среда, 7 сентября 2011 г.

Оценка частных показателей в рамках групповых показателей М1-М6 СТО БР ИББС-1.2-2010 по трем направлениям (БПТП, БИТП, БТППДн)

Сегодня зашел спор насчет того, нужно ли при проведении оценки соответствия ИБ требованиям СТО БР ИББС-1.0 оценивать частные показатели ИБ в рамках групповых показателей М1-М6 СТО БР ИББС-1.2-2010 отдельно по трем направлениям или достаточно выбирать минимальную оценку применительно сразу ко всем оцениваемым направлениям. В связи с эти в рамках данного поста я хочу последовательно изложить свою позицию по этому вопросу. Итак, начнем по порядку. 

Оценка соответствия ИБ требования Стандарта СТО БР ИББС-1.0 выполняется в соответствии с Методикой оценки соответствия СТО БР ИББС-1.2, которая является Стандартом, т. е. ее требования обязательны для выполнения.

Согласно п.7.4 СТО БР ИББС-1.2:
"Оценивание частных показателей в рамках групповых показателей М1÷М6 необходимо осуществлять раздельно по результатам анализа выполнения соответствующих требований СТО БР ИББС -1.0 по следующим направлениям:
— банковский платежный технологический процесс (М7) - (
далее - БПТП);
— банковский информационный технологический процесс (М8) - (
далее - БИТП);
— банковский технологический процесс, в рамках которого обрабатываются персональные данные (М10) - (
далее - БТППДн)."
Далее, согласно п. 7.7 СТО БР ИББС-1.2 оценки М1-М6, полученные по направлениям БПТП, БИТП, БТППДн используются при формировании оценок:
EVбптп (степень выполнения требований СТО БР ИББС- 1.0, регламентирующих БПТП) - оценки М1-М6 берутся применительно к БПТП;
— EVбитп (степень выполнения требований СТО БР ИББС- 1.0, регламентирующих БИТП) - оценки М1-М6 берутся применительно к БИТП;
— EV1озпд (степень выполнения требований СТО БР ИББС -1.0, регламентирующих защиту ПДн в ИСПДн, без учета оценки степени выполнения требований СТО БР ИББС -1.0 по обеспечению ИБ при использовании СКЗИ) и EV2озпд (степень выполнения требований СТО БР ИББС -1.0, регламентирующих защиту ПДн в ИСПДн, с учетом оценки степени выполнения требований СТО БР ИББС -1.0 по обеспечению ИБ при использовании СКЗИ) - оценки М1-М6 берутся применительно к БТППДн.

И это четко прописано в Стандарте, поэтому разночтений насчет этого быть не должно (!).

Далее оценки EVбитп, EVбптп, EV1озпд, EV2озпд, полученные с учетом оценивания М1-М6 по направлениям БПТП, БИТП, БТППДнв соответствии с  п.7.6 СТО БР ИББС-1.2 формируют итоговую оценку EV1, отражающую степень выполнения требований СТО БР ИББС -1.0 по направлению “текущий уровень ИБ организации” (EV 1 определяется по наименьшему значению из оценок EVбитп, EVбптп и  EV2озпд).

А в соответствии с  п.11.6 СТО БР ИББС-1.2 оценка EV1озпд и оценка группового показателя М6 (EVм6), опять таки полученная применительно только к БТППДн, включаются в "Подтверждение соответствия организации БС РФ требоватниям СТО БР ИББС-1.0", направляемое регуляторам.

Кроме того, как справедливо было замечено, уточняющие вопросы частных показателей Приложения "В" СТО БР ИББС-1.2, согласно разделу 10 того же СТО БР ББС-1.2, рассматриваются только применительно к БТППДн. При оценке по БПТП и БИТП уточняющие вопросы можно не учитывать.

Надеюсь, я привел достаточно оснований, что оценивать частные показатели в рамках групповых М1-М6 все-таки надо раздельно по БПТП, БИТП и БТППДн (ввиду текущих требований Стандарта СТО БР ИББС-1.2).

Теперь вкратце хотел бы остановиться на том, чем же будет отличаться результат, если оценивать М1-М6 в общем по всем направлениям сразу, например, путем выбора минимальной оценки по БПТП, БИТП и БТППДн, как это предлагается тут. В этом случае, все оценки будут усредняться (а вернее минимизироваться) на уровне частных показателей, в итоге оценка общего группового показателя будет не более минимальной из оценок, которые можно было бы получить, если оценивали отдельно по трем направлениям (а может быть и меньше, так как один частный показатель применительно к БПТП может быть больше чем применительно к БИТП, а другой показатель наоборот по БПТП меньше, а по БИТП больше, в итоге, выбирая минимальную из оценок, мы получаем, что итоговая оценка частного показателя получится меньше все трех оценок, получаемых при отдельной оценке по направлениям).

Далее лавина нарастает, оценки EVбитп, EVбптп, EV1озпд, EV2озпд при оценивании в общем по всем направлениям получаются не больше (а может и меньше) оценок, которые были бы получены при отдельном оценивании по направлениям.

Все это хитросплетение приведет к тому, что итоговая оценка EV1, а за ней и итоговый уровень R будет меньше того уровня, который должен получить при оценке в соответствии с требованиями Стандарта.

Вот такая вот петрушка =).


P.S. Напоследок хотел бы высказать свое мнение, насчет оправданности приведенных выше требований Стандарта по отдельному оцениванию показателей М1-М6 по направлениям БПТП, БИТП и БТППДн.

Я, как и многие мои коллеги, считаю, что все-таки с этим требованием ЦБ несколько перегнул палку. Отдельная оценка по разным направляем усложняет процесс оценки соответствия, увеличия трудозатраты на ее выполнение и документирование результатов. - Мне кажется вполне было бы достаточно введения учета уточняющих вопросов Приложения "В" и оценок по М9-М10, особенно с учетом того, что оценка большей части частных показателей из M1-M6 действительно может не отличаться по разным направлениям (о чем также справедливо было отмечено тут).

Если обратиться к истории и заглянуть в предыдущую версию Стандарта СТО БР ИББС-1.2, то там мы обнаружим п. 7.4 совсем в другой редакции: 
"Оценивание частных показателей в рамках групповых показателей М1÷М6 необходи мо осуществлять по результатам анализа выполнения соответствующих требований СТО БР ИББС -1.0 применительно к организации в целом, включая банковский платежный технологический процесс (М7) и банковский информационный технологический процесс (М8)."
Т.е. раньше в этом плане все было просто отлично - Но (!). Пришел 2010 г. и новые редакции Стандартов, адаптированные под требования законодательства по обработке и обеспечению безопасности ПДн, которые и внесли свои коррективы. 

Поэтому, т.к. теперь требование звучит иначе, то деваться пока некуда, надо оценивать так, как того требует Стандарт, а не пытаться искать оправдания нежеланию более детального анализа выполнения требований по ИБ в организациях БС РФ. Тем более (как я уже говорил тут) этому официально учат аудиторов на курсах в АИС.

Делать же по другому - значит не в полной мере выполнять требования Стандарта.

7 комментариев:

  1. По одному пункту внесу уточнение.
    В соответствии с частью 10.1 СТО БР ИББС-1.2 для "формирования оценки EV1озпд следует использовать уточняющие вопросы, которые детализируют и конкретизируют частные показатели ИБ"

    Использование уточняющих вопросов Приложения В для оценки EV2озпд, EVоопд, EVm6 (а так-же для оценки EV1, EV2, EV3, EVбитп, EVбптп, EVmi) - не требуется.
    То есть Банк может оспорить результаты аудита, указывая что мы необоснованно занизили ему оценки этих показателей уточняющими вопросами.

    Но на обучении по аудиту нам рекомендовали на этапе заключения договора, обсуждать и документировать договоренность о использовании уточняющих вопросов для оценки других "степеней выполнения".
    (Как видно из приложения B, уточняющие вопросы распространяются на частные показатели не имеющие отношения к EV1озпд - например М15.6, М32.2)

    То есть для разработчиков задача ещё больше усложняется.
    Они должны предусмотреть возможность конфигурации оценки "степени соответвия" как с учетом уточняющих вопросов, так и без учета (будет меняться в зависимости от банка).

    ОтветитьУдалить
  2. Не совсем согласен насчет влияния уточняющих вопросов Приложения В только на оценку EV1озпд.
    Если посмотреть на п. 10.2 СТО БР ИББС-1.2, то там идет уже более широкая фраза "Для проведения оценки соответствия ИБ в части ИСПДн необходимо провести оценивание частных показателей настоящего стандар та, попадающих в область оценки, используя все соответствующие частным показателям дета лизирующие и конкретизирующие вопросы Приложения В.".

    Вместе с тем в стандарте нет прямого указания на то, что уточняющие вопросы не используются применительно к оценкам EV2озпд и EVm6.

    Да и в п. 10.1 не написано, что уточняющие вопросы применяются только для EV1озпд

    Исходя из этого мое логическое заключение, что уточняющие вопросы влияют не только на EV1озпд, но и на оценки М1-М6, получаемые применительно к БТППДн, которые в дальнейшем используются для формирования и оценок EV2озпд и EVм6.

    Вообще, конечно, раздел 10 СТО БР ИББС-1.2 - это что-то с чем-то. Он вызывает больше споров, чем реально помогает в работе. - Надо же было такое написать!!!

    ОтветитьУдалить
  3. "Вообще, конечно, раздел 10 СТО БР ИББС-1.2 - это что-то с чем-то. Он вызывает больше споров, чем реально помогает в работе. - Надо же было такое написать!!!"

    Вы полностью правы. В своё время, именно из-за сырости уточняющих вопросов мы решились на справочный характер их реализации в BSAT =)

    ОтветитьУдалить
  4. Интересует вопрос возникающей в свете раздельной оценки показателей M1-M6 применительно к диаграмме, на которой нужно отображать результаты. Как я понял будет по три оценки для M1-M6 в зависимости от вида банковского процесса. Какие групповые показатели выносить на круговую диаграмму для секторов M1-M6? Минимальные среди всех процессов? Или же нужно делать отдельные диаграммы по каждому процессу?

    ОтветитьУдалить
  5. Да, можно сделать три разные диаграммы.
    По сути этот момент нигде не регламентирован, по практике -если оцениваем по трем процессам, то делаем три диаграммы по групповым показателям. Итоговая же диаграммы остается одна, так как по EV1 в итого остается одна оценка.

    ОтветитьУдалить
  6. Игорь, спасибо за ответ. Для уточнения, если использовать вариант с тремя диаграммами, то для оставшихся групповых показателей M11-M34 значения будут одни и те же. Получается не очень рациональное дублирование данных.

    ОтветитьУдалить
  7. Для остальных будут значения одни и те же, причем не по М11-М34, а по М7-М34, т.к. отдельно оцениваются только М1-М6. Да не очень рационально, но что делать.

    ОтветитьУдалить