Недавно вышло несколько документов, определяющих требования Банка России к участникам взаимодействия в рамках различных платежных систем.
Один из документов - Положение 382-П - содержит методику проведения оценки соответствия организации требованиям Банка России, отдалённо напоминающую методику оценки СТО БР ИББС-1.2-2010 (правда тут нет оригинальной круговой диаграммы).
Согласно указанию Банка России 2831-У, результаты оценки соответствия должны направляться всеми участниками платежных систем в Банк России по форме ОКУД 0403202 не реже одного раза в 2 года и не позднее 30 дней с момента завершения оценки соответствия.
Если сравнивать с той же методикой СТО БР ИББС-1.2-2010, эта методика оценки значительно проще (129 вопросов против 423, 2 интегральных оценки EV против 8), однако СТО БР ИББС был расчитан на гораздо менее многочисленное сообщество кредитных организаций и носил добровольный характер. Эта же методика оценки обязательна для участников платежных систем различных уровней и заниматься оценкой нужно уже сейчас.
Теперь чуть подробней о методике оценки..
- вопросы, влияющие на интегральный показатель EV1пс (с 1 по 81);
- вопросы, влияющие на интегральный показатель EV2пс (с 82 по 129).
Оценка EV1пс соответствует направлению "Текущий уровень ИБ организации" из СТО БР ИББС. Оценка EV2пс соответствует "Менеджменту ИБ организации".
Все вопросы жёстко привязаны к конкретным пунктам требований (это явный плюс по сравнению с методикой оценки СТО БР ИББС, где связь была не всегда однозначной).
Вот основные направления ИБ по каждому из интегральных показателей:
- EV1пс:
- назначение и распределение ролей;
- защита информации на различных стадиях жизненного цикла системы;
- контроль доступа к объектам информационной инфраструктуры;
- антивирусная защита;
- защита информации при использовании сети Интернет;
- использование СЗКИ;
- технологические меры по защите информации;
- EV2пс:
- организация и функционирование службы ИБ;
- повышение осведомлённости;
- выявление инцидентов;
- определение и реализация порядка обеспечения защиты информации;
- оценка соответствия;
- отчётность перед ЦБ по оценке соответствия и инцидентам;
- совершенствование системы защиты информации.
Еще одним серьезным апгрейдом по сравнению с СТО БР ИББС являются фиксированные шкалы. Как мы знаем, в СТО БР ИББС шкалы выбирал аудитор, что создавало лишний "люфт" оценки, да и опытному аудитору выбрать нужную шкалу в хитросплетениях формулировок частных показателей было, по правде сказать, не всегда просто.
Теперь же у нас жёстко заданы 3 шкалы: булевая (да/нет), одинарная (да/частично/нет) и двойная (порядок определен/не определен, не выполняется/не полностью/почти полностью/полностью).
Все возможные численные варианты оценок опять напоминают СТО БР ИББС: 0, 0.25, 0.5, 0.75, 1.
Так же как и в СТО БР ИББС, на неактуальные для организации требования мы можем ответить н/о (нет оценки).
Все требования обязательны и алгоритм оценки стимулирует оператора развивать все направления разом.
Теперь что касается математики.
Уточняющих вопросов по перс.данным нет, тройной раздельной оценки по технологическим процессам нет, группового показателя М9, способного загнать в ноль даже хорошую оценку - тоже нет. Т.ч. почти халява :)!
Оценки EV считаются как среднее арифметическое по каждой группе. Финальная оценка R считается как наименьшая между EV1 и EV2. Абсолютно знакомая ситуация.
Однако при вычислении оценок EV добавляется еще и коэффициент k - степень "правильности" оператора :). С ростом количества полных нулей в оценках требований, коэффициент k тянет вашу оценку ко дну. Дабы исключить его влияние на оценку - нужно по всем показателям добиться хотя бы "частично" или "не полностью".
- Если количество нулей в оценке EV1 = 0, k = 1;
- Если количество нулей в оценке EV1 < 11, k = 0,85;
- Если количество нулей в оценке EV1 >= 11, k = 0,7;
- Если количество нулей в оценке EV2 = 0, k = 1;
- Если количество нулей в оценке EV2 < 6, k = 0,85;
- Если количество нулей в оценке EV2 >= 6, k = 0,7.
Свидетельства аудита.
Свидетельства аудита в 382-П были упрощены до "факторов, учитываемых при оценке", что серьезно сэкономит трудозатраты при оценке, однако снизит вероятность повторяемости результата. Наверное, свидетельствами пришлось пожертвовать для популяризации процесса.
Итоги.
Результатом оценки является итоговый показатель Rпс, который принимает значения в диапазоне от 0 до 1 с точностью 2 знака после запятой.
- 0,85 =< R =<1 "хорошо"; //а где ж "отлично" то?
- 0,7 =< R <0,85 "удовлетворительно";
- 0,5 =< R <0,7 "сомнительно"; //я бы сомнительной назвал оценку в от 0,95 до 1 :)
- R<0,5 "неудовлетворительно".
Напоследок я решил сделать широкий жест и выложить в эфир свой файл, помогающий автоматизировать вышенаписанное. Если файл вам понравился и пригодился - просто напишите об этом в комментах. Если решите с кем то поделиться - лучше делитесь ссылкой на блог :).
Актуальная версия файла тут.
Что умеет:
- полностью автоматизированный расчет всех оценок и коэффициентов;
- автоматизированная очистка оценок и генерация шкал в зависимости от типа;
- генерация таблицы из формы ОКУД 0403202 для уведомления Банка России;
- расчёт статистической информации для наглядности.
Todo лист:
Известные косяки:
- макрос иногда глючит, если лист с оценками отображается в виде страницы. Переведите в обычный, запустите макрос, переведите в страничный. Это не я, это Майкрософт =).
[UPDATE] v1.01
- Оптимизировал макрос перестройки шкал. Работает намного шустрее теперь;
- Добавил макрос (и кнопку) сброса значений. Работает вообще быстро.
Показатели соответствуют "Текущий уровень ИБ" и "Менеджмент ИБ" в СТО БР
ОтветитьУдалитьок! спасибо!
УдалитьСпасибо за файл!
ОтветитьУдалитьНе за что :)
УдалитьАртем, что по вашему является "факторами, учитываемыми при оценке"?
ОтветитьУдалитьинтересный вопрос, т.к. в самом документе понятие никак не раскрывается.
Удалитьмне привычней факторами считать свидетельства аудита из СТО БР ИББС - это документ, опрос ответственного сотрудника и собственное наблюдение/испытание. Последнее предпочтительней.
В табличке есть проблема, например, в строке 42/41/2.7.1 и других не получается выбрать, что-то отличное от нуля, как-то не правильно сделан алгоритм выбора. А если принудительно снять отметку с нуля, то в результате получается минус 0.5.
ОтветитьУдалитьПерепробовал на нескольких компах, 2003/2007 экселях.
хм.. у меня такой проблемы нет. Правда под рукой есть только 2010.
Удалитьзапускали ли вы скрипт очистки показателей? Если да - то перекачайте заново мой файл и проверьте есть ли такой эффект на свежей таблице.
скрипт сброса сейчас работает достаточно грубо - просто удаляет все столбцы с оценками и создаёт заново. Сделано это для того, чтобы пользователь мог менять тип шкалы (не уверен, правда, что такой функционал сейчас востребован). Перед запуском скрипта очистки - переводите ВИД таблицы в ОБЫЧНЫЙ.
качать заново лучше по ссылке https://dl.dropbox.com/u/1785050/fileshare/382-P_www_itsec_pro.xlsm
Удалитьтут всегда лежит последняя версия файла.
по сообщениям отсюда http://bankir.ru/dom/threads/112145-161-%D0%A4%D0%97?p=2971108&viewfull=1#post2971108 оценку провести нужно до 1.07.2014.
ОтветитьУдалитьпросто супер!! Спасибо!!
ОтветитьУдалитьсделать бы еще такое-же для оценки по СТО БР ИББС-1.2-2010
Артем, подскажите, пожалуйста, что нужно писать в пункт 4 Проведение оценки выполнения требований к обеспечению защиты информации при осуществлении переводов денежных средств?
ОтветитьУдалитьС - самостоятельно
УдалитьПонятно, что самостоятельно :) Вопрос, что именно туда писать. По сути показатели - это и есть оценка выполнения требований. Какая тогда еще должна быть оценка? Или это качественная оценка - "хорошо", "удовлетворительно" и т.п.
ОтветитьУдалитьВ любом случае спасибо за файл!
в 4 пункт формы ОКУД 0403202 нужно поставить букву "С" - это значит что оценку Вы провели самостоятельно, без привлечения сторонних аудиторов.
УдалитьНе за что :)
Спасибо за файл !
ОтветитьУдалитьСпасибо за спасибо!
УдалитьСпасибо за файл)) я сама села делать, а тут такой подарок))
ОтветитьУдалитьне за что :)
УдалитьПользуйтесь на здоровье!
Спасибо за файлик! Вы не делали обновление в соответствии с изменениями 382-П (указание ЦБ 3007-У)?
ОтветитьУдалитьСпасибо за файлик! Планируете ли Вы дополнить его в соответствии с изменениями 382-П (указание ЦБ 3007-У)?
ОтветитьУдалитьПотрясающеееееее=)) Огромное спасибо!!! Всего самого лучшего автору
ОтветитьУдалитьЗдравствуйте Артем! В файле по 382-п отсутствует показатель 37 (2.6.7) который гласит:
ОтветитьУдалить"Оператор по переводу денежных средств, банковский платежный агент (субагент) обеспечивают контроль отсутствия размещения на платежных терминалах и банкоматах специализированных средств, предназначенных для несанкционированного получения (съема) информации, необходимой для осуществления переводов денежных средств."
Или я его не нашёл?
А... 2.6.7. отменен 3361-У вопрос закрыт :)Спасибо большое за файлы по 382-П и сто бр иббс.
ОтветитьУдалитьВозник новый вопрос: является ли пос-терминал ТУ ДБО?
По идее является...
Смотрите актуальную версию файла по тэгу http://www.itsec.pro/search/label/382-%D0%9F
УдалитьА какая оценка соответствия (уровень) является рекомендованной ЦБ?
ОтветитьУдалить4 и 5
УдалитьДа, это уровни по СТОБРу. По 382-П нашёл, если Rпс:
ОтветитьУдалитьбольше или равно 0.85 , то оценка -"хорошая,
больше или равно 0.70 и меньше 0.85 -"удовлетворительная,
больше или равно 0.5 и меньше 0.7 -"сомнительная",
меньше 0.5 -"неудовлетворительная"
Благодарю
ОтветитьУдалитьАртем. В феврале сего 2018 года заканчивается моя карьера в Банковские Информационные Системы. Есть вероятность, что буду работать в банке. Если это произойдет. Дадите скачать файлики для самооценки? Мой аккаунт в Фэйсбуке. https://www.facebook.com/FedoroffAA
ОтветитьУдалитьЕсли нужен будет - напишите мне на почту root@itsec.pro. Но я давно его не обновлял
Удалить