Стандарт ПС "Мир". Порядок обработки инцидентов ИБ Участником

4.2.1. По результатам закрытия инцидента ИБ в течение 10 рабочих дней Участник разрабатывает План действий по недопущению инцидента ИБ (далее – План) в будущем. План разрабатывается на основе шаблона, который предоставляется АО «НСПК» по запросу.

4.2.2. План в рабочем порядке согласуется с АО «НСПК» посредством взаимодействия в рамках соответствующей задачи, созданной на Портале.

4.2.3. После согласования с АО «НСПК» Плана Участник реализует План и один раз в месяц (в течение первой недели календарного месяца) отчитывается перед АО «НСПК» о его выполнении до момента полной реализации Плана. Форма отчетности определяется АО «НСПК» после согласования Плана. Отчетность должна представляться в АО «НСПК» через созданную Участником задачу в проекте «Программа безопасности». При необходимости АО «НСПК» может запросить свидетельства, подтверждающие выполнение Плана, а Участник должен обеспечить представление АО «НСПК» запрашиваемых материалов. Запрос выполняется через Портал.

4.2.4. План считается реализованным только после получения статуса «Выполнено» по всем мероприятиям Плана.

4.2.6. Если инцидент ИБ произошел у привлеченной Участником организации или привлеченной организации второго уровня, то Участник несет ответственность за исполнение организацией определенного в Плане перечня мероприятий. Участник согласовывает План организации и представляет в АО «НСПК» отчетность по выполнению организацией Плана в порядке, указанном выше.

4.2.7. Если организация является ТСП, согласование и контроль реализации Плана выполняется Эквайрером этой организации самостоятельно. Во всех остальных случаях согласование и контроль реализации Плана осуществляется Участником совместно с АО «НСПК». АО «НСПК» утверждает предоставленный Участником План. АО «НСПК» оставляет за собой право запрашивать у Участника информацию о реализации Плана, а Участник обязан предоставить по запросу АО «НСПК» требуемую информацию в срок, указанный в запросе. Порядок представления информации и ее состав будут описаны АО «НСПК» в запросе, переданном Участнику через Портал или по электронной почте.

4.2.10. В случае получения заключения о несоответствии Участника требованиям PCI DSS («Non-Compliant») по итогам сертификационного аудита, Участник обязан разработать и реализовать План действий по устранению недочетов. В случае получения заключения о несоответствии привлеченной Участником организации требованиям PCI DSS («Non-Compliant») по итогам сертификационного аудита, Участник обязан обеспечить разработку и реализацию Плана действий по устранению недочетов привлеченной Участником организацией. В Плане действий по устранению недочетов должны быть указаны сведения о невыполненных требованиях PCI DSS, действиях, необходимых для устранения каждого несоответствия, сроках устранения каждого несоответствия и иная существенная информация. В течение 1 месяца после создания Плана действий по устранению недочетов Участник должен представить данный План в АО «НСПК». План должен представляться в АО «НСПК» через созданную Участником задачу в проекте «Программа безопасности» или по электронной почте на адрес mirsecurity@nspk.ru. АО «НСПК» оставляет за собой право запрашивать у Участника информацию о реализации Плана. Участник обязан предоставить АО «НСПК» запрашиваемую информацию по реализации Плана. Порядок представления информации и ее состав будет описан АО «НСПК» в запросе, переданном Участнику через Портал или по электронной почте. В случае нарушения Участником установленных в Плане действий по устранению недочетов сроков АО «НСПК» может применить предусмотренные Правилами ПС «Мир» меры воздействия (включая штрафы) в рамках процедуры Compliance в зависимости от критичности неустраненного недочета и причин невыполнения Участником мероприятий, указанных в Плане.