Очередной неудобной особенностью работы с Приложением В Методики оценки СТО БР ИББС-1.2-2010 является выбор нужного уточняющего вопроса, влияющего на рассматриваемый частный показатель....
Во-первых, авторы уточняющих вопросов от нас скрыли то, что каждый вопрос имеет свою "специализацию" и зависит от типа имеющихся у нас ИСПДн (подробнее о классификации банковских ИСПДн здесь), что следует из анализа Таблицы 2 Приложения В.
Вот она:
- Все типы ИСПДн - уточняющие вопросы 1-13;
- ИСПДн-И+Б+С (т.е. любая ИСПДн, кроме ИСПДн-Д) - 14-22, 29;
- ИСПДн-Б - 23;
- ИСПДн-С - 24-28, 30-34.
Не обошлось, кстати, и без ошибок. Согласно указанной ранее "Таблице 2 " 23 вопрос (про ПП512 "Требования к мат.носителям биометрических ПДн") ненароком причислен к ИСПДн-С у показателя М3.4.
Если у вас есть только ИСПДн-И - 23-28 и 30-34 вопрос можете смело вычеркивать.
Во-вторых, необходимым условием работы с Приложением В является таблица, фрагмент которой приведён на рисунке ниже (а полная версия доступна тут).
Без нее попытка понять какие все-таки уточняющие вопросы влияют на выбранный частный показатель скорее всего сведёт вас с ума.
PS. Расшифровка цветов на рисунке представлена в полной версии таблицы по ссылке выше.
PPS. Еще про специфику работы с Приложением В тут.
Артем, а чем собственно представленная таблица отличается от Таблицы 2 Приложения В СТО БР ИББС-1.2-2010???
ОтветитьУдалитьДа и насчет "авторы уточняющих вопросов от нас скрыли то, что каждый вопрос имеет свою "специализацию" и зависит от типа имеющихся у нас ИСПДн" - см. РС БР ИББС-2.3 и ту же таблицу 2 Приложения В Методики и все встанет на место.
ИМХО.
Нашей таблицей намного удобней пользоваться. Попробуйте сами :-)
ОтветитьУдалитьТолько что с обучения по аудиту ИБ
ОтветитьУдалитьhttp://sborisov.blogspot.com/2011/07/blog-post.html
Там аналогичную таблицу показывали и рекомендовали использовать. Так что эта идея видимо витает в воздухе или очевидна для всех.