вторник, 13 марта 2012 г.

Экспресс-оценка на соответствие СТО БР ИББС-1.0 от ISM Systems

На днях компания ISM Systems в развитие своей системы автоматизации оценки соответствия анонсировала новый онлайн-сервис "Экспресс-оценка", который по заявлению авторов позволяет быстро получить общее представление о степени соответствия ИБ организаций БС РФ требованиям стандарта СТО БР ИББС-1.0-2010. 

Проведя небольшое тестирование данного сервиса, готов поделиться основными результатами и своими ощущениями о сервисе.

Как я уже сказал это онлайн-сервис, для доступа к нему необходимо пройти по ссылке:  http://express.ismsys.ru/  и указать свой почтовый адрес. На этом собственно процесс регистрации и заканчивается, после чего можно уже использовать сам сервис.  


Порадовало то, что вбиваемые в систему результаты сохраняются в ней. После очередного входа под тем же почтовым адресом у вас отображаются результаты, внесенные вами в прошлый раз.

В плане эргономики все довольно приятно, ничего лишнего, все работает довольно четко и быстро. Лично я тестировал этот сервис с планшета - все работает на ура. Не всегда правда попадал пальцами по чек-боксам, ну на то зум пригодился =).

Вообще тема с работой с подобными системами с планшета меня очень привлекает, так как это порой очень удобно при проведении непосредственно аудитов или самооценок ИБ, так как прибавляет аудитору мобильности и позволяет ему оперативно получать необходимую информацию и вводить в систему новую. Насколько я понимаю основной модуль ISM Revision: Audit Manager как раз предоставляет аудитору такую возможность, причем как в варианте исполнения с виртуальным сервером, так и в SaaS решении. А если бы и протоколы сразу туда вбивать по ходу опросов и наблюдений ... =)

В части процесса оценки разработчики сервиса провели определенную перегруппировку и переработку частных показателей СТО БР ИББС-1.2 (коих там более 3-х сотен), получив порядка 100 мероприятий, сгруппированных в следующие 16 доменов: 
1. Управление доступом и регистрацией
2. Антивирусная защита
3. Безопасность при использовании сети Интернет
4. Информационная безопасность при использовании СКЗИ  
5. Безопасность банковских технологических процессов
6. Безопасность при осуществлении ДБО
7. Безопасность персональных данных
8. Обеспечение информационной безопасности АБС на стадиях жизненного цикла
9. Служба информационной безопасности
10. Организация системы менеджмента информационной безопасности
11. Управление информационными активами
12. Управление рисками информационной безопасности
13. Безопасность при управлении персоналом
14. Мониторинг, контроль и управление инцидентами информационной безопасности
15. Непрерывность бизнеса и ее восстановление после прерывания
16. Аудит и самооценка информационной безопасности
Сами мероприятия получились довольно понятными, так как отражают реальные шаги, необходимые для приведения кредитных организаций к соответствию требованиям СТО БР ИББС-1.0. В итоге необходимо просмотреть каждый домен и отметить те мероприятия, которые уже реализованы в организации (документированы и выполнены - промежуточных оценок в сервисе не предусмотрено). Далее кликаем на "Рассчитать" и слева получаем основные оценки по направлениям ИБ и круговую диаграмму в разбивке по групповым показателям. У меня на планшете при вдумчивом прочтении и выборе реализованных мероприятий весь процесс занял чуть более часа чистого времени.

При этом в сервисе есть ряд ограничений, так в нем нет учета уточняющих вопросов по персональным данным приложения В СТО БР ИББС-1.2, а также нет раздельной оценки частных показателей ИБ из М1-М6 по направлениям банковского платежного, информационного процессов и в рамках которого обрабатываются ПДн. Но это в принципе и понятно, уместить это в рамках экспресс-оценки задача не простая. Для оценки в таких деталях надо проводить все-таки полноценную оценку соответствия по всем канонам СТО БР ИББС-1.2.

Подводя итог могу сказать, что представленная компанией ISM Systems идея довольно интересна - получить за 1-2 часа общее представление о состоянии ИБ кредитной организации в шкале СТО БР ИББС-1.2 довольно заманчиво. Понятно, что это не полноценная оценка соответствия и ее результаты не направишь в ЦБ как результаты самооценки (хотя может кто-то и может), но для тех кредитных организаций, кто еще не начинал работы по приведению к соответствию СТО БР ИББС, теперь это наиболее быстрый способ понять свой текущий уровень ИБ и наметить дальнейшие шаги.

среда, 7 марта 2012 г.

Новый учебный курс по тематике СТО БР ИББС от Академии информационных систем

Академия информационных систем анонсировала проведение нового курса по тематике стандарта Банка России по информационной безопасности: СБР060 "Оценка рисков нарушения информационной безопасности в соответствии с рекомендации в области стандартизации Банка России".

Как видно из названия этот курс посвящен вопросам оценки рисков информационной безопасности в соответствии с РС БР ИББС-2.2-2009 "Методика оценки рисков нарушения информационной безопасности".

Программа курса состоит из следующих разделов:
  • Термины и определения;
  • Общий подход к оценке рисков нарушения ИБ;
  • Процедуры оценки рисков нарушения ИБ;
  • Классы источников угроз;
  • Практическое задание: Оценка рисков нарушения ИБ.
Начало курса - 22 марта 2012 г., длительность - 2 дня. По окончании курса выдается сертификат АИС.
По информации с АИС читает курс представитель BSI.

Таким образом полный перечень курсов по тематике СТО БР ИББС, проводимых в Академии информационных систем в настоящее время, включает в себя 5 курсов:
  • СБР010 - Введение в Стандарт Банка России СТО БР ИББС-1.0-2010;
  • СБР020 - Внедрение Стандарта Банка России СТО БР ИББС-1.0-2010;
  • СБР030 - Проведение самооценки информационной безопасности по требованиям Стандарта Банка России СТО БР ИББС -1.0-2010;
  • СБР040 - Аудит информационной безопасности организаций банковской системы Российской Федерации;
  • СБР060 - Оценка рисков нарушения информационной безопасности в соответствии с рекомендациями в области стандартизации Банка России.
При этом курсы СБР010-СБР030 (ближайшие - 11 марта) и СБР040 (ближайшие - 26 марта) согласованны с НП АБИСС и при прохождении обучения по ним выдаются сертификаты ПН АБИСС соответственно специалиста по внедрению стандарта СТО БР ИББС-1.0 и аудитора по СТО БР ИББС-1.0.

Напомню, что в соответствии с Положением "О членах НП "АБИСС" организации-члены партнерства, а также кандидаты на вступление в партнерство в качестве Аудиторов или Консультантов должны иметь в своем штате по 3 специалиста, прошедших обучение по программам, согласованным с НП АБИСС (см. п.п. 3.2.2 и 3.3.2 Положения).