среда, 31 августа 2011 г.

Новое решение по автоматизации оценки соответствия ИБ требованиям СТО БР ИББС-1.0 - часть 2.

<< начало.
После довольно плотного тестирования новой системы "ISM Revision: Audit Manager" от компании ISM SYSTEMS впечатления у меня остались вполне положительные, а местами система просто порадовала - она буквально вобрала в себя все лучшее, что есть у аналогов, и значительно дополнила общий функционал, а именно:
  • В системе впервые реализована раздельная оценка частных показателей в рамках групповых показателей М1-М6 по следующим направлениям:
    • банковский платежный технологический процесс;
    • банковский информационный технологический процесс;
    • банковский технологический процесс, в рамках которого обрабатываются персональные данные.
    Не смотря на то, что это требование давно присутствует в Стандарте (п. 7.4. СТО БР ИББС-1.2) и этому официально учат аудиторов на курсах в АИС, но до настоящего момента ни одно из средств автоматизации оценки соответствия не позволяло это делать, и реально мало кто из аудиторов делал это.
    Диаграммы, кстати, тоже строятся отдельные по этим трем направлениям:
    Рис. 1. Круговые диаграммы
  • В системе довольно объективно реализован учет уточняющих вопросов по персональным данным Приложения "В" СТО БР ИББС-1.2-2010. Во-первых, порадовало то, что в системе реализована оценка самих уточняющих вопросов (чего нет в BSAT и ExactFlow) со сбором свидетельств и обоснование выставленных оценок. Во-вторых, наряду с отображением списка уточняющих вопросов по частным показателям (чем собственно и ограничивается функционал ExactFlow и BSAT) система автоматически рассчитывает рекомендуемую оценку частных показателей на основе списка соответствующих ему уточняющих вопросов, которая предлагается аудитору как рекомендованная при выставлении итоговой оценки по частному показателю по направлению банковского технологического процесса, в рамках которого обрабатываются персональные данные. При этом по сравнению с Estimate Tool в данной системе реализован более правильный расчет оценки частных показателей на основе списка уточняющих вопросов (я бы сказал, что данный расчет производится в  соответствии с разделом 10 и Таблицей 7 СТО БР ИББС-1.2), в то время как в Estimate Tool оценка частного показателя несколько занижается, так как определяется по наименьшей оценке уточняющих вопросов из списка для данного частного показателя.
  • Рис. 2. - Оценка частных показателей ИБ
  • Оценка всех частных показателей ИБ и уточняющих вопросов к ним разбита на две составляющие: "документирование" и "выполнение" (см. рис. 2), что с практической точки зрение гораздо более удобнее и понятнее при оценивании частных показателей ИБ (идея видимо подсмотрена с BSAT - там впервые было реализовано подобное разбиение оценок).
  • По всем частным показателям ИБ и уточняющим вопросам возможно внесение обоснования выставления оценок и прикрепление свидетельств аудита, что все-таки является большим плюсом для таких система, поскольку позволяет в большей степени обеспечить повторяемость результатов оценки, чем при отсутствии фиксации свидетельств и обоснований выставления оценок (это есть в системах ExactFlow и Estimate Tool, но нет в BSAT).
  • Довольно неплохо в системе реализованы выгрузки итоговых документов. Так, помимо стандартного Приложения "А" СТО БР ИББС-1.2-2010 (на котором, например, в BSAT выгрузки и заканчиваются), здесь реализованы довольно интересные и на мой взгляд удобные выгрузки обоснований выставленных оценок по каждому частному показателю (см. рис. 3) - по сравнению с реализацией этого функционала в той же системе ExactFlow от ПАЦИФИКИ, обоснования значительно проще забивать в систему и практически по нажатию одной кнопки формируется общая выгрузка по всем частным показателям ИБ (в ExactFlow, например, обоснование по каждому частному показателю, а их более 300-т,  выгружается в отдельные документы, которые в дальнейшем очень проблематично анализировать и обрабатывать). При этом все выгрузки, как по Приложению А, так и по обоснованиям, формируются в разрезе банковских платежных, информационных процессов и процессов с ПДн - этот момент тоже приятно порадовал. Однако при этом  не понятно, почему нет выгрузок оценок и обоснований по уточняющим вопросам Приложения "В" СТО БР ИББС-1.2, ведь эти данные в системе есть и они учитываются в процессе оценки (справедливости ради скажу, что в других решениях этого функционала также нет)- возможно ее просто не успели доделать.
Рис. 3. Обоснование выставленных оценок по частным показателям ИБ


Конечно наряду с плюсами есть и некоторые недочеты этой системы (например, тоже отсутствие выгрузок по уточняющим вопросам по ПДн), но то новое, что привнесено разработчиками в этой системе (в плане как соответствия требования СТО БР ИББС-1.2, так и удобства процесса оценки соответствия) позволяет довольно высоко оценить ее в сравнении с существующими на рынке аналогами, а в совокупности с ценовой политикой разработчиков системы она становится особенно привлекательной для использования при оценке соответствия требованиям ИБ организаций БС РФ.

18 комментариев:

  1. Да, согласен с вами, софт достаточно интересный и удобный. Проводил оценку соответствия с помощью эксельки - один плюс - бесплатно, но не додумался майкрософт еще сделать прикрепление документов к экселю :)

    Региональный банк.
    Самойлов А.

    ОтветитьУдалить
  2. Да, продукт неплохой.
    Особенно если напишут остальные модули и у них будет общая база знаний.

    ОтветитьУдалить
  3. продукт предлагает хранить сведения об аудите в облаке чужой компании, к тому же использует незащищенное соединение http.

    цена же локальной версии значительно выше конкурентов.

    ОтветитьУдалить
  4. Если загляните сюда: http://www.ismsys.ru/, то увидите, что "Защита подключения к сервису обеспечивается шифрованием с применением протокола SSL." - С чего Вы взяли про незащищенный http?

    Насчет цены, ну у них и функционал значительно выше конкурентов - отсюда может быть и цены.
    Хотя про всех конкурентов говорить тоже не правильно - сколько стоит та же Пацифика??

    ОтветитьУдалить
  5. Или сколько например стоит версия Expert у BSAT??? Ранее цена на нее была точно больше максимальной стоимости решения Ismsys и даже приближалась к стоимости Пафицики.

    ОтветитьУдалить
  6. хотя, справедливости ради, стоит сказать, что у BSAT есть и свои фишки, которых нет у решения от Ismsys.
    Но лично меня BSAT не удовлетворяло нежеланием разработчиков облегчить жизнь аудиторам, в частности в вопросах оценки и учета уточняющих вопросов по ПДн - т.е. в системе заявляется, что в ней реализован учет Приложения В, а по факту, кроме фильтрации вопросов на основании классов ИСПДн и выскакивания перечня уточняющих вопросов при оценке частного показателя больше ничего и нет. Печально.

    ОтветитьУдалить
  7. вот например тут можно посмотреть этот функционал: http://www.youtube.com/watch?v=JqL4f_Rzess

    ОтветитьУдалить
  8. На сколько я знаю Leetsoft постоянно что-то дописывает. На днях должна выйти версия с фиксацией свидетельств.

    А вот почему так реализована работа с уточняющими вопросами (почему не встроен автоматический расчет) хотелось бы услышать от Leetsoft?
    Похоже посчитали это избыточным функционалом.

    ОтветитьУдалить
  9. решение о реализации вопросов Приложения В в BSAT рождалось достаточно мучительно.
    К слову сказать, мы первые, кто раскрыл и описал правильную схему работы с приложением В в своём блоге (ибо правильная работа с Приложением возможна лишь при разделении шкал оценок, что, как Вы заметили, мы впервые и сделали).
    Причин, почему мы не реализовали это до конца 2:
    1. Очень и очень не хотелось усложнять работу с программой. Вполне очевидно, что ПрилВ было всунуто в методику насильно и никак не хотело вписываться в общую логику оценки. Я думаю в след. методике оценки его просто не будет.
    2. Мы не хотели устанавливать жёсткую связь между оценками ПрилВ и чп. Связи временами просто нет.
    По собственному аудиторскому мнению скажу что ПрилВ - это головная боль для аудитора и хочется закончить его как можно быстрее и перейти к нормальным вопросам.

    Сейчас мы уже тестируем новую версию BSAT. В ней будет много нового.

    ОтветитьУдалить
  10. про SSL. Судить могу по демоверсии. Там чистый HTTP.

    ОтветитьУдалить
  11. Здравствуйте коллеги. Меня зовут Сергей Титов, я являюсь ведущим разработчиком компании ISM SYSTEMS.

    Уважаемый ААА, разрешите Вас поправить. Мы не предлагаем хранить в облаке, а создаем возможности если кто-то не опасается использовать облачные технологии. Мне кажется что за ними будущее, тем более для небольших банков, у которых денег мало, а вопрос соответствия такой же как и у остальных. Для остальных мы даем виртуальный эпплайенс.

    В демо-версии SSL-защиты нет, но так мы ее там и не обещали (на то оно и демо).

    ОтветитьУдалить
  12. Коллеги, смотрю и немного недоумеваю...кто из вас проводил самооценку целый год? да разве это так долго, максимум 2-3 месяца и потом возможно в след.году (я сейчас говорю о банках).
    Больше времени у безопасников банков нет...поверьте, поэтому лично для меня, хватит и 3 месяцев, но только с учетом того, что я потом смогу использовать предыдущие оценки.
    Учитывая, что мой банк средних размеров, то выделение 10 т.р. проблематично...что уж говорить о больших суммах...

    ОтветитьУдалить
  13. Max: спорить не о чем. Когда денег только 10 тыс, то и 3 месяцев достаточно для проведения самооценки.

    Но для большинства банков вариант "сделал и забыл" не подходит.
    1) Нужно иметь возможность постоянно обращаться к расчетам - например чтобы определить наиболее критичные невыполненные частные показатели и планировать их выполнение/выполнять их.
    С программой работать удобнее чем с экспортированными отчетами.
    2) Иногда нужно иметь возможность пересчитать какой-нибудь групповой показатель.
    Например при первой самооценке по M9 мы получили 0.
    За пол года проведена серьезная работа в этом направлении и хочется не откладывая ещё на пол года - провести перерасчет, что-то прикинуть, что-то смоделировать.
    3) Опять же - история. Сравнение с предыдущими оценками.
    4) Разработчик предпололагает продукт как комплексное средство управления ИБ. Значит в перспективе он должен работать в постоянном режиме, а не 2 месяца в году.

    ОтветитьУдалить
  14. Max, в том числе в связи с этим мы и создали SaaS решение, ограниченное по времени использования на сколько потребуется пользователю (квартал, полгода, год).

    Но я хочу все же подчеркнуть, что мы создаем систему управления ИБ, а не просто софт для проведения самооценки (хотя конечно и для этого тоже можно использовать). Необходимость длительного использования системы может быть полезна банкам, в которых в течении года будет проходить несколько самооценок (и возможно еще внешних аудитов). Все данные можно держать в одной системе, смотреть тренд изменения показателей и много чего еще.

    ОтветитьУдалить
  15. Сергей Титов, система управления ИБ в облаке на чужом сервере? Вы серьезно?

    PS прошу прощения за фамильярность, но Сергеев тут уже несколько :)

    ОтветитьУдалить
  16. Игорь, мы обновили BSAT. Добавили свидетельства аудита и много чего еще.

    http://leetsoftru.blogspot.com/2011/09/bsat-12.html тут поподробней.

    ОтветитьУдалить
  17. Посмотрел -
    http://ibsec.blogspot.com/2011/09/bsat.html

    ОтветитьУдалить