четверг, 14 апреля 2011 г.

Особенности работы с Приложением В Методики оценки СТО БР ИББС-1.2 (Часть 2)

Часть 1 Часть 2

Рассмотрим все на примере.

Допустим в нашем банке есть только ИСПДн-И. Нет специальных, нет биометрических.

Оцениваем частный показатель М5.15:
Определены ли в документах организации перечень защитных мер и порядок их использования для осуществления почтового обмена через сеть Интернет?

Его "уточняют" 3 вопроса: 13, 22, и 34. Причем 34 - "специальный". Его вычеркиваем. Остаётся 2:
13. Осуществляется ли передача персональных данных только при условии обеспечения их целостности с помощью защитных мер, механизмов и средств, применяемых по согласованию со структурным подразделением или должностным лицом (работником) организации, ответственным за обеспечение безопасности персональных данных?
22. Осуществляется ли подключение ИСПДн к ИСПДн другого класса или к сети Интернет с использованием средств межсетевого экранирования (межсетевых экранов), которые обеспечивают выполнение следующих функций:
- фильтрацию …;
- идентификацию …;
- регистрацию …?

Оцениваем уточняющие вопросы.
13 вопрос. Средства электронно-цифровой подписи почтового трафика в нашем банке отсутствуют. В документах закреплено лишь общее требование обеспечения целостности ПДн.
Итого: Требования зафиксированы частично, не выполняются.
22 вопрос. В рамках построения подсистемы обеспечения ИБ банка, интегратор поставил нам и настроил сертифицированный межсетевой экран, сопроводив работы полной проектной документацией. Однако офис в здании напротив все еще ходит в Интернет "напрямую". 
Итого: Требования зафиксированы полностью, но выполняются лишь частично.

Общий итог:  Требования всех уточняющих вопросов зафиксированы частично, и выполняются не в полном объёме.

Учитывая  Таблицу 7 Методики оценки, максимальная оценка частного показателя должна быть не более 0,25.

Оцениваем частный показатель ИБ.
В банке разработана частная политика ИБ по электронной почте, поэтому можно сказать, что требование выполняется полностью.  Однако, учитывая уточняющие вопросы, мы ставим оценку не выше, т.е. 0,25.

Распространенная ошибка
Если бы мы стали оценивать каждый из уточняющих вопросов количественно, то получили бы две оценки 0 на 13 вопрос и 0,5 на 22. Общая итоговая оценка частного показателя ИБ, если брать по-минимуму, была бы равна 0. Отсутствие качественного подхода к оценке уточняющих вопросов привело бы к неправильной итоговой оценке частного показателя ИБ.




4 комментария:

  1. Спасибо за пример.
    Теперь понятно как это оценивать.
    BSAT уже учитывает уточняющие вопросы?

    ОтветитьУдалить
  2. начиная с версии 1.1. Релиз запланирован на 25 апреля.

    ОтветитьУдалить
  3. Ошибка в статье!
    "Рассмотрим все на примере... Оцениваем частный показатель М15.5" А на самом деле вы рассматриваете показатель М5.15

    ОтветитьУдалить
  4. Спасибо! Исправил.

    ОтветитьУдалить