Недавно вышло несколько документов , определяющих требования Банка России к участникам взаимодействия в рамках различных платежных систем.
Один из документов - Положение 382-П - содержит методику проведения оценки соответствия организации требованиям Банка России, отдалённо напоминающую методику оценки СТО БР ИББС-1.2-2010 (правда тут нет оригинальной круговой диаграммы).
Согласно указанию Банка России 2831-У , результаты оценки соответствия должны направляться всеми участниками платежных систем в Банк России по форме ОКУД 0403202 не реже одного раза в 2 года и не позднее 30 дней с момента завершения оценки соответствия.
Если сравнивать с той же методикой СТО БР ИББС-1.2-2010, эта методика оценки значительно проще (129 вопросов против 423, 2 интегральных оценки EV против 8), однако СТО БР ИББС был расчитан на гораздо менее многочисленное сообщество кредитных организаций и носил добровольный характер. Эта же методика оценки обязательна для участников платежных систем различных уровней и заниматься оценкой нужно уже сейчас.
Теперь чуть подробней о методике оценки..
name='more'> В методике 129 вопросов разбитых на 2 большие группы:
- вопросы, влияющие на интегральный показатель EV1пс (с 1 по 81);
- вопросы, влияющие на интегральный показатель EV2пс (с 82 по 129).
Оценка EV1пс соответствует направлению "Текущий уровень ИБ организации" из СТО БР ИББС. Оценка EV2пс соответствует "Менеджменту ИБ организации".
Все вопросы жёстко привязаны к конкретным пунктам требований (это явный плюс по сравнению с методикой оценки СТО БР ИББС, где связь была не всегда однозначной).
Вот основные направления ИБ по каждому из интегральных показателей:
- EV1пс:
- назначение и распределение ролей;
- защита информации на различных стадиях жизненного цикла системы;
- контроль доступа к объектам информационной инфраструктуры;
- антивирусная защита;
- защита информации при использовании сети Интернет;
- использование СЗКИ;
- технологические меры по защите информации;
- EV2пс:
- организация и функционирование службы ИБ;
- повышение осведомлённости;
- выявление инцидентов;
- определение и реализация порядка обеспечения защиты информации;
- оценка соответствия;
- отчётность перед ЦБ по оценке соответствия и инцидентам;
- совершенствование системы защиты информации.
Еще одним серьезным апгрейдом по сравнению с СТО БР ИББС являются фиксированные шкалы. Как мы знаем, в СТО БР ИББС шкалы выбирал аудитор, что создавало лишний "люфт" оценки, да и опытному аудитору выбрать нужную шкалу в хитросплетениях формулировок частных показателей было, по правде сказать, не всегда просто.
Теперь же у нас жёстко заданы 3 шкалы: булевая (да/нет), одинарная (да/частично/нет) и двойная (порядок определен/не определен, не выполняется/не полностью/почти полностью/полностью).
Все возможные численные варианты оценок опять напоминают СТО БР ИББС: 0, 0.25, 0.5, 0.75, 1.
Так же как и в СТО БР ИББС, на неактуальные для организации требования мы можем ответить н/о (нет оценки).
Все требования обязательны и алгоритм оценки стимулирует оператора развивать все направления разом.
Теперь что касается математики.
Уточняющих вопросов по перс.данным нет, тройной раздельной оценки по технологическим процессам нет, группового показателя М9, способного загнать в ноль даже хорошую оценку - тоже нет. Т.ч. почти халява :)!
Оценки EV считаются как среднее арифметическое по каждой группе. Финальная оценка R считается как наименьшая между EV1 и EV2. Абсолютно знакомая ситуация.
Однако при вычислении оценок EV добавляется еще и коэффициент k - степень "правильности" оператора :). С ростом количества полных нулей в оценках требований, коэффициент k тянет вашу оценку ко дну. Дабы исключить его влияние на оценку - нужно по всем показателям добиться хотя бы "частично" или "не полностью".
- Если количество нулей в оценке EV1 = 0, k = 1;
- Если количество нулей в оценке EV1 < 11, k = 0,85;
- Если количество нулей в оценке EV1 >= 11, k = 0,7;
- Если количество нулей в оценке EV2 = 0, k = 1;
- Если количество нулей в оценке EV2 < 6, k = 0,85;
- Если количество нулей в оценке EV2 >= 6, k = 0,7.
Свидетельства аудита.
Свидетельства аудита в 382-П были упрощены до "факторов, учитываемых при оценке", что серьезно сэкономит трудозатраты при оценке, однако снизит вероятность повторяемости результата. Наверное, свидетельствами пришлось пожертвовать для популяризации процесса.
Итоги.
Результатом оценки является итоговый показатель Rпс, который принимает значения в диапазоне от 0 до 1 с точностью 2 знака после запятой.
- 0,85 =< R =<1 "хорошо"; //а где ж "отлично" то?
- 0,7 =< R <0,85 "удовлетворительно";
- 0,5 =< R <0,7 "сомнительно"; //я бы сомнительной назвал оценку в от 0,95 до 1 :)
- R<0,5 "неудовлетворительно".
Напоследок я решил сделать широкий жест и выложить в эфир свой файл, помогающий автоматизировать вышенаписанное. Если файл вам понравился и пригодился - просто напишите об этом в комментах. Если решите с кем то поделиться - лучше делитесь ссылкой на блог :).
Актуальная версия файла тут .
Что умеет:
- полностью автоматизированный расчет всех оценок и коэффициентов;
- автоматизированная очистка оценок и генерация шкал в зависимости от типа;
- генерация таблицы из формы ОКУД 0403202 для уведомления Банка России;
- расчёт статистической информации для наглядности.
Todo лист:
Известные косяки:
- макрос иногда глючит, если лист с оценками отображается в виде страницы. Переведите в обычный, запустите макрос, переведите в страничный. Это не я, это Майкрософт =).
[UPDATE] v1.01
- Оптимизировал макрос перестройки шкал. Работает намного шустрее теперь;
- Добавил макрос (и кнопку) сброса значений. Работает вообще быстро.
