Дело в том, что анализируя комплекс стандартов СТО БР, мы обнаружили что в этих документах много говорится о том, что нужно сделать и в меньшей степени о том как. Это подтолкнуло нас на мысль попробовать представить СОИБ не как набор требований, а как набор мероприятий, которые должны быть выполнены.
По длительному и тщательному анализу всех групповых и частных показателей, мы пришли к объединению всех 425 (348, если брать не повторяющиеся) показателей в группы мероприятий, которые необходимо выполнить, внедряя СОИБ:
1. Управление доступом и регистрацией
2. Антивирусная защита
3. Безопасность при использовании сети Интернет
4. Информационная безопасность при использовании СКЗИ
5. Безопасность банковских технологических процессов
6. Безопасность при осуществлении ДБО
7. Безопасность персональных данных
8. Обеспечение информационной безопасности АБС на стадиях жизненного цикла
9. Организация службы информационной безопасности
10. Организация системы менеджмента информационной безопасности
11. Управление информационными активами
12. Управление рисками информационной безопасности
13. Безопасность при управлении персоналом
14. Мониторинг, контроль и управление инцидентами информационной безопасности
15. Непрерывность бизнеса и ее восстановление после прерывания
16. Аудит и самооценка информационной безопасности
В каждой группе мы выделили по несколько мероприятий. В итоге у нас получилось 130 мероприятий. Каждое мероприятие связано с одним или несколькими показателями, т.к. понятно, что порой одно действие позволяет разом выполнить несколько требований. Т.е., выполнив все мероприятия, вы получаете пятый уровень соответствия СТО БР ИББС-1.0.
Применение такого подхода дает возможность реализовать 2 интересные функции:
1) Экспресс-оценка соответствия требованиям СТО БР
2) Планирование действий, необходимых для достижения требуемого уровня соответствия
Про первую как раз и хочется рассказать в этом посте, а о второй мы расскажем позже, т.к. она будет реализована в виде отдельного модуля.
Экспресс-оценка - это быстрый способ оценить уровень соответствия Банка требованиям СТО БР ИББС-1.0 не следуя жесткой методологии стандарта Банка России.
Все что нужно сделать - это просто отметить в общем списке те мероприятия, которые уже реализованы в вашем Банке
и после этого система сама пересчитает это в оценку частных показателей по документируемости и выполняемости и выдаст значения всех итоговых показателей, предусмотренных методикой оценки соответствия, утвержденной Банком России.
Поэтому если у Вас нет времени, но Вы знаете как у вас организована безопасность, то вы можете в течении 2 часов узнать какой уровень ИБ в Вашем Банке.
Конечно, вся аналитика - это наша экспертная оценка, и проводя «Экспресс-самоценку», вы получите приблизительную оценку, не отвечающую в полной мере требованиям по проведению самооценки, установленными Банком России, но в случае необходимости быстрой оценки – это лучший вариант!!! Более того, такой способ в настоящий момент не реализует ни одно из программных решений, используемых для проведения самооценки.
Комментариев нет:
Отправить комментарий