В этот раз хочется продолжить вопрос корреляции, но уже с точки зрения процедуры оценки соответствия.
С учетом нововведений и повышенного интереса к Положению № 382-П я буду сравнивать именно его Приложение № 1 «Порядок проведения оценки соответствия и документирования ее результатов» и ГОСТ Р 57580.2-2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия».
В Положении № 382-П вводятся 3 категории проверки требований, оцениваемых по следующему принципу:
- для 1-ой категории: 0 – 0,25 – 0,5 – 0,75 – 1;
- для 2-ой категории: 0 – 1;
- для 3-ей категории: 0 – 0,5 – 1,
безусловно, может быть вариант «н/о», если требования не применимы (нет банкоматов, нет платежных терминалов и т.п.).
В самом начале для каждого требования выставляется значение с учетом категории его проверки.
После этого вычисляются 2 среднеарифметических значения, умноженных на советующий корректирующий коэффициент, и среди полученных EV1пс и EV2пс выбирается наименьший показатель, который и выступает итоговым значением – Rпс.
Уже значение Rпс можно увязать с качественной шкалой:
По большому счету, можно сказать, что нужно сделать условно бинарную операцию по заполнению одной таблицы в Приложении № 2, две операции вычисления среднего арифметического с весовым коэффициентом, одну операцию – выбор минимального значения.
С учетом «прозрачности» оценки организации нужно стараться повышать себя в каждой оценке выполнения требований и избегать прецедентов «полного невыполнения» (чтобы не «налететь» на понижающий коэффициент).
Теперь посмотрим, что предлагает ГОСТ Р 57580.2-2018.
1. Первым делом нужна оценка, характеризующая выбор мер.
Для каждой меры выставляется значение Eмзиj: 0 – мера не выбрана, 1 – мера выбрана.
После этого вычисляется среднеарифметическое значение для каждого из 8 процессов Eпзиj, в т.ч. с учетом наличия подпроцессов в них.
Здесь интересно то, что требования из раздела 7 ГОСТ Р 57580.1-2017, а это 34 из 61 страницы всего стандарта, оцениваются только так, выбрано или нет!
2. Теперь начинается путь оценки по направлениям «планирование – реализация – контроль – совершенствование», а именно оценки характеризующей полноту реализации мер.
Для каждой меры из направления (это НЕ те же самые меры, что были выше!) под каждый из 8-и процессов выставляется значение Eмоу: 0 – полностью не реализуется, 0.5 – реализуется не в полном объеме, 1 – реализуется в полном объеме.
После этого вычисляется среднеарифметическое значение для каждого из 4 направлений по каждому из 8 процессов Eпi, Epi, Eкi и Eсi.
Что именно здесь интересного, я напишу чуть ниже, но возможно кто-то уже начинает чувствовать …
3. Теперь отдельно оценивается применение мер на этапах жизненного цикла АС и приложений.
Для каждой меры выставляется значение Емас: 0 – полностью не реализуется, 0.5 – реализуется не в полном объеме, 1 – реализуется в полном объеме.
После этого вычисляется среднеарифметическое значение Eас.
4. Закончив с «телом» ГОСТ Р 57580.1-2017, вычисляется числовое значение оценки соответствия каждого процесса:
Здесь же стоит отметить, что если в организации несколько контуров (зон оценки) с разными уровнями ЗИ, то этот расчет проводится для каждого из контуров, а затем по доп. формулам (4 шт.) вычисляется итоговое значение Ei.
И уже значение Ei можно увязать с качественной шкалой:
Но вот вам и перовое отличие от Положения № 382-П, здесь процесс не закачивается!
Это не ваша итоговая оценка.
5. Итоговую оценку соответствия R вычисляют по формуле:
,где:
T – количество процессов, вошедших в область оценки;
Z – количество нарушений из 19, приведенных в ГОСТ Р 57580.2-2018:
И только здесь делается вывод о соответствии:
Однозначно можно сказать, что оценка по Положению № 382-П значительно проще и прозрачнее по сравнению с ГОСТ Р 57580.2-2018.
В ГОСТ Р 57580.2-2018 в финале остается только вариант соответствия или нет, без диапазонов.
Самое главное, что оба подхода не требуют 100% или 99.99%-ного соответствия.
И пару слов про интересные моменты:
1. Предположим у организации все меры выбраны по процессам, все проделано по направлениям и на этапах жизненного цикла.
Таким образом, уменьшаемое в формуле R равно 1, но стоит проверяющей группе выявить 15 нарушений, и получается 0,85, т.е. несоответствие.
2. В отличии от Положения № 382-П за счет участия в итоговом расчете R нескольких величин можно «дотягивать» оценку (в случае несоответствия) за разные «ниточки», а не только за ниточку реализации.
Продолжение следует …
