вторник, 22 октября 2013 г.

Проведение самооценки по требованиям СТО БР ИББС-1.0

В связи с периодическим проведением самооценки в своей организации я выработал ряд рекомендаций, которые помогают мне в данном процессе:

1. Оценка частного показателя не должна быть выше оценки уточняющего вопроса. Чтобы оценки зависимых частных показателей были высокими, желательно добиться всех "1" в уточняющих вопросах.

2. На оценку определенных частных показателей влияют сразу несколько уточняющих вопросов. В подобных случаях максимальная оценка частного показателя равняется средней арифметической величине оценки уточняющих вопросов, влияющих на этот частный показатель. Например, используя таблицу 2 приложения В СТО БР ИББС-1.2, M1.1 будет вычисляться по формуле:

М1.1 = (6.1.5 + 6.1.6 + 6.1.7 + 6.3.10)/4

Результат - это и есть максимальная оценка данного частного показателя с учетом уточняющих вопросов.

3. На результат EV1ОЗПД влияют групповые показатели М1-М5, М8, М10, на EV2ОЗПД - М1-М6, М8, М10, на EVООПД - М9 (показатель M9 оценивается по минимальному значению, присвоенному одному из частных показателей, т.е. один показатель равен "0", следовательно, весь М9 = "0"), на EVM6 - М6.

4. Если оценивается степень документированности, в источниках нужно указывать конкретные документы (в случае отсутствия документального подтверждения можно сослаться на устные свидетельства, что будет соответствовать оценке «0»).

5. Устные свидетельства и наблюдения подтверждаются подписью опрашиваемого члена комиссии.

6. Если отталкиваться от формы предоставления результатов оценки уровня информационной безопасности организаций банковской системы Российской Федерации, размещенной на сайте Банка России, круговых диаграмм должно быть две: 
- круговая диаграмма, содержащая 32 сектора, которые отражают оценки  групповых показателей;
- круговая диаграмма, содержащая 3 сектора, которые отражают оценки  по трем направлениям.

7. В «Подтверждение соответствия организации БС РФ стандарту Банка России СТО БР ИББС‑1.0‑20хх» помимо оценки степени выполнения требований СТО БР ИББС‑1.0, регламентирующих обработку персональных данных (EVООПД), оценки степени выполнения требований СТО БР ИББС‑1.0, регламентирующих защиту персональных данных в информационных системах персональных данных, без учета оценки степени выполнения требований СТО БР ИББС‑1.0 по обеспечению информационной безопасности при использовании средств криптографической защиты информации (EV1ОЗПД) и итогового уровня соответствия ИБ организации БС РФ требованиям СТО БР ИББС‑1.0 (R) необходимо также включить:
— если в ИСПДн используется СКЗИ — оценку степени выполнения требований СТО БР ИББС‑1.0, регламентирующих защиту персональных данных в информационных системах персональных данных при использовании средств криптографической защиты информации (EV2ОЗПД);
— если в ИСПДн не используется СКЗИ — оценку группового показателя М6 «Обеспечение информационной безопасности при использовании средств криптографической защиты информации» применительно к банковскому технологическому процессу, в рамках которого обрабатываются персональные данные» (EVM6).

Хотелось также напомнить, что в соответствии с п.14 Методических рекомендаций по выполнению законодательных требований при обработке персональных данных в организациях банковской системы Российской Федерации документ о подтверждении соответствия организации БС РФ требованиям стандарта Банка России СТО БР ИББС-1.0 необходимо направить в адрес ГУБЗИ  Центрального Банка России, откуда оно будет направлено регуляторам, но не позже 31 декабря (в дальнейшем – один раз в три года).

Автоматизация процесса самооценки по требованиям СТО БР ИББС-1.0 

xls-файл (см. инструкцию по использованию  от разработчика).





5 комментариев:

  1. Сергей, не подскажите, какова ответственность Банка за непредоставления документа о подтверждении в Банк России раз в три года?

    ОтветитьУдалить
    Ответы
    1. Статья 15.26.2. КОАП "Нарушение кредитной организацией установленных Банком России нормативов и иных обязательных требований - влечет предупреждение или наложение административного штрафа в размере от десяти тысяч до тридцати тысяч рублей". Также может быть полезно обсуждение на bankir.ru

      Удалить
  2. По поводу уточняющих вопросов.

    В методике оценки СТО БР ИББС-1.2 указан следующий алгоритм:
    1. выбираем все влияющие на частный показатель уточняющие вопросы;
    2. оцениваем степень документированности и степень выполнения каждого уточняющего вопроса;
    3. если все уточняющие вопросы полностью документированы - зависимый частный показатель может получить оценку "полностью" в шкале документированности. Если ХОТЬ ОДИН уточняющий вопрос не документирован (либо документирован не полностью), то зависимый частный показатель оценивается как "не документирован" или "документирован частично". Если ВСЕ уточняющие вопросы не документированы, то зависимый частный показатель может быть оценен только как "не документирован".
    4. Проделываем тоже самое со шкалой "выполнение".
    5. Считаем итоговую оценку.

    Вот как то так. Собственно этот алгоритм может сильно отличаться от простого "среднего арифметического".

    Хотя, конечно, проще добиться единичек (тем более что этого требует Роскомнадзор)..

    ОтветитьУдалить
    Ответы
    1. Согласен.
      Лично у меня результаты "среднего арифметического" получались эквивалентны результату упоминаемого алгоритма. Т.к. этот алгоритм вносит неразбериху и приводит к затягиванию процесса самооценки, я практикую именно такой подход.

      Удалить