21 Июня, 2014

СТО БР ИББС-1.2-2014

Артем Агеев

Совсем недавно зарелизился новый Стандарт Банка России в области информационной безопасности СТО БР ИББС.

Пришло время и мне обновить свой файлик с расчётами. Самые нетерпеливые могут сразу скачать его тут .



Главные изменения 

В новом стандарте СТО БР ИББС-1.2-2014 изменения, в основном, технические:

  • удалили уродливое приложение В (точнее заменили на менее уродливое);
  • добавили новых вопросов, кое-где подправили формулировки и т.п.;
  • убрали весовые коэффициенты. Раньше с ними  были одни проблемы: никто не понимал, как их посчитали, сумма коэффициентов не всегда равнялась единице, коэффициенты приходилось постоянно нормировать и т.д. Вообщем, молодцы что убрали;
  • изменили шкалы оценки. Фраза "требование частично документировано", видимо, авторам не понравилась (оно и правильно), и шкала документированности сжалась с "да/частично/нет" до категоричного "да/нет".

Но авторы по непонятной мне причине упорно придерживаются магических цифр 0/0.25/0.5/0.75/1, и чтобы компенсировать отсутствие "требование частично документировано", авторы добавили новый вариант "требование почти выполняется". Добавили его они криво, и теперь в табличке с расчетами уродливые дырки, если используется 3 категория проверки, куда оценка "почти выполняется" не попала.

Что не убрали (а должны были убрать)

Тройную оценку М1-М6 применительно к различным типам информационных систем банка. Это разделение уродует стройную структуру стандарта и вносит в него неразбериху:

  • Значительное число трижды оцениваемых частных показателей в М1-М6 вообще никак не зависит от типа технологического процесса. Зачем их трижды оценивать??


  • Непонятно как строить итоговую диаграмму. Какие оценки М1-М6 откладывать по осям? Их 3 комплекта! Или нужно делать 3 диаграммы?

  • В современных банковских системах отделить БПТП от БИТП бывает проблематично. Чистых БИТП так же очень мало (все они, как правило, включают в себя в той или иной форме персональные данные). Да и вообще к чему эти процессы разделять, если прогресс наоборот стремится их все соединить в единую банковскую информационную систему?
  • Утроение одинаковых вопросов увеличивает почти в 2 раза (c 491 до 783 вопросов) и так затянутую оценку. Аудит ИБ начинает вылазить за тысячу страниц. Авторы, поберегите лес! Из тысячи банковских организаций только несколько десятков могут позволить себе аудит, оставшиеся не могут справится даже с самооценкой, ибо она слишком сложна и разрастается с каждой версией стандарта. 700 с лишним вопросов - это ОЧЕНЬ много! Если на каждый вопрос приводить ещё и свидетельства (как того требует аудит), оценка станет непомерно дорогой и в итоге превратится профанацию.
    Еще одна непонятная мне вещь - оценка рекомендованных вопросов. Методика четко говорит, что оценивать их нужно либо "да", либо "н/о".
    Однако у каждого рекомендованного показателя тут же в методике заботливо проставлена категория оценки от 1 до 3. Так по какой шкале их оценивать?

    Такое ощущение, что стандарт писали несколько специалистов, которые не читали труды друг друга. Иначе чем объяснить все эти нестыковки?

    И еще немного критики

    СТО БР ИББС - это лучшее что есть в отечественном мире ИБ. Но закрытость разработки нормативных документов ЦБ для сообщества (не считая, конечно, закрытые банковские клубы) приводит к тому, что даже в финальные версии документов постоянно попадают ошибки.
    В СТО БР ИББС-1.2-2014 я их нашел уже две:

    1. Неправильно указана формула расчета EVбитп:

    2. Отсутствует методика расчета коэффициента kоопд. Его просто забыли!

    Если бы проекты документов выползли из кулуаров на свет сообщества - таких досадных ошибок бы не допустили.

    Теперь о файле

    Начну с предупреждений. Excel - это не среда программирования, а бухгалтерский софт. Возможности его сильно ограничены, поэтому не стоит ждать от файла многого. Файл может тормозить, глючить и ломаться. Защиты от дурака практически нет. Неверное нажатие - и вся Ваша оценка улетела в трубу. Поэтому делайте копии файла после каждого существенного изменения. 
    Файл гарантировано работает на Windows 8.1 + Excel 2013. В старых версиях Excel скрипты могут работать некорректно. Если это произошло - напишите письмо, постараюсь помочь.
    Главное нововведение в новой версии файла - тройная оценка ГП М1-М6. Эти групповые показатели продублированы, сгруппированы в соответствие с расчетными формулами и объединены в цветовые группы. Листы "1"-"6" - это оценка БПТП, "1И"-"6И" - это БИТП, "1П"-"6П" - это БИТППДн.

    Чего в файле нет, но может быть когда-нибудь будет

    1. Приложения В. Есть идеи вообще объединить оба файла с оценками (СТО БР ИББС и 382-П) в один, тем более что методики теперь унифицированы и связаны. На данный момент сравнивать обе оценки и корректировать частные показатели нужно вручную.
    2. Весь показатель "н/о" сделать уже можно, но формулы придется корректировать вручную и на диаграмме он не отобразится.

    Это бетта релиз файла. В деле он ещё не проверен и не вычитан. Так что найдёте ошибку - пишите!

    Пост будет обновляться по мере изменения файла.


    Что ещё почитать?

    comments powered by Disqus