В продолжение тематики автоматизации процедур оценки соответствия ИБ кредитных организаций требованиям СТО БР ИББС-1.0 в данном посте хочу поподробнее остановиться на решении от компании LeetSoft, которая анонсировала выход новой версии своей программы BSAT 1.2.
Рассмотрим ее функционал с учетом последних обновлений.
Рассмотрим ее функционал с учетом последних обновлений.
- Радует интерфейс программы - видно, что разработчики постарались сделать его достаточно простым, понятным и удобным в плане работы с ним - хотя местами все-таки намельчили =).
- Как я уже говорил ранее, разработчики BSAT в своей программе впервые реализовали раздельную оценок частных показателей по двум шкалам, предлагая аудиторам вместо выставления конечных оценок (0; 0,25; 0,5; 0,75; 1), оценивать отдельно "степень документированности" и "степень выполнения" требования частного показателя (если они присутствуют), а расчет оценки самого частного показателя система берет на себя. Подобное решение с практической точки зрение более удобно и понятно при оценке частных показателей ИБ, да к тому же позволяет потом, при возвращении к частному показателю, быстро понять из каких соображений получилась итоговая оценка. Жаль только, что в BSAT итоговая оценка частного показателя не отображают в самом окне оценки, а доступна только в выгрузках, хотя это м.б. и не столь существенно (напомню, подобный функционал в настоящее время есть у нового решения ISM Revision, но нет в Estimate Tool и в ExactFlow "Оценка соответствия").
- Наконец-то разработчики реализовали в версии 1.2 системы возможность прикрепления к частным показателям свидетельств аудита ИБ (документы, устные высказывания, наблюдения), что на мой взгляд является большим плюсом для таких систем, поскольку позволяет в одном месте аккумулировать все сведения, касающиеся оценки соответствия.
Правда нашел ряд недоработок в реализации этого функционала, например такие как: - отсутствие возможности загрузки самих документов - сейчас можно забить только наименование документа, кем и когда он был утвержден и краткое его описание, при этом поля "утвержден" и "дата документа" являются обязательными для заполнения и не позволяют прикрепить документ, не обладающий такими параметрами (например, какой-нибудь журнал или лист ознакомления) - я бы все-таки порекомендовал в качестве обязательного параметра оставить только "наименование документа";
- возможность прикрепления к каждому частному показателю только одного опроса и одного наблюдения, хотя по факту часто бывает, что их может быть и несколько.
- В системе добавились выгрузки свидетельств аудита в разрезе частных показателей ИБ, но при этом нет общей выгрузки тех же перечней документов, опросов или наблюдений - в отдельных случаях они могут пригодиться.
- В системе не реализована оценка уточняющих вопросов по персональным данным Приложения "В" СТО БР ИББС-1.2-2010, а также нет оценки влияния уточняющих вопросов на оценки частных показателей ИБ. В этом плане разработчики ограничились лишь отображением списка уточняющих вопросов для частных показателей ИБ, как некой подсказки при оценке частного показателя. - На мой взгляд это все-таки не полноценный учет, так как подобное решение не несет реальной автоматизации действий аудитора, а заставляет его каждый раз при оценке частного показателя, у которого есть уточняющие вопросы, заново оценивать эти вопросы в наложении с требованием самого частного показателя. Меня, как аудитора, подобная автоматизация не особо прельщает.
- В системе не реализована раздельная оценка частных показателей ИБ в рамках групповых показателей М1-М6 по направлениям банковского платежного, информационного и технологического процесса, в рамках которого обрабатываются ПДн.
- В системе жестко проставлены способы оценки по всем частным показателям ИБ (оцениваются только по документированию / только по выполнению / по документированию и выполнению), при этом поменять их не представляется возможным, как, например, можно в Estimate Tool в настройках программы или в ISM Revision в процессе оценке показателей.
- Неоспоримым плюсом системы является экспорт и импорт результатов оценок, а также возможность создание оценки на основе существующей, в том числе предыдущей, оценки соответствие. В случае с самооценками - эта функция весьма полезна для банков, так как позволяет сосредоточиться на описании только изменений, произошедших с момента прошлой самооценки. К сожалению в демо-версии системы функции импорта/экспорта не доступны, поэтому оценить их возможности нет.