четверг, 24 ноября 2011 г.

Предложения по корректировке СТО БР ИББС

Все с нетерпением ждут подзаконных актов по персональным данным, а затем и обновленную версию СТО БР ИББС-1.0. В данном посте мы бы хотели поделиться нашими соображениями на тему того, что следует скорректировать в новой редакции стандарта:

1) Необходимо доработать стандарт на предмет разделения на процессы БПТП, БИТП и процессы, в которых обрабатываются ПДн. Здесь видится 2 пути развития: или мы оставляем это разделение, но тогда это нужно отразить во всех документах Комплекса БР ИББС, или отказаться от разделения на процессы и защищать все процессы одинаково.

2) Убрать конфликтные моменты:
- коэффициенты групповых показателей не равны 1 в группах М18 и М33
- привязка уточняющих вопросов по типам ИСПДн не везде корректна
- требования в РС БР ИББС-2.3-2010 и распределение по типам ИСПДн в некоторых случаях конфликтуют…

3) Определить единый подход к тому, как должны оцениваться те или иные частные показатели и уточняющие вопросы: только по документируемости, только по выполняемости или по тому и другому.

4) Конкретизировать математику расчетов частных показателей, относящихся к области персональных данных, а именно оценку показателей, на которые влияют уточняющие вопросы Приложения В.

5) Неплохо было бы сделать проверочную таблицу по «связным показателям». Это реализовано у нас в ISM Revision: Audit Manager, но появление рекомендаций по этому вопросу, так же как в документе РС БР ИББС-2.3-2010 есть ссылки на пункты с требованиями, думается нам было бы не лишним.

6) Ну и конечно же, прописать область ПДн в соответствии с подзаконными актами, которых мы все ждем!!!

четверг, 17 ноября 2011 г.

Функции ISM Revision: Audit Manager - Экспресс-оценка

На конференции «Инфобезопасность 2011» мы в том числе представили дополнительный функционал ISM Revision: Audit Manager под названием «Экспресс-оценка». Что же это такое?

Дело в том, что анализируя комплекс стандартов СТО БР, мы обнаружили что в этих документах много говорится о том, что нужно сделать и в меньшей степени о том как. Это подтолкнуло нас на мысль попробовать представить СОИБ не как набор требований, а как набор мероприятий, которые должны быть выполнены.

По длительному и тщательному анализу всех групповых и частных показателей, мы пришли к объединению всех 425 (348, если брать не повторяющиеся) показателей в группы мероприятий, которые необходимо выполнить, внедряя СОИБ:

1. Управление доступом и регистрацией

2. Антивирусная защита

3. Безопасность при использовании сети Интернет

4. Информационная безопасность при использовании СКЗИ

5. Безопасность банковских технологических процессов

6. Безопасность при осуществлении ДБО

7. Безопасность персональных данных

8. Обеспечение информационной безопасности АБС на стадиях жизненного цикла

9. Организация службы информационной безопасности

10. Организация системы менеджмента информационной безопасности

11. Управление информационными активами

12. Управление рисками информационной безопасности

13. Безопасность при управлении персоналом

14. Мониторинг, контроль и управление инцидентами информационной безопасности

15. Непрерывность бизнеса и ее восстановление после прерывания

16. Аудит и самооценка информационной безопасности

В каждой группе мы выделили по несколько мероприятий. В итоге у нас получилось 130 мероприятий. Каждое мероприятие связано с одним или несколькими показателями, т.к. понятно, что порой одно действие позволяет разом выполнить несколько требований. Т.е., выполнив все мероприятия, вы получаете пятый уровень соответствия СТО БР ИББС-1.0.

Применение такого подхода дает возможность реализовать 2 интересные функции:

1) Экспресс-оценка соответствия требованиям СТО БР

2) Планирование действий, необходимых для достижения требуемого уровня соответствия

Про первую как раз и хочется рассказать в этом посте, а о второй мы расскажем позже, т.к. она будет реализована в виде отдельного модуля.

Экспресс-оценка - это быстрый способ оценить уровень соответствия Банка требованиям СТО БР ИББС-1.0 не следуя жесткой методологии стандарта Банка России.

Все что нужно сделать - это просто отметить в общем списке те мероприятия, которые уже реализованы в вашем Банке


и после этого система сама пересчитает это в оценку частных показателей по документируемости и выполняемости и выдаст значения всех итоговых показателей, предусмотренных методикой оценки соответствия, утвержденной Банком России.

Поэтому если у Вас нет времени, но Вы знаете как у вас организована безопасность, то вы можете в течении 2 часов узнать какой уровень ИБ в Вашем Банке.

Конечно, вся аналитика - это наша экспертная оценка, и проводя «Экспресс-самоценку», вы получите приблизительную оценку, не отвечающую в полной мере требованиям по проведению самооценки, установленными Банком России, но в случае необходимости быстрой оценки – это лучший вариант!!! Более того, такой способ в настоящий момент не реализует ни одно из программных решений, используемых для проведения самооценки.

среда, 9 ноября 2011 г.

Участие в INFOBEZ EXPO/Инфобезопасность 2011

Прошло уже больше месяца со дня нашего участия в Конференции Инфобезопасность 2011. Много чего нужно было сделать после конференции, поэтому не удавалось написать свои впечатления от участия.

Мы присутствовали (что понятно исходя из специфики нашего решения) только во второй день конференции, который был посвящен Банкам.

На этой конференции мы не только представили первый модуль нашего комплексного решения ISM Revision, но также решили показать бета-версию нового функционала этого модуля, позволяющего во-первых проводить т.н. экспресс-оценку уровня соответствия требованиям стандарта Банка России, а во-вторых оценивать перечень мероприятий, которые необходимо провести для того, чтобы выйти на заданный уровень соответствия требованиям стандарта.

Первое на наш взгляд может быть интересно банкам, которые еще не проводили самооценку и у которых может возникнуть потребность быстро оценить примерный уровень соответствия (требование руководства, запрос и ЦБ и проч.)

Второе более интересно будет тем, кто уже провел самооценку и основываясь на ее результатах в настоящий момент пытается составить план мероприятий, необходимых для достижения определенного уровня соответствия.

Порадовало то, что немалое количество посетителей заинтересовались нашим решением, подходили, расспрашивали, смотрели демонстрацию. Порой мы даже не успевали раздавать рекламные материалы :)


В общем, нам конференция понравилась. Можно сказать, что первый блин вышел совсем не комом. Работы по итогам также прибавилось, что не может не радовать. Спасибо всем, кто интересовался нашим стендом. Постараемся реализовать большую часть ваших пожеланий !

По завершению мероприятия мы получили письмо от организаторов: «INFOBEZ EXPO/Инфобезопасность 2011 прошла на высоком научном и техническом уровне, традиционно продемонстрировав своим гостям колоссальный потенциал развития информационной безопасности в России, акцентировала внимание на самых острых вопросах, озвучила самые смелые мнения, и привлекла широкий круг слушателей и посетителей из разных регионов России, стран ближнего и дальнего зарубежья.
Но успех INFOBEZ EXPO/Инфобезопасность 2011 был бы невозможен без Вашего участия и демонстрации Ваших достижений. Экспозиция Вашей компании неизменно пользовалась успехом у посетителей выставки. Мы надеемся, что Вам удалось в полной мере решить поставленные бизнес-задачи и использовать коммерческий потенциал мероприятия.»

Со своей стороны хотим также поблагодарить организаторов за возможность представить наш продукт в рамках конференции. Мы получили новых клиентов, новые знакомства, новых партнеров, а самое главное – мы услышали отзывы о нашем продукте, в т.ч. конструктивную критику, а это всегда очень важно и полезно для развития.

P.S. Самым примечательным было то, что рядом с нами продавали книги ! Да-да, бумажные книги по разным тематикам (информационная безопасность и не только) и вы не поверите, но клиентов у этого «стенда» тоже было предостаточно :). Бумажные издания,которым не менее года, а то и больше, информация в большинстве из них уже явно несколько устарела, но их продолжают покупать!!! Пародокс?!

вторник, 1 ноября 2011 г.

Несколько слов о том, что такое ISM SYSTEMS

Коллеги, в этом посте хотелось бы кратко рассказать о том, что натолкнуло нас на разработку программного решения для автоматизации процессов управления информационной безопасностью, ISM Revision, и создание Компании ISM SYSTEMS.

Идея создания решения, которое поможет решать вопросы управления информационной безопасностью специалисту, эксперту, начальнику службы ИБ витала в воздухе уже давно. Мы часто слышали от коллег такие фразы «…нам бы это автоматизировать…и еще вот этот процесс…».

В итоге мы сформулировали основную миссию компании и основную идеологию продукта.

Наша миссия - мы создаем инновационные решения, позволяющие нашим клиентам эффективно решать вопросы управления информационной безопасностью!

Звучит «круто», но это именно те проблемы, с которыми сталкиваются специалисты по информационной безопасностью.

Далее встал вопрос, так что же нужно автоматизировать вначале и в каком сегменте?! Ответ про сегмент нашелся сразу. Банки – это тот отраслевой сегмент, который в первую очередь думает об информационной безопасности, о защите бизнес-процессов и информации.

И конечно же если мы говорим о банках, то на вопрос о том, какие именно процессы нуждаются в автоматизации, ответ очевиден - процессы менеджмента, определенные в стандартах Комплекса СТО БР ИББС, который многие банки уже приняли и постепенно внедряют.

Далее встал вопрос о поиске программистов ввиду того, что наша команда включает специалистов, экспертов в области информационной безопасности, которые знают "что" и "как", но не владеют технологиями программирования. Поэтому для укомплектования команды нужны были программисты-эксперты. В достаточно короткое время они были найдены и мы приступили к функциональному, затем интерфейсному и в итоге программному описанию нашего решения.

Теперь немного о самом решении ISM Revision. Продукт, который мы задумали прежде всего – МОДУЛЬНЫЙ! Каждый модуль позволит автоматизировать какой-либо процесс ИБ: управление аудитами/самооценками, управление рисками, управление инцидентами, управление активами и прочее. В итоге мы хотим получить КОМПЛЕКСНОЕ решение прежде всего для Руководителя службы ИБ, для эксперта по ИБ. В перспективе это решение должно стать функциональным Центром управления информационной безопасностью.

Первый модуль нами уже успешно разработан. ISM Revision: Audit Manager запущен в эксплуатацию 1 сентября…постарались ко дню Знаний! Однако на этом его разработка не закончена и мы всегда рады конструктивной критике, комментариям, пожеланиям к продукту, к сотрудничеству да и просто совету!!!

суббота, 29 октября 2011 г.

Открытие блога

Добрый день, уважаемые Коллеги !

Этим постом мы открываем блог нашей компании, в котором мы будем публиковать различную информацию, которая как мы надеемся будет полезная специалистам по информационной безопасности, а именно:

новости, касающиеся разработки наших программных решений, в частности, специализированного продукта для автоматизации процессов управления информационной безопасностью - ISM Revision;

сведения о важных событиях на российском рынке информационной безопасности вообще и в области обеспечения безопасности в кредитно-финансовых учреждениях в частности (особенно в части вопросов внедрения стандарта Банка России СТО БР ИББС-1.0);

аналитические отчеты, полезные ссылки, справочные материалы и многое другое.

Надеемся, что данный ресурс станет одним из источников получения вами актуальной информации.

С уважением,
команда ISM SYSTEMS.