Страницы

СТО БР ИББС-1.2-2014


Совсем недавно зарелизился новый Стандарт Банка России в области информационной безопасности СТО БР ИББС.

Пришло время и мне обновить свой файлик с расчётами. Самые нетерпеливые могут сразу скачать его тут.



Главные изменения 

В новом стандарте СТО БР ИББС-1.2-2014 изменения, в основном, технические:

  • удалили уродливое приложение В (точнее заменили на менее уродливое);
  • добавили новых вопросов, кое-где подправили формулировки и т.п.;
  • убрали весовые коэффициенты. Раньше с ними  были одни проблемы: никто не понимал, как их посчитали, сумма коэффициентов не всегда равнялась единице, коэффициенты приходилось постоянно нормировать и т.д. Вообщем, молодцы что убрали;
  • изменили шкалы оценки. Фраза "требование частично документировано", видимо, авторам не понравилась (оно и правильно), и шкала документированности сжалась с "да/частично/нет" до категоричного "да/нет".

Но авторы по непонятной мне причине упорно придерживаются магических цифр 0/0.25/0.5/0.75/1, и чтобы компенсировать отсутствие "требование частично документировано", авторы добавили новый вариант "требование почти выполняется". Добавили его они криво, и теперь в табличке с расчетами уродливые дырки, если используется 3 категория проверки, куда оценка "почти выполняется" не попала.

Что не убрали (а должны были убрать)

Тройную оценку М1-М6 применительно к различным типам информационных систем банка. Это разделение уродует стройную структуру стандарта и вносит в него неразбериху:

  • Значительное число трижды оцениваемых частных показателей в М1-М6 вообще никак не зависит от типа технологического процесса. Зачем их трижды оценивать??


  • Непонятно как строить итоговую диаграмму. Какие оценки М1-М6 откладывать по осям? Их 3 комплекта! Или нужно делать 3 диаграммы?

  • В современных банковских системах отделить БПТП от БИТП бывает проблематично. Чистых БИТП так же очень мало (все они, как правило, включают в себя в той или иной форме персональные данные). Да и вообще к чему эти процессы разделять, если прогресс наоборот стремится их все соединить в единую банковскую информационную систему?
  • Утроение одинаковых вопросов увеличивает почти в 2 раза (c 491 до 783 вопросов) и так затянутую оценку. Аудит ИБ начинает вылазить за тысячу страниц. Авторы, поберегите лес! Из тысячи банковских организаций только несколько десятков могут позволить себе аудит, оставшиеся не могут справится даже с самооценкой, ибо она слишком сложна и разрастается с каждой версией стандарта. 700 с лишним вопросов - это ОЧЕНЬ много! Если на каждый вопрос приводить ещё и свидетельства (как того требует аудит), оценка станет непомерно дорогой и в итоге превратится профанацию.
Еще одна непонятная мне вещь - оценка рекомендованных вопросов. Методика четко говорит, что оценивать их нужно либо "да", либо "н/о".
Однако у каждого рекомендованного показателя тут же в методике заботливо проставлена категория оценки от 1 до 3. Так по какой шкале их оценивать?

Такое ощущение, что стандарт писали несколько специалистов, которые не читали труды друг друга. Иначе чем объяснить все эти нестыковки?

И еще немного критики

СТО БР ИББС - это лучшее что есть в отечественном мире ИБ. Но закрытость разработки нормативных документов ЦБ для сообщества (не считая, конечно, закрытые банковские клубы) приводит к тому, что даже в финальные версии документов постоянно попадают ошибки.
В СТО БР ИББС-1.2-2014 я их нашел уже две:

1. Неправильно указана формула расчета EVбитп:

2. Отсутствует методика расчета коэффициента kоопд. Его просто забыли!

Если бы проекты документов выползли из кулуаров на свет сообщества - таких досадных ошибок бы не допустили.

Теперь о файле

Начну с предупреждений. Excel - это не среда программирования, а бухгалтерский софт. Возможности его сильно ограничены, поэтому не стоит ждать от файла многого. Файл может тормозить, глючить и ломаться. Защиты от дурака практически нет. Неверное нажатие - и вся Ваша оценка улетела в трубу. Поэтому делайте копии файла после каждого существенного изменения. 
Файл гарантировано работает на Windows 8.1 + Excel 2013. В старых версиях Excel скрипты могут работать некорректно. Если это произошло - напишите письмо, постараюсь помочь.
Главное нововведение в новой версии файла - тройная оценка ГП М1-М6. Эти групповые показатели продублированы, сгруппированы в соответствие с расчетными формулами и объединены в цветовые группы. Листы "1"-"6" - это оценка БПТП, "1И"-"6И" - это БИТП, "1П"-"6П" - это БИТППДн.

Чего в файле нет, но может быть когда-нибудь будет

1. Приложения В. Есть идеи вообще объединить оба файла с оценками (СТО БР ИББС и 382-П) в один, тем более что методики теперь унифицированы и связаны. На данный момент сравнивать обе оценки и корректировать частные показатели нужно вручную.
2. Весь показатель "н/о" сделать уже можно, но формулы придется корректировать вручную и на диаграмме он не отобразится (UPDATE на диаграмме теперь отображается).

Это бетта релиз файла. В деле он ещё не проверен и не вычитан. Так что найдёте ошибку - пишите!

Пост будет обновляться по мере изменения файла.

постоянная ссылка на самую последнюю версию файла

[UPDATE] 1.0c. Добавил кнопку, копирующую оценки М1-М6 (БПТП) в М1-М6 (БИТП) и М1-М6 (БИТППДн). Операция должна упростить заполнение этих оценок в случаях, когда ответы совпадают (или почти совпадают).
[UPDATE] 1.0d. Исправил кривой текст и шкалы в ГП М1 (листы 1, 1И и 1П).
[UPDATE] 1.0e. ЦБ обновил текст стандарта на сайте. Исправили ошибки. Я подправил файл.

Что ещё почитать?

19 комментариев:

  1. По поводу М1-М6 - полагаю, стоит брать наименьшую оценку. Тем более, что, как верно было отмечено, процессы крайне сложно разделить и в бОльшей своей части оценки будут совпадать.

    ОтветитьУдалить
    Ответы
    1. Определенный смысл в этом есть, так как оценка EV1, в конечном счете, берется минимальной из тех оценок, которые определяются раздельной оценкой М1-М6.

      Однако стандарт есть стандарт, и менять его под себя мы не вправе.
      Будем надеяться, что через 4 года авторы образумятся :(.

      Удалить
    2. Добавил в фаил кнопку, которая будет копировать оценки М1-М6. Должна помочь в случаях, когда ответы совпадают.

      Удалить
  2. и про Коопд. Я бы все-же брал границы 0-1-20. В EV1 у всех остальных оценок коэффициенты имеют именно такие границы. Хотя 0-1-10 только занижает оценку, так что большой ошибки не будет.

    ОтветитьУдалить
    Ответы
    1. 0-1-20 - это количество нулей. Логично определять его исходя из общего количества вопросов.

      Если у коэффициентов k1 - 150-160 зависимых вопросов, то у kоопд - всего 60.
      То есть если у k1 - 20 (13% нулей), то у kоопд должно быть где-то 8, по идее.

      Удалить
  3. Анонимный4 июля 2014 г., 17:22

    Хм, на сайте Банка России другая "финальная" версия СТО БР ИББС-1.2-2014. Части указанных ошибок нет, но не указанные остались :)
    "kоопд" (под формулой для EVоопд в п.7.8) так и не обрел своего верхнего индекса.

    Похоже авторы уже "образумились" - по тихому выпустили новую версию стандарта.
    С таким подходом за 4 года мы еще много фокусов увидим :)

    ОтветитьУдалить
    Ответы
    1. Спасибо за информацию! Видимо, это после моего письма им в приемную.
      К1оопд появился в таблице 7.

      Я обновил свой фаил.

      Удалить
  4. А Банк России рекомендует проводить ВНЕШНИЙ аудит на соответствие СТО БР ИББС с какой то заданной периодичностью?
    Или по решению руководства КО ежегодно можно делать только самооценки ?

    ОтветитьУдалить
    Ответы
    1. СТО БР ИББС-1.0-2014.
      9.8. Оценка соответствия ИБ в виде аудита ИБ или самооценки ИБ проводится организацией БС РФ не реже одного раза в два года.

      Исходя из методики оценки, лучше проводить и самооценку и аудит, так как есть групповой показатель и под то и под то (те итоговая оценка будет выше).

      Удалить
  5. Артем, здравствуйте!
    Ссылка на файл, к сожалению, не работает. Подправите?

    ОтветитьУдалить
    Ответы
    1. У меня работает. Вероятно у вас заблочена сокращалка ссылок goo.gl или dropbox.

      Удалить
  6. Может быть подскажете: нужно ли направлять подтверждение соответствия СТОБРу 2014, по результатам самооценки всем или отдельным Регуляторам (кроме Банка России - туда точно отправляется 1 шт., остаётся 4 шт. на руках :)) в течении 30 дней после проведения самооценки? И какими документами это установлено? Пока не удалось обнаружить такую информацию. Из СТО БР ИББС-1.2-2014, стр. 16:
    "С целью направления “Подтверждения соответствия организации БС РФ стандарту Банка России СТО БР ИББС-1.0-2014” регуляторам, осуществляющим надзор за выполнением законодательства в области персональных данных, данный документ следует составлять в пяти
    экземплярах, один из которых предназначен для использования в организации БС РФ."
    Т.е. прописана ли где-то цель или необходимость, адресат направления соответствия? В ЦБ сказали присылайте 1 шт., о других 4 не сказали :)
    Спасибо

    ОтветитьУдалить
    Ответы
    1. Можно только в ЦБ. Не помню, на каком мероприятии они это говорили, но помню, что писал об этом :)

      Удалить
  7. Добрый день!
    Как Вы писали - проводить самооценку необходимо один раз в два года. Отсчет необходимо вести от предыдущей самооценки, либо от даты утверждения новой редакции СТО БР ИББС?

    ОтветитьУдалить
    Ответы
    1. Добрый. От предыдущей самооценки.

      Удалить
    2. Спасибо, но вот мои коллеги считают, что считать нужно от даты принятия новой редакции 2014 года. Предыдущая самооценкабыла по стандарту 2010( там вообще никаких сроков не было, кроме как в письме ЦБ от 2010 года о необходимости проведения самооценки один раз в три года). Моя позиция, что порядок был выпущен взамен поэтому подразумевает отталкиваться от предыдущей самооценки.

      Удалить
  8. Анонимный5 мая 2016 г., 17:16

    Вы большой молодец! Спасбо!

    ОтветитьУдалить
  9. Добрый день, скажите Документированность (Да, Нет)Обязательно выбирать? Что именно означает Документированность (т.е. скажем прописаны ли частные показатели в наших внутренних документах)?

    ОтветитьУдалить
    Ответы
    1. Добрый. Обязательно там, где шкала активна. Документированность вы понимаете правильно.

      Удалить