Соответствие требованиям

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

Требования к системе управления Рисками информационной безопасности Субъектов ПС "Мир"

Стандарт

8. Мониторинг Риска ИБ

Для проведения оценки соответствия по документу войдите в систему.

Список требований

8. Мониторинг Риска ИБ
8.1. Субъект должен осуществлять мониторинг Рисков ИБ в целях своевременного выявления ситуаций, требующих принятия мер реагирования.
8.2. Мониторинг должен осуществляться путем отслеживания показателей уровня Рисков ИБ.
8.3. Участник должен самостоятельно установить значения для следующих показателей уровня Риска ИБ:
1. показатели, характеризующие уровень потерь в результате наступления Инцидентов ИБ у Участника:
общая сумма валовых прямых потерь и сумм величин косвенных потерь Участника в результате наступления Инцидентов ИБ, связанных с осуществлением переводов денежных средств в ПС «Мир», за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года;
общая сумма валовых прямых потерь и сумм величин косвенных потерь Участника в результате наступления Инцидентов ИБ, которые привели к Несанкционированным операциям с использованием Карт, эмитированных Участником, за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года;
отношение суммы валовых прямых потерь, понесенных организацией при выполнении функций Участника, за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года, к общей сумме операций переводов денежных средств Участником в ПС «Мир» за этот же период;
доля реализованных (по количеству) Инцидентов ИБ с ненулевой величиной валовых прямых потерь по отношению ко всем Инцидентам ИБ в течение отчетного периода (первого квартала, полугодия, девяти месяцев, года);
2. показатели, характеризующие уровень потерь в результате наступления Инцидентов ИБ у третьих лиц, привлеченных Участником для осуществления деятельности в ПС «Мир»:
общая сумма валовых прямых потерь и косвенных потерь Участника в результате Инцидентов ИБ у третьих лиц, привлеченных Участником для осуществления деятельности в ПС «Мир», за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года;
доля подтвержденных (по количеству) Инцидентов ИБ по отношению к неподтвержденным Инцидентам ИБ у третьих лиц, привлеченных Участником для осуществления деятельности в ПС «Мир», в течение отчетного периода (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года;
разница между количеством Инцидентов ИБ у третьих лиц, привлеченных Участником для осуществления деятельности в ПС «Мир», за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала текущего календарного года и количеством Инцидентов ИБ у третьих лиц, привлеченных Участником для осуществления деятельности в ПС «Мир», за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала предыдущего календарного года;
3. показатели, характеризующие уровень операционной надежности процессов в результате наступления Инцидентов ИБ:
доля деградации бизнес- и технологических процессов, обеспечивающих осуществление Операций;
время простоя и (или) деградации бизнес- и технологического процесса (в случае отклонения от контрольного значения доли деградации процессов);
4. показатели, характеризующие уровень зрелости процессов защиты информации:
- оценка эффективности защитных мер, применяемых в соответствии с требованиями безопасности, определенных для данного Субъекта в соответствии с документом [2] за отчетный период (первый квартал, полугодие, девять месяцев, год) с начала календарного года;
- оценка эффективности компенсационных мер, применяемых для достижения целей требований PCI DSS за отчетный период (первый квартал, полугодие, девять месяцев, год) с начала календарного года;
- оценка эффективности дополнительных защитных мер, в дополнение к мерам, требуемым документом [2], применяемых для обеспечения защиты информационных систем и процессов, используемых для проведения Операций, за отчетный период (первый квартал, полугодие, девять месяцев, год) с начала календарного года.
8.4. ОПКЦ самостоятельно устанавливает перечень показателей уровня Риска ИБ и значения для показателей уровня Риска ИБ. При выполнении НСПК роли ОПКЦ, показатели определяются НСПК в соответствии с внутренними процессами.
8.5. РЦ самостоятельно устанавливает значения для показателей уровня Риска ИБ. Перечень показателей уровня Риска ИБ определяется в соответствии с установленным порядком взаимодействия между Оператором и РЦ.
8.6. Для каждого показателя уровня Риска ИБ должно быть установлено:
шкала оценки показателя;
перечень КИР, на основании которых определяется значение показателя;
пороговое значение, при превышении которого должны применяться меры, направленные на снижение Риска ИБ, с обоснованием их установления;
порядок реагирования на превышение пороговых значений, в том числе процедуры эскалации;
периодичность расчета.
8.7. Субъект может не устанавливать указанные выше значения для тех показателей уровня Рисков ИБ, которые не могут быть к нему применимы. В этом случае Субъект должен иметь документально оформленное обоснование исключения такого показателя уровня Риска ИБ.
8.8. Участник может использовать дополнительные показатели уровня Рисков ИБ в дополнение к приведенным выше
8.9. Мониторинг показателей уровня Риска ИБ должен осуществляться на основании расчетных значений КИР.
8.10. Субъекты должны определить наборы КИР согласно применимым к ним показателям уровня Риска ИБ.
8.11. Для каждого КИР должны быть установлены:
количественное измерение КИР;
способ расчета КИР;
периодичность пересмотра КИР для поддержания КИР в актуальном состоянии;
периодичность расчета КИР;
состав информации, используемой для расчета КИР, и ее источников, включая способ получения такой информации;
пороговые значения КИР с обоснованием их установления;
работник, ответственный за предоставление данных для расчета КИР и (или) расчет КИР;
порядок реагирования на превышение пороговых значений КИР, в том числе процедуры эскалации.
8.12. КИР и контрольные значения КИР должны пересматриваться не реже одного раза в год.
8.13. Субъекты должны по запросу в установленным им сроки и порядке предоставлять Оператору сведения об установленных КИР, их контрольных значениях, установленных значениях показателей уровня Риска ИБ. Рекомендации по формированию и содержанию отчетности указаны в Приложении № 1 настоящего документа.
8.14. Субъекты должны учитывать рекомендации Оператора по корректировки КИР и показателям уровня Риска ИБ.
8.15. Участники должны уведомлять Оператора о фактах превышения порогового значения для показателей уровня Риска ИБ, перечисленных в п. 8.3. Участники должны производить уведомление в течение 24 часов с момента выявления факта превышения показателя уровня Риска ИБ. Уведомление выполняется путем создания заявки в проекте «Программа безопасности» на Портале. К заявке должна быть приложена документация о показателях уровня Риска ИБ, пороговое значение которых было превышено. Документация должна содержать сведения о пороговых значениях показателей уровня риска ИБ, сведения о зафиксированных значениях показателей уровня риска ИБ, результаты выполнения установленного порядка реагирования на превышение показателя уровня риска ИБ. Если у Участника отсутствует доступ к Порталу, то Участник должен уведомить АО «НСПК» по электронной почте, направив письмо с указанной информацией на адрес mirsecurity@nspk.ru.
8.16. Свидетельством превышения показателей уровня Риска ИБ может являться превышение пороговых значений уровня Неправомерных операций, зафиксированное в рамках процесса контроля уровня Неправомерных операций на стороне Участников, установленного документом [5]. Обработка событий превышения пороговых значений уровня Неправомерных операций осуществляется в соответствии с положениями документа [5].

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.