BIS Journal №2(2)/2011

1 марта, 2011

Инвестиции в безопасность

12 января 2011 года в электронном версии журнала «BIS Journal − Информационная безопасность банков» была опубликована статья «Всегда ли лучшее враг хорошего» об оценке соответствия отраслевому стандарту информационной безопасности банка «Возрождение». Изложенные в ней подходы и оценки авторов, руководителя и главного специалиста службы информационной безопасности банка «Возрождение» Андрея Грициенко и Александра Шубина, дополняются новой публикацией, «внешнего наблюдателя». Как член аудиторской группы компании «Информзащита» Денис Иванов принимал личное участие в проверке соответствия обеспечения информационной безопасности банка «Возрождение» стандарту Банка России.

Оценка соответствия информационной безопасности банка «Возрождение» требованиям стандарта Банка России СТО БР ИББС-1.0-2010 и проверка соответствия требованиям законодательства Российской Федерации в области персональных данных проходили в соответствии с утвержденной Банком России методикой СТО БР ИББС-1.2-2010 около двух месяцев кропотливой работы аудиторской группы в составе шести человек.

Действительно, стандарт СТО БР ИББС-1.0 требует высокого уровня документирования процессов обеспечения информационной безопасности в банке и в идеале почти полной корреляции фрагментов текстов Комплекса БР ИББС и политики информационной безопасности банка вместе с ее частными политиками. Добавляет свой вклад в процессы документирования и модель Деминга, на которой основан стандарт: «… — планирование — реализация — проверка — совершенствование — планирование — …». На каждом из циклов данной модели банку приходится документировать соответствующие процессы и свидетельства реализации. Данная особенность стандарта требует высокого уровня документированности не только от проверяемой организации, но и от аудиторской группы, при проведении оценки соответствия, в связи с необходимостью документирования всех процессов получения свидетельств аудита.

В ходе оценки соответствия банка «Возрождение», аудиторской группой было проанализировано более 110 внутренних нормативных документов банка различного уровня, а также собрано и проанализировано более 820 документов-свидетельств выполнения процессов обеспечения информационной безопасности. По различным областям стандарта было опрошено 116 сотрудников банка, при этом было оформлено 119 конспектов опроса.

Особенности банковских технологических процессов заключаются в том, что процедуры обработки именно персональных данных не могут быть просто выделены в отдельные технологические процессы по отношению к иной банковской информации. Комплекс документов БР ИББС данную особенность учитывает в недостаточной степени. Вопросы, связанные с оценкой порядка обработки и защиты персональных данных, зачастую допускают неоднозначность толкования и применения результатов оценки. Это наложило свой отпечаток на процесс оценки соответствия по данной тематике, в частности:

  • В ходе работ были отмечены вопросы и затруднения, связанные с применимостью Приложения В стандарта СТО БР ИББС-1.2-2010 к показателям, не относящихся к оценке текущего уровня ИБ, а также однозначность порядка применения полученных уточняющих оценок Приложения В к частным показателям, определяющим  текущий уровень ИБ.
  • Вопросы Приложения В стандарта СТО БР ИББС-1.2-2010 зачастую по смыслу дублируют уже оцененные, в рамках показателей М1-М10 при этом вопросы группируются в подвопросы, отрицательные ответы, на которые приводят к лавинообразной корректировке мало связанных, уже оцененных, частных показателей. Часть вопросов Приложения В требуют наличия документированности процессов со стороны разработчиков АБС, при этом банк как правило уже давно эксплуатирует данные АБС и получить дополнительную документацию процессов со стороны разработчиков АБС представляется маловероятным. В результате из-за разработчиков АБС также приходится по методике снижать целый ряд мало связанных с этим процессом показателей.
  • Нелогично расставлены веса между групповыми показателями и в особенности методика оценки группового показателя М9. Как правильно заметили специалисты банка, оценка данного показателя носит самый жесткий характер и хотя бы 1 незначительное невыполнение требований данного группового показателя не дает банку шансов получить уровень Rвыше 3го. Это приводит к парадоксам, например отсутствие контроля за результатами технологических операций по обработке платежной информации приводит к снижению итогового уровня Rвсего на десяти тысячные доли, а не полное документирование подхода по отнесению АБС к информационным системам персональных данных — приводит к автоматическому резкому снижению итогового уровня Rдо величины 0.5, что соответствует 2 уровню.

Несмотря на данные недоработки комплекса документов БР ИББС, как показал процесс оценки соответствия банка «Возрождение», стандарт СТО БР ИББС-1.2-2010 в целом применим, реализуем, а результаты оценки соответствия дают возможность банку количественно и качественно оценить существующие процессы ИБ и обеспечить совершенствование системы обеспечения информационной безопасности по отмеченным направлениям.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

27.01.2023
Хакер получил доступ к «чёрному списку» пассажиров Управления транспортной безопасности США
27.01.2023
Хакеры атакуют британских политиков и журналистов
27.01.2023
Деятельность Hive пресечена в результате совместной операции 13 стран
27.01.2023
«Магнитка» пройдёт при поддержке НКЦКИ
26.01.2023
Минцифры создаст Центр цифровой криптографии
26.01.2023
Процессы операционной надёжности должны обеспечивать не только ИБ и ИТ, но и менеджмент некредитных финансовых организаций
26.01.2023
Противодействие атакам социальных инженеров не является вопросом исключительно службы ИБ банка
26.01.2023
Всё о приватности — теперь в «Кибрарии»
26.01.2023
В Новосибирске UserGate в качестве разработчика первого отечественного щита от кибератак пригласили к участию в областном мультимедийном проекте
26.01.2023
FLAMAX и КГАСУ представили Рустаму Минниханову совместную разработку в сфере водоснабжения и систем безопасности

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных