Страницы

Оценка соответствия требованиям Банка России к обеспечению защиты информации при осуществлении переводов денежных средств

Недавно вышло несколько документов, определяющих требования Банка России к участникам взаимодействия в рамках различных платежных систем.
Один из документов - Положение 382-П - содержит методику проведения оценки соответствия организации требованиям Банка России, отдалённо напоминающую методику оценки СТО БР ИББС-1.2-2010 (правда тут нет оригинальной круговой диаграммы).
Согласно указанию Банка России 2831-У, результаты оценки соответствия должны направляться всеми участниками платежных систем в Банк России по форме ОКУД 0403202 не реже одного раза в 2 года и не позднее 30 дней с момента завершения оценки соответствия. 
Если сравнивать с той же методикой СТО БР ИББС-1.2-2010, эта методика оценки значительно проще (129 вопросов против 423, 2 интегральных оценки EV против 8), однако СТО БР ИББС был расчитан на гораздо менее многочисленное сообщество кредитных организаций и носил добровольный характер. Эта же методика оценки обязательна для участников платежных систем различных уровней и заниматься оценкой нужно уже сейчас.

Теперь чуть подробней о методике оценки..
В методике 129 вопросов разбитых на 2 большие группы:
  • вопросы, влияющие на интегральный показатель EV1пс (с 1 по 81);
  • вопросы, влияющие на интегральный показатель EV2пс (с 82 по 129).
Оценка EV1пс соответствует направлению "Текущий уровень ИБ организации" из СТО БР ИББС. Оценка EV2пс соответствует "Менеджменту ИБ организации".

Все вопросы жёстко привязаны к конкретным пунктам требований (это явный плюс по сравнению с методикой оценки СТО БР ИББС, где связь была не всегда однозначной).

Вот основные направления ИБ по каждому из интегральных показателей:
  • EV1пс:
    • назначение и распределение ролей;
    • защита информации на различных стадиях жизненного цикла системы;
    • контроль доступа к объектам информационной инфраструктуры;
    • антивирусная защита;
    • защита информации при использовании сети Интернет;
    • использование СЗКИ;
    • технологические меры по защите информации;
  • EV2пс:
    • организация и функционирование службы ИБ;
    • повышение осведомлённости;
    • выявление  инцидентов;
    • определение и реализация порядка обеспечения защиты информации;
    • оценка соответствия;
    • отчётность перед ЦБ по оценке соответствия и инцидентам;
    • совершенствование системы защиты информации.
Еще одним серьезным апгрейдом по сравнению с СТО БР ИББС являются фиксированные шкалы. Как мы знаем, в СТО БР ИББС шкалы выбирал аудитор, что создавало лишний "люфт" оценки, да и опытному аудитору выбрать нужную шкалу в хитросплетениях формулировок частных показателей было, по правде сказать, не всегда просто.

Теперь же у нас жёстко заданы 3 шкалы:  булевая (да/нет), одинарная (да/частично/нет) и двойная (порядок определен/не определен, не выполняется/не полностью/почти полностью/полностью). 

Все возможные численные варианты оценок опять напоминают СТО БР ИББС: 0, 0.25, 0.5, 0.75, 1.

Так же как и в СТО БР ИББС, на неактуальные для организации требования мы можем ответить н/о (нет оценки).

Все требования обязательны и алгоритм оценки стимулирует оператора развивать все направления разом.

Теперь что касается математики.
Уточняющих вопросов по перс.данным нет, тройной раздельной оценки по технологическим процессам нет, группового показателя М9, способного загнать в ноль даже хорошую оценку - тоже нет. Т.ч. почти халява :)!

Оценки EV считаются как среднее арифметическое по каждой группе. Финальная оценка R считается как наименьшая между EV1 и EV2. Абсолютно знакомая ситуация.

Однако при вычислении оценок EV добавляется еще и коэффициент k - степень "правильности" оператора :). С ростом количества полных нулей в оценках требований, коэффициент k тянет вашу оценку ко дну. Дабы исключить его влияние на оценку - нужно по всем показателям добиться хотя бы "частично" или "не полностью".
  • Если количество нулей в оценке EV1 = 0, k = 1;
  • Если количество нулей в оценке EV1 < 11, k = 0,85;
  • Если количество нулей в оценке EV1 >= 11, k = 0,7;
  • Если количество нулей в оценке EV2 = 0, k = 1;
  • Если количество нулей в оценке EV2 < 6, k = 0,85;
  • Если количество нулей в оценке EV2 >= 6, k = 0,7.

Свидетельства аудита.
Свидетельства аудита в 382-П были упрощены до "факторов, учитываемых при оценке", что серьезно сэкономит трудозатраты при оценке, однако снизит вероятность повторяемости результата. Наверное, свидетельствами пришлось пожертвовать для популяризации процесса. 

Итоги.
Результатом оценки является итоговый показатель Rпс, который принимает значения в диапазоне от 0 до 1 с точностью 2 знака после запятой. 
  • 0,85 =< R =<1   "хорошо";   //а где ж "отлично" то?
  • 0,7 =< R <0,85   "удовлетворительно";
  • 0,5 =< R <0,7   "сомнительно";   //я бы сомнительной назвал оценку в от 0,95 до 1 :)
  • R<0,5  "неудовлетворительно".
Напоследок я решил сделать широкий жест и выложить в эфир свой файл, помогающий автоматизировать вышенаписанное. Если файл вам понравился и пригодился - просто напишите об этом в комментах. Если решите с кем то поделиться - лучше делитесь ссылкой на блог :).

Актуальная версия файла тут.
Что умеет:
- полностью автоматизированный расчет всех оценок и коэффициентов;
- автоматизированная очистка оценок и генерация шкал в зависимости от типа;
- генерация таблицы из формы ОКУД 0403202 для уведомления Банка России;
- расчёт статистической информации для наглядности.
Todo лист:
- упростить макрос очистки оценок (сейчас он все удаляет и создаёт заново).
Известные косяки:
- макрос иногда глючит, если лист с оценками отображается в виде страницы. Переведите в обычный, запустите макрос, переведите в страничный. Это не я, это Майкрософт =).

[UPDATE] v1.01

  • Оптимизировал макрос перестройки шкал. Работает намного шустрее теперь;
  • Добавил макрос (и кнопку) сброса значений. Работает вообще быстро.
PS Тут файлик с расчетами по самооценке СТО БР ИББС.

[UPDATE] v1.1 тут

  • Добавил выбор категории субъектов НПС;
  • пофиксил старые баги/добавил новые :)

31 комментарий:

  1. Показатели соответствуют "Текущий уровень ИБ" и "Менеджмент ИБ" в СТО БР

    ОтветитьУдалить
  2. Спасибо за файл!

    ОтветитьУдалить
  3. Артем, что по вашему является "факторами, учитываемыми при оценке"?

    ОтветитьУдалить
    Ответы
    1. интересный вопрос, т.к. в самом документе понятие никак не раскрывается.

      мне привычней факторами считать свидетельства аудита из СТО БР ИББС - это документ, опрос ответственного сотрудника и собственное наблюдение/испытание. Последнее предпочтительней.

      Удалить
  4. В табличке есть проблема, например, в строке 42/41/2.7.1 и других не получается выбрать, что-то отличное от нуля, как-то не правильно сделан алгоритм выбора. А если принудительно снять отметку с нуля, то в результате получается минус 0.5.
    Перепробовал на нескольких компах, 2003/2007 экселях.

    ОтветитьУдалить
    Ответы
    1. хм.. у меня такой проблемы нет. Правда под рукой есть только 2010.

      запускали ли вы скрипт очистки показателей? Если да - то перекачайте заново мой файл и проверьте есть ли такой эффект на свежей таблице.

      скрипт сброса сейчас работает достаточно грубо - просто удаляет все столбцы с оценками и создаёт заново. Сделано это для того, чтобы пользователь мог менять тип шкалы (не уверен, правда, что такой функционал сейчас востребован). Перед запуском скрипта очистки - переводите ВИД таблицы в ОБЫЧНЫЙ.

      Удалить
    2. качать заново лучше по ссылке https://dl.dropbox.com/u/1785050/fileshare/382-P_www_itsec_pro.xlsm

      тут всегда лежит последняя версия файла.

      Удалить
  5. по сообщениям отсюда http://bankir.ru/dom/threads/112145-161-%D0%A4%D0%97?p=2971108&viewfull=1#post2971108 оценку провести нужно до 1.07.2014.

    ОтветитьУдалить
  6. просто супер!! Спасибо!!
    сделать бы еще такое-же для оценки по СТО БР ИББС-1.2-2010

    ОтветитьУдалить
  7. Артем, подскажите, пожалуйста, что нужно писать в пункт 4 Проведение оценки выполнения требований к обеспечению защиты информации при осуществлении переводов денежных средств?

    ОтветитьУдалить
  8. Понятно, что самостоятельно :) Вопрос, что именно туда писать. По сути показатели - это и есть оценка выполнения требований. Какая тогда еще должна быть оценка? Или это качественная оценка - "хорошо", "удовлетворительно" и т.п.
    В любом случае спасибо за файл!

    ОтветитьУдалить
    Ответы
    1. в 4 пункт формы ОКУД 0403202 нужно поставить букву "С" - это значит что оценку Вы провели самостоятельно, без привлечения сторонних аудиторов.

      Не за что :)

      Удалить
  9. Спасибо за файл !

    ОтветитьУдалить
  10. Спасибо за файл)) я сама села делать, а тут такой подарок))

    ОтветитьУдалить
  11. Спасибо за файлик! Вы не делали обновление в соответствии с изменениями 382-П (указание ЦБ 3007-У)?

    ОтветитьУдалить
  12. Спасибо за файлик! Планируете ли Вы дополнить его в соответствии с изменениями 382-П (указание ЦБ 3007-У)?

    ОтветитьУдалить
  13. Потрясающеееееее=)) Огромное спасибо!!! Всего самого лучшего автору

    ОтветитьУдалить
  14. Здравствуйте Артем! В файле по 382-п отсутствует показатель 37 (2.6.7) который гласит:

    "Оператор по переводу денежных средств, банковский платежный агент (субагент) обеспечивают контроль отсутствия размещения на платежных терминалах и банкоматах специализированных средств, предназначенных для несанкционированного получения (съема) информации, необходимой для осуществления переводов денежных средств."

    Или я его не нашёл?

    ОтветитьУдалить
  15. А... 2.6.7. отменен 3361-У вопрос закрыт :)Спасибо большое за файлы по 382-П и сто бр иббс.
    Возник новый вопрос: является ли пос-терминал ТУ ДБО?
    По идее является...

    ОтветитьУдалить
    Ответы
    1. Смотрите актуальную версию файла по тэгу http://www.itsec.pro/search/label/382-%D0%9F

      Удалить
  16. А какая оценка соответствия (уровень) является рекомендованной ЦБ?

    ОтветитьУдалить
  17. Да, это уровни по СТОБРу. По 382-П нашёл, если Rпс:
    больше или равно 0.85 , то оценка -"хорошая,
    больше или равно 0.70 и меньше 0.85 -"удовлетворительная,
    больше или равно 0.5 и меньше 0.7 -"сомнительная",
    меньше 0.5 -"неудовлетворительная"




    ОтветитьУдалить
  18. Артем. В феврале сего 2018 года заканчивается моя карьера в Банковские Информационные Системы. Есть вероятность, что буду работать в банке. Если это произойдет. Дадите скачать файлики для самооценки? Мой аккаунт в Фэйсбуке. https://www.facebook.com/FedoroffAA

    ОтветитьУдалить
    Ответы
    1. Если нужен будет - напишите мне на почту root@itsec.pro. Но я давно его не обновлял

      Удалить