В рубрику "Право и нормативы" | К списку рубрик | К списку авторов | К списку публикаций
Так, в соответствии с небезызвестным "письмом шести", результаты самооценки должны быть отправлены в адрес ГУБЗИ ЦБ РФ до 1 июля 2011 г. (срок уже прошел), далее обновленные результаты необходимо направлять не реже чем раз в 3 года.
Кроме того, требования стандарта СТО БР ИББС-1.1-2007 "Аудит информационной безопасности" предписывают необходимость утверждения в банке ежегодной программы аудитов и самооценок, направленной на совершенствование системы обеспечения информационной безопасности (СОИБ). В данной статье речь пойдет о том, что необходимо для того, чтобы создать такую программу в соответствии с требованиями Банка России.
Назначение ответственного за разработку и реализацию программы. Программа аудитов и самооценок – это совокупность нескольких (в частном случае одного) аудитов и самооценок, которая, как правило, составляется на год. Программа включает в себя перечень мероприятий, сроки и область их проведения, а также меры по контролю и анализу полученных результатов. Для составления и реализации подобной программы прежде всего необходимо назначить ответственное лицо или подразделение (в лице его руководителя).
В соответствии с требованиями стандарта ответственные за управление программой аудита ИБ лица должны:
Разработка программы аудитов и самооценок. После того как определены ответственные, необходимо разработать саму программу аудитов и самооценок. Эта работа включает в себя:
Формирование группы для проведения самооценки. Для проведения каждой самооценки в рамках утвержденной программы необходимо сформировать рабочую группу из числа сотрудников подразделения, ответственного за обеспечение информационной безопасности, а также назначить руководителя рабочей группы. Дополнительно в состав рабочей группы рекомендуется включать в качестве технических экспертов сотрудников подразделения, отвечающих за автоматизацию и обслуживание IТ-инфраструктуры.
Подготовка к проведению самооценки. Любая самооценка должна проводиться в соответствии с заранее согласованным планом. Это не только вопрос соблюдения требований стандарта, но и полезная практика, так как проведение самооценки сопряжено с вовлечением в данный процесс представителей других подразделений, и без четкого согласования сроков и времени проведения тех или иных мероприятий работа может затянуться.
В соответствии с рекомендациями, описанными в РС БР ИББС-2.1-2007, в план проведения самооценки ИБ как минимум рекомендуется включать следующую информацию:
Созданный план рекомендуется согласовать со всеми лицами, чье участие потребуется для его реализации.
Еще одним, уже необязательным, но порой необходимым шагом на данном этапе является подготовка рабочих документов, в которых будут фиксироваться сведения о собранных свидетельствах и выставленных оценках. Образец формы для сбора свидетельств самооценки представлен в РС БР ИББС-2.1-2007 Приложение А. Рабочие документы могут вестись в электронном виде либо от них можно совсем отказаться, если используется программное средство для автоматизации самооценки (подробнее см. "Методы и средства автоматизации").
Сбор необходимых свидетельств. Основными источниками свидетельств самооценки ИБ являются:
Таким образом, чтобы выставить объективные оценки для частных показателей, потребуется прежде всего собрать и проанализировать все принятые в организации документы. К таковым относятся как документы, устанавливающие требования и правила (политики, порядки, регламенты, инструкции и проч.), так и документы, содержащие результаты осуществляемой деятельности (протоколы, акты, реестры, журналы и проч.). Общий перечень возможных документов представлен в РС БР ИББС-2.1-2007 Приложение Б. Важно подчеркнуть, что в качестве источников свидетельств самооценки могут рассматриваться только действующие в организации документы (утвержденные соответствующими приказами).
Помимо сбора и анализа документов, также потребуется провести интервью с представителями различных подразделений организации, по итогам которых должны быть составлены протоколы. В рамках интервьюирования определяется степень осведомленности персонала в вопросах информационной безопасности, понимание ими их ролевых функций и соответствие выполняемых ими действий правилам, установленным во внутренних документах организации.
Еще одним возможным источником свидетельств самооценки могут быть наблюдения, проведенные членами рабочей группы. К наблюдениям относятся различные мероприятия, связанные с посещением проверяемых объектов, осмотром помещений, наблюдением за деятельностью сотрудников по выполнению тех или иных операций (выполняемых в том числе по просьбе представителей рабочей группы). Итоги таких наблюдений также рекомендуется оформлять соответствующим протоколом.
Оценка частных показателей. Собрав все необходимые свидетельства, предстоит выполнить самую трудоемкую фазу самооценки – провести оценку уточняющих вопросов и частных показателей. Частных показателей в методике проведения самооценки более 400, и для каждого из них требуется выставить оценку: н/о; 0; 0,25; 0,5; 0,75 или 1, в зависимости от наличия или отсутствия необходимых свидетельств. Подробнее методика оценки частных показателей описана в стандарте СТО БР ИББС-1.2-2010. С учетом объема оцениваемых показателей и используемых при этом математических расчетов для получения итоговых оценок соответствия выполнение данной работы вручную представляется довольно нетривиальной задачей.
Подготовка отчета по результатам самооценки. Результаты проведенной работы по самооценке должны быть оформлены в виде отчета, в который необходимо включить:
Отчет с результатами самооценки ИБ должен быть утвержден ответственным за процесс самооценки ИБ и представлен руководителем рабочей группы всем заинтересованным лицам в формате итогового совещания.
Внедрение и дальнейшая эксплуатация СОИБ по требованиям Банка России создает достаточно серьезную нагрузку на подразделение, отвечающее за информационную безопасность в банке. Так, например, в ходе проведения одной самооценки для получения необходимых результатов потребуется оценить более 400 показателей. В условиях ограниченности временных и человеческих ресурсов наиболее эффективным способом решения многочисленных задач является автоматизация. В настоящее время существует несколько программных решений, позволяющих автоматизировать процесс самооценки (см. табл.).
Каждое из этих решений имеет свои особенности. В рамках данной статьи мы не будем детально останавливаться на их описании. Выбор в пользу того или иного решения рекомендуется делать, исходя из соответствия программного решения требованиям банка, удобства использования, а также соотношения "цена/качество".
В заключение хочется отметить, что организация программы аудитов в банке, несмотря на кажущуюся сложность, – вполне реализуемая задача, в результате которой подразделение, отвечающее за информационную безопасность, получит возможность аргументировать перед руководством необходимость выделения средств на СОИБ. Также это позволит эффективно планировать работы по обеспечению информационной безопасности в рамках общей стратегии по повышению уровня соответствия требованиям Банка России.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #1, 2012