В предыдущих заметках ( 1, 2, 3) ярассматривал несколько инструментов оценки соответствия стандарту СТО БР ИББС.
Недавно INLINE Technologies анонсировалещё один инструмент автоматизация процесса проведения оценкисоответствия информационной системы кредитно-финансовых организаций требованиямСтандарта Банка России "СиТэК СТО БР Аудитор".
Хочу написать несколько слов отестировании данного продукта:
· В данном инструменте отсутствуют возможностипланирования. То есть создавать программу оценок, план аудитов и оценок, планироватьтрудозатраты ответственных лиц мы не можем.
· Но в инструменте поддерживается множественныеоценки. Работа начинается с создания аудита (оценки соответствия).
· При создании аудита необходимо ввести данныесотрудника – аудитора. В дальнейшем добавление аудиторов и распределение междуними вопросов не предусмотрено. Из этого делаю вывод что инструмент не рассчитанна проведение крупных аудитов (оценок) группой специалистов.
· Далее предлагается перейти в раздел документы внестивсе документы полученные на данный момент в результате оценки. Даже еслидокумент не подлежит утверждению (например, перечень) всё равно придетсявыбрать дату утверждения документа. Возможность массовой загрузки документовотсутствует.
· Далее предлагается перейти к оцениваниюпоказателей. Как человек опытный сначала перехожу в раздел ИСПДн. Заполняюинформацию о существующих ИСПДн и отвечаю на дополнительные вопросы. Выявиласьинтересная особенность – оценки дополнительных вопросов необходимо делать длякаждой ИСПДн независимо.
· Далее перехожу к оцениванию показателей и замечаю,что зря спешил. Мне не показывают дополнительные вопросы связанные с даннымоцениваемым показателем как и их оценки (ведь я должен их учесть при оценкепоказателя). То есть придется записывать на бумажку или запоминать.
· Далее перехожу к оцениванию показателей. Длякаждого показателя аудитор самостоятельно должен определить шкалу оценки.Рекомендаций от авторов нет. Даже на рекомендованных показателях необходимосамому выбрать
· Для каждого показателя необходимо привести хотя быодно свидетельство (документ, опрос, наблюдение). В отличие от документов, опросыи наблюдения независимые для каждого показателя. То есть, нет возможностипровести наблюдение или опрос которые касаются сразу нескольких показателей.
· Интересная возможность – при фиксациисвидетельства опрос, мы можем указать длительность опроса. Далее эта информацияиспользуется в расчете затрат на оценку соответствия.
· Далее перехожу к оцениванию показателей. Длякаждого показателя аудитор самостоятельно должен определить шкалу оценки.Рекомендаций от авторов нет. Даже на рекомендованных показателях необходимосамому выбрать
· Для каждого показателя необходимо привести хотя быодно свидетельство (документ, опрос, наблюдение). В отличие от документов, опросыи наблюдения независимые для каждого показателя. То есть, нет возможностипровести наблюдение или опрос которые касаются сразу нескольких показателей.
· Интересная возможность – при фиксациисвидетельства опрос, мы можем указать длительность опроса. Далее эта информацияиспользуется в расчете затрат на оценку соответствия.
· При оценке частных показателей из M1-M6, нетвозможности выставлять оценки по 3 направлениям (БПТП, БИТП, ОЗПД).
· Не показываются вопросы аналоги. Но показателиM28-M34 рассчитываются автоматически без участия аудитора.
· Есть возможность экспортировать и импортироватьоценки, сравнить результаты оценок. При создании оценки есть возможностьиспользовать документы и перечень ИСПДн из предыдущей оценки.
· Инструмент позволяет генерировать отчеты осоответствии СТО БР в целом и отчеты по отдельным частным показателям. Нетвозможности сгенерировать отдельного отчета с перечнем документов,свидетельствами или наблюдениями. Эта информация включается в общий отчет в форматеPDF.
· В разделе учета затрат можно учесть не толькотрудозатраты на оценку соответствие, но и затраты (CAPEX, OPEX) на улучшение показателей.
· Стоимость инструмента составляет 75 000 руб.
В целом продукт неплохой.Реализованы минимально необходимые возможности для оценки, есть свои фишки (сравнениеоценок, учет затрат), но есть и к чему стремится.
Идеального инструмента оценки соответствия СТО БР ИББС на рынке пока не появилось - но надежда не умирает.
