BIS Journal №2(2)/2011

1 марта, 2011

Инвестиции в безопасность

12 января 2011 года в электронном версии журнала «BIS Journal − Информационная безопасность банков» была опубликована статья «Всегда ли лучшее враг хорошего» об оценке соответствия отраслевому стандарту информационной безопасности банка «Возрождение». Изложенные в ней подходы и оценки авторов, руководителя и главного специалиста службы информационной безопасности банка «Возрождение» Андрея Грициенко и Александра Шубина, дополняются новой публикацией, «внешнего наблюдателя». Как член аудиторской группы компании «Информзащита» Денис Иванов принимал личное участие в проверке соответствия обеспечения информационной безопасности банка «Возрождение» стандарту Банка России.

Оценка соответствия информационной безопасности банка «Возрождение» требованиям стандарта Банка России СТО БР ИББС-1.0-2010 и проверка соответствия требованиям законодательства Российской Федерации в области персональных данных проходили в соответствии с утвержденной Банком России методикой СТО БР ИББС-1.2-2010 около двух месяцев кропотливой работы аудиторской группы в составе шести человек.

Действительно, стандарт СТО БР ИББС-1.0 требует высокого уровня документирования процессов обеспечения информационной безопасности в банке и в идеале почти полной корреляции фрагментов текстов Комплекса БР ИББС и политики информационной безопасности банка вместе с ее частными политиками. Добавляет свой вклад в процессы документирования и модель Деминга, на которой основан стандарт: «… — планирование — реализация — проверка — совершенствование — планирование — …». На каждом из циклов данной модели банку приходится документировать соответствующие процессы и свидетельства реализации. Данная особенность стандарта требует высокого уровня документированности не только от проверяемой организации, но и от аудиторской группы, при проведении оценки соответствия, в связи с необходимостью документирования всех процессов получения свидетельств аудита.

В ходе оценки соответствия банка «Возрождение», аудиторской группой было проанализировано более 110 внутренних нормативных документов банка различного уровня, а также собрано и проанализировано более 820 документов-свидетельств выполнения процессов обеспечения информационной безопасности. По различным областям стандарта было опрошено 116 сотрудников банка, при этом было оформлено 119 конспектов опроса.

Особенности банковских технологических процессов заключаются в том, что процедуры обработки именно персональных данных не могут быть просто выделены в отдельные технологические процессы по отношению к иной банковской информации. Комплекс документов БР ИББС данную особенность учитывает в недостаточной степени. Вопросы, связанные с оценкой порядка обработки и защиты персональных данных, зачастую допускают неоднозначность толкования и применения результатов оценки. Это наложило свой отпечаток на процесс оценки соответствия по данной тематике, в частности:

  • В ходе работ были отмечены вопросы и затруднения, связанные с применимостью Приложения В стандарта СТО БР ИББС-1.2-2010 к показателям, не относящихся к оценке текущего уровня ИБ, а также однозначность порядка применения полученных уточняющих оценок Приложения В к частным показателям, определяющим  текущий уровень ИБ.
  • Вопросы Приложения В стандарта СТО БР ИББС-1.2-2010 зачастую по смыслу дублируют уже оцененные, в рамках показателей М1-М10 при этом вопросы группируются в подвопросы, отрицательные ответы, на которые приводят к лавинообразной корректировке мало связанных, уже оцененных, частных показателей. Часть вопросов Приложения В требуют наличия документированности процессов со стороны разработчиков АБС, при этом банк как правило уже давно эксплуатирует данные АБС и получить дополнительную документацию процессов со стороны разработчиков АБС представляется маловероятным. В результате из-за разработчиков АБС также приходится по методике снижать целый ряд мало связанных с этим процессом показателей.
  • Нелогично расставлены веса между групповыми показателями и в особенности методика оценки группового показателя М9. Как правильно заметили специалисты банка, оценка данного показателя носит самый жесткий характер и хотя бы 1 незначительное невыполнение требований данного группового показателя не дает банку шансов получить уровень Rвыше 3го. Это приводит к парадоксам, например отсутствие контроля за результатами технологических операций по обработке платежной информации приводит к снижению итогового уровня Rвсего на десяти тысячные доли, а не полное документирование подхода по отнесению АБС к информационным системам персональных данных — приводит к автоматическому резкому снижению итогового уровня Rдо величины 0.5, что соответствует 2 уровню.

Несмотря на данные недоработки комплекса документов БР ИББС, как показал процесс оценки соответствия банка «Возрождение», стандарт СТО БР ИББС-1.2-2010 в целом применим, реализуем, а результаты оценки соответствия дают возможность банку количественно и качественно оценить существующие процессы ИБ и обеспечить совершенствование системы обеспечения информационной безопасности по отмеченным направлениям.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

28.03.2024
Аитов: Ограничения Samsung Pay на использование карт «Мир» можно обойти
28.03.2024
Киберпреступления — 35% всех преступлений в России
27.03.2024
Samsung Pay перестанет дружить с «мировыми» картами
27.03.2024
Канадский университет восстанавливает работу после ИБ-инцидента
27.03.2024
Crypto Summit 2024. Трейдинг, майнинг и перспективы развития рынка ЦФА
27.03.2024
РКН начал работу по контролю за «симками» иностранцев
26.03.2024
Регулятор порекомендовал банкам и МФО списать долги погибших в теракте
26.03.2024
Хакеры не оставляют Канаду в покое
26.03.2024
Binance снова ищет покупателя на свои российские активы
26.03.2024
Безумцы или сознательные соучастники. Кто потворствует кредитным мошенникам

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных