Инвестиции в безопасность

Оценка соответствия информационной безопасности банка «Возрождение» требованиям стандарта Банка России СТО БР ИББС-1.0-2010 и проверка соответствия требованиям законодательства Российской Федерации в области персональных данных проходили в соответствии с утвержденной Банком России методикой СТО БР ИББС-1.2-2010 около двух месяцев кропотливой работы аудиторской группы в составе шести человек.

Действительно, стандарт СТО БР ИББС-1.0 требует высокого уровня документирования процессов обеспечения информационной безопасности в банке и в идеале почти полной корреляции фрагментов текстов Комплекса БР ИББС и политики информационной безопасности банка вместе с ее частными политиками. Добавляет свой вклад в процессы документирования и модель Деминга, на которой основан стандарт: «… — планирование — реализация — проверка — совершенствование — планирование — …». На каждом из циклов данной модели банку приходится документировать соответствующие процессы и свидетельства реализации. Данная особенность стандарта требует высокого уровня документированности не только от проверяемой организации, но и от аудиторской группы, при проведении оценки соответствия, в связи с необходимостью документирования всех процессов получения свидетельств аудита.

В ходе оценки соответствия банка «Возрождение», аудиторской группой было проанализировано более 110 внутренних нормативных документов банка различного уровня, а также собрано и проанализировано более 820 документов-свидетельств выполнения процессов обеспечения информационной безопасности. По различным областям стандарта было опрошено 116 сотрудников банка, при этом было оформлено 119 конспектов опроса.

Особенности банковских технологических процессов заключаются в том, что процедуры обработки именно персональных данных не могут быть просто выделены в отдельные технологические процессы по отношению к иной банковской информации. Комплекс документов БР ИББС данную особенность учитывает в недостаточной степени. Вопросы, связанные с оценкой порядка обработки и защиты персональных данных, зачастую допускают неоднозначность толкования и применения результатов оценки. Это наложило свой отпечаток на процесс оценки соответствия по данной тематике, в частности:

• В ходе работ были отмечены вопросы и затруднения, связанные с применимостью Приложения В стандарта СТО БР ИББС-1.2-2010 к показателям, не относящихся к оценке текущего уровня ИБ, а также однозначность порядка применения полученных уточняющих оценок Приложения В к частным показателям, определяющим  текущий уровень ИБ.
• Вопросы Приложения В стандарта СТО БР ИББС-1.2-2010 зачастую по смыслу дублируют уже оцененные, в рамках показателей М1-М10 при этом вопросы группируются в подвопросы, отрицательные ответы, на которые приводят к лавинообразной корректировке мало связанных, уже оцененных, частных показателей. Часть вопросов Приложения В требуют наличия документированности процессов со стороны разработчиков АБС, при этом банк как правило уже давно эксплуатирует данные АБС и получить дополнительную документацию процессов со стороны разработчиков АБС представляется маловероятным. В результате из-за разработчиков АБС также приходится по методике снижать целый ряд мало связанных с этим процессом показателей.
• Нелогично расставлены веса между групповыми показателями и в особенности методика оценки группового показателя М9. Как правильно заметили специалисты банка, оценка данного показателя носит самый жесткий характер и хотя бы 1 незначительное невыполнение требований данного группового показателя не дает банку шансов получить уровень Rвыше 3го. Это приводит к парадоксам, например отсутствие контроля за результатами технологических операций по обработке платежной информации приводит к снижению итогового уровня Rвсего на десяти тысячные доли, а не полное документирование подхода по отнесению АБС к информационным системам персональных данных — приводит к автоматическому резкому снижению итогового уровня Rдо величины 0.5, что соответствует 2 уровню.