Security Lab

СОИБ. Анализ. Инструменты для оценки соответствия стандарту СТО БР ИББС 4

СОИБ. Анализ. Инструменты для оценки соответствия стандарту СТО БР ИББС 4

В одной из предыдущих заметок  я рассматривал инструмент ISM Revision: Audit Manager от ISM SYSTEMS для оценкисоответствия стандарту СТО БР ИББС .

Недавно тот-жепроизводитель запустил бесплатный online -сервис для оценки соответствия СТО БР ИББС. 

Под даннымназванием компания ISM SYSTEMS предлагает нам перечень из порядка 100 неких мероприятий.Предлагается отметить какие мероприятия из данного перечня уже выполнены вбанке и получить некие оценки по названиям похожие на обозначения из СТО БРИББС–1.2–2010.
Целью оценкисоответствия ИБ Банка является определение степени соответствия ИБ организациитребованиям СТО БР ИББС–1.0. Как может предлагаемый бесплатный сервис помочь вдостижении этой цели?
Во-первыхнепонятно как связанны предлагаемые мероприятия и СТО БР ИББС. В сервисе неприводится связи между мероприятиями и пунктами стандарта. Нет возможностиопределить являются ли данные мероприятия избыточными или наоборотнедостаточными для полного соответствия СТО БР ИББС.

Например, цитирую СТОБР ИББС–1.2–2010:
“М4.3. Осуществляется ли установка и регулярноеобновление средств антивирусной защиты (версий и баз данных) наавтоматизированных рабочих местах и серверах АБС администраторами АБС или инымиофициально уполномоченными лицами?
“М4.4. Организован ли автоматический режим установкиобновлений антивирусного программного обеспечения и его баз данных?”

В разделе 2 “Антивируснаязащита” онлайн-сервиса ничего подобного нет.
Во вторых часть пунктовстандарта является рекомендациям или часть требований СТО БР ИББС может бытьнеактуальна для конкретного Банка. В указанно онлайн-сервисе нет возможностиуказать неактуальные или рекомендуемые мероприятия.
В-третьих мероприятияприведены довольно крупные (особенно касается документов). При этом нетвозможности указать частичную степень выполнения мероприятия. А ведь в банке которыйнаходится в процессе приведения в соответствие могут быть частичнозадокументированные процедуры. Пользователи онлайн-сервиса будут получать нулиза такие пункты и соответственно неактуальную оценку.
В-четвертых зависимостьитоговых показателей от мероприятий не описана, не очевидна и имеет ошибки. Такнапример выполнив все требования по защите ПДн (раздел 7) мы сразу получаем 1 вR - итоговыйуровень соответствия ИБ. В соответствии со СТО БР ИББС-1.2 значение R определяется понаименьшему из EV1, EV2,EV3.
В-пятыхотсутствуют уточняющие вопросы или мероприятия им соответствующие.
Так-жеонлайн-сервис не позволяет сделать необходимые даже для самооценки ИБ действия:
·       Не позволяет планироватьмероприятий по оценке;
·       Не позволяет прикреплять или дажеуказывать свидетельства оценки;
·       Не учитывает возможностивыполнения мероприятий только для одного из направления (БПТП, БИТП, ОЗПД);
·       Нет возможности сохранитьрезультаты или отчет.
Таким образомиспользовать для самооценки ИБ данный онлайн-сервис нельзя.

Тогда для чего жеон? Может быть он предназначен для формирования плана мероприятий необходимыхдля соответствия СТО БР ИББС?
Но и дляформирования плана сервис не подходит:
·       Не приводится зависимости между мероприятиямии пунктами стандарта;
·       Не приводится зависимости междумероприятиями и групповыми показателями;
·       Нет возможности экспортироватьперечень невыполненных мероприятий.

Остается сделатьвывод, что данный сервис сделан исключительно в развлекательных и игровых целях.В таком случаем скажу спасибо авторам хотя бы за это.
СОИБ Анализ Банк России
Alt text

Устали от того, что Интернет знает о вас все?

Присоединяйтесь к нам и станьте невидимыми!