21 Июня, 2014

СТО БР ИББС-1.2-2014

Артем Агеев

Совсем недавно зарелизился новый Стандарт Банка России в области информационной безопасности СТО БР ИББС.

Пришло время и мне обновить свой файлик с расчётами. Самые нетерпеливые могут сразу скачать его тут .



Главные изменения 

В новом стандарте СТО БР ИББС-1.2-2014 изменения, в основном, технические:

  • удалили уродливое приложение В (точнее заменили на менее уродливое);
  • добавили новых вопросов, кое-где подправили формулировки и т.п.;
  • убрали весовые коэффициенты. Раньше с ними  были одни проблемы: никто не понимал, как их посчитали, сумма коэффициентов не всегда равнялась единице, коэффициенты приходилось постоянно нормировать и т.д. Вообщем, молодцы что убрали;
  • изменили шкалы оценки. Фраза "требование частично документировано", видимо, авторам не понравилась (оно и правильно), и шкала документированности сжалась с "да/частично/нет" до категоричного "да/нет".

Но авторы по непонятной мне причине упорно придерживаются магических цифр 0/0.25/0.5/0.75/1, и чтобы компенсировать отсутствие "требование частично документировано", авторы добавили новый вариант "требование почти выполняется". Добавили его они криво, и теперь в табличке с расчетами уродливые дырки, если используется 3 категория проверки, куда оценка "почти выполняется" не попала.

Что не убрали (а должны были убрать)

Тройную оценку М1-М6 применительно к различным типам информационных систем банка. Это разделение уродует стройную структуру стандарта и вносит в него неразбериху:

  • Значительное число трижды оцениваемых частных показателей в М1-М6 вообще никак не зависит от типа технологического процесса. Зачем их трижды оценивать??


  • Непонятно как строить итоговую диаграмму. Какие оценки М1-М6 откладывать по осям? Их 3 комплекта! Или нужно делать 3 диаграммы?

  • В современных банковских системах отделить БПТП от БИТП бывает проблематично. Чистых БИТП так же очень мало (все они, как правило, включают в себя в той или иной форме персональные данные). Да и вообще к чему эти процессы разделять, если прогресс наоборот стремится их все соединить в единую банковскую информационную систему?
  • Утроение одинаковых вопросов увеличивает почти в 2 раза (c 491 до 783 вопросов) и так затянутую оценку. Аудит ИБ начинает вылазить за тысячу страниц. Авторы, поберегите лес! Из тысячи банковских организаций только несколько десятков могут позволить себе аудит, оставшиеся не могут справится даже с самооценкой, ибо она слишком сложна и разрастается с каждой версией стандарта. 700 с лишним вопросов - это ОЧЕНЬ много! Если на каждый вопрос приводить ещё и свидетельства (как того требует аудит), оценка станет непомерно дорогой и в итоге превратится профанацию.
    Еще одна непонятная мне вещь - оценка рекомендованных вопросов. Методика четко говорит, что оценивать их нужно либо "да", либо "н/о".
    Однако у каждого рекомендованного показателя тут же в методике заботливо проставлена категория оценки от 1 до 3. Так по какой шкале их оценивать?

    Такое ощущение, что стандарт писали несколько специалистов, которые не читали труды друг друга. Иначе чем объяснить все эти нестыковки?

    И еще немного критики

    СТО БР ИББС - это лучшее что есть в отечественном мире ИБ. Но закрытость разработки нормативных документов ЦБ для сообщества (не считая, конечно, закрытые банковские клубы) приводит к тому, что даже в финальные версии документов постоянно попадают ошибки.
    В СТО БР ИББС-1.2-2014 я их нашел уже две:

    1. Неправильно указана формула расчета EVбитп:

    2. Отсутствует методика расчета коэффициента kоопд. Его просто забыли!

    Если бы проекты документов выползли из кулуаров на свет сообщества - таких досадных ошибок бы не допустили.

    Теперь о файле

    Начну с предупреждений. Excel - это не среда программирования, а бухгалтерский софт. Возможности его сильно ограничены, поэтому не стоит ждать от файла многого. Файл может тормозить, глючить и ломаться. Защиты от дурака практически нет. Неверное нажатие - и вся Ваша оценка улетела в трубу. Поэтому делайте копии файла после каждого существенного изменения. 
    Файл гарантировано работает на Windows 8.1 + Excel 2013. В старых версиях Excel скрипты могут работать некорректно. Если это произошло - напишите письмо, постараюсь помочь.
    Главное нововведение в новой версии файла - тройная оценка ГП М1-М6. Эти групповые показатели продублированы, сгруппированы в соответствие с расчетными формулами и объединены в цветовые группы. Листы "1"-"6" - это оценка БПТП, "1И"-"6И" - это БИТП, "1П"-"6П" - это БИТППДн.

    Чего в файле нет, но может быть когда-нибудь будет

    1. Приложения В. Есть идеи вообще объединить оба файла с оценками (СТО БР ИББС и 382-П) в один, тем более что методики теперь унифицированы и связаны. На данный момент сравнивать обе оценки и корректировать частные показатели нужно вручную.
    2. Весь показатель "н/о" сделать уже можно, но формулы придется корректировать вручную и на диаграмме он не отобразится.

    Это бетта релиз файла. В деле он ещё не проверен и не вычитан. Так что найдёте ошибку - пишите!

    Пост будет обновляться по мере изменения файла.


    Что ещё почитать?

    или введите имя

    CAPTCHA
    Максим Дуков
    24 Июня, 2014
    По поводу М1-М6 - полагаю, стоит брать наименьшую оценку. Тем более, что, как верно было отмечено, процессы крайне сложно разделить и в бОльшей своей части оценки будут совпадать.
    0 |
    • Поделиться
    • Ссылка
    Максим Дуков
    24 Июня, 2014
    и про Коопд. Я бы все-же брал границы 0-1-20. В EV1 у всех остальных оценок коэффициенты имеют именно такие границы. Хотя 0-1-10 только занижает оценку, так что большой ошибки не будет.
    0 |
    • Поделиться
    • Ссылка
    Артем Агеев
    24 Июня, 2014
    Определенный смысл в этом есть, так как оценка EV1, в конечном счете, берется минимальной из тех оценок, которые определяются раздельной оценкой М1-М6. Однако стандарт есть стандарт, и менять его под себя мы не вправе. Будем надеяться, что через 4 года авторы образумятся .
    0 |
    • Поделиться
    • Ссылка
    Артем Агеев
    24 Июня, 2014
    Добавил в фаил кнопку, которая будет копировать оценки М1-М6. Должна помочь в случаях, когда ответы совпадают.
    0 |
    • Поделиться
    • Ссылка
    25 Июня, 2014
    Добрый день! Есть несколько комментариев и предложений: 1. «Но авторы по непонятной мне причине упорно придерживаются магических цифр 0/0.25/0.5/0.75/1, и чтобы компенсировать отсутствие "требование частично документировано", авторы добавили новый вариант "требование почти выполняется". Добавили его они криво, и теперь в табличке с расчетами уродливые дырки, если используется 3 категория проверки, куда оценка "почти выполняется" не попала.» На мой взгляд, исключительно субъективная оценка. Если нет возможности «красиво» представить систему оценки, это не значит, что в документе что-то криво, может быть эксель не предоставляет всей полноты возможностей автоматизации? 2. «Значительное число трижды оцениваемых частных показателей в М1-М6 вообще никак не зависит от типа технологического процесса. Зачем их трижды оценивать??» Касательно примера, частные показатели М1.14 и М.1.16 носят рекомендательный характер выполнения и если нет желания их оценивать в силу независимости от типа технологического процесса – ставится н/о, что не сказывается на итоговом результате. Для остального необходима конкретика, возможно где-то, действительно, есть элемент дублирования. 3. «Непонятно как строить итоговую диаграмму. Какие оценки М1-М6 откладывать по осям? Их 3 комплекта! Или нужно делать 3 диаграммы?» Здесь действительно нет точного ответа, и может быть несколько вариантов трактовки. Но независимо от трактовки, эта диаграмма, если я правильно понимаю, не влияет на итоговый результат (для подсчета которого, кстати, методика расчета оценка в зависимости от типа технологического процесса дана) и является исключительно визуализацией оценки частных показателей. 4. «В современных банковских системах отделить БПТП от БИТП бывает проблематично. Чистых БИТП так же очень мало (все они, как правило, включают в себя в той или иной форме персональные данные). Да и вообще к чему эти процессы разделять, если прогресс наоборот стремится их все соединить в единую банковскую информационную систему?» Во-первых, если процесс включает ПДн, но при этом система не классифицирована как ИСПДн, то, на мой взгляд, нет смысла рассматривать процесс как включающий ПДн и стоит считать его либо БПТП, либо БИТП. Во-вторых, объединение процессов в одной информационной системе не означает объединения их в одном процессе. Разделение процессов стоит осуществлять хотя бы только потому, что требования, предъявляемые к ПТП, ИТП и обработке ПДн разные и слишком дорого рассматривать все процессы по критерию максимальных требований (ПДн). 5. «Утроение одинаковых вопросов увеличивает почти в 2 раза (c 491 до 783 вопросов) и так затянутую оценку. Аудит ИБ начинает вылазить за тысячу страниц. Авторы, поберегите лес! Из тысячи банковских организаций только несколько десятков могут позволить себе аудит, оставшиеся не могут справится даже с самооценкой, ибо она слишком сложна и разрастается с каждой версией стандарта. 700 с лишним вопросов - это ОЧЕНЬ много! Если на каждый вопрос приводить ещё и свидетельства (как того требует аудит), оценка станет непомерно дорогой и в итоге превратится профанацию» Для каких-либо комментариев от ЦБ, необходимо давать конкретные предложения. Работа с предложениями из серии «подумайте» нереальна. Здесь и так представлена точка зрения регулятора. Критично посмотреть на свою же точку зрения нереально. Кстати, «закрытые банковские клубы» в лице официального Подкомитета «Безопасность финансовых (банковских) операций» Технического комитета № 122 «Стандарты финансовых операций» документ просмотрели и дали свои предложения. 6. «Еще одна непонятная мне вещь - оценка рекомендованных вопросов». Несостыковок как таковых нет, есть неточность формулировки, и нужны разъяснения ЦБ. На мой взгляд, логично неточность формулировки обходить следующим образом: Если есть желание оценивать рекомендуемый частный показатель, то необходимо обратиться к оценке в соответствии с категориями. Если оценка в соответствии с категориями получается равной 1, то ставится 1, если оценка в соответствии с категориями получается не равной 1, то в силу того, что рекомендуемый частный показатель не может занижать итоговую оценку, ставится н/о. 7. И в заключении. У ЦБ есть такая замечательная вещь, как Интернет-приемная Банка России. Если есть какие-то вопросы, которые могут улучшить «лучшее что есть в отечественном мире ИБ» их все же стоит задать по адресу.
    0 |
    • Поделиться
    • Ссылка