СОИБ. Анализ. Инструменты для оценки соответствия стандарту СТО БР ИББС 5

СОИБ. Анализ. Инструменты для оценки соответствия стандарту СТО БР ИББС 5

В предыдущих заметках ( 1 , 2 , 3 ) ярассматривал несколько инструментов оценки соответствия стандарту СТО БР ИББС.

Недавно INLINE Technologies анонсировал ещё один инструмент автоматизация процесса проведения оценкисоответствия информационной системы кредитно-финансовых организаций требованиямСтандарта Банка России "СиТэК СТО БР Аудитор".


Хочу написать несколько слов отестировании данного продукта:
·        В данном инструменте отсутствуют возможностипланирования. То есть создавать программу оценок, план аудитов и оценок, планироватьтрудозатраты ответственных лиц мы не можем.
·        Но в инструменте поддерживается множественныеоценки. Работа начинается с создания аудита (оценки соответствия).
·        При создании аудита необходимо ввести данныесотрудника – аудитора. В дальнейшем добавление аудиторов и распределение междуними вопросов не предусмотрено. Из этого делаю вывод что инструмент не рассчитанна проведение крупных аудитов (оценок) группой специалистов.
·        Далее предлагается перейти в раздел документы внестивсе документы полученные на данный момент в результате оценки. Даже еслидокумент не подлежит утверждению (например, перечень) всё равно придетсявыбрать дату утверждения документа. Возможность массовой загрузки документовотсутствует.


·        Далее предлагается перейти к оцениваниюпоказателей. Как человек опытный сначала перехожу в раздел ИСПДн. Заполняюинформацию о существующих ИСПДн и отвечаю на дополнительные вопросы. Выявиласьинтересная особенность – оценки дополнительных вопросов необходимо делать длякаждой ИСПДн независимо.

·        Далее перехожу к оцениванию показателей и замечаю,что зря спешил. Мне не показывают дополнительные вопросы связанные с даннымоцениваемым показателем как и их оценки (ведь я должен их учесть при оценкепоказателя). То есть придется записывать на бумажку или запоминать.
·        Далее перехожу к оцениванию показателей. Длякаждого показателя аудитор самостоятельно должен определить шкалу оценки.Рекомендаций от авторов нет. Даже на рекомендованных показателях необходимосамому выбрать
·        Для каждого показателя необходимо привести хотя быодно свидетельство (документ, опрос, наблюдение). В отличие от документов, опросыи наблюдения независимые для каждого показателя. То есть, нет возможностипровести наблюдение или опрос которые касаются сразу нескольких показателей.
·        Интересная возможность – при фиксациисвидетельства опрос, мы можем указать длительность опроса. Далее эта информацияиспользуется в расчете затрат на оценку соответствия.

·        При оценке частных показателей из M1-M6, нетвозможности выставлять оценки по 3 направлениям (БПТП, БИТП, ОЗПД).
·        Не показываются вопросы аналоги. Но показателиM28-M34 рассчитываются автоматически без участия аудитора.
·        Есть возможность экспортировать и импортироватьоценки, сравнить результаты оценок. При создании оценки есть возможностьиспользовать документы и перечень ИСПДн из предыдущей оценки.

·        Инструмент позволяет генерировать отчеты осоответствии СТО БР в целом и отчеты по отдельным частным показателям. Нетвозможности сгенерировать отдельного отчета с перечнем документов,свидетельствами или наблюдениями. Эта информация включается в общий отчет в форматеPDF.
·        В разделе учета затрат можно учесть не толькотрудозатраты на оценку соответствие, но и затраты (CAPEX, OPEX) на улучшение показателей.
·        Стоимость инструмента составляет  75 000 руб.

В целом продукт неплохой.Реализованы минимально необходимые возможности для оценки, есть свои фишки (сравнениеоценок, учет затрат), но есть и к чему стремится.

Идеального инструмента оценки соответствия СТО БР ИББС на рынке пока не появилось - но надежда не умирает.
СОИБ Анализ аудит Банк России
Alt text