Стандарт ПС "Мир". Порядок обработки инцидентов ИБ Участником

3.1.1. Участник ПС «Мир» обязан обеспечивать мониторинг и выявление инцидентов ИБ в своей инфраструктуре, в привлеченных Участником организациях, а также в привлеченных организациях второго уровня.

3.2.1. Участник в течение 24 часов после того, как ему стало известно о предполагаемом инциденте ИБ на своей стороне, на стороне привлеченной им организации или в привлеченной организации второго уровня, должен уведомить об этом АО «НСПК».

3.2.2. Уведомление выполняется путем создания заявки в проекте «Программа безопасности» на Портале. К заявке должна быть приложена заполненная форма уведомления об предполагаемом инциденте ИБ, которая доступна в разделе «Документы» в соответствующем проекте Портала. Участником должна быть заполнена форма уведомления, соответствующая типу организации, затронутой предполагаемым инцидентом ИБ. Если у Участника отсутствует доступ к Порталу, то Участник должен уведомить АО «НСПК» об инциденте ИБ по электронной почте, направив письмо с информацией о предполагаемом инциденте ИБ на адрес mirsecurity@nspk.ru.

3.2.3. После получения АО «НСПК» уведомления о предполагаемом инциденте ИБ АО «НСПК» в течение этапа оперативного реагирования и этапа расследования в рабочем порядке взаимодействует с представителями Участника по вопросам обработки инцидента ИБ и выполнения действий по скомпрометированным картам ПС «Мир».

3.3.2. Если предполагаемый инцидент ИБ произошел на стороне привлеченной Участником организации или привлеченной организации второго уровня, ответственность за расследование инцидента ИБ возлагается на Участника. Участник должен поручить организации, которую затронул инцидент ИБ, выполнить расследование самостоятельно, либо привлечь стороннюю организацию, которая специализируется на расследованиях, либо провести расследование собственными силами. АО «НСПК» оставляет за собой право обязать Участника привлечь для проведения расследования стороннюю организацию, которая специализируется на расследованиях инцидентов ИБ. Расходы, связанные с привлечением сторонней организации для проведения расследования инцидента ИБ на стороне привлеченной Участником организации, несет Участник или организация, затронутая инцидентом ИБ.

3.3.3. По итогам расследования Участником формируется предварительный отчет о предполагаемом инциденте ИБ. Шаблон предварительного отчета доступен в разделе «Документы» в соответствующем проекте Портала.

3.3.4. Участник обязан предоставить через Портал в АО «НСПК» предварительный отчет в формате doc, docx или pdf в течение 5 рабочих дней со дня предоставления уведомления о предполагаемом инциденте ИБ. Участник должен создать задачу в проекте «Программа безопасности» и приложить к ней заполненный предварительный отчет, который должен в т.ч. содержать вывод оподтверждении или не подтверждении инцидента ИБ.

3.3.6. Если в ходе расследования предполагаемого инцидента ИБ Участнику стала известна информация о компрометации (или подозрении на компрометацию) карт ПС «Мир» или об устройствах, в которых произошла компрометация (или в отношении которых имеется подозрение на компрометацию), то информация о таких картах и устройствах передается вместе с отчетом. Требования к формату и содержимому файла с информацией о картах описаны в Шаблоне предварительного отчета.

3.3.7. Если предполагаемый инцидент ИБ не подтвердился, то выполняется закрытие инцидента ИБ согласно действующей регламентной документации Участника.

3.3.8. Если предполагаемый инцидент ИБ подтвердился, то в течение 20 рабочих дней со дня предоставления предварительного отчета Участник должен подготовить финальный отчет по установленной форме. Шаблон финального отчета доступен в разделе «Документы» в соответствующем проекте Портала.

3.3.9. Финальный отчет передается Участником АО «НСПК» через Портал в формате doc, docx или pdf в течение 20 рабочих дней со дня представления предварительного отчета. Участник должен создать задачу в проекте «Программа безопасности» и приложить к ней заполненный финальный отчет.

4.1.1. Участник должен иметь порядок (план) восстановления функционирования бизнес-процессов и объектов информационной инфраструктуры. Порядок должен включать, но не ограничиваться:

4.1.2. Участник должен обеспечить восстановление штатного функционирования бизнес-процессов и объектов информационной инфраструктуры, на которые повлиял инцидент ИБ, согласно принятому у него порядку (плану) восстановления.

4.2.1. По результатам закрытия инцидента ИБ в течение 10 рабочих дней Участник разрабатывает План действий по недопущению инцидента ИБ (далее – План) в будущем. План разрабатывается на основе шаблона, который предоставляется АО «НСПК» по запросу.

4.2.2. План в рабочем порядке согласуется с АО «НСПК» посредством взаимодействия в рамках соответствующей задачи, созданной на Портале.

4.2.3. После согласования с АО «НСПК» Плана Участник реализует План и один раз в месяц (в течение первой недели календарного месяца) отчитывается перед АО «НСПК» о его выполнении до момента полной реализации Плана. Форма отчетности определяется АО «НСПК» после согласования Плана. Отчетность должна представляться в АО «НСПК» через созданную Участником задачу в проекте «Программа безопасности». При необходимости АО «НСПК» может запросить свидетельства, подтверждающие выполнение Плана, а Участник должен обеспечить представление АО «НСПК» запрашиваемых материалов. Запрос выполняется через Портал.

4.2.4. План считается реализованным только после получения статуса «Выполнено» по всем мероприятиям Плана.

4.2.6. Если инцидент ИБ произошел у привлеченной Участником организации или привлеченной организации второго уровня, то Участник несет ответственность за исполнение организацией определенного в Плане перечня мероприятий. Участник согласовывает План организации и представляет в АО «НСПК» отчетность по выполнению организацией Плана в порядке, указанном выше.

4.2.7. Если организация является ТСП, согласование и контроль реализации Плана выполняется Эквайрером этой организации самостоятельно. Во всех остальных случаях согласование и контроль реализации Плана осуществляется Участником совместно с АО «НСПК». АО «НСПК» утверждает предоставленный Участником План. АО «НСПК» оставляет за собой право запрашивать у Участника информацию о реализации Плана, а Участник обязан предоставить по запросу АО «НСПК» требуемую информацию в срок, указанный в запросе. Порядок представления информации и ее состав будут описаны АО «НСПК» в запросе, переданном Участнику через Портал или по электронной почте.

4.2.10. В случае получения заключения о несоответствии Участника требованиям PCI DSS («Non-Compliant») по итогам сертификационного аудита, Участник обязан разработать и реализовать План действий по устранению недочетов. В случае получения заключения о несоответствии привлеченной Участником организации требованиям PCI DSS («Non-Compliant») по итогам сертификационного аудита, Участник обязан обеспечить разработку и реализацию Плана действий по устранению недочетов привлеченной Участником организацией. В Плане действий по устранению недочетов должны быть указаны сведения о невыполненных требованиях PCI DSS, действиях, необходимых для устранения каждого несоответствия, сроках устранения каждого несоответствия и иная существенная информация. В течение 1 месяца после создания Плана действий по устранению недочетов Участник должен представить данный План в АО «НСПК». План должен представляться в АО «НСПК» через созданную Участником задачу в проекте «Программа безопасности» или по электронной почте на адрес mirsecurity@nspk.ru. АО «НСПК» оставляет за собой право запрашивать у Участника информацию о реализации Плана. Участник обязан предоставить АО «НСПК» запрашиваемую информацию по реализации Плана. Порядок представления информации и ее состав будет описан АО «НСПК» в запросе, переданном Участнику через Портал или по электронной почте. В случае нарушения Участником установленных в Плане действий по устранению недочетов сроков АО «НСПК» может применить предусмотренные Правилами ПС «Мир» меры воздействия (включая штрафы) в рамках процедуры Compliance в зависимости от критичности неустраненного недочета и причин невыполнения Участником мероприятий, указанных в Плане.

Организация, привлекаемая для расследования инцидентов ИБ (далее – Организация), должна специализироваться на оказании услуг по реагированию на инциденты ИБ и проведении расследований инцидентов ИБ.

Организация должна обладать достаточными знаниями и опытом в области ИБ для проведения технически сложных расследований событий и инцидентов ИБ в соответствии с лучшими практиками. Организация должна иметь необходимые инструменты (программные и аппаратные) для выполнения расследований инцидентов ИБ.

Организация должна удовлетворять следующим требованиям к опыту проведения расследований:

Организация должна иметь в штате не менее 10 специалистов по компьютерной криминалистике и исследованию вредоносного программного обеспечения.

Организация должна иметь в штате специалистов, обладающих 3 и более годами опыта проведения расследований и отраслевыми сертификатами, такими как GCFA,GCFE.