Как влияют уточняющие вопросы на рекомендуемые показатели? (см. далее)
Есть такая прекрасная табличка в СТО БР ИББС-1.2
вот она нам и рассказывает, как же оценивать частные показатели ИБ в зависимости от ответа на уточняющие вопросы Приложения В. Прекрасно работает, когда у нас 2 шкалы - Требование и Выполнение.
А когда у нас только "да" либо "не применим"?
см. частный показатель М12.2, к примеру.
Как тут быть? Прошу мысли в комментах :).
PS. Про содержимое уточняющих вопросов я вообще промолчу. На классификацию активов влияет очистка освобождаемых областей памяти на носителях..
Есть такая прекрасная табличка в СТО БР ИББС-1.2
А когда у нас только "да" либо "не применим"?
см. частный показатель М12.2, к примеру.
Как тут быть? Прошу мысли в комментах :).
PS. Про содержимое уточняющих вопросов я вообще промолчу. На классификацию активов влияет очистка освобождаемых областей памяти на носителях..
Я считаю, что в случае оценки рекомендуемого частного показателя с учетом уточняющих вопросов Приложения В, приведенная выше таблица работает все также. Т.е. если у нас оценки по выполнению и документированию по перечную уточняющих вопросов равны 1 и само требование частного показателя оценивается как 1, то и итоговая оценка по частному показателю будет 1 (как полное выполнение и документирование).
ОтветитьУдалитьВо всех остальных случаях будет меньше 1, т.е. не полное выполнение или документирование и, в соответствии со СТО БР ИББС-1.2, оценка у частного показателя будет "н/о".
Это очень жесткий подход. Так будут сплошные Н/О.
ОтветитьУдалитьОдно из правил аудитора - это работа в пользу банка. Мы адвокаты а не судьи. Если требование можно трактовать в пользу банка - его следует трактовать в пользу банка!
Именно по-этому мы решили сделать "справочный" характер уточнящих вопросов.
Да, но с другой стороны уточняющие вопросы - это требования РС-2.3, которые в банках должны быть выполнены по максимуму, т.к. это требования по защите ПДн. Поэтому, если из-за них пару рекомендуемых показателей будет "н\о", то значит банку есть над чем поработать.
ОтветитьУдалитьИ в задачи аудитора все-таки не входит по максимуму натягивать оценки банка. Те банки, которые уже сейчас хотят получить высокий уровень оценки соответствия, не имея при этом у себя нормально выстроенной СОИБ, на мой взгляд взяли не тот курс. ЦБ уже говорил, что сейчас больше доверия к низким оценка, так как они более адекватны. Сейчас главное показать динамику - что в банке идет работа и уровень соответствия постепенно растет.
Подтверждаю мнение IBSec - если рекомендованный показатель не выполнен на 100%, то надо ставить н/о
ОтветитьУдалитьВопрос то не про рекомендуемые ч.п., а про влияние ув на рекомендуемые чп.
ОтветитьУдалитьС самими рекчп давно то все ясно.