Соответствие требованиям

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

Стандарт ПС "Мир". Требования к системе управления Рисками информационной безопасности Субъектов ПС "Мир" v. 2.0

Стандарт

Стандарт ПС «Мир» устанавливает основные требования и рекомендации к системе управления Рисками ИБ для Участников, ОПКЦ и РЦ (кроме Банка России).
Оригинал стандарта размещен на сайте НСПК в разделе "Руководства" (или по прямой ссылке)

Для проведения оценки соответствия по документу войдите в систему.

Для оценки соответствия
- авторизуйтесь

Планируемый уровень

Текущий уровень

Группы областей

74 %

Входящая логистика

44 %

Создание продукта

69 %

Исходящая логистика

60 %

Маркетинг, продажа

40 %

Обслуживание клиента

57 %

Инфраструктура

77 %

HR-менеджмент

67 %

Технологии

43 %

Закупки / Снабжение

59 %

Опыт клиента

Список требований

Показывать только требования

Упрощенный режим

1. Общие положения
1.1. Назначение и область применения документа
1.1.1. Настоящий Стандарт создан с целью обеспечения защиты информации при осуществлении переводов денежных средств и управления риском информационной безопасности <1> в Системе.
<1> Далее в документе под «Риском ИБ» будет пониматься риск ИБ, относящийся к указанной области действия системы управления риском ИБ у Участника, ОПКЦ и РЦ.
1.1.2. Настоящий Стандарт ПС «Мир» устанавливает основные требования и рекомендации к системе управления Рисками ИБ для Участников, ОПКЦ и РЦ (кроме Банка России) (далее – Субъекты).
1.1.3. Требования настоящего Стандарта распространяются на всех Субъектов.
1.1.4. Положения данного Стандарта, содержащие слова «необходимо», «должно/должны», «запрещено», являются обязательными к исполнению.
1.1.5. Соблюдение положений данного Стандарта, содержащих слова «рекомендуется» или «может быть реализовано», осуществляется по усмотрению лиц Субъекта, уполномоченных принимать решения в отношении вопросов управления операционными рисками или управления Риском ИБ.
1.2. Термины, определения и сокращения
Допустимый риск – уровень риска, который Субъект готов принять на себя, с высокой вероятностью обеспечивая достижение целей своей деятельности и выполнение своих функций.
Значимый риск – риск, присущий уровень которого выше уровня допустимого риска.
Инцидент информационной безопасности (Инцидент ИБ) – инцидент, связанный с нарушениями требований к обеспечению защиты информации при осуществлении Операций, к которому относятся:
события, которые привели или могут привести к осуществлению Операций без согласия Клиента;
события, которые привели или могут привести к нарушению непрерывности или несвоевременности оказания платежных услуг, операционных услуг, услуг платежного клиринга и расчетных услуг по причине нарушения требований к обеспечению защиты информации;
события, включенные в перечень типов инцидентов, согласованный с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и размещаемый Банком России на официальном сайте Банка России в сети Интернет.
Ключевой индикатор риска (КИР) – количественный показатель, который используется для оперативного измерения и контроля уровня Риска ИБ в определенный момент времени.
Косвенные потери – к данным видам потерь Субъекта относятся:
расчетные потери из-за приостановления и (или) прекращения функционирования объектов информационной инфраструктуры или потери ее работоспособности в результате Инцидента ИБ;
рост затрат рабочего времени обслуживающего персонала на устранение последствий от Инцидента ИБ;
рост стоимости договоров технического обслуживания объектов информационной инфраструктуры и (или) антивирусной защиты в результате Инцидента ИБ.
ОПКЦ – операционный и платежный клиринговый центр.
Остаточный риск – уровень риска с учетом существующих мер реагирования на него и контрольных процедур.
Показатель уровня Риска ИБ – количественный или качественный показатель, позволяющий осуществлять контроль за уровнем Риска ИБ.
Пороговое значение – предельное значение Показателя уровня Риска ИБ или КИР, при достижении которого необходимо предпринимать меры, направленные на снижение Риска ИБ.
Присущий риск – уровень риска при отсутствии мер, направленных на изменение вероятности риска или степени его влияния.
Прямые потери – к данным видам потерь Субъекта относятся:
потери денежных средств или других активов в результате Инцидента ИБ;
выплаты компенсаций клиентам и контрагентам в результате Инцидента ИБ;
уплата штрафов за Инциденты ИБ по предписаниям исполнительных органов государственной власти, Банка России и (или) Оператора.
Риск-событие – событие, реализация которого может привести к Инциденту ИБ, а также событие, которое привело, могло привести или может привести в будущем к негативным последствиям для достижения целей деятельности и выполнения функций Субъекта.
Риск информационной безопасности (Риск ИБ) – риск реализации угроз безопасности информации, которые обусловлены недостатками процессов обеспечения информационной безопасности, в том числе проведения технологических и других мероприятий, недостатками прикладного программного обеспечения автоматизированных систем и приложений, а также несоблюдением требований к указанным процессам деятельности Субъектами. Является одним из видов операционного риска в Системе.
Риск информационной безопасности включает в себя:
- другие виды риска информационной безопасности, связанные с обработкой (хранением, уничтожением) Данных карт ПС «Мир» [2] без использования объектов информационной инфраструктуры.
Сервис-провайдер – организация, предоставляющая Участникам, Платежным Сервис-провайдерам и (или) ТСП услуги по хранению, обработке или передаче данных платежных карт и (или) имеющая возможность влиять на безопасность таких данных. Примерами таких компаний могут являться компании, предоставляющие услуги co-location, IaaS (Infrastructureas-a-Service), SaaS (Software-as-a-Service), разработки ПО, сервисного обслуживания банкоматов и POS-терминалов, а также услуги по авторизации, клирингу. Организации, предоставляющие услуги связи (телекоммуникационные услуги), не являются Сервиспровайдерами.
Субъект – Участник, ОПКЦ и РЦ (кроме Банка России).
СУР ИБ – система управления Рисками ИБ.
Иные термины и сокращения, используемые в настоящем документе, применяются в значениях, установленных в Правилах ПС «Мир» и документе «Стандарт ПС "Мир”. Программа безопасности».
1.3. Нормативные ссылки
[1] Правила Платежной системы «Мир».
[2] Стандарт ПС «Мир». Программа безопасности.
[3] Стандарт ПС «Мир». Порядок обработки инцидентов ИБ Участником.
[4] Методика оценки и анализа нефинансовых рисков АО «НСПК».
[5] Стандарт ПС «Мир». Контроль уровня неправомерных операций на стороне Участников ПС «Мир»
1.4. Уведомления
Перевод документов
Перевод любого документа, разработанного АО «НСПК», может быть выполнен третьим лицом исключительно после получения письменного разрешения АО «НСПК». АО «НСПК» не контролирует и не несет ответственности за содержание переведенного текста документа. Переведенные тексты документов, разработанных АО «НСПК», применяются третьим лицом исключительно в целях установления содержания и смысла этих документов и не имеют юридической силы. Тексты документов, составленных на русском языке, имеют приоритет перед текстами на другом языке.
Внесение изменений
Настоящий документ, а также изменения к нему публикуются на Портале. АО «НСПК» вправе в одностороннем порядке вносить изменения в настоящий документ. Срок вступления в силу изменений к настоящему документу устанавливается АО «НСПК». Уведомление об изменениях настоящего документа размещается на Портале с указанием срока вступления в силу указанных изменений.
2. Основные положения
2.1. Субъект должен иметь функционирующую систему управления Рисками ИБ (далее – СУР ИБ).
2.2. Субъект должен управлять Риском ИБ в отношении платежных услуг, операционных услуг, услуг платежного клиринга и расчетных услуг в рамках ПС «Мир».
2.3. СУР ИБ Субъекта должна отвечать следующим требованиям:
Риск ИБ должен входить в состав операционного риска Субъекта;
у Субъекта должна быть определена организационная структура по управлению Риском ИБ;
процесс управления Риском ИБ должен быть формализован. Должны быть разработаны и утверждены нормативные документы, описывающие порядок управления Риском ИБ с учетом требований настоящего Стандарта;
СУР ИБ должна соответствовать требованиям законодательства Российской Федерации и требованиям нормативных актов Банка России.
3. Организационная структура по управлению Риском ИБ
3.1. Субъекты самостоятельно определяют свою организационную структуру по управлению Риском ИБ в соответствии с нормативными актами Банка России или законодательством, применимым к Субъекту, с учетом требований, установленных настоящим Стандартом
3.2. В случае, если Субъектом не определена детализация организационной структуры по управлению Риском ИБ, учитывающая требования настоящего Стандарта, учет требований Стандарта должен осуществляться подразделениями Субъекта, которые в рамках функциональных обязанностей выполняют процедуры управления операционным риском в части вида операционного риска «риск информационной безопасности», с учетом установленного Субъектом распределения ответственности между подразделением, ответственным за организацию управления операционным риском и иными привлекаемыми к осуществлению деятельности подразделениями и коллегиальными исполнительными органами Субъекта <2> .
<2> В контексте данного требования деятельность по установке и мониторингу показателей уровня Риска ИБ, установленная требованиями Раздела 8 Стандарта, должна рассматриваться как дополнительные требования к процедурам работы с системой контрольных показателей уровня операционного риска.
4. Идентификация, анализ и оценка Риска ИБ
4.1. Процессы идентификации Рисков ИБ должны быть направлены на идентификацию событий, действий, условий, которые могут оказать влияние на информационные системы и бизнес-процессы, реализующие платежные услуги, операционные услуги, услуги платежного клиринга и (или) расчетные услуги в рамках ПС «Мир», а также определение возможных последствий, анализ причин и источников возникновения событий Рисков ИБ.
4.2. Субъект должен идентифицировать Риски ИБ, присущие виду деятельности Субъекта в Системе. При проведении работ необходимо также рассматривать деятельность Субъекта в целом (в том числе – деятельность, не связанную с участием в Системе), если такая деятельность может стать источником риска в отношении Системы.
4.3. Перед проведением идентификации рисков рекомендуется описать каждую анализируемую область с точки зрения целей и задач выполняемой деятельности в целях определения негативных событий и влияний, способных помешать достижению таких целей и выполнению таких задач.
4.4. Рекомендуется проводить идентификацию рисков ИБ в формате определения потенциально возможных к реализации Риск-событий путем комбинированного применения двух подходов:
«сверху вниз» – подход, при котором идентификация потенциально возможных Риск-событий осуществляется путем анализа целей деятельности и возможных проблем в их достижении в разрезе бизнес-процессов, сервисов или наборов технологических процессов в области оценки рисков;
«снизу вверх» – подход, при котором идентификация Риск-событий осуществляется на основании анализа имеющейся информации о ранее идентифицированных рисках, реализованных Риск-событиях и Инцидентах ИБ, а также дополнительной информации о процессах, сервисах и информационных системах в области оценки рисков.
4.5. Деятельность по идентификации Рисков ИБ должна осуществляться с применением классификатора Рисков ИБ. Классификатор Рисков ИБ должен представлять собой перечень потенциально возможных Риск-событий или групп Риск-событий в деятельности Субъекта, применимых к области оценки рисков.
4.6. Классификатор рисков может быть реализован в виде рабочего документа, не требующего утверждения, или справочника в автоматизированном инструменте управления рисками. В случае идентификации Рисков ИБ, на момент старта работ по идентификации рисков не включенных в классификатор Рисков ИБ, по окончанию работ классификатор должен быть дополнен.
4.7. Рекомендуется формировать классификатор Рисков ИБ таким образом, чтобы:
записи в классификаторе было удобно сопоставлять с записями о произошедших Риск-событиях в базе событий операционного риска;
записи в классификаторе были сформулированы в структурированном формате.
4.8. Деятельность по идентификации Рисков ИБ должна осуществляться путем выполнения следующих шагов:
определение области оценки рисков на основании вида участия Субъекта в Системе, формирование перечня анализируемых областей в разрезе бизнес-процессов, сервисов или технологических процессов;
анализ применимости рисков из классификатора Рисков ИБ (при необходимости – расширение перечня рисков в классификаторе) для каждой анализируемой области путем проведения интервью с работниками Субъекта, в рамках которых работниками и руководством Субъекта обсуждаются Риски ИБ, оказывающие влияние на Систему;
формирование перечня идентифицированных Рисков ИБ;
анализ полноты идентификации рисков на основе анализа произошедших Риск-событий;
- анализ полноты идентификации рисков на основе анализа дополнительной информации:
  результатов моделирования угроз информационной безопасности;
  результатов последней проведенной оценки соответствия требованиям безопасности (в соответствии с требованиями документа [2]);
  иной дополнительной информации, применение которой сочтено Субъектом целесообразным для проведения идентификации рисков;
анализ деятельности, не связанной с участием в Системе, если такая деятельность может стать источником риска для Риск-событий в ПС «Мир» или имеет потенциальное влияние на частоту или потери идентифицированных рисков.
4.9. Информация об идентифицированных Рисках ИБ должна быть внесена в Профиль Рисков ИБ и дополнена по результатам проведения анализа рисков ИБ.
4.10. Процедуры управления Рисками ИБ должны предусматривать возможность получения информации о Рисках ИБ / потенциально реализуемых Риск-событиях от работников Субъекта в рамках инициативного информирования работниками Субъекта службы управления рисками, службы информационной безопасности и (или) службы внутреннего аудита. В случае получения таких обращений, информация из обращения работников Субъекта должна быть проанализирована на предмет пересечения полученной информации с ранее идентифицированными Рисками ИБ в целях определения необходимости полного или частичного добавления такой информации в перечень идентифицированных Рисков ИБ.
4.11. При проведении повторной оценки рисков или проведении выборочной переоценки рисков должен быть проведен анализ необходимости расширения, детализации или переработки перечня идентифицированных Рисков ИБ в Профиле рисков ИБ на основании анализа динамики количественных показателей, направленных на измерение и контроль уровня Риска ИБ в определенный момент времени (показателей уровня Риска ИБ, ключевых индикаторов риска), по направлениям деятельности, в том числе в разрезе составляющих их процессов, в соответствии с Разделом 8 настоящего документа.
4.12. В случае, если по результатам проведения оценки эффективности СУР ИБ (силами подразделений, уполномоченных проводить такую оценку, или внешнего аудита) была получена информация о неполноте или низкой эффективности процедур идентификации рисков, такая информация должна быть учтена при проведении следующего цикла работ по оценке рисков.
4.13. В отношении результатов процедуры идентификации Рисков ИБ должен быть проведен анализ рисков ИБ, в ходе которого должны быть определены:
возможные источники реализации Рисков ИБ;
(рекомендуется) для антропогенных источников реализации Рисков ИБ – мотивация, знания и способности, уровень полномочий в информационных системах и сервисах на момент начала потенциального воздействия, степень принятия собственных рисков;
перечень условий реализации Рисков ИБ (риск-факторов), влияющих на информационную безопасность информационных систем и бизнес-процессов в области оценки;
присущий уровень воздействия Рисков ИБ;
присущая вероятность (частота) реализации Рисков ИБ;
присущий уровень Риска ИБ.
4.14. При проведении анализа рисков Субъект должен в отношении каждого идентифицированного Риска ИБ проанализировать информацию о фактах реализации Риск-событий/Инцидентов ИБ, связанных с идентифицированными Рисками ИБ, не менее чем за три предшествующих года, и учесть информацию о частоте реализации и наступивших по итогам реализации Риск-событий/Инцидентов ИБ последствиях.
4.15. При проведении анализа рисков Субъекты могут использовать как количественные, так и качественные методы оценки рисков. При формировании подхода к проведению анализа рекомендуется учитывать методы, приведенные в документе ГОСТ Р 58771-2019 «Менеджмент риска. Технологии оценки риска», информацию об уровне их применимости к различным этапам оценки рисков и информацию о трудозатратности и требованиям к опыту специалистов, привлекаемых к деятельности по анализу рисков.
4.16. В отношении каждого идентифицированного Риска ИБ Субъектом должно быть принято решение о допустимом уровне риска. Допустимый уровень риска должен быть утвержден коллегиальным исполнительным органом Субъекта, уполномоченным принимать решения в отношении вопросов управления операционными рисками или управления Риском ИБ.
4.17. В случае, если присущий уровень Риска ИБ превышает допустимый уровень риска, рассматриваемый Риск ИБ признается значимым риском. В отношении значимых Рисков ИБ должны быть дополнительно выполнены следующие процедуры:
анализ предпринятых мер реагирования и контрольных процедур, направленных на снижение вероятности (частоты) реализации воздействия и последствий от реализации Риска ИБ;
оценка остаточного уровня воздействия Риска ИБ;
оценка остаточной вероятности (частоты) реализации Риска ИБ;
оценка остаточного уровня Риска ИБ.
4.18. При идентификации мер реагирования и контрольных процедур, направленных на снижение вероятности (частоты) реализации воздействия и последствий от реализации риск-событий, должны учитываться только реализованные меры и контрольные процедуры. Меры, находящиеся на стадии реализации, могут быть указаны в описании мер реагирования с целью информирования заинтересованных лиц о том, что ведутся дополнительные работы по снижению уровня остаточного риска, но не должны учитываться при оценке остаточного уровня воздействия Риска ИБ и остаточной вероятности (частоты) реализации Риска ИБ.
4.19. Для каждого из значимых Рисков ИБ должны быть сопоставлены уровни остаточного риска и допустимого Риска ИБ в целях принятия решений о необходимости применения возможных способов управления Рисками ИБ Субъекта в дополнение к ранее примененным способам управления Рисками ИБ, в соответствии с требованиями Раздела 5 настоящего Стандарта.
4.20. Информация о применяемых подходах к проведению анализа и оценки Рисков ИБ должна быть зафиксирована во внутренних документах Субъекта; в случае привлечения к оценке рисков внешних экспертов, применяющих отличные от Субъекта подходы к оценке рисков, допускается фиксация информации в отчетных материалах по результатам проведения работ. Документы должны содержать как минимум следующую информацию:
о применяемых методах анализа рисков, а также источниках получения информации для применения данных методов (если применимо);
о применяемых способах расчета значений в рамках применения подходов к анализу.
4.21. В случае применения в рамках подхода к оценке рисков качественных методов анализа рисков, итоговые значения присущего и остаточного уровней воздействия Рисков ИБ, присущей и остаточной вероятности (частоты) реализации Рисков ИБ, присущего и остаточного уровня Риска ИБ должны быть оценены с использованием шкал оценки, приведенных в Приложении № 2 к настоящему Стандарту <3>.
<3> Шкалы оценки, приведенные в Приложении № 2 к Стандарту, являются выдержками шкал, установленных в Разделе 18 Правил ПС «Мир», применимыми для Участников. В случае изменения шкал оценки в Правилах ПС «Мир», вступающих в противоречие с шкалами, приведенными в Таблицах 1-3 Стандарта, Участникам необходимо руководствоваться требованиями Правил ПС «Мир». Иным видам Субъектов необходимо пользоваться полной версией шкал, установленных в Разделе 18 Правил ПС «Мир».
4.22. В случае применения в рамках подхода к оценке рисков количественных методов анализа рисков, итоговые значения присущего и остаточного уровней воздействия Рисков ИБ, присущей и остаточной вероятности (частоты) реализации Рисков ИБ должны быть оценены в формате, допускающем возможность конвертации или интерпретации полученных значений в качественные значения в соответствии со шкалами Таблицы 1 и Таблицы 2 Приложения № 2 к Стандарту. Если применяемые методы оценки рисков также предполагают получение значения присущего и остаточного уровня рисков для оцениваемых Рисков ИБ способом, отличающимся от применения тепловой карты, приведенной в Таблице 3 Приложения № 2 к Стандарту, значения присущего и остаточного уровня Риска ИБ должны быть дополнительно оценены с использованием тепловой карты в Таблице 3 Приложения № 2 к Стандарту на основании сконвертированных (интерпретированных) оценок уровня воздействия и вероятности (частоты) реализации Рисков ИБ.
4.23. Информация по идентифицированным Рискам ИБ, полученная в результате проведения анализа и оценки рисков, должна быть включена в Профиль Рисков ИБ. Требования к составу информации, отображаемой в Профиле Рисков ИБ, приведены в Приложении № 1 к настоящему документу <4>.
<4> В случае применения двойных шкал оценки в соответствии с п. 4.22, формат Профиля Рисков ИБ рекомендуется расширить дополнительными полями в целях включения в Профиль Рисков ИБ полученных значений характеристик уровня рисков как по итогам применения методов анализа рисков, установленных Субъектом, так и сконвертированные (интерпретированные) оценки в соответствии с шкалами, установленными Стандартом. В случае применения двойных шкал оценки в соответствии с п. 4.21, формат Профиля Рисков ИБ необходимо расширить дополнительными полями в целях включения в Профиль Рисков ИБ полученных значений характеристик уровня рисков как по итогам применения методов анализа рисков, установленных Субъектом, так и сконвертированные (интерпретированные) оценки в соответствии с шкалами, установленными Стандартом. Профиль Рисков ИБ полученных значений характеристик уровня рисков как по итогам применения методов анализа рисков, уста
4.24. При фиксации в Профиле Рисков ИБ информации о предпринятых мерах реагирования и контрольных процедурах в отношении рассматриваемого Риска ИБ, рекомендуется явным образом фиксировать, направлена ли мера на снижение вероятности (частоты) реализации Рисков ИБ, снижение уровня воздействия от реализации значимых Рисков ИБ (включая сглаживание последствий от реализации Риск-событий), или на оба оцениваемых параметра.
4.25. При фиксации в Профиле Рисков ИБ информации о предпринятых мерах реагирования и контрольных процедурах, направленных на снижение вероятности (частоты) реализации воздействия и (или) последствий от реализации значимых Рисков ИБ, рекомендуется указывать пометки, требуется ли реализация данных мер в соответствии с документом [2].
4.26. Оценка Рисков ИБ должна выполняться не реже одного раза в год.
4.27. Внеплановая переоценка полученных значений уровня Рисков ИБ должна осуществляться в разрезе Рисков ИБ, в отношении которых реализовалось по крайней мере одно из следующих условий:
возникновение новых или изменение идентифицированных факторов риска, потенциально влияющее на уровень Риска ИБ;
реализация изменений в информационной инфраструктуре или бизнес-процессах Субъекта в области анализа, потенциально влияющих на уровень Риска ИБ;
изменение политики или условий взаимодействия Субъекта с третьими сторонами, в том числе с другими Субъектами и платежными сервис-провайдерами, потенциально влияющее на уровень Риска ИБ;
- достижение или превышение пороговых значений КИР, используемых для мониторинга уровня Рисков ИБ в соответствии с п. 8.21, а также достижение или превышение пороговых значений показателей уровня Риска ИБ, установленных в соответствии с п. 8.3 настоящего Стандарта;
выполнение планов по реализации мер, направленных на снижение вероятности (частоты) реализации или ожидаемого воздействия Риска ИБ;
выявление фактов неэффективности функционирования защитных мер, учтенных в ходе анализа рисков как влияющие на снижение вероятности (частоты) реализации или ожидаемого воздействия Риска ИБ при расчете остаточного уровня Риска ИБ;
выявление фактов проведения некорректного анализа в отношении Рисков ИБ в процессе проведения работ по оценке эффективности СУР ИБ.
4.28. Рекомендуется проводить анализ условий, при которых требуется проведение переоценки Рисков ИБ, не реже одного раза в квартал.
5. Требования к обеспечению защиты информации
5.1 Субъекты должны выполнять требования по обеспечению защиты информации, установленные в документе [2], в отношении выявленных и идентифицированных Рисков ИБ в ПС «Мир».
5.2 В случае недостаточности защитных мер, реализованных в соответствии с требованиями документа [2], для минимизации идентифицированных Рисков ИБ до определенного Субъектом допустимого уровня, Субъект должен самостоятельно определить и реализовать в отношении каждого Риска ИБ решение о способе реагирования на риск в дополнение к защитным мерам, требуемым документом [2].
5.3 Рекомендуется определять уровень решения о реагировании на риски на основании сформированной и установленной во внутренних нормативных документах Субъекта матрицы реагирования на риски, в качестве исходных данных рассматривая как минимум два значения из следующих <5>:
присущий уровень Риска ИБ;
остаточный уровень Риска ИБ;
остаточный уровень воздействия Риска ИБ.
<5> В случае применения Субъектом методов анализа и оценки рисков, предусматривающих использование способов оценки, требующих последующей конвертации (интерпретации) в шкалы оценки, приведенные в таблицах 1-3 Стандарта, для разработки данной матрицы допускается использование как шкал, установленных Стандартом, так и шкал, установленных Субъектом.
5.4 Информация о принятии решения о способе реагирования на риск должна быть зафиксирована в Профиле рисков ИБ с указанием должности лица или наименования коллегиального органа, принявшего решение.
5.5 Принятие решения об отсутствии необходимости реагирования на риск (принятии риска) в отношении значимых Рисков ИБ допускается в случае, когда отсутствует возможность реализации эффективных мер реагирования, позволяющих снизить ожидаемую частоту (вероятность) или ожидаемый уровень воздействия Риска ИБ <6>. Принятие решения об отсутствии необходимости реагирования на риск (принятии риска) в отношении Рисков ИБ, имеющих критический или высокий остаточный уровень в соответствии с тепловой картой, приведенной в Таблице 3 Приложения № 2 к настоящему Стандарту, допускается только коллегиальным исполнительным органом Субъекта, уполномоченным принимать решения в отношении вопросов управления операционными рисками или управления Риском ИБ.
<6> Решение об отсутствии необходимости реагирования на риск не может быть принято, если превышение допустимого уровня риска связано с невыполнением мер, требуемых документом [2].
5.6 В случае принятия решения об отсутствии необходимости реагирования на риск (принятии риска), при проведении повторной оценки рисков в отношении рассматриваемого риска должна быть либо повторно выполнена процедура принятия решения об отсутствии необходимости реагирования на риск (принятии риска), либо пересмотрен допустимый уровень риска.
5.7 В случае принятия решений, отличных от принятия риска, Субъект должен самостоятельно запланировать и реализовать как минимум один из следующих способов обработки Риска ИБ (далее – дополнительные защитные меры) в отношении каждого из рассматриваемых Рисков ИБ:
- реализация дополнительных мер, направленных на снижение вероятности реализации Риск-событий, в дополнение к мерам, требуемым документом [2];
реализация мер снижения уровня воздействия Риска ИБ или мер смягчения последствий от реализации Риск-событий, ассоциированных с рассматриваемым Риском ИБ;
реализация действий, направленных на избегание Риска ИБ.
5.8 Перечень дополнительных защитных мер, выбранных Субъектом в качестве способов обработки Рисков ИБ, должен быть указан в Профиле рисков ИБ. Для мер, ожидаемый срок реализации которых составляет более 3-х месяцев с момента выбора меры, в Профиле рисков ИБ должен быть указан ожидаемый срок реализации.
6. Инциденты ИБ
Управление Инцидентами ИБ должно выполняться с учетом требований, установленных в ПС «Мир» (см. документ [3]).
7. Оценка эффективности функционирования СУР ИБ
7.1. Субъект должен самостоятельно проводить оценку эффективности СУР ИБ в рамках своей деятельности в ПС «Мир» не реже одного раза в два года.
7.2. Проведение оценки эффективности должно осуществлять подразделение Субъекта, структурно независимое от подразделения (подразделений), осуществляющих реализацию процедур управления Рисками ИБ, установленных требованиями Разделов 4-6 настоящего Стандарта, уполномоченное проводить оценку эффективности в соответствии с организационной структурой по управлению Риском ИБ, и (или) внешний эксперт (специализированная организация или квалифицированный внешний эксперт) по решению уполномоченного органа Субъекта.
7.3. При проведении оценки эффективности должны быть выполнены работы по следующим направлениям:
оценка используемых методов анализа и оценки Рисков ИБ:
оценка полноты проведения идентификации Рисков ИБ;
оценка соответствия применяемых методов анализа и оценки Рисков ИБ требованиям настоящего Стандарта;
оценка полноты и корректности применения методов анализа рисков, включая корректность применения автоматизированных средств для анализа и оценки рисков;
оценка полноты ведения Профилей рисков ИБ;
- оценка применения способов управления Рисками ИБ:
  анализ корректности применения процедур выбора способов управления рисками;
  анализ выполнения планов по реализации дополнительных защитных мер, установленных в соответствии с п. 5.7 настоящего Стандарта;
  оценка полноты и корректности установки показателей уровня Риска ИБ и ключевых индикаторов риска в соответствии с требованиями Раздела 8 настоящего Стандарта;
  анализ полноты доведения информации о результатах мониторинга показателей уровня Риска ИБ и ключевых индикаторов риска;
  контроль соблюдения установленных сроков выполнения процедур управления рисками;
- анализ темпа совершенствования СУР ИБ:
  контроль полноты исправления замечаний, сформированных в ходе проведения прошлой оценки эффективности СУР ИБ в соответствии с требованиями настоящего раздела;
  анализ учета иных условий, требующих совершенствования СУР ИБ согласно Разделу 9 настоящего Стандарта.
7.4. Оценка эффективности СУР ИБ должна осуществляться на основании анализа достижения критериев эффективности в рамках каждого из направлений оценки. Перечень базовых и ключевых критериев приведен в Приложении № 3 настоящего Стандарта. Субъект вправе самостоятельно определить дополнительные критерии оценки эффективности СУР ИБ.
7.5. При формировании заключения о достижении критериев оценки эффективности, установленных в Приложении № 3 к Стандарту, в качестве базовых значений оценки достижения критериев должны быть использованы значения «1 – критерий достигнут» и «0 – критерий не достигнут», где оценка «1 – критерий достигнут» может быть указана при условии полного выполнения рассматриваемого критерия, подтвержденного свидетельствами выполнения деятельности в соответствии с п. 7.12 Субъект может самостоятельно расширить применяемую шкалу оценки достижения критериев, введя промежуточные значения оценки.
7.6. В зависимости от степени достижения критериев эффективности, результат оценки эффективности СУР ИБ может принимать следующие значения:
СУР ИБ признается эффективной, если были достигнуты все рассматриваемые критерии эффективности;
СУР ИБ признается умеренно эффективной, если были достигнуты все ключевые критерии эффективности, но было выявлено недостижение или неполное достижение не более чем пяти базовых критериев;
СУР ИБ признается низкоэффективной, если было выявлено недостижение или неполное достижение не более трех ключевых критериев эффективности и не более восьми базовых критериев эффективности;
СУР ИБ признается неэффективной, было выявлено недостижение или неполное достижение более чем трех ключевых критериев эффективности или более чем восьми базовых критериев эффективности.
7.7. В случае, если Субъект определил дополнительные критерии эффективности, дополнительные критерии должны быть внесены в отчет о результатах оценки эффективности с указанием отметки, рассматриваются ли данные критерии в качестве базовых или ключевых критериев процесса.
7.8. В случае признания СУР ИБ неэффективной или низкоэффективной, Субъектом должен быть разработан план совершенствования СУР ИБ, включающий:
- в случае, если не были достигнуты ключевые критерии, связанные с процедурами выбора способов обработки Рисков ИБ – сроки пересмотра и разработки плана реализации мер, направленных на снижение уровня Рисков ИБ, в соответствии с требованиями Раздела 5 настоящего Стандарта;
- сроки проведения следующей оценки эффективности СУР ИБ, в ходе которой будут проанализированы изменения, выполненные в соответствии с разработанным планом совершенствования СУР ИБ.
7.9. Суммарный срок выполнения работ, включаемых в план совершенствования СУР ИБ в случае признания СУР ИБ неэффективной или низкоэффективной, не должен превышать 1 год. В случае невозможности выполнения работ плана за 1 год, план совершенствования СУР ИБ должен быть согласован с Оператором.
7.10. В случае признания СУР ИБ эффективной или умеренно эффективной, разработка плана совершенствования СУР ИБ не является обязательной, действия по совершенствованию СУР ИБ могут осуществляться в рабочем порядке.
7.11. Результат оценки эффективности СУР ИБ должен быть оформлен документально. Форма отчета о результатах оценки эффективности СУР ИБ приведена в Приложении № 3 настоящего Стандарта<7>.
<7> В случае, если проводимая Субъектом оценка эффективности СУР ИБ учитывает не только требования настоящего Стандарта, но и требования иных внутренних или внешних документов к проведению оценки эффективности, допускается использование альтернативных форм отчета о результатах оценки эффективности,
7.12. Выводы о достижении критериев эффективности СУР ИБ, сформированные в процессе оценки эффективности, должны быть подтверждены свидетельствами аудита. Допустимыми видами свидетельств являются:
утвержденные версии внутренних нормативных документов Субъекта, учитываемые в ходе оценки эффективности СУР ИБ;
рабочие материалы и отчеты, используемые и формируемые при выполнении процедур управления рисками;
выгрузки баз из автоматизированных инструментов управления рисками и (или) снимки экрана, демонстрирующие выполнение рассматриваемой деятельности с применением таких инструментов;
результаты измерения ключевых индикаторов риска (в случае, если оцениваемый критерий эффективности СУР ИБ контролируется в рамках мониторинга эффективности процессов обеспечения защиты информации с использованием ключевых индикаторов риска).
7.13. Хранение свидетельств, подтверждающих достижение или недостижение критериев эффективности СУР ИБ, должно осуществляться подразделением Субъекта, осуществляющим проведение оценки эффективности СУР ИБ, или привлеченным к проведению оценки эффективности СУР ИБ внешним экспертом. Срок хранения свидетельств должен составлять не менее трех лет.
7.14. Результат оценки должен быть передан на рассмотрение коллегиальному исполнительному органу Субъекта, уполномоченному принимать решения по рассмотрению/утверждению вопросов оценки эффективности системы управления рисками. Коллегиальный исполнительный орган Субъекта по итогам рассмотрения отчетной документации с результатами оценки эффективности СУР ИБ должен сформировать поручения по разработке или выполнению мероприятий, направленных на совершенствование СУР ИБ.
7.15. Субъект должен по запросу предоставлять в АО «НСПК» отчетную документацию с результатами оценки эффективности СУР ИБ Субъекта в сроки и в порядке, установленном в таком запросе.
7.16. В рамках анализа отчетной документации с результатами оценки эффективности СУР ИБ, проведенной Субъектом, АО «НСПК» вправе запрашивать дополнительную информацию и свидетельства выполнения деятельности по управлению Рисками ИБ Субъектом в целях контроля качества и достоверности информации о результатах проведения оценки эффективности СУР ИБ. По итогам проведения анализа НСПК формирует заключение, которое может содержать:
информацию о выявленных нарушениях требований текущего Стандарта и иных наблюдениях, связанных с выполнением процедур управления Рисками ИБ;
требования или рекомендации по устранению выявленных недостатков и наблюдений;
требования или рекомендации по проведению повторной оценки эффективности СУР ИБ;
иную информацию, относящуюся к результатам контроля качества и достоверности оценки эффективности СУР ИБ.
8. Мониторинг Риска ИБ
8.1. Субъект должен осуществлять мониторинг Рисков ИБ в целях своевременного выявления ситуаций, требующих принятия мер реагирования.
8.2. Мониторинг должен осуществляться путем отслеживания следующих параметров:
показателей уровня Риска ИБ;
КИР.
8.3. Участник должен самостоятельно установить значения для следующих показателей уровня Риска ИБ:
8.3.1. Показатели, характеризующие уровень потерь в результате наступления Инцидентов ИБ у Участника:
общая сумма валовых прямых потерь и сумм величин косвенных потерь Участника в результате наступления Инцидентов ИБ, связанных с выполнением Участником эквайринговой деятельности в ПС «Мир», за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года;
общая сумма валовых прямых потерь и сумм величин косвенных потерь Участника в результате наступления Инцидентов ИБ, связанных с выполнением Участником деятельности эмитента в ПС «Мир», за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года;
общая сумма валовых прямых потерь и сумм величин косвенных потерь Участника в результате наступления Инцидентов ИБ, связанных с выполнением нефинансовых операций в ПС «Мир», за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года;
отношение суммы валовых прямых и сумм величин косвенных потерь, понесенных организацией при выполнении функций Участника, за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года, к общей сумме финансовых операций, совершенных с использованием Карт Участника (выполненными Клиентами Эмитента), а также финансовых операций, выполненных в сети устройств Участника с использованием Карт других Участников за этот же период;
доля реализованных (по количеству) Инцидентов ИБ с ненулевой величиной валовых прямых потерь по отношению ко всем Инцидентам ИБ в течение отчетного периода (первого квартала, полугодия, девяти месяцев, года) нарастающим итогом с начала календарного года;
8.3.2. Показатели, характеризующие уровень потерь в результате наступления Инцидентов ИБ у третьих лиц, привлеченных Участником для осуществления деятельности в ПС «Мир» или способных влиять на безопасность данных карт ПС «Мир» (далее – привлеченные Участником организации):
общая сумма валовых прямых потерь и косвенных потерь Участника в результате Инцидентов ИБ у привлеченных Участником Сервис-провайдеров, которые хранят, передают или обрабатывают данные карт ПС «Мир», за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года;
общая сумма валовых прямых потерь и косвенных потерь Участника в результате Инцидентов ИБ у привлеченных Участником ТСП, которые хранят, передают или обрабатывают данные карт ПС «Мир», за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года;
общая сумма валовых прямых потерь и косвенных потерь Участника в результате Инцидентов ИБ у иных привлеченных Участником организаций, которые не хранят, не передают и не обрабатывают данные Карт ПС «Мир», но имеют возможность влиять на безопасность данных Карт ПС «Мир», за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года;
темп прироста количества Инцидентов ИБ у привлеченных Участником организаций, за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала текущего календарного года по отношению к количеству Инцидентов ИБ у привлеченных Участником организаций за аналогичный предыдущего календарного года.
8.3.3. Показатели, характеризующие уровень операционной надежности процессов в результате наступления Инцидентов ИБ:
доля деградации бизнес- и технологических процессов, обеспечивающих осуществление Операций;
допустимое время простоя и (или) деградации бизнес- и технологического процесса (в случае отклонения от контрольного значения доли деградации процессов) в рамках Инцидента ИБ;
допустимое суммарное время простоя и (или) деградации бизнес- и технологического процесса (в случае отклонения от контрольного значения доли деградации процессов) в результате наступления Инцидентов ИБ за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом.
8.3.4. Показатели, характеризующие уровень зрелости процессов защиты информации:
оценка эффективности функционирования системы управления Риском ИБ за отчетный период (первый квартал, полугодие, девять месяцев, год) с начала календарного года;
оценка эффективности защитных мер, применяемых в соответствии с требованиями безопасности, определенных для данного Субъекта в соответствии с документом [2] за отчетный период (первый квартал, полугодие, девять месяцев, год) с начала календарного года;
оценка эффективности компенсационных мер, применяемых для достижения целей требований PCI DSS за отчетный период (первый квартал, полугодие, девять месяцев, год) с начала календарного года;
оценка эффективности дополнительных защитных мер, установленных в соответствии с требованиями Раздела 5 настоящего Стандарта, за отчетный период (первый квартал, полугодие, девять месяцев, год) с начала календарного года.
8.4. Показатели уровня Риска ИБ, характеризующие уровень операционной надежности процессов в результате наступления Инцидентов ИБ, должны быть установлены в разрезе бизнес- и технологических процессов, связанных с осуществлением Участником деятельности в Системе.
8.5. ОПКЦ самостоятельно устанавливает перечень показателей уровня Риска ИБ и значения для показателей уровня Риска ИБ. При выполнении АО «НСПК» роли ОПКЦ, показатели определяются АО «НСПК» в соответствии с внутренними процессами.
8.6. РЦ самостоятельно устанавливает значения для показателей уровня Риска ИБ. Перечень показателей уровня Риска ИБ определяется в соответствии с установленным порядком взаимодействия между Оператором и РЦ.
8.7. Выделяются показатели уровня Риска ИБ двух типов:
показатели уровня Риска ИБ, фактические значения которых определяются без использования КИР (показатели уровня Риска ИБ, рассчитываемые количественным способом);
показатели уровня Риска ИБ, фактические значения которых определяются на основании агрегированных значений КИР (показатели уровня Риска ИБ, рассчитываемые качественным способом).
8.8. Независимо от типа показателя уровня Риска ИБ, в целях проведения предиктивного анализа возможного превышения пороговых значений показателей уровня Риска ИБ рекомендуется осуществлять мониторинг возможного превышения пороговых значений показателя уровня Риска ИБ с использованием КИР <8>.
<8> Свидетельством превышения показателей уровня Риска ИБ может являться превышение пороговых значений уровня Неправомерных операций, зафиксированное в рамках процесса контроля уровня Неправомерных операций на стороне Участников, установленного документом [5]. Обработка событий превышения пороговых значений уровня Неправомерных операций осуществляется в соответствии с положениями документа [5]. .
8.9. Для каждого показателя уровня Риска ИБ должны быть установлены:
шкала оценки показателя;
перечень КИР, на основании которых осуществляется расчет фактического значения показателя уровня Риска ИБ или мониторинг возможного превышения пороговых значений показателя уровня Риска ИБ, а также обоснование влияния КИР на фактическое значение показателя уровня Риска ИБ / описание взаимосвязи между показателем уровня Риска ИБ и устанавливаемым КИР;
способ определения фактического значения показателя уровня Риска ИБ;
(рекомендуется) способ прогнозирования возможности превышения пороговых значений показателя уровня Риска ИБ на основании значений КИР;
пороговое значение, при достижении которого должны применяться меры, направленные на снижение Риска ИБ, с обоснованием установления порогового значения <9>;
порядок реагирования на достижение пороговых значений, в том числе процедуры эскалации;
периодичность расчета;
подразделение, ответственное за расчет фактических значений показателя уровня Риска ИБ.
<9> На усмотрение Субъекта для показателей уровня Риска ИБ и КИР может быть установлено несколько пороговых значений и соответствующих им порядков реагирования на достижение пороговых значений.
8.10. При установке шкалы оценки показателей уровня Риска ИБ необходимо:
для показателей уровня Риска ИБ, рассчитываемых количественным способом, указать единицы измерения для шкалы оценки;
для показателей уровня Риска ИБ, рассчитываемых качественным способом, указать перечень возможных значений используемой шкалы оценки.
8.11. При установке способа определения фактического значения показателя уровня Риска ИБ необходимо:
для показателей уровня Риска ИБ, рассчитываемых количественным способом – описать алгоритм расчета фактического значения показателя уровня Риска ИБ и состав информации, используемой для расчета значения показателя уровня Риска ИБ (в случае получения такой информации от подразделений, отличных от подразделения, ответственного за расчет фактических значений, – также указать подразделение, ответственное за предоставление информации, способ получения информации);
для показателей уровня Риска ИБ, рассчитываемых качественным способом – определить, при каких значениях или сочетаниях значений КИР может быть получено каждое из возможных значений показателя уровня Риска ИБ в соответствии с установленной шкалой оценки, или определить математическую зависимость значения показателя уровня Риска ИБ от значений КИР.
8.12. В случае установки в отношении показателя уровня Риска ИБ перечня КИР, используемых в целях прогнозирования возможности превышения пороговых значений показателя уровня Риска ИБ на основании значений КИР, рекомендуется определить, достижение каких фактических значений КИР будет рассматриваться эквивалентно достижению порогового значения показателя уровня Риска ИБ.
8.13. При установке пороговых значений показателей уровня Риска ИБ, рассчитываемых нарастающим итогом, необходимо установить пороговые значения в разрезе рассматриваемых периодов оценки (первый квартал, полугодие, девять месяцев, год) и учесть это при описании обоснования установки пороговых значений.
8.14. Пересмотр состава и пороговых значений установленных показателей уровня Риска ИБ должен осуществляться не реже, чем раз в год.
8.15. Субъект может не устанавливать указанные выше значения для тех показателей уровня Риска ИБ, которые не могут быть к нему применимы. В этом случае Субъект должен иметь документально оформленное обоснование исключения такого показателя уровня Риска ИБ.
8.16. В случае исключения показателя уровня Риска ИБ из расчета Субъекту рекомендуется проводить контроль изменения факторов, влияющих на необходимость расчета показателя уровня Риска ИБ, на ежеквартальной основе.
8.17. Участник может использовать дополнительные показатели уровня Риска ИБ в дополнение к приведенным выше.
8.18. Информация о составе показателей уровня Риска ИБ, их пороговых значениях и порядке реагирования на достижение пороговых значений показателей уровня Риска ИБ должна быть утверждена коллегиальным исполнительным органом Субъекта, уполномоченным принимать решения в отношении вопросов управления операционными рисками или управления Риском ИБ.
8.19. Расчет фактических значений показателей уровня Риска ИБ и КИР должен осуществляться на основании актуальной на момент расчета информации <10> о состоянии бизнес- и технологических процессов, состоянии процессов обеспечения ИБ у Субъекта, а также об Инцидентах ИБ.
<10> Не допускается использование в целях расчета фактических значений показателей уровня Риска ИБ и КИР информации (например, результатов аудитов, отчетов об уровне защищенности, результатов сканирований на уязвимости), а также информационных сводок (например, выгрузок из базы Риск-событий, Инцидентов ИБ), по сроку давности превышающих период расчета рассматриваемого показателя уровня Риска ИБ или КИР.
8.20. Помимо КИР, используемых в целях расчета фактических значений или прогнозирования превышения пороговых значений показателей уровня Риска ИБ, рекомендуется установить дополнительные КИР в целях мониторинга Риска ИБ, остаточный уровень которых равен или превышает значение «высокий» согласно тепловой карте, приведенной в Таблице 3 Приложения № 2 к Стандарту.
8.21. Для каждого КИР должны быть установлены:
количественное измерение КИР;
способ расчета КИР;
периодичность пересмотра КИР для поддержания КИР в актуальном состоянии;
периодичность расчета КИР;
состав информации, используемой для расчета КИР, и ее источников, включая способ получения такой информации;
пороговые значения КИР с обоснованием их установления;
работник, ответственный за предоставление данных для расчета КИР и (или) расчет КИР;
порядок реагирования на достижение пороговых значений КИР, в том числе процедуры эскалации.
8.22. Субъекты должны формализовать описание КИР, применяемых в целях расчета фактических значений или прогнозирования превышения пороговых значений показателей уровня Риска ИБ, в соответствии с п. 8.21.
8.23. Перечень установленных КИР и пороговые значения КИР должны пересматриваться не реже одного раза в год.
8.24. Субъекты должны по запросу предоставлять Оператору сведения об установленных показателях уровня Риска ИБ и КИР в установленные запросом сроки и порядке.
8.25. Субъекты должны исправлять замечания и учитывать рекомендации Оператора по корректировке установленных показателей уровня Риска ИБ и КИР в сроки, установленные Оператором (при условии их установки).
8.26. Расчет фактических значений показателей уровня Риска ИБ должен осуществляться не реже, чем на ежеквартальной основе
8.27. Информация о результатах расчета фактических значений, достижении или превышении установленных пороговых значений и прогнозировании превышения пороговых значений показателей уровня Риска ИБ должна на ежеквартальной основе доводиться до коллегиального исполнительного органа Субъекта, уполномоченного принимать решения в отношении вопросов управления операционными рисками или управления Риском ИБ.
8.28. Участники должны уведомлять Оператора о фактах достижения или превышения пороговых значений показателей уровня Риска ИБ, перечисленных в п. 8.3, в течение 24-х часов с момента выявления факта достижения (превышения) порогового значения показателя уровня Риска ИБ. Уведомление выполняется путем создания заявки в проекте «Программа безопасности» на Портале. К заявке должна быть приложена документация о показателях уровня Риска ИБ, пороговое значение которых было достигнуто или превышено. Документация должна содержать сведения о пороговых значениях показателей уровня Риска ИБ, о плане реагирования на достижение пороговых значений, сведения о зафиксированных значениях показателей уровня Риска ИБ, результаты выполнения установленного порядка реагирования на достижение порогового значения показателя уровня Риска ИБ (в части выполнения действий, совершенных к моменту формирования уведомления). Если у Участника отсутствует доступ к Порталу, то Участник должен уведомить АО «НСПК» по электронной почте, направив письмо с указанной информацией на адрес mirsecurity@nspk.ru.
9. Совершенствование СУР ИБ
Совершенствование СУР ИБ Субъекта должно осуществляться в следующих случаях:
изменение политики Субъекта в отношении принципов и приоритетов в реализации СУР ИБ;
изменение политики Субъекта в отношении величины допустимого Риска ИБ, значений уровня Риска ИБ;
- принятие решения о необходимости совершенствования СУР ИБ по итогам анализа результатов аудита СУР ИБ, анализа результатов оценки соответствия требованиям безопасности, проведенной согласно положениям документа [2], реагирования на Инциденты ИБ и восстановлении после их реализации;
изменение законодательства Российской Федерации, в том числе нормативных актов Банка России.
10. Права и обязанности
10.1. Субъект должен назначить сотрудника, ответственного за взаимодействие с Оператором в рамках настоящего Стандарта ПС «Мир» и предоставление соответствующей информации о Рисках ИБ и Инцидентах ИБ. По запросу АО «НСПК» Субъект в срок, установленный в запросе, должен предоставить Оператору сведения о назначенном сотруднике, посредством направления письма Оператору на электронный адрес: mirsecurity@nspk.ru.
10.2. По запросу Субъект должен предоставить Оператору информацию и (или) документы по функционированию СУР ИБ в сроки и в порядке, установленные в таком запросе. Документы могут быть запрошены в электронном виде или на бумажном носителе в виде копии, заверенной подписью уполномоченного лица Субъекта.
10.3. Оператор осуществляет контроль за эффективностью СУР ИБ Системы на регулярной основе, не реже одного раза в год. Контроль осуществляется посредством выборочного запроса информации об эффективности СУР ИБ у Субъектов Системы. Для проведения анализа Оператор вправе запрашивать у Субъекта информацию и (или) документы по функционированию СУР ИБ Субъекта. Субъект обязуется предоставить запрашиваемые информацию и (или) документы в порядке и сроки, установленные в запросе Оператора.
Приложение № 1. Требования к Профилю Рисков ИБ
Профиль Рисков ИБ должен содержать в отношении каждого Риска ИБ следующую информацию (включая, но не ограничиваясь):
наименование идентифицированного Риска ИБ;
фактор (причина, условие реализации) Риска ИБ;
источник реализации Риска ИБ;
описание Риска ИБ;
наименование (описание) бизнес-процессов, в которых могут произойти Риск-события, связанные с рассматриваемым Риском ИБ;
оценка присущего уровня Риска ИБ:
присущий уровень воздействия Риска ИБ;
присущий уровень ожидаемой частоты (вероятности) реализации Риска ИБ;
присущий уровень Риска ИБ;
допустимый уровень риска;
указание, является ли риск значимым
(для значимых рисков) оценка остаточного уровня Риска ИБ:
описание предпринятых мер реагирования и контрольных процедур, направленных на снижение частоты (вероятности) реализации и воздействия Риска ИБ;
остаточный уровень воздействия Риска ИБ;
остаточный уровень ожидаемой частоты (вероятности) реализации Риска ИБ;
остаточный уровень Риска ИБ;
информация о принятом решении о реагировании на Риск ИБ;
(рекомендуется) КИР, установленный в целях мониторинга уровня Риска ИБ.
Приложение № 2. Шкалы для оценки уровня Риска ИБ в Системе
Таблица 1. Шкала для оценки ожидаемого воздействия Риска ИБ в Системе
Вид негативных последствий, Уровень воздействия / уровень критичности Инцидента
5 - очень сильное воздействие / максимальный уровень критичности
Любое событие ИБ, вызванное нарушением требований безопасности в контуре ОПКЦ в результате действий третьих лиц, которое привело к краже или компрометации любых материалов или записей, содержащих данные платежных карт
2 инцидента ИБ, которые произошли в течение 3 месяцев
Невозможность обработки Авторизационных запросов Участником (в разрезе эмиссионного и (или) эквайрингового трафика) по причине, находящейся на стороне Участника, в течение операционного дня (операционный день - календарный день за период с 00.00.00 до 23.59.59)
Полный простой обработки Авторизационных запросов (эмиссионный и (или) эквайринговый трафик) более 1 часа с момента возникновения риск-события
Несанкционированный перевод денежных средств, инициированный операционным или клиринговым центром в результате нарушения требований безопасности в контуре ОПКЦ третьими лицами
От 2 млн руб.
Несанкционированный доступ к данным платежных карт в контуре Участника
Данные более 100 000 карт
Несанкционированный перевод денежных средств в контуре Участника
Более 30 млн руб.

Вид негативных последствий, Уровень воздействия / уровень критичности Инцидента
4 - сильное воздействие / высокий уровень критичности
Любое событие ИБ, вызванное нарушением требований безопасности в контуре ОПКЦ в результате действий третьих лиц, которое привело к краже или компрометации любых материалов или записей, содержащих данные платежных карт
2 инцидента ИБ, которые произошли в течение 6 месяцев
Невозможность обработки Авторизационных запросов Участником (в разрезе эмиссионного и (или) эквайрингового трафика) по причине, находящейся на стороне Участника, в течение операционного дня (операционный день - календарный день за период с 00.00.00 до 23.59.59)
Полный простой обработки Авторизационных запросов (эмиссионный и (или) эквайринговый трафик) от 15 минут до 1 часа (включительно) с момента возникновения Риск-события
Несанкционированный перевод денежных средств, инициированный операционным или клиринговым центром в результате нарушения требований безопасности в контуре ОПКЦ третьими лицами
От 1 млн руб. до 1 999 999 руб.
Несанкционированный доступ к данным платежных карт в контуре Участника
Данные от 10 000 до 99 999 карт
Несанкционированный перевод денежных средств в контуре Участника
От 10 000 000 до 29 999 999 руб.

Вид негативных последствий, Уровень воздействия / уровень критичности Инцидента
3 - среднее воздействие / средний уровень критичности
Любое событие ИБ, вызванное нарушением требований безопасности в контуре ОПКЦ в результате действий третьих лиц, которое привело к краже или компрометации любых материалов или записей, содержащих данные платежных карт
1 инцидент ИБ в течение календарного года
Невозможность обработки Авторизационных запросов Участником (в разрезе эмиссионного и (или) эквайрингового трафика) по причине, находящейся на стороне Участника, в течение операционного дня (операционный день - календарный день за период с 00.00.00 до 23.59.59)
Более 10 000 Авторизационных запросов (эмиссионный и (или) эквайринговый трафик) с момента возникновения Риск-события
Несанкционированный перевод денежных средств, инициированный операционным или клиринговым центром в результате нарушения требований безопасности в контуре ОПКЦ третьими лицами
От 0,01 руб. до 999 999 руб.
Несанкционированный доступ к данным платежных карт в контуре Участника
Данные от 500 до 9 999 карт
Несанкционированный перевод денежных средств в контуре Участника
От 1 000 000 до 9 999 999 руб.

Вид негативных последствий, Уровень воздействия / уровень критичности Инцидента
2 - низкое воздействие / низкий уровень критичности
Любое событие ИБ, вызванное нарушением требований безопасности в контуре ОПКЦ в результате действий третьих лиц, которое привело к краже или компрометации любых материалов или записей, содержащих данные платежных карт
-
Невозможность обработки Авторизационных запросов Участником (в разрезе эмиссионного и (или) эквайрингового трафика) по причине, находящейся на стороне Участника, в течение операционного дня (операционный день - календарный день за период с 00.00.00 до 23.59.59)
От 1 000 до 10 000 Авторизационных запросов (эмиссионный и (или) эквайринговый трафик) с момента возникновения Риск-события
Несанкционированный перевод денежных средств, инициированный операционным или клиринговым центром в результате нарушения требований безопасности в контуре ОПКЦ третьими лицами
-
Несанкционированный доступ к данным платежных карт в контуре Участника
Данные от 10 до 499 карт
Несанкционированный перевод денежных средств в контуре Участника
От 500 000 до 999 999 руб.

Вид негативных последствий, Уровень воздействия / уровень критичности Инцидента
1 - незначительное воздействие / низкий уровень критичности
Любое событие ИБ, вызванное нарушением требований безопасности в контуре ОПКЦ в результате действий третьих лиц, которое привело к краже или компрометации любых материалов или записей, содержащих данные платежных карт
-
Невозможность обработки Авторизационных запросов Участником (в разрезе эмиссионного и (или) эквайрингового трафика) по причине, находящейся на стороне Участника, в течение операционного дня (операционный день - календарный день за период с 00.00.00 до 23.59.59)
До 1 000 Авторизационных запросов (эмиссионный и (или) эквайринговый трафик) с момента возникновения Риск-события
Несанкционированный перевод денежных средств, инициированный операционным или клиринговым центром в результате нарушения требований безопасности в контуре ОПКЦ третьими лицами
-
Несанкционированный доступ к данным платежных карт в контуре Участника
Данные не более 10 карт
Несанкционированный перевод денежных средств в контуре Участника
До 499 999 руб.
Таблица 2. Шкала для оценки ожидаемой вероятности (частоты) реализации Риска ИБ в Системе
Вероятность
Частота реализации риска
1 - крайне маловероятно
реже, чем один раз в 5 лет
2 -маловероятно
один раз в 3-5 лет
3 - возможно
один раз в 1-3 года
4 - очень вероятно
один раз в 3-11 месяцев
5 - почти точно
один раз в 1-2 месяца
Таблица 3. Тепловая карта уровня Риска ИБ в Системе, где:
бордовый – риск является критическим (К);
красный – риск является высоким (В);
желтый – риск является средним (С);
зеленый – риск является низким (Н)
Приложение № 3. Форма отчета о результатах оценки эффективности СУР ИБ
1. Условия, методы и способы проведения оценки эффективности системы управления Рисками ИБ (далее – СУР ИБ)
<Раздел предназначен для описания: рабочей группы, проводившей оценку эффективности, перечня интервьюируемых лиц, информации о проанализированных материалах, установленных дополнительных критериях оценки эффективности, а также иных условиях проведения оценки эффективности СУР ИБ>
2. Заключение о результатах оценки эффективности СУР ИБ
<Раздел предназначен для указания сводных результатов оценки эффективности: количества достигнутых и не достигнутых критериев эффективности СУР ИБ в разрезе критичности критериев и областей оценки, а также заключение о степени эффективности СУР ИБ в соответствии с условиями, указанными в п. 7.6 Стандарта>
3. Сформированные выводы и наблюдения
<Раздел предназначен для описания выявленных проблем по достижению рассмотренных критериев эффективности СУР ИБ, наблюдений рабочей группы о возможностях к улучшению, а также выводов о необходимости разработки плана совершенствования СУР ИБ>
4. Детализированный отчет о результатах оценки эффективности
4.1. Направление оценки: оценка используемых методов анализа и оценки рисков
Базовый критерий
Требуемые действия по контролю
Критерий 1: Процедуры идентификации, анализа и оценки Рисков ИБ регламентированы во внутренних документах Субъекта и доведены до участников процедуры
Опишите структуру внутренней нормативной документации, описывающей процедуры идентификации, анализа и оценки Рисков ИБ у Субъекта и распределение ответственности за выполнение процедур между подразделениями Субъекта. Оцените полноту внутренней нормативной документации по оценке рисков в соответствии с требованиями Раздела 4 Стандарта. Опишите, как документы доводились до участников процедур управления рисками и как задействованные в реализации процедур лица могут получить доступ к данным документам
Базовый критерий
Требуемые действия по контролю
Критерий 2: Методы идентификации Рисков ИБ, применяемые Субъектом, соответствуют требованиям Раздела 4 Стандарта
Опишите перечень процедур по идентификации Рисков ИБ, которые проводились при проведении актуальной оценки рисков. Оцените, насколько процедуры идентификации Рисков ИБ соответствуют требованиям, приведенным в п. 4.8 Стандарта. В отношении повторных оценок, если в отношении показателей уровня Риска ИБ или ключевых индикаторов Рисков ИБ (далее – КИР) за оцениваемый период были выявлены достижения пороговых значений, опишите, как был проведен анализ необходимости расширения, детализации или переработки перечня идентифицированных Рисков ИБ
Ключевой критерий
Требуемые действия по контролю
Критерий 3: Область оценки Рисков ИБ соответствует деятельности Субъекта в ПС «Мир»
Опишите для каждого из приведенных ниже видов деятельности, относится ли вид деятельности к осуществляемым Субъектом видам деятельности в ПС «Мир» в соответствии с типом участия Субъекта в ПС «Мир», и для всех выполняемых видов деятельности – рассмотрен ли данный вид деятельности при проведении идентификации Рисков ИБ в рамках актуальной оценки Рисков ИБ. Критерий может быть рассмотрен как достигнутый только при условии, что в область оценки Рисков ИБ были включены все выполняемые в рамках участия в ПС «Мир» Субъектом виды деятельности
Базовый критерий
Требуемые действия по контролю
Критерий 4: При идентификации и анализе Рисков ИБ учтена информация о всех реализованных Риск-событиях за три года
Опишите, каким образом при проведении работ по идентификации и анализу Рисков ИБ учитывалась информация о реализованных Риск-событиях. Проанализируйте, есть ли среди Риск-событий, реализованных за прошедшие три года, Риск-события или группы Риск-событий, не учитываемые при идентификации Рисков ИБ или при анализе Рисков ИБ
Базовый критерий
Требуемые действия по контролю
Критерий 5: Используемые методы определения воздействия Рисков ИБ соответствуют требованиям ПС «Мир»
Опишите методы, применяемые Субъектом в целях определения ожидаемого воздействия от реализации Рисков ИБ / потенциально возможных Риск-событий (в случае, если в целях определения присущего и остаточного уровней воздействия от реализации Рисков ИБ применяются различные методы, укажите оба варианта). В случае, если результатом применения методов являются значения, не коррелирующие явным образом со значениями, установленными в шкалах Таблицы 1 Приложения № 2 к Стандарту – проанализируйте, как полученные значения конвертируются или интерпретируются в целях получения оценок, соответствующих шкалам Таблицы 1 Приложения № 2 к Стандарту
Базовый критерий
Требуемые действия по контролю
Критерий 6: Используемые методы определения частоты (вероятности) реализации
Опишите методы, применяемые Субъектом в целях определения ожидаемой частоты (вероятности) реализации Рисков ИБ / потенциально возможных Риск-событий (в случае, если в целях определения присущего и остаточного значений частоты (вероятности) реализации Рисков ИБ применяются различные методы, укажите оба варианта). В случае, если результатом применения методов являются значения, не коррелирующие явным образом со значениями, установленными в шкалах Таблицы 2 Приложения № 2 к Стандарту – проанализируйте, как полученные значения конвертируются или интерпретируются в целях получения оценок, соответствующих шкалам Таблицы 2 Приложения № 2 к Стандарту
Базовый критерий
Требуемые действия по контролю
Критерий 7: Применяемые способы оценки уровня Рисков ИБ соответствуют требованиям ПС «Мир»
Опишите методы, применяемые Субъектом в целях определения уровня Рисков ИБ (в случае, если в целях определения присущего и остаточного значений уровня Рисков ИБ применяются различные методы, укажите оба варианта). В случае, если результатом применения методов являются значения, полученные не способом, предполагающим применение тепловой карты из Таблицы 3 Приложения № 2 к Стандарту – проанализируйте, предполагают ли дальнейшие процедуры управления Рисками ИБ учет оценок уровня Риска ИБ, полученных согласно тепловой карте из Таблицы 3 Приложения № 2 к Стандарту
Ключевой критерий
Требуемые действия по контролю
Критерий 8: Применение методов анализа и оценки Рисков ИБ на практике реализовано корректным способом
В случае применения в целях анализа Рисков ИБ автоматизированных инструментов для оценки уровня Рисков ИБ, убедитесь, что:
- в случае отличия шкал оценки, используемых для анализа Рисков ИБ в автоматизированном инструменте, от шкал, установленных Приложением № 2 к Стандарту – предусмотрены и применяются методы конвертации или интерпретации полученных значений;
- в случае использования формул для расчета параметров Риска ИБ – вычисления функционируют корректно и выдают ожидаемый результат при известных данных;
- в случае переноса данных для анализа Рисков ИБ в автоматизированный инструмент из других источников, либо в случае выгрузки данных из автоматизированного инструмента – данные переносятся без искажений.
В случае проведения вычислений уровня Рисков ИБ работниками вручную убедитесь, что:
- работники в ходе анализа Рисков ИБ применяют актуальные версии методов и шкал оценки;
- при проведении актуальной оценки Рисков ИБ расчеты были проведены корректно (отсутствуют противоречия между учтенной при оценке информацией и результатами расчетов, используемые в расчетах формулы, зависимости и тепловые карты применены в виде, соответствующем установленным процедурам)
Базовый критерий
Требуемые действия по контролю
Критерий 9: Для идентифицированных Рисков ИБ определены присущий и допустимый уровни риска
Проверить, что для всех идентифицированных Рисков ИБ оценен присущий уровень Риска ИБ и допустимый уровень Риска ИБ; шкалы оценки присущего и допустимого уровня Риска ИБ должны обеспечивать возможность сопоставления шкал и возможности принятия решения о значимости Риска ИБ
Базовый критерий
Требуемые действия по контролю
Критерий 10: Профиль Рисков ИБ содержит информацию о всех идентифицированных Рисках ИБ
Проверить, что Профиль Рисков ИБ включает Риски ИБ, связанные с выполнением видов деятельности, которые должны быть включены в область оценки Рисков ИБ в соответствии с критерием № 3; проанализировать классификатор Рисков ИБ, рабочие материалы по оценке Рисков ИБ и Профиль Рисков ИБ на предмет наличия необоснованно исключенных из рассмотрения Рисков ИБ
Базовый критерий
Требуемые действия по контролю
Критерий 11: В Профиле Рисков ИБ для всех Рисков ИБ, присущий уровень которых превосходит допустимый уровень, отображена информация о реализованных мерах снижения уровня риска
Оценить наполненность Профиля Рисков ИБ информацией. Оценить возможность адекватного учета информации о реализованных мерах снижения уровня Риска ИБ на ожидаемые остаточные уровни воздействия от реализации Риска ИБ и частоты (вероятности) реализации Риска ИБ
Базовый критерий
Факты, идентифицированные в ходе выполнения действий по контролю
Базовый критерий
Свидетельства, подтверждающие достижение или недостижение критерия
Базовый критерий
Заключение о достижении критерия
Ключевой критерий
Требуемые действия по контролю
Критерий 12: Для всех Рисков ИБ, присущий уровень которых превосходит допустимый уровень, проведена оценка остаточного уровня Риска ИБ
Оценить наполненность Профиля Рисков ИБ информацией. Проверить, учтена ли информация о не реализованных на момент оценки мерах снижения уровня Риска ИБ, при оценке остаточного уровня Риска ИБ, в соответствии с п. 4.18 Стандарта
Ключевой критерий
Факты, идентифицированные в ходе выполнения действий по контролю
Ключевой критерий
Свидетельства, подтверждающие достижение или недостижение критерия
Ключевой критерий
Заключение о достижении критерия
Ключевой критерий
Требуемые действия по контролю
Критерий 13: Оценка Рисков ИБ проводится не реже одного раза в год
Оценить все работы по оценке Рисков ИБ, выполненные за год от выбранной точки отсчета (например, от начала года или от даты старта проведения прошлой оценки Рисков ИБ) на предмет полноты покрытия области оценки в соответствии с требованиями критерия № 3 и регулярности проведения
4.2. Направление оценки: оценка применения способов управления Рисками ИБ
Базовый критерий
Требуемые действия по контролю
Критерий 14: Процедуры принятия решений по способу реагирования на Риск ИБ установлены во внутренних документах Субъекта и доведены до участников процедуры
Опишите структуру внутренней нормативной документации, описывающей процедуры принятия решений по способам реагирования на Риски ИБ у Субъекта и распределение ответственности за выполнение процедур управления рисками между подразделениями Субъекта. Опишите, как документы доводились до участников процедур управления рисками и как задействованные в реализации процедур лица могут получить доступ к данным документам
Ключевой критерий
Требуемые действия по контролю
Критерий 15: Определение допустимого уровня Риска ИБ осуществлялось лицами, обладающими такими полномочиями
Проанализируйте, кем были приняты решения о допустимом уровне Риска ИБ при проведении анализа идентифицированных Рисков ИБ, и соответствует ли реализованная процедура полномочиям, установленным во внутренних документах Субъекта
Ключевой критерий
Требуемые действия по контролю
Критерий 16: В отношении Рисков ИБ, остаточный уровень которых превосходит допустимый уровень риска, приняты решения о способе реагирования на Риск ИБ
Проанализируйте фактически реализованный по итогам проведения актуальной оценки Рисков ИБ процесс выбора способов реагирования на Риск ИБ. Оцените, зафиксирована ли в Профиле Рисков ИБ информация о выборе способа реагирования на Риск ИБ и соответствует ли указанная информация действительности. Оцените, соответствуют ли решения о принятии Рисков ИБ (в случае формирования таковых) требованиям п. 5.5 Стандарта
Ключевой критерий
Требуемые действия по контролю
Критерий 17: В отношении Рисков ИБ, для которых принято решение о способе реагирования, отличное от принятия риска, выбраны дополнительные защитные меры в соответствии с требованиями Раздела 5 Стандарта
Проанализируйте фактически реализованный по итогам проведения актуальной оценки Рисков ИБ процесс выбора способов реагирования на Риск ИБ. Для Рисков ИБ, в отношении которых были приняты решения о способе реагирования, отличных от принятия риска, оцените наличие ресурсов и возможностей у подразделений, указанных в качестве ответственных за реализацию мер, достаточных для реализации указанных мер реагирования в запланированные сроки
Базовый критерий
Требуемые действия по контролю
Критерий 18: Показатели уровня Риска ИБ, установленные требованиями Раздела 8 Стандарта, установлены в соответствии с требованиями Стандарта
Проанализируйте материалы, устанавливающие показатели уровня Риска ИБ, на предмет:
- перечень установленных показателей уровня Риска ИБ должен включать все показатели, перечисленные в п. 8.3 Стандарта (с учетом возможностей по исключению показателей из расчета, установленных п. 8.15 Стандарта);
- в отношении установленных показателей уровня Риска ИБ должна быть зафиксирована информация, приведенная в п. 8.9 Стандарта;
- для всех показателей уровня Риска ИБ, исключенных из расчета, должно быть документально зафиксировано обоснование неприменимости показателя к Субъекту
Базовый критерий
Требуемые действия по контролю
Критерий 19: В отношении показателей уровня Риска ИБ и используемых в целях мониторинга рисков КИР установлены способы расчета и пороговые значения, являющиеся рассчитываемыми, непротиворечивыми и достижимыми
Проанализируйте материалы, устанавливающие показатели уровня Риска ИБ, на предмет:
Для всех показателей уровня Риска ИБ и КИР установлены способы расчета фактического значения и пороговые значения;
Пороговое значение, установленное для каждого показателя уровня Риска ИБ или КИР, должно иметь обоснование установки;
Пороговое значение, установленное для каждого показателя уровня Риска ИБ или КИР, должно быть математически достижимо при установленном способе расчета;
Устанавливаемый способ расчета фактических значений должен предусматривать использование актуальной информации о состоянии бизнес- и технологических процессов, состоянии процессов обеспечения ИБ и Инцидентах ИБ
Базовый критерий
Требуемые действия по контролю
Критерий 20: Информация о результатах расчета фактических значений, достижении или превышении установленных пороговых значений или прогнозировании превышения пороговых значений доводится до коллегиального исполнительного органа Субъекта, уполномоченного принимать решения в отношении вопросов управления операционными рисками или управления Риском ИБ, не реже чем на ежеквартальной основе
Проанализируйте жизненный цикл информации о фактических значениях показателей уровня Риска ИБ и КИР. Опишите, как и с какой периодичностью указанная информация доводилась до лиц, уполномоченных принимать решения в отношении вопросов по управлению Рисками ИБ
Базовый критерий
Требуемые действия по контролю
Критерий 21: В случае достижения пороговых значений показателей уровня Риска ИБ или КИР предпринимались меры реагирования, предусмотренные порядком реагирования на достижение пороговых значений
В случае, если Субъектом были достигнуты пороговые значения показателей уровня Риска ИБ или КИР, оцените, были ли предприняты меры реагирования, предусмотренные в описании соответствующих показателей уровня Риска ИБ или КИР. В случае, если меры не были предприняты, опишите основные причины, препятствовавшие запланированной процедуре реагирования – некорректность предусмотренных мер, неактуальность описаний показателей уровня Риска ИБ или КИР, невозможность принятия мер в результате внешних по отношению к Субъекту условий или иные причины (опишите, какие)
Базовый критерий
Требуемые действия по контролю
Критерий 22: В случае достижения пороговых значений показателей уровня Риска ИБ, установленных п. 8.3 Стандарта, до Оператора доводились уведомления о достижении пороговых значений и результатах выполнения предусмотренных мер реагирования
В случае, если Субъектом были достигнуты пороговые значения показателей уровня Риска ИБ или КИР, оцените, были ли (и если да – то в какой срок) сформированы и направлены уведомления Оператора о достижении пороговых значений показателей уровня Риска ИБ
4.3. Направление оценки: анализ темпов совершенствования СУР ИБ
Базовый критерий
Требуемые действия по контролю
Критерий 23: В случае формирования заключения о низкой эффективности или неэффективности СУР ИБ в результате проведения предшествующих оценок эффективности был сформирован план совершенствования СУР ИБ
В случае, если в результате прошлой проведенной оценки эффективности СУР ИБ было сформировано заключение о низкой эффективности или неэффективности СУР ИБ, оцените, был ли разработан план совершенствования СУР ИБ, позволяющий повысить уровень эффективности процессов СУР ИБ при его выполнении
Ключевой критерий
Требуемые действия по контролю
Критерий 24: В случае формирования заключения о низкой эффективности или неэффективности СУР ИБ по итогам проведения предшествующих оценок эффективности, были реализованы мероприятия, позволяющие достичь как минимум умеренного уровня эффективности СУР ИБ
В случае, если в результате прошлой проведенной оценки эффективности СУР ИБ было сформировано заключение о низкой эффективности или неэффективности СУР ИБ, оцените, какие действия были выполнены лицами, ответственными за реализацию процессов управления Рисками ИБ, и позволило ли выполнение указанных действий достичь как минимум умеренного уровня эффективности СУР ИБ
Базовый критерий
Требуемые действия по контролю
Критерий 25: В случае выявления недостижения критериев эффективности СУР ИБ в ходе проведения предшествующих оценок эффективности, к моменту проведения текущей оценки эффективности устранены причины, не позволяющие достигнуть эффективности СУР ИБ
В случае, если в результате прошлой проведенной оценки эффективности СУР ИБ было сформировано заключение об эффективности или умеренной эффективности СУР ИБ, но при этом был сформирован перечень замечаний или наблюдений, связанных с невыполнением требований Стандарта или потенциальным негативным влиянием на эффективность СУР ИБ в будущем – оцените, какие действия были выполнены лицами, ответственными за реализацию процессов управления Рисками ИБ, и позволило ли выполнение указанных действий устранить причины указанных замечаний или наблюдений
Базовый критерий
Требуемые действия по контролю
Критерий 26: Лицами, ответственными за организацию процессов СУР ИБ, осуществляется анализ необходимости совершенствования СУР ИБ на основе анализа возникновения иных приведенных в Разделе 10 Стандарта условий, требующих совершенствования СУР ИБ
Опишите, какие подразделения или должности в соответствии с установленными во внутренних нормативных документах процедурами осуществляют деятельность по контролю возникновения или реализации условий, требующих совершенствования СУР ИБ в соответствии с требованиями Раздела 9 Стандарта (за исключением условия, связанного с проведением оценки эффективности СУР ИБ), и каким образом в случае обнаружения необходимости совершенствования СУР ИБ будет инициирована данная деятельность. В случае, если на момент проведения текущей оценки эффективности у Субъекта были реализованы условия, требующие проведения совершенствования СУР ИБ – опишите, каким образом процедуры совершенствования СУР ИБ были реализованы на практике
Приложение 1. Форма для добавления в оценку дополнительных критериев оценки
<Укажите вид критерия – ключевой или базовый>
Требуемые действия по контролю
Критерий:
<Опишите состав действий, на основе выполнения которых рабочей группой по оценке эффективности будет формироваться заключение о достижении критерия.>
<Укажите вид критерия – ключевой или базовый>
Факты, идентифицированные в ходе выполнения действий по контролю
Критерий:
<Поле предназначено для описания полученной информации и фиксации наблюдений, сформированных в ходе выполнения действий по контролю из строки выше>
<Укажите вид критерия – ключевой или базовый>
Свидетельства, подтверждающие достижение или недостижение критерия
Критерий:
<Поле предназначено для фиксации перечня свидетельств, сформированных или использованных в ходе выполнения требуемых действий по контролю>
<Укажите вид критерия – ключевой или базовый>
Заключение о достижении критерия
Критерий:
<Поле предназначено для фиксации заключения – может ли критерий считаться достигнутым при условиях, описанных по итогам проведения действий по контролю>

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.