Куда я попал?
Стандарт ПС "Мир". Требования к системе управления Рисками информационной безопасности Субъектов ПС "Мир" v. 2.0
Стандарт
1. Общие положения
Для проведения оценки соответствия по документу войдите в систему.
Список требований
-
1.2. Термины, определения и сокращения
Допустимый риск – уровень риска, который Субъект готов принять на себя, с высокой вероятностью обеспечивая достижение целей своей деятельности и выполнение своих функций.
Значимый риск – риск, присущий уровень которого выше уровня допустимого риска.
Инцидент информационной безопасности (Инцидент ИБ) – инцидент, связанный с нарушениями требований к обеспечению защиты информации при осуществлении Операций, к которому относятся:- события, которые привели или могут привести к осуществлению Операций без согласия Клиента;
- события, которые привели или могут привести к нарушению непрерывности или несвоевременности оказания платежных услуг, операционных услуг, услуг платежного клиринга и расчетных услуг по причине нарушения требований к обеспечению защиты информации;
- события, включенные в перечень типов инцидентов, согласованный с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и размещаемый Банком России на официальном сайте Банка России в сети Интернет.
Ключевой индикатор риска (КИР) – количественный показатель, который используется для оперативного измерения и контроля уровня Риска ИБ в определенный момент времени.
Косвенные потери – к данным видам потерь Субъекта относятся:- расчетные потери из-за приостановления и (или) прекращения функционирования объектов информационной инфраструктуры или потери ее работоспособности в результате Инцидента ИБ;
- рост затрат рабочего времени обслуживающего персонала на устранение последствий от Инцидента ИБ;
- рост стоимости договоров технического обслуживания объектов информационной инфраструктуры и (или) антивирусной защиты в результате Инцидента ИБ.
ОПКЦ – операционный и платежный клиринговый центр.
Остаточный риск – уровень риска с учетом существующих мер реагирования на него и контрольных процедур.
Показатель уровня Риска ИБ – количественный или качественный показатель, позволяющий осуществлять контроль за уровнем Риска ИБ.
Пороговое значение – предельное значение Показателя уровня Риска ИБ или КИР, при достижении которого необходимо предпринимать меры, направленные на снижение Риска ИБ.
Присущий риск – уровень риска при отсутствии мер, направленных на изменение вероятности риска или степени его влияния.
Прямые потери – к данным видам потерь Субъекта относятся:- потери денежных средств или других активов в результате Инцидента ИБ;
- выплаты компенсаций клиентам и контрагентам в результате Инцидента ИБ;
- уплата штрафов за Инциденты ИБ по предписаниям исполнительных органов государственной власти, Банка России и (или) Оператора.
Риск-событие – событие, реализация которого может привести к Инциденту ИБ, а также событие, которое привело, могло привести или может привести в будущем к негативным последствиям для достижения целей деятельности и выполнения функций Субъекта.
Риск информационной безопасности (Риск ИБ) – риск реализации угроз безопасности информации, которые обусловлены недостатками процессов обеспечения информационной безопасности, в том числе проведения технологических и других мероприятий, недостатками прикладного программного обеспечения автоматизированных систем и приложений, а также несоблюдением требований к указанным процессам деятельности Субъектами. Является одним из видов операционного риска в Системе.
Риск информационной безопасности включает в себя:- киберриск – риск преднамеренных действий со стороны работников Субъекта Системы и (или) третьих лиц с использованием программных и (или) программно-аппаратных средств, направленных на объекты информационной инфраструктуры Субъекта;
- другие виды риска информационной безопасности, связанные с обработкой (хранением, уничтожением) Данных карт ПС «Мир» [2] без использования объектов информационной инфраструктуры.
Сервис-провайдер – организация, предоставляющая Участникам, Платежным Сервис-провайдерам и (или) ТСП услуги по хранению, обработке или передаче данных платежных карт и (или) имеющая возможность влиять на безопасность таких данных. Примерами таких компаний могут являться компании, предоставляющие услуги co-location, IaaS (Infrastructureas-a-Service), SaaS (Software-as-a-Service), разработки ПО, сервисного обслуживания банкоматов и POS-терминалов, а также услуги по авторизации, клирингу. Организации, предоставляющие услуги связи (телекоммуникационные услуги), не являются Сервиспровайдерами.
Субъект – Участник, ОПКЦ и РЦ (кроме Банка России).
СУР ИБ – система управления Рисками ИБ.
Иные термины и сокращения, используемые в настоящем документе, применяются в значениях, установленных в Правилах ПС «Мир» и документе «Стандарт ПС "Мир”. Программа безопасности». -
1.3. Нормативные ссылки
[1] Правила Платежной системы «Мир».
[2] Стандарт ПС «Мир». Программа безопасности.
[3] Стандарт ПС «Мир». Порядок обработки инцидентов ИБ Участником.
[4] Методика оценки и анализа нефинансовых рисков АО «НСПК».
[5] Стандарт ПС «Мир». Контроль уровня неправомерных операций на стороне Участников ПС «Мир»
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.