли считать Отчет и Подтверждение соответствия актуальными если оценка в "части ИСПДн" не проводилась?
Коллеги, не появилась ли на эту тему какая-либо определенность?

Похоже речь идёт о том, чтобы проводить не полную оценку, а только в области исполнения требования по ПДн. Для этого не надо оценивать всё, а только необходимое.
У меня определённости не добавилось.

Как же могло получиться так, что вы работаете в банке и не используете ни одной ИСПНд (БД сотрудников, клиентов)? Значит, плохо искали