среда, 7 сентября 2011 г.

К вопросу о тройной оценке показателей М1-М6

В методике оценки СТО БР ИББС-1.2 есть пункт:
7.4. Оценивание частных показателей в рамках групповых показателей М1÷М6 необходимо осуществлять раздельно по результатам анализа выполнения соответствующих требований СТО БР ИББС1.0 по следующим направлениям:
— банковский платежный технологический процесс (М7);
— банковский информационный технологический процесс (М8);
— банковский технологический процесс, в рамках которого обрабатываются персональные данные (М10).
Давайте попробуем понять каким образом нам нужно правильно оценить  эти показатели.

Вначале хотелось бы сказать, что в большинстве банков на сегодняшний момент стоят комплексные АБС, которые с учётом дополнительных модулей обеспечивают весь требуемый функционал для деятельности банка, начиная от собственной кадровой работы и до работы с кредитами, выпуска пластиковых карт и т.д.
Поэтому разделение на БПТП, БИТП, БТП+ПДн и ИСПДн достаточно условно. СУБД, как правило, всё равно одна, технология доступа тоже. 

Во-вторых, частные показатели М1-М6 содержат в большинстве своём общие вопросы, например М1.17 "Подписывают ли работники соглашение о конфиденциальности?" и т.д. Естественно, оценивать подобные вопросы трижды нет никакой необходимости.

Третье и самое важное. Указанные показатели М1-М6 влияют на показатель EV1, а тот, в свою очередь, влияет на всю оценку в целом. Т.о. оценив трижды показатели М1-М6 мы получим три комплекта итоговых оценок (кажется мне, что на такой эффект авторы Методики явно не рассчитывали). Какой из данных комплектов считать итоговым? Какой отправлять в ЦБ в Подтверждении?

Столкнувшись с этой ситуацией мы решили применить принцип "Бритвы Оккама" и выбрать самое простое решение: 
Все частные показатели, затрагивающие отдельные аспекты различных информационных систем оценивать по наихудшему показателю.

Ведь в конечном счете прочность любой цепи определяется по самому слабому звену, а итоговая оценка - по самой запущенной информационной системе.

9 комментариев:

  1. Коллеги, согласно п.7.6 СТО БР ИББС-1.2 итоговая оценка EV1 определяется по наименьшему значению из оценок EVбитп, EVбптп, EV2озпд и EVоопд, которые формируются в том числе на основании оценок М1-М6 применительно к БПТП, БИТП, БТП+ПДн в ИСПДн.
    О каких трех комплектах оценок идет речь??? Вы о чем?? - Как не крути получается одна оценка EV1 и одна оценка для R.

    Смотрим далее, согласно п.11.6 СТО БР ИББС-1.2-2010 в Подтверждение соответствия, направляемое регуляторам, в обязательном порядке включаются только 4 оценки: оценка итогового уровня (R), EVоопд, EV1озпд и EVм6 применительно к БТП+ПДн. И тут две оценки (EV1озпд и EVм6) получаются на основе оценок применительно к БТП+ПДн. Если оценивать все вместе, то оценка того же EVм6 будет другой (выше или ниже в зависимости от ситуации) и не будет отражать ситуации с защитой ПДн.

    ОтветитьУдалить
  2. В целом согласен с Игорем.

    Хочу только отметить, что реально при проведении аудита очень мало частных показателей из M1-M6 оценки которых различались.

    Оценка больше половины частных показателей из M1-M6 просто не может различаться.

    Тут хорошо бы разработчику один раз провести анализ, и оставить тройную оценку только там где это возможно (порядка 30% из M1-M6).

    ОтветитьУдалить
  3. Да, забыл добавить.
    Дополнительные вопросы по ПДн должны влиять только на оценку EV1ОЗПД.
    При оценке EVбитп, EVбптп, EV2озпд и EVоопд дополнительные вопросы можно не учитывать.

    Всё это невозможно рассчитать, если не ввести тройную оценку по частным показателям.

    ОтветитьУдалить
  4. Коллеги, спор на пустом месте. Обратите внимание на содержимое М1-М6.

    М1 - общие вопросы (прием сотрудников на работу, распределение ролей в организации, проверки компетентности и т.д.);
    М2 - роль службы ИБ в жизненом цикле АБС;
    М3 - регистрация и доступ. Учитывая структуру современных АБС - ответы будут одинаковы;
    М4 - антивирусы, М5 - интернет, М6 - криптография.

    даже там где за уши можно притянуть БхТП, вопрос обычно формулируется обще: "выполняется ли в организации, определены ли в организации, осуществляется ли в организации" и т.д.

    Боюсь что реализовав эту идею "как есть", мы просто утроим количество щелчков мыши с нулевым эффектом.

    ОтветитьУдалить
  5. Если написано "организация" это не значит что вопрос нельзя применить для части процессов организации.

    Пример из недавнего аудита. Выбрали системы:
    БИТП - выбрана AD, Exchange
    БПТП - АБС
    БТП+ПДн - 1С кадры


    М1.1 Определены ли в документах организации роли ее работников?
    М1.3 Персонифицированы ли роли в организации с установлением ответственности за их выполнение?

    В АБС у нас роли были определены и персонифицированы документально. В AD роли не определены и не персонифицированы документально. В AD роли не определены и не персонифицированы документально.

    М3.1 Определен ли в документах организации перечень информационных активов (их типов)?

    Перечень информационных активов для АБС был определен частично. Для AD и 1С перечень информационных активов не определен.

    М3.5 Определены ли в документах организации, утверждены ли руководством организации, выполняются ли и контролируются ли процедуры идентификации, аутентификации и авторизации?

    Для АБС процедуры контролируются. Для AD и 1С не контролируются.

    Оценки будут разные.

    ОтветитьУдалить
  6. Учитывая то, что EV1 берется по-минимуму из оценок БПТП, БИТП, БТППДн, то отвечая по-минимуму на частные показатели М1-М6 (т.е. по наихудшей ситуации из всех БТП), Вы в итоге придете к той же самой оценке, но затратив в 3 раза меньше усилий. Надеюсь, математическое доказательство вышесказанного приводить не надо?

    Для того, чтобы учесть специфику БПТП, БИТП и БТППДн существуют, кстати, отдельные частные показатели: М7, М8 и М10. Именно они "заточены" под БТП и наиболее полно характеризуют состояние ИБ по направлениям.

    ОтветитьУдалить
  7. "Для того, чтобы учесть специфику БПТП, БИТП и БТППДн существуют, кстати, отдельные частные показатели: М7, М8 и М10" - нуууу, при такой вольной интерпретации требований Стандарта мы можем далеко зайти.
    Я согласен, что раньше (до версии 1.0-2010) было все гораздо проще, когда М1-М6 оценивались по совокупности, и что разделение оценок усложняет весь процесс. НО (!), Стандарт теперь этого требует, поэтому не делать так, значит не в полной мере выполнять требования Стандарта.

    По поводу "Вы в итоге придете к той же самой оценке, но затратив в 3 раза меньше усилий" - опять таки не согласен. Все было бы так, если бы усреднение оценок происходило на уровне частного показателя. В Стандарте же выбор идет на уровне оценок EVбитп, EVбптп, EV2озпд и EVоопд. И если оценки частных показателей в рамках М1-М6 брать по минимальной оценке, то в итоге значения EVбитп, EVбптп, EV2озпд будут ниже, чем при оценке по БПТП, БИТП и БТППДн (поскольку одни частные показатели могут быть больше по одним процесса, а другие по другим).

    Если не согласны - то давайте Ваше математическое доказательство =)

    ОтветитьУдалить
  8. Конечно, спорить с Вашими доводами все равно что биться головой о стену.

    Однако суммарная масса наших сломанных копий значительно больше того кусочка итоговой "R", за который мы бьёмся. Возможно в лабораторных ситуациях мы бы и заметили разницу, однако в полевых условиях она стремительно приближается к нулю.

    Резюмируя, я лишь хотел бы напомнить Вам Ваши собственные слова - "когда ты не согласен с логикой разработчика, а такое вполне может быть, нечего особого в этом нет, на то ты и аудитор =)"

    ОтветитьУдалить
  9. ну эти слова относились немного к другой ситуации и другой системе, и относились они к тому, что в этой системе есть возможность (если ты с чем то не согласен) изменить критерии оценки конкретного частного показателя. В случае же с оценками по трем направлениям, то если этого функционала нет в системе, то как не бейся, ничего ты уже путевого не сделаешь - если только EV1 в эксельке считать =)

    Подробно мое мнение насчет оценки М1-М6 по трем направлениям изложено тут http://ibsec.blogspot.com/2011/09/1-6-12-2010.html

    ОтветитьУдалить