В последнее время довольно активно занимался проработкой тематики защиты информации в национальной платежной системе, в частности вопросов проведения оценки соответствия требованиям Положения Банка России от 09.06.2012 № 382-П, а также связи Комплекса БР ИББС и новых нормативных документов по защите информации в НПС.
В результате получил вот такие вот две диаграммы, отражающие соответственно логику проведения оценки соответствия по требованиям СТО БР ИББС-1.0-2010, а также требованиям Положения № 382-П.
 |
| Рис. 1. Методика СТО БР ИББС-1.2-2010 оценки соответствия СТО БР ИББС-1.2-2010 |
 |
| Рис. 2. Методика оценки соответствия требованиям Положения Банка России № 382-П |
Дополнить их могу следующими основными мыслями:
- Новая методика оценки соответствия требований по защите информации при переводе денежных средств, изложенная в 382-П, в общем похожа на методику оценки СТО БР ИББС-1.2-2010, но с математической точки зрения значительно проще, так как содержит значительно меньшее количество уровней обобщения оценок и, как следствие, меньше самих оцениваемых и рассчитываемых показателей.
- С другой стороны, меньшее количество уровней обобщения оценок дает меньше аналитических данных для анализа. Т.е. по СТО БР мы получали как оценки по отдельным группам требований (оценки групповых показателей ИБ), так и обобщающие показатели по направлениям деятельности, что было довольно наглядно и полезно для дальнейшего анализа. Но в 382-П помимо итогового показателя R мы получает только два обобщающих показателя EV1 и EV2, которые в рамках самой методики не наделены каким то смыслом. Если только самостоятельно, по аналогии со СТО БР, сопоставлять EV1 с "текущим уровнем ИБ", а EV2 с "уровнем менеджмента ИБ".
- Методика 382-П никак не оценивает "уровень осознания ИБ", который оценивался в методике СТО БР.
- В 382-П отсутствуют требования, связанные с обработкой и защитой персональных данных, которые порождали значительные трудности в оценке по СТО БР, в том числе при оценке показателей M1-M6 в части процессов обработки ПДн, а также обобщающих показателей EV1озпд, EV2озпд, EVоопд.
- В 382-П оцениваются требования применительно к процессам переводов денежных средств, т.е. по сути к банковским платежным технологическим процессам. Банковские информационные технологические процессы никак не рассматриваются. В СТО БР, как мы помним, групповые показатели М1-М6 оценивались отдельно применительно к банковским платежном и информационным технологическим процессам, что порождало дополнительные трудности для оценки.
- В 382-П отсутствуют коэффициенты значимости для частных показателей, как это есть в СТО БР. В этом плане все требования 382-П считаются равноправными, а обобщающие оценки рассчитываются на основе среднеарифметических, а не средневзвешенных значений.
- В 382-П введены специализированные показатели k1 и k2, понижающие итоговую оценку соответствия в случае полного невыполнения ряда требований. Т.е., по сравнению со СТО БР, уже не получится скомпенсироваться итоговую оценку за счет более полного выполнения одних требований при полном невыполнении других. Итоговая оценка будет занижена в 0,7 или 0,85 раза в зависимости от количества полностью не выполняемых требований.
- В методике 382-П отсутствуют рекомендуемые показатели, все требования считаются обязательными, при условии,конечно, что они применимы к оцениваемой организации. не применимые требования, по аналогии со СТО БР, оцениваются ка "н/о" (нет оценки) и не участвуют в дальнейших расчетах.
Таким образом видно, что у каждой их вышеупомянутых методик есть свои плюсы и минусы. Одна более сложная, но и результаты дает более наглядные, в другой же все упрощено, в том числе в ущерб этой самой наглядности, так как задача у нее боле узкоспециализированная - оценить защиту информацию в рамках отдельной деятельности.
Комментариев нет:
Отправить комментарий