В этом посте хотел бы вернуться немного назад в повествовании об уточняющих вопросах Приложения "В" СТО БР ИББС-1.0 и остановиться на том, что это вообще за вопросы и насколько необходимо их учитывать при оценке соответствия ИБ организаций БС РФ.
Из Таблицы 1 Приложения "В" видно, что уточняющие вопросы являются ничем иным, как отражением отдельных требований РС БР ИББС-2.3-2010 "Требования по обеспечению безопасности ПДн в ИСПДн организаций БС РФ" (всего в Таблице 1 Приложении «В» приведено 34 уточняющих вопроса). Поскольку требования в РС БР ИББС-2.3 разбиты по классам ИСПДн, то и в Приложении «В» разным классам ИСПДн соответствуют разные наборы уточняющих вопросов (Таблица 2 Приложения «В»):
- ИСПДн-Д – уточняющие вопросы №№ 1-13,
- ИСПДн-И - уточняющие вопросы №№ 1-22 и 29,
- ИСПДн-Б – уточняющие вопросы №№ 1-23,
- ИСПДН-С – уточняющие вопросы №№ 1-34,
т.е. конечный набор уточняющих вопросов, участвующих в оценке соответствия информационной безопасности организации требования Стандарта, зависит от классов ИСПДн, присутствующих в организации.
Все уточняющие вопросы в Приложении «В» идут в порядке следования пунктов РС БР ИББС-2.3, за исключением уточняющего вопроса № 29, в котором собраны сразу два пункта РС БР ИББС-2.3: п.6.3.5 и п.6.5.7, относящиеся к требованиям по обеспечению безопасности ПДн, обрабатываемых в ИСПДн-И и ИСПДн-С. Остановимся более подробно на этом вопросе:
"Не имеют ли ИСПДн субъектов доступа, обладающих полномочиями, а при возможности и техническими средствами по уничтожению и модификации информации, содержащейся в журналах регистрации событий, указанных в пунктах 6.3.4, 6.5.4-6.5.6 РС БР ИББС-2.3?
Регламентирована ли очистка журналов регистрации событий, указанных в пунктах 6.3.4, 6.5.4-6.5.6 РС БР ИББС-2.3, разработчиком ИСПДн в эксплуатационной документации на ИСПДн?ББС-2.3?......"
Ссылка на пункт 6.3.4 справедлива как в отношении ИСПДн-И, так и ИСПДн-С, а вот пункты 6.5.4-6.5.6 относятся исключительно к ИСПДн-С. Таким образом, этот уточняющий вопрос в полной мере относится к ИСПДн-С и лишь частично соответствует требованиям к ИСПДн-И, хотя связка между этим вопросом и ИСПДн-И проставлена в Стандарте без всяких ограничений. Т.е., исходя из логики Стандарта, получается, что при отсутствии ИСПДн-С в организации, формулировка уточняющего вопроса № 29 все равно остается прежней и содержит ссылки на требования к ИСПДн-С - очередной баг Стандарта, в котором взяли и объедини похожие, но в деталях все-таки разные требования к ИСПДн-И и ИСПДн-С. На мой взгляд, если уж они продублировали это требование для разных ИСПДн и разных журналов регистрации событий, то пусть и оставались бы в качестве самостоятельных вопросов. Что уж сподвигло стандартотворцов объединить эти два пункта в один уточняющий вопрос лично мне не совсем понятно.
Таким образом, вывод по уточняющем вопросу №29 таков:
- в случае если в организации нет ИСПДн-С, но присутствуют ИСПДн-И, то использовать уточняющий вопрос в его формулировке при оценке требований применительно только к ИСПДн-И будет некорректно - необходимо из формулировки вопроса исключать ссылки на пункты 6.5.4-6.5.6.
- в случае если в организации присутствуют и ИСПДн-И и ИСПДн-С, то при оценке уточняющего вопроса № 29 необходимо помнить, что к ИСПДн-И относится только пункт 6.3.4, и оценивать уточняющий вопрос в отношении ИСПДн-И только с учетом этого; в отношении ИСПДн-И применять полную формулировку уточняющего вопроса № 29.
Перейдем теперь к вопросу о необходимости учета уточняющих вопросов Приложения "В" при оценке соответствия ИБ. Начнем пожалуй с названия, открываем СТО БР ИББС-1.2-2010 на странице 66 и видим:
Т.е. исходя уже из названия понятно, что приложение это обязательное и не учитывать его при оценке соответствия ИБ организаций БС РФ мы просто не можем.
В РС БР ИББС-2.3 также говорится об обязательности учета уточняющих вопросов (детализирующих и конкретизирующих), составленных на основе этого документа:
5.5. "При проведении оценок соответствия ИБ организации БС РФ требованиям СТО БР ИББС-1.0 (самооценок и внешних оценок соответствия) вопросы частных показателей СТО БР ИББС-1.2 в части банковских технологических процессов, в рамках которых обрабатываются персональные данные, детализируются и конкретизируются вопросами, составленными на основе требований настоящего документа. Перечень указанных детализирующих и конкретизирующих вопросов, а также подход к проведению оценок соответствия ИБ содержатся в СТО БР ИББС-1.2."
Далее обращаемся в разделу 10 СТО БР ИББС-1.2-2010, в котором также отражена обязательность учета уточняющих вопросов при оценке соответствия ИБ требованиям Стандарта:
10.1. "Для оценки степени выполнения требований СТО БР ИББС-1.0, регламентирующих защиту персональных данных в ИСПДн, без учета оценки степени выполнения требований СТО БР ИББС-1.0 по обеспечению ИБ при использовании СКЗИ и формирования оценки EV1ОЗПД следует использовать уточняющие вопросы, которые детализируют и конкретизируют частные показатели ИБ..."
10.2. "Для проведения оценки соответствия ИБ в части ИСПДн необходимо провести оценивание частных показателей настоящего стандарта, попадающих в область оценки, используя все соответствующие частным показателям детализирующие и конкретизирующие вопросы Приложения В..."
10.5. "Все вопросы Приложения В должны быть оценены..."
Исходя из вышеперечисленного, можно сделать однозначное заключение, что при проведении оценки соответствия информационной безопасности организаций банковской системы РФ требованиям СТО БР ИББС-1.0 уточняющие вопросы Приложения "В" СТО БР ИББС-1.2 должны быть в обязательном порядке оценены и учтены.
Далее рассмотрим более подробно порядок учета уточняющих вопросов Приложения "В" при оценке частных показателей ИБ.
Комментариев нет:
Отправить комментарий