Курсы в АИС по СТО БР ИББС

На прошлой неделе отчитал свою часть курса по СТО БР ИББС в АИС. Вопросы по прежнему касаются 3-х аспектов стандарта:

  • Оценка рисков
  • Самооценка
  • Защита персональных данных

Немного о каждом.

В части оценки рисков нужно понимать, что методика, которая предлагается в стандарте, не очень хорошая. Это легко «лечится» выбором другой методики или доработки существующей (благо стандарт предоставляет в этой части свободу). При желании можно найти неплохие описания методик в интернете, однако учитывая важность задачи лучше найти специалистов, которые могут выстроить полноценный процесс оценки рисков и разработают методику под конкретный банк и конкретную службу ИБ.


11 правил, которые нужно соблюдать, если вы входите в судебный процесс, касающийся вопросов информационной безопасности

В самооценке для начала нужно разделить понятия самооценки и аудита. Аудиты которые сегодня предлагают интеграторы – это помощь в самооценке, а не аудит. Правильнее всего это называть оценкой соответствия. Хотя… это буквоедство. Дело в том, что эти понятия в применении к стандарту пока не разделились, но обязательно разделятся. Также в самооценке «навороченная» система подсчета показателей. Все чаще банки интересуются автоматизированными средствами для проведения самооценок. Чем сложнее математика, тем лучше для производителей таких систем.

Защита персональных данных по прежнему вызывает самые острые дискуссии. Так, например, запомнился вопрос о разработке модели угроз. В принципе имеет смысл выделять из Модели угроз информационным активам в отдельный документ угрозы по ПДн (Частная модель угроз по ПДн). Это для удобства, чтобы в случае появления интереса со стороны регуляторов по ПДн можно было передать только Частную модель угроз по ПДн.

По прежнему, много споров вызывает вопрос какие автоматизированные системы относятся к ИСПДн, а какие нет. Много раз об этом говорил, в том числе и в статье для «Финансовой газеты». Многие видят в позиции стандарта прямое противоречие 152-ФЗ и подзаконным актам. В таких случаях я привожу пример с камерами видеонаблюдения которыми обвешана вся Москва. С моей (гражданской) позиции – это прямое нарушение конституционного права на защиту личной жизни (23-24 статей Конституции РФ), однако конституционные суды (не только в РФ) считают что это не так. Чем эта ситуация принципиально отличается от проблемы ИСПДн/не ИСПДн? На мой взгляд стандарт в данном случае не нарушает, а уточняет требования закона и подзаконных актов. Этой же позиции придерживаются и регуляторы (включая Роскомнадзор), которые согласовали стандарт (интересный момент, его согласовали «замы», а не руководители служб 😉 ).

Конечно вопросов по СТО БР ИББС очень и очень много именно поэтому курс такой большой.

> Правильнее всего это называть оценкой соответствия

А gap-анализом, стало быть, уже не правильно?

[Ответить]

Царев Евгений Reply:

С стандарте таким понятием не оперируют, но по сути это тоже самое.

[Ответить]

  • Был на этой неделе в АИС. Хотелось бы попасть к Вам на курсы, но пока не получается

    [Ответить]

    Царев Евгений Reply:

    У меня много мероприятий этой весной будет, может быть получится.

    [Ответить]

  • Евгений, вы написали: «В части оценки рисков нужно понимать, что методика, которая предлагается в стандарте, не очень хорошая. «.

    Почему она не очень хорошая? Чье это суждение и чем обосновано?

    [Ответить]

    Царев Евгений Reply:

    Если вас устраивает методика по РС2.2, принимайте. но это не самая лучшая методика, таково мое мнение и мнение большинства экспертов. Откройте 6-й раздел методики и посмотрите на цифры, далеко не для каждого банка подойдут такие шкалы. Да и обосновать эти, или любые выбранные вами цифры, весьма сомнительно, слишком много субъективизма.
    В большинстве банков уже существуют свои подходы к оценке рисков их и нужно брать, если нет, то можно подыскать другую методику под себя.

    [Ответить]

  • Я вас понял, Евгений. Цифры в 6-м разделе приведены для примера, совсем не обязательно их использовать для всех банков. Это не причина того, что она «не самая лучшая».
    Конечно, любой банк вправе выбрать любую методику, но чем хороша эта методика ИМХО, она позволяет маленькими (но периодичными) итерациями (без особых временных затрат) добиваться очень приемлемых результатов.
    Методика наглядна и согласована понятийным аппаратом СТО БР.

    Ссылаться на мнение большинства экспертов — дело несложное, всем знакомое. Евгений, если не сложно, посвятите общественность тайными знаниями экспертов. Лично я буду очень благодарен.
    Не хочу вдаваться в споры, но к сожалению пока не увидел обоснованных минусов этой методики.

    [Ответить]

    Царев Евгений Reply:

    У вас субъективных переменных очень много, вам придется подгонять свои оценки под методику. Просто попробуйте ее применить для своего банка, все сразу ясно станет.

    [Ответить]

  • Евгений, неужели вы знаете практичную методику, которая исключает субъективные (экспертные) оценки и на практике удавалось ее реализовать?
    Ну ладно — это спор о вечном 🙂
    А вообще — чтобы избежать субъективных оценок, которые порой сложно обосновать, достаточно выбрать подходящий уровень детализации и адекватные границы оценки. Объять необъятное экспертными оценками сразу ВСЁ конечно же не получится.

    [Ответить]

  • You could defnitely see your expertise within the article you write.

    The arena hopes for even more passionate writers like youu who aren’t
    afraid to mention how they believe. Always follow your heart.

    [Ответить]

    Добавить комментарий

    Войти с помощью: 

    Ваш e-mail не будет опубликован. Обязательные поля помечены *