Проведение самооценки по требованиям СТО БР ИББС в кредитной организации

Для банка, принявшего решение о внедрении стандартов серии СТО БР ИББС, проведение самооценки является одним из важнейших мероприятий, т.к. ее результаты используются как для формирования стратегии повышения уровня информационной безопасности в банке, так и для отчетности перед регуляторами. Так, в соответствии с небезызвестным «письмом шести», результаты самооценки должны быть отправлены в адрес ГУБЗИ ЦБ РФ до 1 июля 2011 г. (срок уже прошел), далее обновленные результаты необходимо направлять не реже чем раз в 3 года.

Кроме того, требования стандарта СТО БР ИББС-1.1-2007 «Аудит информационной безопасности» предписывают необходимость утверждения в банке ежегодной программы аудитов и самооценок, направленной на совершенствование системы обеспечения информационной безопасности (далее, СОИБ).  В данной статье речь пойдет о том, что необходимо для того, чтобы создать такую программу в соответствии с требованиями Банка России.

Организация программы аудитов и самооценок

1) Назначение ответственного за разработку и реализацию программы

Программа аудитов и самооценок – это совокупность нескольких (в частном случае одного) аудитов и самооценок, которая, как правило, составляется на год.  Программа включает: перечень мероприятий, сроки и область их проведения, а также меры по контролю  и анализу полученных результатов.   Для составления и реализации подобной программы прежде всего необходимо назначить ответственное лицо или подразделение (в лице его руководителя).

В соответствии с требованиями стандарта, ответственные за управление программой аудита ИБ лица должны:

— разрабатывать, внедрять, контролировать, анализировать и совершенствовать программу аудита ИБ;

— определять потребность программы аудита ИБ в ресурсах;

— способствовать принятию решений об обеспечении программы аудита ИБ необходимыми ресурсами.

2) Разработка программы аудитов и самооценок

После того как определены ответственные, необходимо разработать саму программу аудитов и самооценок. Эта работа включает:

— составление и утверждение плана аудитов и самооценок на заданный период времени (как правило, год). Данный план должен определять не только сроки, но и область проведения, т.е. перечень организационных и функциональных единиц или процессов (например, филиалов, отдельных структурных подразделений и т.п.);

— определение перечня привлекаемых сторонних организации в рамках данной программы (например, для проведения внешних аудитов);

— обеспечение программы необходимыми финансовыми, людскими и иными ресурсами;

— доведение плана аудитов и самооценок до всех участвующих в его реализации сторон.

3) Формирование группы для проведения самооценки

Для проведения каждой самооценки в рамках утвержденной программы необходимо сформировать рабочую группу из числа сотрудников подразделения, ответственного за обеспечение информационной безопасности, а также назначить руководителя рабочей группы.  Дополнительно в состав рабочей группы рекомендуется включать в качестве технических экспертов сотрудников подразделения, отвечающего за автоматизацию и обслуживание ИТ-инфраструктуры.

4) Подготовка к проведению самооценки

Любая самооценка должна проводиться в соответствии с заранее согласованным планом. Это не только вопрос соблюдения требований стандарта, но и полезная практика, т.к. проведение самооценки сопряжено с вовлечением в данный процесс представителей других подразделений, и без четкого согласования сроков и времени проведения тех или иных мероприятий работа может затянуться.

В соответствии с рекомендациями, описанными в РС БР ИББС-2.1-2007, в план проведения самооценки ИБ как минимум рекомендуется включать следующую информацию:

— цель самооценки ИБ;

— объекты и деятельность, подвергающиеся самооценке ИБ;

— даты и продолжительность проведения самооценки ИБ;

— распределение ролей среди членов проверяющей группы, связанных с анализом документов, проведением самооценки на месте и подготовкой и рассылкой отчета с результатами самооценки;

— порядок и сроки выполнения мероприятий по анализу документов;

— порядок и сроки выполнения мероприятий по проведению самооценки ИБ на месте;

— порядок и сроки выполнения мероприятий по подготовке и рассылке отчета с результатами самооценки ИБ.

Созданный план рекомендуется согласовать со всеми лицами, чье участие потребуется для его реализации.

Еще одним, уже не обязательным, но порой необходимым шагом на данном этапе является подготовка рабочих документов, в которых будут фиксироваться сведения о собранных свидетельствах и выставленных оценках. Образец формы для сбора свидетельств самооценки представлен в РС БР ИББС-2.1-2007 Приложение А. Рабочие документы могут вестись в электронном виде, либо от них можно совсем отказаться, если используется программное средство для автоматизации самооценки (подробнее см. далее «методы и средства автоматизации).

5) Сбор необходимых свидетельств

Основными источниками свидетельств самооценки ИБ являются:

— документы, содержащие необходимые свидетельства для выставления оценок;

— устные высказывания сотрудников проверяемых подразделений;

— результаты наблюдений членов рабочей группы за деятельностью по реализации требований нормативных документов в области обеспечения ИБ.

Таким образом, для выставления объективных оценок для частных показателей потребуется прежде всего собрать  и проанализировать все принятые в организации документы. К таким относятся как документы, устанавливающие требования и правила (политики, порядки, регламенты, инструкции и проч.), так и документы, содержащие результаты осуществляемой деятельности (протоколы, акты, реестры, журналы и проч.).  Общий перечень возможных документов представлен в РС БР ИББС-2.1-2007 Приложение Б.  Важно подчеркнуть, что в качестве источников свидетельств самооценки могут рассматриваться только действующие в организации документы (утвержденные соответствующими приказами).

Помимо сбора и анализа документов также потребуется провести интервью с представителями различных подразделений организации, по итогам которых должны быть составлены протоколы. В рамках интервьюирования определяется степень осведомленности персонала в вопросах информационной безопасности, понимание ими их ролевых функций и соответствие выполняемых ими действий правилам, установленным во внутренних документах организации.

Еще одним возможным источником свидетельств самооценки могут быть наблюдения,  проведенные членами рабочей группы. К наблюдениями относятся различные мероприятия, связанные с посещением проверяемых объектов, осмотром помещений, наблюдением за деятельностью сотрудников по выполнению тех или иных операций (выполняемых в т.ч. по просьбе представителей рабочей группы). Итоги таких наблюдений также рекомендуется оформлять соответствующим протоколом.

6) Оценка частных показателей

Собрав все необходимые свидетельства, предстоит выполнить самую трудоемкую фазу самооценки – провести оценку уточняющих вопросов и частных показателей.  Частных показателей в методике проведения самооценки более 400, и для каждого из них требуется выставить оценку н/о; 0; 0,25; 0,5; 0,75 или 1 в зависимости от наличия или отсутствия необходимых свидетельств. Подробнее методика оценки частных показателей описана в стандарте СТО БР ИББС-1.2-2010. С учетом объема оцениваемых показателей и используемых при этом математических расчетов для получения итоговых оценок соответствия, выполнение данной работы вручную представляется довольно нетривиальной задачей.

7) Подготовка отчета по результатам самооценки

Результаты проведенной работы по самооценке должны быть оформлены в виде отчета, в который необходимо включить:

  • сведения об организации БС РФ, проводившей самооценку ИБ;
  • сведения о руководителе и членах проверяющей группы;
  • сроки проведения самооценки;
  • краткое изложение процесса самооценки;
  • любые неразрешенные разногласия;
  • заявление о конфиденциальном характере содержания отчета с результатами самооценки ИБ;
  • лист рассылки отчета с результатами самооценки ИБ.

Отчет с результатами самооценки ИБ должен быть утвержден ответственным за процесс самооценки ИБ (см. п.1) и представлен руководителем рабочей группы всем заинтересованным лицам в формате итогового совещания.

Поделиться записью:
Scroll Up