18 апреля, воскресенье 05:59
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Проводим самооценку по СТО БР ИББС-1.2-2010

Свернуть
Это важная тема.
X
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Проводим самооценку по СТО БР ИББС-1.2-2010

    В общем, у меня процесс начинается. Надеюсь, народ ко мне присоединится, глядишь чё-нить коллективным разумом и проведём.

    Сделал экселевскую табличку, в которой само всё считается и раскрашивается. Делюсь

    Но возникло несколько вопросов:
    1. Пункты 6.7, 6.8 и 6.9. Как определить, где надо оценивать и наличие требований и их исполнение, а где только исполнение. Или я это сам определяю?
    2. Ничего не понял про раздел 10. Если я провожу оценку всего, а не только работу с ПД, то мне на него можно забить? Зачем он нужен и надо ли по нему делать отдельную оценку для деятельности в области ПД.

  • #2
    Berckut, поклон Вам за сей труд!

    Комментарий


    • #3
      Спасибо!

      Комментарий


      • #4
        Сообщение от Berckut Посмотреть сообщение
        В общем, у меня процесс начинается. Надеюсь, народ ко мне присоединится, глядишь чё-нить коллективным разумом и проведём.

        Сделал экселевскую табличку, в которой само всё считается и раскрашивается. Делюсь

        Но возникло несколько вопросов:
        1. Пункты 6.7, 6.8 и 6.9. Как определить, где надо оценивать и наличие требований и их исполнение, а где только исполнение. Или я это сам определяю?
        2. Ничего не понял про раздел 10. Если я провожу оценку всего, а не только работу с ПД, то мне на него можно забить? Зачем он нужен и надо ли по нему делать отдельную оценку для деятельности в области ПД.
        http://84.47.171.210:8010/itsd/

        Комментарий


        • #5
          Kerber, там всё равно без пол-литры не разберёшься. В принципе, этот софт от упомянутой Ёкселевой таблички ничем не отличается...

          Комментарий


          • #6
            Но это же не бесплатно?

            Комментарий


            • #7
              Сообщение от Berckut Посмотреть сообщение
              Но это же не бесплатно?
              Для тестеров бесплатно ))), достаточно проработанный софт, сам сначала табличку ваял, но потом перешел на самооценку от Пасифик, доволен, все для полного внутреннего аудита по СТО БР: объекты наблюдения, респонденты, предоставленные документы, диаграммы, графики и т.д.

              Комментарий


              • #8
                Kerber, меня сейчас комплайнс как раз пинает на эту тему, типа: "... зачем нам эта софтина, давайте всё в ёкселе делать..."
                У вас, как у уже пользователя, есть весомые аргументы, что на подобные поползновения можно ответить?

                Комментарий


                • #9
                  Сообщение от ost Посмотреть сообщение
                  Kerber, меня сейчас комплайнс как раз пинает на эту тему, типа: "... зачем нам эта софтина, давайте всё в ёкселе делать..."
                  У вас, как у уже пользователя, есть весомые аргументы, что на подобные поползновения можно ответить?
                  Думаю аргументы у Вас появятся, после ознакомления с ПО, регистрируйтесь и пользуйтесь для ознакомления http://pacifica.ru/product/eval_soft.php

                  Комментарий


                  • #10
                    Сообщение от Kerber Посмотреть сообщение
                    Думаю аргументы у Вас появятся, после ознакомления с ПО
                    Я уже давно ознакомился и ознакомил комплайнс департмент с системой. О результатах я написал выше, комплайнс предлагает юзать ёксель.
                    Потому и обращаюсь за помощью.

                    Комментарий


                    • #11
                      Уважаемый Bercut !

                      При всем моем respect-е к объему выполненной Вами работы,
                      коэффициенты для рекомендуемых показателей у Вас вычисляются неверно
                      (при установке "1" в поле "н/о" должен происходить пересчет коэффициентов
                      показателей, оставшихся значимыми).

                      Комментарий


                      • #12
                        Сообщение от NGBank Посмотреть сообщение
                        Уважаемый Bercut !

                        При всем моем respect-е к объему выполненной Вами работы,
                        коэффициенты для рекомендуемых показателей у Вас вычисляются неверно
                        (при установке "1" в поле "н/о" должен происходить пересчет коэффициентов
                        показателей, оставшихся значимыми).
                        Я попробовал порисовать формулы и получилось одно и то же. А если нет разницы, зачем заморачиваться
                        Просто так было проще реализовать, поэтому просто сделал выделение цветом. Если знаете, как эту логику можно реализовать в экселе, то милости прошу.

                        Комментарий


                        • #13
                          Сообщение от ost Посмотреть сообщение
                          Я уже давно ознакомился и ознакомил комплайнс департмент с системой. О результатах я написал выше, комплайнс предлагает юзать ёксель.
                          Потому и обращаюсь за помощью.
                          Стандарт и методики СТО БР мы используем с 2006 года, каждые пол года проводим самооценку с участием заинтересованных подразделений, отчитываемся руководству по дельте, для нас это обязательный процесс, поначалу использовали excel, два года как используем ПО. Для одной самооценки в рамках комплекса БР ИББС по защите ПДн конечно достаточно excel.

                          Комментарий


                          • #14
                            Сообщение от Kerber Посмотреть сообщение
                            Стандарт и методики СТО БР мы используем с 2006 года, каждые пол года проводим самооценку с участием заинтересованных подразделений, отчитываемся руководству по дельте, для нас это обязательный процесс, поначалу использовали excel, два года как используем ПО. Для одной самооценки в рамках комплекса БР ИББС по защите ПДн конечно достаточно excel.
                            Все зависит от знания Excel ;-) Я видел ТА-А-А-КИЕ таблицы, что офигеть ;-) Только вводишь в определенные поля значения, система проверяет их корректность, а потом сама все считает, отрисовывает и печатает.

                            Комментарий


                            • #15
                              Сообщение от Berckut Посмотреть сообщение
                              Я попробовал порисовать формулы и получилось одно и то же. А если нет разницы, зачем заморачиваться
                              Просто так было проще реализовать, поэтому просто сделал выделение цветом. Если знаете, как эту логику можно реализовать в экселе, то милости прошу.
                              Привожу минимальный пример :

                              3 показателя : A (0.33), B (0.33), C (0.33), из них C - необязательный

                              Пусть A=1, B=0.

                              По формулам, заложенным в СТО БР ИББС, при C="н/о" итог R=0.5

                              По Вашим формулам, при C="н/о" итог R=0.66

                              Вот здесь пересчитываются : http://dom.bankir.ru/showthread.php?t=79578

                              Комментарий


                              • #16
                                Сообщение от NGBank Посмотреть сообщение
                                Привожу минимальный пример :

                                3 показателя : A (0.33), B (0.33), C (0.33), из них C - необязательный

                                Пусть A=1, B=0.

                                По формулам, заложенным в СТО БР ИББС, при C="н/о" итог R=0.5

                                По Вашим формулам, при C="н/о" итог R=0.66

                                Вот здесь пересчитываются : http://dom.bankir.ru/showthread.php?t=79578
                                Да, согласен. Благодарю.
                                Чё-то я перемудрил...

                                Комментарий


                                • #17
                                  Исправленный вариант
                                  Первое сообщение откорректировать не даёт

                                  Комментарий


                                  • #18
                                    Сообщение от Berckut Посмотреть сообщение
                                    Исправленный вариант
                                    Спасибо. Всё замечательно !

                                    Комментарий


                                    • #19
                                      Сообщение от Berckut Посмотреть сообщение
                                      Исправленный вариант
                                      Первое сообщение откорректировать не даёт
                                      Спасибо! Но как быть с уточняющими вопросами из Приложения В к СТО БР ИББС-1.2-2010?

                                      Комментарий


                                      • #20
                                        Возникла ещё одна непонятка. Что делать со взаимосвязанными параметрами. Например:
                                        М2.11 Определены ли в документах организации и выполняются ли на стадии эксплуатации АБС процедуры контроля работоспособности (функционирования, эффективности) реализованных в АБС защитных мер?
                                        М2.12 Предусматривают ли указанные в частном показателе М2.11 процедуры документальную фиксацию результатов контроля?
                                        Если мы отвечает на первый, что он полностью не выполняется, то как надо отвечать на второй: что он тоже не выполняется или должна ставиться отметка "н/о"?

                                        Сообщение от АВС Посмотреть сообщение
                                        Спасибо! Но как быть с уточняющими вопросами из Приложения В к СТО БР ИББС-1.2-2010?
                                        ХЗ. Я так и не понял, нужен ли он, если проводится полная оценка, а не только касательно деятельности по обработке ПД.

                                        Комментарий


                                        • #21
                                          Сообщение от АВС Посмотреть сообщение
                                          Спасибо! Но как быть с уточняющими вопросами из Приложения В к СТО БР ИББС-1.2-2010?
                                          Сообщение от Berckut Посмотреть сообщение
                                          2. Ничего не понял про раздел 10. Если я провожу оценку всего, а не только работу с ПД, то мне на него можно забить? Зачем он нужен и надо ли по нему делать отдельную оценку для деятельности в области ПД.
                                          Похоже надо делать так: провести самооценку. Потом собрать ответы по приложению В. Потом откорректировать результаты самооценки в соответствии с ответами на приложение В.
                                          На это меня подтолкнул вопрос из соседней темы:
                                          http://dom.bankir.ru/showthread.php?...75#post2765475

                                          Берём параметр М3.4 и соответствующее ему требование СТО БР ИББС-1.0 7.4.2. Если не учитывать приложение В, то можно сказать, что средства не сертифицированы, но разрешены руководством и поставить в оценку "1". А с учётом приложения В вопрос 34 и соответствующего ему требования РС БР ИББС-2.3 6.5.12 оценку "1" поставить уже не получится, т.к. примечание о разрешении руководства отсутствует. Вот так вот

                                          Комментарий


                                          • #22
                                            Господа, как вы думаете, с какого перепуга я должен выводить оценки EV1ОЗПД и EV2ОЗПД если у меня нет никаких ИСПДН?

                                            Комментарий


                                            • #23
                                              Сообщение от Garson#2 Посмотреть сообщение
                                              Господа, как вы думаете, с какого перепуга я должен выводить оценки EV1ОЗПД и EV2ОЗПД если у меня нет никаких ИСПДН?
                                              Гы
                                              Действительно. Назначить параметры не оцениваемыми и подкорректировать форумы не проблемы, а вот логика при этом будет хромать

                                              Комментарий


                                              • #24
                                                Судя по вопросам показаталя M10, все системы, в которых обрабатываются ПДн относятся к ИСПДн. Но ведь это не так.

                                                Комментарий


                                                • #25
                                                  Закончил проведение самооценки. В принципе, получилось выполнить сразу 2 задача:
                                                  1. Собственно, выделить слабые места, с точки зрения исполнения требований.
                                                  2. Ввести руководство (а оно тоже принимало в этом участие) в тему. Оказалось очень полезно, т.к. теперь все понимают, чего это, собственно говоря, будет стоить (не в материальном плане).

                                                  Вывод (мой, а не руководства): двигаться в сторону внедрения стандарта надо, но вводить его приказом рано.
                                                  А пока необходимо выполнить вот такие первоочередные мероприятия:
                                                  1. Провести работы по полному выполнению требований разделов 7.10 и 7.11 Стандарта СТО БР ИББС-1.0-2010 в целях исключения нулевого результата итоговой оценки уровня соответствия информационной безопасности.
                                                  2. Переработать Политику информационной безопасности банка и провести разработку (выделив положения из Политики информационной безопасности) частник политик информационной безопасности, согласно рекомендаций РС БР ИББС-2.0-2007 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС-1.0». Это также позволит высоко оценить несколько дополнительных параметров.
                                                  3. В целях исполнения разделов 8.17 и 8.18 Стандарта СТО БР ИББС-1.0-2010 вынести указанные вопросы на Совет банка, задокументировать процессы принятия соответствующих решений.
                                                  4. Максимально подробно документировать процессы, решения и иные свидетельства деятельности по приведению деятельности банка в соответствии с требованиями комплекса СТО БР ИББС, т.к. текущий процесс (направление служебной записки, проведение самооценки, рассмотрение её результатов и т.д.) сам по себе уже является выполнением требований, а документальные свидетельства позволят при следующей самооценке или внешнем аудите высоко оценить некоторые частные показатели информационной безопасности.
                                                  Проведение иных мероприятий целесообразно осуществлять только после принятия новой Политики информационной безопасности и частных политик информационной безопасности, так как все остальные документы должны конкретизировать и реализовывать именно их требования.

                                                  P.S. Убедился в своей правоте: введение стандарта надо начинать именно с проведения самооценки, а не с издания приказа или разработки документов.

                                                  Комментарий


                                                  • #26
                                                    Сообщение от Berckut Посмотреть сообщение
                                                    Закончил проведение самооценки...
                                                    Да, проведение самооценки очень полезно. Видно что же конкретно надо сделать.

                                                    Показатель М9 очень порадовал. Если хотя бы что-то одно не сделано, то и итоговый уровень ИБ=0. Так что надо начинать конечно с ПДн.

                                                    Вопрос: наличие частных политик какие плюсы дает в самооценке?

                                                    Комментарий


                                                    • #27
                                                      Сообщение от Garson#2 Посмотреть сообщение

                                                      Вопрос: наличие частных политик какие плюсы дает в самооценке?
                                                      Позволяет положительно оценить показатели М15.4 и М15.5
                                                      А ещё туда можно запихать много воды. Когда конкретика вроде и не нужна, и, в то же время, требование прописать надо.

                                                      Комментарий


                                                      • #28
                                                        Добрый день всем.
                                                        Прежде всего хочу присоединиться к благодарностям Беркуту за программу. Хотел делать сам, а тут столько времени сэкономил! Спасибо!

                                                        Также возникли трудности с 10-м разделом Методики (уточняющие вопросы).
                                                        Не могу понять фразу: "10.2. Для проведения оценки соответствия ИБ в части информационных систем персональных данных необходимо провести оценивание частных показателей настоящего стандарта, попадающих в область оценки, используя все соответствующие частным показателям детализирующие и конкретизирующие вопросы..."
                                                        Что это за оценка такая? В каких информационных системах ПД (одной, всех, выборочных)? Можно ли считать Отчет и Подтверждение соответствия актуальными если оценка в "части ИСПДн" не проводилась?
                                                        Коллеги, не появилась ли на эту тему какая-либо определенность?

                                                        Комментарий


                                                        • #29
                                                          Похоже речь идёт о том, чтобы проводить не полную оценку, а только в области исполнения требования по ПДн. Для этого не надо оценивать всё, а только необходимое.
                                                          У меня определённости не добавилось.

                                                          Комментарий


                                                          • #30
                                                            Сообщение от Garson#2 Посмотреть сообщение
                                                            Господа, как вы думаете, с какого перепуга я должен выводить оценки EV1ОЗПД и EV2ОЗПД если у меня нет никаких ИСПДН?
                                                            Как же могло получиться так, что вы работаете в банке и не используете ни одной ИСПНд (БД сотрудников, клиентов)? Значит, плохо искали

                                                            Комментарий

                                                            Обработка...
                                                            X