В данном посте я хотел бы отразить свое понимание требований СТО БР ИББС-1.2-2010 по учету уточняющих вопросов Приложения "В" СТО БР ИББС-1.2 "Уточняющие вопросы частных показателей ИБ для оценки степени выполнения требований СТО БР ИББС-1.0, регламентирующих защиту персональных данных в ИСПДн".
Поскольку эта тема достаточно обширна и вызывает много споров, то охватить сразу всё не получится, поэтому я разбил ее на несколько постов, связанных одной тематикой.
В первой части я бы хотел остановиться на общем порядке учета уточняющих вопросов Приложения "В" СТО БР ИББС-1.0 (т.е. требований РС БР ИББС-2.3) при оценке частных показателей ИБ, выделив 4 этапа работ по этой деятельности.
Этап 1. Анализ актуальности уточняющих вопросов Приложения "В" СТО БР ИББС-1.2 для деятельности организации БС РФ.
В рамках этого этапа, в соответствии с п. 10.5 СТО БР ИББС-1.2, необходимо провести анализ актуальности требований всех уточняющих вопросов Приложения В СТО БР ИББС-1.2 для деятельности организации БС РФ. По результатам данного анализа часть уточняющих вопросов может быть признана не оцениваемыми (неактуальными) и не учитываться в формировании дальнейших результатов оценки. Однако неактуальным (не оцениваемым) вопрос может быть признан только в том случае, если соответствующее ему требование не относится к деятельности организации или на момент оценки не является актуальным для организации (например, в организации нет ИСПДн класса ИСПДН-С), что документально зафиксировано во внутренних документах организации (например, в акте классификации ИСПДн). Решение о признании вопроса Приложения В как не оцениваемого должно быть оформлено документально.
Результат 1-го этапа: Перечень актуальных для деятельности организации уточняющих вопросов Приложения "В" СТО БР ИББС-1.2.
Этап 2. Оценка актуальных уточняющих вопросов Приложения "В" СТО БР ИББС-1.2
В рамках этого этапа необходимо оценить все актуальные уточняющие вопросы Приложения "В" СТО БР ИББС-1.2 и документально оформить результаты их оценки. В Cтандарте для оценки уточняющих вопросов предлагается использовать сокращенную шкалу степени выполнения требований (п. 10.3 СТО БР ИББС-1.2):
 |
| Рис. 1. Сокращенная шкала оценки уточняющих вопросов Приложения "В" СТО БР ИББС-1.2 |
Однако, с учетом того, что для оценки частных показателей ИБ на основе уточняющих вопросов Приложения "В" используется расширенная шкала (см. Таблицу 7 СТО БР ИББС-1.2), то я считаю правильным все уточняющие вопросы все-таки оценивать как по степени документированности, так и по степени выполнения (с поправкой на способ оценки самого уточняющего вопроса, т.е. если уточняющий вопрос подразумевает только выполнение или только документирование, то и оценивать будем только их, а вторую составляющую оценки рассматриваем как "н/о"):
Трудозатраты на оценку это практически не увеличит, зато значительно упростится дальнейших учет этих оценок при оценке самих частных показателей ИБ СТО БР ИББС-1.2.
 |
| Рис. 2. Расширенная шкала оценки уточняющих вопросов Приложения "В" СТО БР ИББС-1.2 |
Результат 2-го этапа: Перечень оцененных по степени документирования и степени выполнения актуальных для деятельности организации уточняющих вопросов Приложения В СТО БР ИББС-1.2:
 |
| Рис. 3. Оценка актуальных уточняющих вопросов Приложения "В" |
Этап 3. Составление перечней актуальных уточняющих вопросов Приложения "В" СТО БР ИББС-1.2 для частных показателей ИБ.
В рамках этого этапа необходимо на основе Приложения "В" СТО БР ИББС-1.2 и результатов этапа 1 для каждого частного показателя ИБ, при оценке которого должны учитываться уточняющие вопросы Приложения В, составить актуальный перечень уточняющих вопросов.
Для составления этих перечней более удобна Таблица 2 Приложения "В" СТО БР ИББС-1.0, поскольку в ней уже дана разбивка уточняющих вопросов (в виде ссылок на пункты РС БР ИББС-2.3 – колонка 3 таблицы) по частным показателям ИБ (колонка 1 таблицы) в привязке к классам ИСПДн организации БС РФ (колонка 2 таблицы):
Единственное что нам остается сделать, это исключить из данных списков неактуальные уточняющие вопросы, которые мы выявили на этапе 1.
Результат 3-го этапа: Перечни актуальных уточняющих вопросов для частных показателей ИБ:
* - приведен пример для случая, когда в организации БС РФ присутствуют только ИСПДн-Д и ИСПДН-С.
 |
| . . . |
Результат 3-го этапа: Перечни актуальных уточняющих вопросов для частных показателей ИБ:
 |
| Рис. 4. Перечни актуальных уточняющих вопросов для частных показателей ИБ |
Этап 4. Оценка частных показателей ИБ с учетом оценок уточняющих вопросов.
В рамках данного этапа необходимо оценить частные показатели ИБ с учетом оценок актуальных для них уточняющих вопросов – см. результат этапа 3.
Однако, не все так просто с учетом влияния этих уточняющих вопросов приложения В на частные показатели. До сих пор нет единого мнения насчет математики влияния оценок уточняющих вопросов на частные показатели ИБ. В СТО БР ИББС-1.2 об этом сказано очень расплывчато и кроме уже упомянутой Таблицы 7 СТО БР ИББС-1.2 (в ней приведены максимальные оценки, которые могут быть выставлены для частного показателя ИБ с учетом оценки выполнения требований всех актуальных уточняющих вопросов к нему) по сути в Стандарте больше ничего и нет.
Кроме того, формулировка критериев в таблице 7 предполагает, что требования вопросов Приложения "В" необходимо оценивать по расширенной шкале, как с точки зрения документирования, так и выполнения, однако в п.10.3 того же СТО БР ИББС-1.2 для оценки уточняющих вопросов ИБ дается сокращенная шкала оценки уточняющих вопросов, в чем я (да и многие другие) вижу ошибку недоработку Стандарта. Именно поэтому ранее (на этапе 2) я и рекомендовал использовать при оценке уточняющих вопросов расширенную шкалу (документирование и выполнение), дабы не вносить лишнюю путаницу в процесс.
Другой спорный вопрос насчет этого этапа - учитывать ли оценку самого частного показателя ИБ или проводить оценку исключительно на основании уточняющих вопросов к нему? По этому поводу я считаю, что учитывать требование самого частного показателя ИБ необходимо, так как вопросы Приложения "В" являются все-таки уточняющими, а не заменяющими.
Более подробно о тонкостях данного этапа будет рассказано в следующем посте…
Результат 4-го этапа: Перечень частных показателей ИБ, оцененных с учетом требований уточняющих вопросов Приложения "В" СТО БР ИББС-1.2.
Продолжение следует ...
Продолжение следует ...
Комментариев нет:
Отправить комментарий