СТО БР ИББС-1.2-2014

Совсем недавно зарелизился новый Стандарт Банка России в области информационной безопасности СТО БР ИББС.

Пришло время и мне обновить свой файлик с расчётами. Самые нетерпеливые могут сразу скачать его тут.

name='more'>

Главные изменения 

В новом стандарте СТО БР ИББС-1.2-2014 изменения, в основном, технические:

• удалили уродливое приложение В (точнее заменили на менее уродливое);
• добавили новых вопросов, кое-где подправили формулировки и т.п.;
• убрали весовые коэффициенты. Раньше с ними  были одни проблемы: никто не понимал, как их посчитали, сумма коэффициентов не всегда равнялась единице, коэффициенты приходилось постоянно нормировать и т.д. Вообщем, молодцы что убрали;
• изменили шкалы оценки. Фраза "требование частично документировано", видимо, авторам не понравилась (оно и правильно), и шкала документированности сжалась с "да/частично/нет" до категоричного "да/нет".

Но авторы по непонятной мне причине упорно придерживаются магических цифр 0/0.25/0.5/0.75/1, и чтобы компенсировать отсутствие "требование частично документировано", авторы добавили новый вариант "требование почти выполняется". Добавили его они криво, и теперь в табличке с расчетами уродливые дырки, если используется 3 категория проверки, куда оценка "почти выполняется" не попала.

Что не убрали (а должны были убрать)

Тройную оценку М1-М6 применительно к различным типам информационных систем банка. Это разделение уродует стройную структуру стандарта и вносит в него неразбериху:

• Значительное число трижды оцениваемых частных показателей в М1-М6 вообще никак не зависит от типа технологического процесса. Зачем их трижды оценивать??

• Непонятно как строить итоговую диаграмму. Какие оценки М1-М6 откладывать по осям? Их 3 комплекта! Или нужно делать 3 диаграммы?

• В современных банковских системах отделить БПТП от БИТП бывает проблематично. Чистых БИТП так же очень мало (все они, как правило, включают в себя в той или иной форме персональные данные). Да и вообще к чему эти процессы разделять, если прогресс наоборот стремится их все соединить в единую банковскую информационную систему?
• Утроение одинаковых вопросов увеличивает почти в 2 раза (c 491 до 783 вопросов) и так затянутую оценку. Аудит ИБ начинает вылазить за тысячу страниц. Авторы, поберегите лес! Из тысячи банковских организаций только несколько десятков могут позволить себе аудит, оставшиеся не могут справится даже с самооценкой, ибо она слишком сложна и разрастается с каждой версией стандарта. 700 с лишним вопросов - это ОЧЕНЬ много! Если на каждый вопрос приводить ещё и свидетельства (как того требует аудит), оценка станет непомерно дорогой и в итоге превратится профанацию.

Еще одна непонятная мне вещь - оценка рекомендованных вопросов. Методика четко говорит, что оценивать их нужно либо "да", либо "н/о".
Однако у каждого рекомендованного показателя тут же в методике заботливо проставлена категория оценки от 1 до 3. Так по какой шкале их оценивать?

Такое ощущение, что стандарт писали несколько специалистов, которые не читали труды друг друга. Иначе чем объяснить все эти нестыковки?

И еще немного критики

СТО БР ИББС - это лучшее что есть в отечественном мире ИБ. Но закрытость разработки нормативных документов ЦБ для сообщества (не считая, конечно, закрытые банковские клубы) приводит к тому, что даже в финальные версии документов постоянно попадают ошибки.
В СТО БР ИББС-1.2-2014 я их нашел уже две:

1. Неправильно указана формула расчета EVбитп:

2. Отсутствует методика расчета коэффициента kоопд. Его просто забыли!

Если бы проекты документов выползли из кулуаров на свет сообщества - таких досадных ошибок бы не допустили.

Теперь о файле

Чего в файле нет, но может быть когда-нибудь будет

Что ещё почитать?