четверг, 29 сентября 2011 г.

Решения по автоматизации оценки соответствия ИБ - Обзор новой версии BSAT

В продолжение тематики автоматизации процедур оценки соответствия ИБ кредитных организаций требованиям СТО БР ИББС-1.0 в данном посте хочу поподробнее остановиться на решении от компании LeetSoft, которая анонсировала выход новой версии своей программы BSAT 1.2.

Рассмотрим ее функционал с учетом последних обновлений.
  • Радует интерфейс программы - видно, что разработчики постарались сделать его достаточно простым, понятным и удобным в плане работы с ним - хотя местами все-таки намельчили =).
  • Как я уже говорил ранее, разработчики BSAT в своей программе впервые реализовали раздельную оценок частных показателей по двум шкалам, предлагая аудиторам вместо выставления конечных оценок (0; 0,25; 0,5; 0,75; 1), оценивать отдельно "степень документированности" и "степень выполнения" требования частного показателя (если они присутствуют), а расчет оценки самого частного показателя система берет на себя. Подобное решение с практической точки зрение более удобно и понятно при оценке частных показателей ИБ, да к тому же позволяет потом, при возвращении к частному показателю, быстро понять из каких соображений получилась итоговая оценка. Жаль только, что в BSAT итоговая оценка частного показателя не отображают в самом окне оценки, а доступна только в выгрузках, хотя это м.б. и не столь существенно (напомню, подобный функционал в настоящее время есть у нового решения ISM Revision, но нет в Estimate Tool и в ExactFlow "Оценка соответствия").

  • Наконец-то разработчики реализовали в версии 1.2 системы возможность прикрепления к частным показателям свидетельств аудита ИБ (документы, устные высказывания, наблюдения),  что на мой взгляд является большим плюсом для таких систем, поскольку позволяет в одном месте аккумулировать все сведения, касающиеся оценки соответствия.

    Правда нашел ряд недоработок в реализации этого функционала, например такие как:
    • отсутствие возможности загрузки самих документов - сейчас можно забить только наименование документа, кем и когда он был утвержден и краткое его описание, при этом поля "утвержден" и "дата документа" являются обязательными для заполнения и не позволяют прикрепить документ, не обладающий такими параметрами (например, какой-нибудь журнал или лист ознакомления) - я бы все-таки порекомендовал в качестве обязательного параметра оставить только "наименование документа";
    • возможность прикрепления к каждому частному показателю только одного опроса и одного наблюдения, хотя по факту часто бывает, что их может быть и несколько.
  • В системе добавились выгрузки свидетельств аудита в разрезе частных показателей ИБ, но при этом нет общей выгрузки тех же перечней документов, опросов или наблюдений - в отдельных случаях они могут пригодиться.
  • В системе не реализована оценка уточняющих вопросов по персональным данным Приложения "В" СТО БР ИББС-1.2-2010, а также нет оценки влияния уточняющих вопросов на оценки частных показателей ИБ. В этом плане разработчики ограничились лишь отображением списка уточняющих вопросов для частных показателей ИБ, как некой подсказки при оценке частного показателя. - На мой взгляд это все-таки не полноценный учет, так как подобное решение не несет реальной автоматизации действий аудитора, а заставляет его каждый раз при оценке частного показателя, у которого есть уточняющие вопросы, заново оценивать эти вопросы в наложении с требованием самого частного показателя. Меня, как аудитора, подобная автоматизация не особо прельщает.
  • В системе не реализована раздельная оценка частных показателей ИБ в рамках групповых показателей М1-М6 по направлениям банковского платежного, информационного и технологического процесса, в рамках которого обрабатываются ПДн.
  • В системе жестко проставлены способы оценки по всем частным показателям ИБ (оцениваются только по документированию / только по выполнению / по документированию и выполнению), при этом поменять их не представляется возможным, как, например, можно в Estimate Tool в настройках программы или в ISM Revision в процессе оценке показателей.
  • Неоспоримым плюсом системы является экспорт и импорт результатов оценок, а также возможность создание оценки на основе существующей, в том числе предыдущей, оценки соответствие. В случае с самооценками - эта функция весьма полезна для банков, так как позволяет сосредоточиться на описании только изменений, произошедших с момента прошлой самооценки. К сожалению в демо-версии системы функции импорта/экспорта не доступны, поэтому оценить их возможности нет.
В целом впечатления система оставляет вполне положительные как в плане ее реализации, так и функционала. Единственное пожелание к разработчикам, это все-таки подумать над большей автоматизацией (все тот же учет вопросов приложения "В").

4 комментария:

  1. Игорь, спасибо за добросовестную критику! Я думаю, у нас получится учесть практически все Ваши комментарии в следующей версии.

    ОтветитьУдалить
  2. Добавили возможность изменения шкал оценки и отображение числового значения частного показателя.

    еще раз спасибо за обзор!

    ОтветитьУдалить
  3. Кстати, на той неделе на банковском дне Инфобеза были замечены разработчики системы Revision. Причем, помимо заявленного ранее функционала, они еще показывали новый модуль моделирования, который позволяет проводить экспресс-самооценку за 15 минут, либо по итогам проведенной оценки соответствия, моделировать эффект от применения тех или иных мероприятий для повышений уровня соответствия. Довольно интересная идея, может попозже распишу поподробнее, пока нет времени: отпуск - время тяжелое =)

    ОтветитьУдалить
  4. вышла новая версия BSAT 1.3.

    "тройная" оценка М1-М6, полная реализация уточняющих вопросов и еще несколько "ноу-хау" от ЛитСофта :)

    http://leetsoftru.blogspot.com/2011/10/bsat-13.html#more

    ОтветитьУдалить