<< начало.
После довольно плотного тестирования новой системы "ISM Revision: Audit Manager" от компании ISM SYSTEMS впечатления у меня остались вполне положительные, а местами система просто порадовала - она буквально вобрала в себя все лучшее, что есть у аналогов, и значительно дополнила общий функционал, а именно:
После довольно плотного тестирования новой системы "ISM Revision: Audit Manager" от компании ISM SYSTEMS впечатления у меня остались вполне положительные, а местами система просто порадовала - она буквально вобрала в себя все лучшее, что есть у аналогов, и значительно дополнила общий функционал, а именно:
- В системе впервые реализована раздельная оценка частных показателей в рамках групповых показателей М1-М6 по следующим направлениям:
- банковский платежный технологический процесс;
- банковский информационный технологический процесс;
- банковский технологический процесс, в рамках которого обрабатываются персональные данные.
- В системе довольно объективно реализован учет уточняющих вопросов по персональным данным Приложения "В" СТО БР ИББС-1.2-2010. Во-первых, порадовало то, что в системе реализована оценка самих уточняющих вопросов (чего нет в BSAT и ExactFlow) со сбором свидетельств и обоснование выставленных оценок. Во-вторых, наряду с отображением списка уточняющих вопросов по частным показателям (чем собственно и ограничивается функционал ExactFlow и BSAT) система автоматически рассчитывает рекомендуемую оценку частных показателей на основе списка соответствующих ему уточняющих вопросов, которая предлагается аудитору как рекомендованная при выставлении итоговой оценки по частному показателю по направлению банковского технологического процесса, в рамках которого обрабатываются персональные данные. При этом по сравнению с Estimate Tool в данной системе реализован более правильный расчет оценки частных показателей на основе списка уточняющих вопросов (я бы сказал, что данный расчет производится в соответствии с разделом 10 и Таблицей 7 СТО БР ИББС-1.2), в то время как в Estimate Tool оценка частного показателя несколько занижается, так как определяется по наименьшей оценке уточняющих вопросов из списка для данного частного показателя.
- Оценка всех частных показателей ИБ и уточняющих вопросов к ним разбита на две составляющие: "документирование" и "выполнение" (см. рис. 2), что с практической точки зрение гораздо более удобнее и понятнее при оценивании частных показателей ИБ (идея видимо подсмотрена с BSAT - там впервые было реализовано подобное разбиение оценок).
- По всем частным показателям ИБ и уточняющим вопросам возможно внесение обоснования выставления оценок и прикрепление свидетельств аудита, что все-таки является большим плюсом для таких система, поскольку позволяет в большей степени обеспечить повторяемость результатов оценки, чем при отсутствии фиксации свидетельств и обоснований выставления оценок (это есть в системах ExactFlow и Estimate Tool, но нет в BSAT).
- Довольно неплохо в системе реализованы выгрузки итоговых документов. Так, помимо стандартного Приложения "А" СТО БР ИББС-1.2-2010 (на котором, например, в BSAT выгрузки и заканчиваются), здесь реализованы довольно интересные и на мой взгляд удобные выгрузки обоснований выставленных оценок по каждому частному показателю (см. рис. 3) - по сравнению с реализацией этого функционала в той же системе ExactFlow от ПАЦИФИКИ, обоснования значительно проще забивать в систему и практически по нажатию одной кнопки формируется общая выгрузка по всем частным показателям ИБ (в ExactFlow, например, обоснование по каждому частному показателю, а их более 300-т, выгружается в отдельные документы, которые в дальнейшем очень проблематично анализировать и обрабатывать). При этом все выгрузки, как по Приложению А, так и по обоснованиям, формируются в разрезе банковских платежных, информационных процессов и процессов с ПДн - этот момент тоже приятно порадовал. Однако при этом не понятно, почему нет выгрузок оценок и обоснований по уточняющим вопросам Приложения "В" СТО БР ИББС-1.2, ведь эти данные в системе есть и они учитываются в процессе оценки (справедливости ради скажу, что в других решениях этого функционала также нет)- возможно ее просто не успели доделать.
Не смотря на то, что это требование давно присутствует в Стандарте (п. 7.4. СТО БР ИББС-1.2) и этому официально учат аудиторов на курсах в АИС, но до настоящего момента ни одно из средств автоматизации оценки соответствия не позволяло это делать, и реально мало кто из аудиторов делал это.
Диаграммы, кстати, тоже строятся отдельные по этим трем направлениям:
 |
| Рис. 1. Круговые диаграммы |
 |
| Рис. 2. - Оценка частных показателей ИБ |
 |
| Рис. 3. Обоснование выставленных оценок по частным показателям ИБ |
Конечно наряду с плюсами есть и некоторые недочеты этой системы (например, тоже отсутствие выгрузок по уточняющим вопросам по ПДн), но то новое, что привнесено разработчиками в этой системе (в плане как соответствия требования СТО БР ИББС-1.2, так и удобства процесса оценки соответствия) позволяет довольно высоко оценить ее в сравнении с существующими на рынке аналогами, а в совокупности с ценовой политикой разработчиков системы она становится особенно привлекательной для использования при оценке соответствия требованиям ИБ организаций БС РФ.
Да, согласен с вами, софт достаточно интересный и удобный. Проводил оценку соответствия с помощью эксельки - один плюс - бесплатно, но не додумался майкрософт еще сделать прикрепление документов к экселю :)
ОтветитьУдалитьРегиональный банк.
Самойлов А.
Да, продукт неплохой.
ОтветитьУдалитьОсобенно если напишут остальные модули и у них будет общая база знаний.
продукт предлагает хранить сведения об аудите в облаке чужой компании, к тому же использует незащищенное соединение http.
ОтветитьУдалитьцена же локальной версии значительно выше конкурентов.
Если загляните сюда: http://www.ismsys.ru/, то увидите, что "Защита подключения к сервису обеспечивается шифрованием с применением протокола SSL." - С чего Вы взяли про незащищенный http?
ОтветитьУдалитьНасчет цены, ну у них и функционал значительно выше конкурентов - отсюда может быть и цены.
Хотя про всех конкурентов говорить тоже не правильно - сколько стоит та же Пацифика??
Или сколько например стоит версия Expert у BSAT??? Ранее цена на нее была точно больше максимальной стоимости решения Ismsys и даже приближалась к стоимости Пафицики.
ОтветитьУдалитьхотя, справедливости ради, стоит сказать, что у BSAT есть и свои фишки, которых нет у решения от Ismsys.
ОтветитьУдалитьНо лично меня BSAT не удовлетворяло нежеланием разработчиков облегчить жизнь аудиторам, в частности в вопросах оценки и учета уточняющих вопросов по ПДн - т.е. в системе заявляется, что в ней реализован учет Приложения В, а по факту, кроме фильтрации вопросов на основании классов ИСПДн и выскакивания перечня уточняющих вопросов при оценке частного показателя больше ничего и нет. Печально.
вот например тут можно посмотреть этот функционал: http://www.youtube.com/watch?v=JqL4f_Rzess
ОтветитьУдалитьНа сколько я знаю Leetsoft постоянно что-то дописывает. На днях должна выйти версия с фиксацией свидетельств.
ОтветитьУдалитьА вот почему так реализована работа с уточняющими вопросами (почему не встроен автоматический расчет) хотелось бы услышать от Leetsoft?
Похоже посчитали это избыточным функционалом.
решение о реализации вопросов Приложения В в BSAT рождалось достаточно мучительно.
ОтветитьУдалитьК слову сказать, мы первые, кто раскрыл и описал правильную схему работы с приложением В в своём блоге (ибо правильная работа с Приложением возможна лишь при разделении шкал оценок, что, как Вы заметили, мы впервые и сделали).
Причин, почему мы не реализовали это до конца 2:
1. Очень и очень не хотелось усложнять работу с программой. Вполне очевидно, что ПрилВ было всунуто в методику насильно и никак не хотело вписываться в общую логику оценки. Я думаю в след. методике оценки его просто не будет.
2. Мы не хотели устанавливать жёсткую связь между оценками ПрилВ и чп. Связи временами просто нет.
По собственному аудиторскому мнению скажу что ПрилВ - это головная боль для аудитора и хочется закончить его как можно быстрее и перейти к нормальным вопросам.
Сейчас мы уже тестируем новую версию BSAT. В ней будет много нового.
про SSL. Судить могу по демоверсии. Там чистый HTTP.
ОтветитьУдалитьЗдравствуйте коллеги. Меня зовут Сергей Титов, я являюсь ведущим разработчиком компании ISM SYSTEMS.
ОтветитьУдалитьУважаемый ААА, разрешите Вас поправить. Мы не предлагаем хранить в облаке, а создаем возможности если кто-то не опасается использовать облачные технологии. Мне кажется что за ними будущее, тем более для небольших банков, у которых денег мало, а вопрос соответствия такой же как и у остальных. Для остальных мы даем виртуальный эпплайенс.
В демо-версии SSL-защиты нет, но так мы ее там и не обещали (на то оно и демо).
Коллеги, смотрю и немного недоумеваю...кто из вас проводил самооценку целый год? да разве это так долго, максимум 2-3 месяца и потом возможно в след.году (я сейчас говорю о банках).
ОтветитьУдалитьБольше времени у безопасников банков нет...поверьте, поэтому лично для меня, хватит и 3 месяцев, но только с учетом того, что я потом смогу использовать предыдущие оценки.
Учитывая, что мой банк средних размеров, то выделение 10 т.р. проблематично...что уж говорить о больших суммах...
Max: спорить не о чем. Когда денег только 10 тыс, то и 3 месяцев достаточно для проведения самооценки.
ОтветитьУдалитьНо для большинства банков вариант "сделал и забыл" не подходит.
1) Нужно иметь возможность постоянно обращаться к расчетам - например чтобы определить наиболее критичные невыполненные частные показатели и планировать их выполнение/выполнять их.
С программой работать удобнее чем с экспортированными отчетами.
2) Иногда нужно иметь возможность пересчитать какой-нибудь групповой показатель.
Например при первой самооценке по M9 мы получили 0.
За пол года проведена серьезная работа в этом направлении и хочется не откладывая ещё на пол года - провести перерасчет, что-то прикинуть, что-то смоделировать.
3) Опять же - история. Сравнение с предыдущими оценками.
4) Разработчик предпололагает продукт как комплексное средство управления ИБ. Значит в перспективе он должен работать в постоянном режиме, а не 2 месяца в году.
Max, в том числе в связи с этим мы и создали SaaS решение, ограниченное по времени использования на сколько потребуется пользователю (квартал, полгода, год).
ОтветитьУдалитьНо я хочу все же подчеркнуть, что мы создаем систему управления ИБ, а не просто софт для проведения самооценки (хотя конечно и для этого тоже можно использовать). Необходимость длительного использования системы может быть полезна банкам, в которых в течении года будет проходить несколько самооценок (и возможно еще внешних аудитов). Все данные можно держать в одной системе, смотреть тренд изменения показателей и много чего еще.
Сергей Титов, система управления ИБ в облаке на чужом сервере? Вы серьезно?
ОтветитьУдалитьPS прошу прощения за фамильярность, но Сергеев тут уже несколько :)
Игорь, мы обновили BSAT. Добавили свидетельства аудита и много чего еще.
ОтветитьУдалитьhttp://leetsoftru.blogspot.com/2011/09/bsat-12.html тут поподробней.
Хорошо, посмотрим =)
ОтветитьУдалитьПосмотрел -
ОтветитьУдалитьhttp://ibsec.blogspot.com/2011/09/bsat.html