Сто бр

Совсем недавно зарелизился новый Стандарт Банка России в области информационной безопасности СТО БР ИББС.
Пришло время и мне обновить свой файлик с расчётами. Самые нетерпеливые могут сразу скачать его .
name=’more’>

Главные изменения

В новом стандарте СТО БР ИББС-1.2-2014 изменения, в основном, технические:

  • удалили уродливое приложение В (точнее заменили на менее уродливое);
  • добавили новых вопросов, кое-где подправили формулировки и т.п.;
  • убрали весовые коэффициенты. Раньше с ними были одни проблемы: никто не понимал, как их посчитали, сумма коэффициентов не всегда равнялась единице, коэффициенты приходилось постоянно нормировать и т.д. Вообщем, молодцы что убрали;
  • изменили шкалы оценки. Фраза «требование частично документировано», видимо, авторам не понравилась (оно и правильно), и шкала документированности сжалась с «да/частично/нет» до категоричного «да/нет».

Но авторы по непонятной мне причине упорно придерживаются магических цифр 0/0.25/0.5/0.75/1, и чтобы компенсировать отсутствие «требование частично документировано», авторы добавили новый вариант «требование почти выполняется». Добавили его они криво, и теперь в табличке с расчетами уродливые дырки, если используется 3 категория проверки, куда оценка «почти выполняется» не попала.

Что не убрали (а должны были убрать)

Тройную оценку М1-М6 применительно к различным типам информационных систем банка. Это разделение уродует стройную структуру стандарта и вносит в него неразбериху:

  • Значительное число трижды оцениваемых частных показателей в М1-М6 вообще никак не зависит от типа технологического процесса. Зачем их трижды оценивать??

  • Непонятно как строить итоговую диаграмму. Какие оценки М1-М6 откладывать по осям? Их 3 комплекта! Или нужно делать 3 диаграммы?

  • В современных банковских системах отделить БПТП от БИТП бывает проблематично. Чистых БИТП так же очень мало (все они, как правило, включают в себя в той или иной форме персональные данные). Да и вообще к чему эти процессы разделять, если прогресс наоборот стремится их все соединить в единую банковскую информационную систему?
  • Утроение одинаковых вопросов увеличивает почти в 2 раза (c 491 до 783 вопросов) и так затянутую оценку. Аудит ИБ начинает вылазить за тысячу страниц. Авторы, поберегите лес! Из тысячи банковских организаций только несколько десятков могут позволить себе аудит, оставшиеся не могут справится даже с самооценкой, ибо она слишком сложна и разрастается с каждой версией стандарта. 700 с лишним вопросов — это ОЧЕНЬ много! Если на каждый вопрос приводить ещё и свидетельства (как того требует аудит), оценка станет непомерно дорогой и в итоге превратится профанацию.

Еще одна непонятная мне вещь — оценка рекомендованных вопросов. Методика четко говорит, что оценивать их нужно либо «да», либо «н/о».
Однако у каждого рекомендованного показателя тут же в методике заботливо проставлена категория оценки от 1 до 3. Так по какой шкале их оценивать?
Такое ощущение, что стандарт писали несколько специалистов, которые не читали труды друг друга. Иначе чем объяснить все эти нестыковки?

И еще немного критики

СТО БР ИББС — это лучшее что есть в отечественном мире ИБ. Но закрытость разработки нормативных документов ЦБ для сообщества (не считая, конечно, закрытые банковские клубы) приводит к тому, что даже в финальные версии документов постоянно попадают ошибки.
В СТО БР ИББС-1.2-2014 я их нашел уже две:
1. Неправильно указана формула расчета EVбитп:
2. Отсутствует методика расчета коэффициента kоопд. Его просто забыли!
Если бы проекты документов выползли из кулуаров на свет сообщества — таких досадных ошибок бы не допустили.

Теперь о файле

Начну с предупреждений. Excel — это не среда программирования, а бухгалтерский софт. Возможности его сильно ограничены, поэтому не стоит ждать от файла многого. Файл может тормозить, глючить и ломаться. Защиты от дурака практически нет. Неверное нажатие — и вся Ваша оценка улетела в трубу. Поэтому делайте копии файла после каждого существенного изменения. Файл гарантировано работает на Windows 8.1 + Excel 2013. В старых версиях Excel скрипты могут работать некорректно. Если это произошло — напишите письмо, постараюсь помочь.
Главное нововведение в новой версии файла — тройная оценка ГП М1-М6. Эти групповые показатели продублированы, сгруппированы в соответствие с расчетными формулами и объединены в цветовые группы. Листы «1»-«6» — это оценка БПТП, «1И»-«6И» — это БИТП, «1П»-«6П» — это БИТППДн.

Чего в файле нет, но может быть когда-нибудь будет

1. Приложения В. Есть идеи вообще объединить оба файла с оценками (СТО БР ИББС и 382-П) в один, тем более что методики теперь унифицированы и связаны. На данный момент сравнивать обе оценки и корректировать частные показатели нужно вручную. 2. Весь показатель «н/о» сделать уже можно, но формулы придется корректировать вручную и на диаграмме он не отобразится.
Это бетта релиз файла. В деле он ещё не проверен и не вычитан. Так что найдёте ошибку — пишите!
Пост будет обновляться по мере изменения файла.

Что ещё почитать?

  • статьи по тэгу » СТО БР ИББС » и » НПС «
  • обзор изменений в методике оценки от ISMSYS

О комплексе стандартов Банка России

Документы Банка России по стандартизации Комплекса БР ИББС «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» включают 6 стандартов и 8 рекомендаций по стандартизации.

В действующих редакциях документы по стандартизации Комплекса БР ИББС включают следующие стандарты:

  • СТО БР ИББС-1.0–2014 «Общие положения»;

  • СТО БР ИББС-1.1–2007 «Аудит информационной безопасности»;

  • СТО БР ИББС-1.2–2014 «Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0–2014»;

  • СТО БР ИББС-1.3–2016 «Сбор и анализ технических данных при реагировании на инциденты информационной безопасности при осуществлении переводов денежных средств»;

  • СТО БР ИББС-1.4–2018 «Управление риском информационной безопасности при аутсорсинге»;

  • СТО БР БФБО-1.5-2018 «Безопасность финансовых (банковских) операций управление инцидентами информационной безопасности. О формах и сроках взаимодействия Банка России с участниками информационного обмена при выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации».

В действующих редакциях рекомендации по стандартизации Комплекса БР ИББС включают следующие и рекомендации по стандартизации:

  • РС БР ИББС-2.0–2007 «Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС-1.0»;

  • РС БР ИББС-2.1–2007 «Руководство по самооценке соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям стандарта СТО БР ИББС-1.0»;

  • РC БР ИББС-2.2–2009 «Методика оценки рисков нарушения информационной безопасности»;

  • РС БР ИББС-2.5–2014 «Менеджмент инцидентов информационной безопасности»;

  • РС БР ИББС-2.6–2014 «Обеспечение информационной безопасности на стадиях жизненного цикла автоматизированных банковских систем»;

  • РС БР ИББС-2.7–2015 «Ресурсное обеспечение информационной безопасности»;

  • РС БР ИББС-2.8–2015 «Обеспечение информационной безопасности при использовании технологии виртуализации»;

  • РС БР ИББС-2.9–2016″Предотвращение утечек информации».

Документы Банка России по стандартизации Комплекса БР ИББС охватывают широкий круг областей, но основополагающим является стандарт СТО БР ИББС-1.0, подлежащий реализации.

Полнота реализации определяется в рамках работ по оценке соответствия, проводимых на основе требований СТО БР ИББС-1.1 и СТО БР ИББС-1.2.

Состав работ по оценке соответствия требованиям СТО БР ИББС-1.0

Банком России рекомендуется присоединение организаций банковской системы Российской Федерации к требованиям стандарта Банка России СТО БР ИББС-1.0 через введение в действие в этих организациях положений данного стандарта.

После присоединения Банка к Комплексу БР ИББС ему рекомендуется раз в два года проходить внешнюю оценку соответствия требованиям СТО БР ИББС-1.0.

Работы по оценке соответствия требованиям основополагающего стандарта Банка России СТО БР ИББС-1.0 выполняются в соответствии с методикой оценки соответствия приведённой в стандарте СТО БР ИББС-1.2. Объем оцениваемых требований основополагающего стандарта Банка России насчитывает около 500 частных показателей

Состав работ по оценке соответствия включает в себя:

– подготовка к проведению оценки соответствия;

– анализ документов;

– проведение оценки соответствия на месте;

– подготовка, утверждение и рассылка отчёта по оценке соответствия;

– завершение оценки соответствия.

По результатам проведения оценки соответствия требованиям ИБ аудиторская группа подготавливает отчёт. Отчёт предоставляет полные, точные, чёткие и достаточные записи по оценке соответствия.

Отчёт по результатам проведения оценки соответствия требованиям ИБ является собственностью заказчика.