Проведение самооценки по требованиям СТО БР ИББС в кредитной организации

Александр Бондаренко
эксперт по информационной безопасности

Так, в соответствии с небезызвестным "письмом шести", результаты самооценки должны быть отправлены в адрес ГУБЗИ ЦБ РФ до 1 июля 2011 г. (срок уже прошел), далее обновленные результаты необходимо направлять не реже чем раз в 3 года.

Кроме того, требования стандарта СТО БР ИББС-1.1-2007 "Аудит информационной безопасности" предписывают необходимость утверждения в банке ежегодной программы аудитов и самооценок, направленной на совершенствование системы обеспечения информационной безопасности (СОИБ). В данной статье речь пойдет о том, что необходимо для того, чтобы создать такую программу в соответствии с требованиями Банка России.

Организация программы аудитов и самооценок

Назначение ответственного за разработку и реализацию программы. Программа аудитов и самооценок – это совокупность нескольких (в частном случае одного) аудитов и самооценок, которая, как правило, составляется на год. Программа включает в себя перечень мероприятий, сроки и область их проведения, а также меры по контролю и анализу полученных результатов. Для составления и реализации подобной программы прежде всего необходимо назначить ответственное лицо или подразделение (в лице его руководителя).

В соответствии с требованиями стандарта ответственные за управление программой аудита ИБ лица должны:

• разрабатывать, внедрять, контролировать, анализировать и совершенствовать программу аудита ИБ;
• определять потребность программы аудита ИБ в ресурсах;
• способствовать принятию решений об обеспечении программы аудита ИБ необходимыми ресурсами.

Разработка программы аудитов и самооценок. После того как определены ответственные, необходимо разработать саму программу аудитов и самооценок. Эта работа включает в себя:

• составление и утверждение плана аудитов и самооценок на заданный период времени (как правило, год). Данный план должен определять не только сроки, но и область проведения, то есть перечень организационных и функциональных единиц или процессов (например, филиалов, отдельных структурных подразделений и т.п.);
• определение перечня привлекаемых сторонних организаций в рамках данной программы (например, для проведения внешних аудитов);
• обеспечение программы необходимыми финансовыми, людскими и иными ресурсами;
• доведение плана аудитов и самооценок до всех участвующих в его реализации сторон.

Формирование группы для проведения самооценки. Для проведения каждой самооценки в рамках утвержденной программы необходимо сформировать рабочую группу из числа сотрудников подразделения, ответственного за обеспечение информационной безопасности, а также назначить руководителя рабочей группы. Дополнительно в состав рабочей группы рекомендуется включать в качестве технических экспертов сотрудников подразделения, отвечающих за автоматизацию и обслуживание IТ-инфраструктуры.

Подготовка к проведению самооценки. Любая самооценка должна проводиться в соответствии с заранее согласованным планом. Это не только вопрос соблюдения требований стандарта, но и полезная практика, так как проведение самооценки сопряжено с вовлечением в данный процесс представителей других подразделений, и без четкого согласования сроков и времени проведения тех или иных мероприятий работа может затянуться.

В соответствии с рекомендациями, описанными в РС БР ИББС-2.1-2007, в план проведения самооценки ИБ как минимум рекомендуется включать следующую информацию:

• цель самооценки ИБ;
• объекты и деятельность, подвергающиеся самооценке ИБ;
• даты и продолжительность проведения самооценки ИБ;
• распределение ролей среди членов проверяющей группы, связанных с анализом документов, проведением самооценки на месте и подготовкой и рассылкой отчета с результатами самооценки;
• порядок и сроки выполнения мероприятий по анализу документов;
• порядок и сроки выполнения мероприятий по проведению самооценки ИБ на месте;
• порядок и сроки выполнения мероприятий по подготовке и рассылке отчета с результатами самооценки ИБ.

Созданный план рекомендуется согласовать со всеми лицами, чье участие потребуется для его реализации.

Еще одним, уже необязательным, но порой необходимым шагом на данном этапе является подготовка рабочих документов, в которых будут фиксироваться сведения о собранных свидетельствах и выставленных оценках. Образец формы для сбора свидетельств самооценки представлен в РС БР ИББС-2.1-2007 Приложение А. Рабочие документы могут вестись в электронном виде либо от них можно совсем отказаться, если используется программное средство для автоматизации самооценки (подробнее см. "Методы и средства автоматизации").

Сбор необходимых свидетельств. Основными источниками свидетельств самооценки ИБ являются:

• документы, содержащие необходимые свидетельства для выставления оценок;
• устные высказывания сотрудников проверяемых подразделений;
• результаты наблюдений членов рабочей группы за деятельностью по реализации требований нормативных документов в области обеспечения ИБ.

Таким образом, чтобы выставить объективные оценки для частных показателей, потребуется прежде всего собрать и проанализировать все принятые в организации документы. К таковым относятся как документы, устанавливающие требования и правила (политики, порядки, регламенты, инструкции и проч.), так и документы, содержащие результаты осуществляемой деятельности (протоколы, акты, реестры, журналы и проч.). Общий перечень возможных документов представлен в РС БР ИББС-2.1-2007 Приложение Б. Важно подчеркнуть, что в качестве источников свидетельств самооценки могут рассматриваться только действующие в организации документы (утвержденные соответствующими приказами).

Помимо сбора и анализа документов, также потребуется провести интервью с представителями различных подразделений организации, по итогам которых должны быть составлены протоколы. В рамках интервьюирования определяется степень осведомленности персонала в вопросах информационной безопасности, понимание ими их ролевых функций и соответствие выполняемых ими действий правилам, установленным во внутренних документах организации.

Еще одним возможным источником свидетельств самооценки могут быть наблюдения, проведенные членами рабочей группы. К наблюдениям относятся различные мероприятия, связанные с посещением проверяемых объектов, осмотром помещений, наблюдением за деятельностью сотрудников по выполнению тех или иных операций (выполняемых в том числе по просьбе представителей рабочей группы). Итоги таких наблюдений также рекомендуется оформлять соответствующим протоколом.

Оценка частных показателей. Собрав все необходимые свидетельства, предстоит выполнить самую трудоемкую фазу самооценки – провести оценку уточняющих вопросов и частных показателей. Частных показателей в методике проведения самооценки более 400, и для каждого из них требуется выставить оценку: н/о; 0; 0,25; 0,5; 0,75 или 1, в зависимости от наличия или отсутствия необходимых свидетельств. Подробнее методика оценки частных показателей описана в стандарте СТО БР ИББС-1.2-2010. С учетом объема оцениваемых показателей и используемых при этом математических расчетов для получения итоговых оценок соответствия выполнение данной работы вручную представляется довольно нетривиальной задачей.

Подготовка отчета по результатам самооценки. Результаты проведенной работы по самооценке должны быть оформлены в виде отчета, в который необходимо включить:

• сведения об организации БС РФ, проводившей самооценку ИБ;
• сведения о руководителе и членах проверяющей группы;
• сроки проведения самооценки;
• краткое изложение процесса самооценки;
• любые неразрешенные разногласия;
• заявление о конфиденциальном характере содержания
• отчета с результатами самооценки ИБ;
• лист рассылки отчета с результатами самооценки ИБ.

Отчет с результатами самооценки ИБ должен быть утвержден ответственным за процесс самооценки ИБ и представлен руководителем рабочей группы всем заинтересованным лицам в формате итогового совещания.

Методы и средства автоматизации

Внедрение и дальнейшая эксплуатация СОИБ по требованиям Банка России создает достаточно серьезную нагрузку на подразделение, отвечающее за информационную безопасность в банке. Так, например, в ходе проведения одной самооценки для получения необходимых результатов потребуется оценить более 400 показателей. В условиях ограниченности временных и человеческих ресурсов наиболее эффективным способом решения многочисленных задач является автоматизация. В настоящее время существует несколько программных решений, позволяющих автоматизировать процесс самооценки (см. табл.). 

Каждое из этих решений имеет свои особенности. В рамках данной статьи мы не будем детально останавливаться на их описании. Выбор в пользу того или иного решения рекомендуется делать, исходя из соответствия программного решения требованиям банка, удобства использования, а также соотношения "цена/качество".

Заключение

В заключение хочется отметить, что организация программы аудитов в банке, несмотря на кажущуюся сложность, – вполне реализуемая задача, в результате которой подразделение, отвечающее за информационную безопасность, получит возможность аргументировать перед руководством необходимость выделения средств на СОИБ. Также это позволит эффективно планировать работы по обеспечению информационной безопасности в рамках общей стратегии по повышению уровня соответствия требованиям Банка России.