Стандарт ПС "Мир". Требования к системе управления Рисками информационной безопасности Субъектов ПС "Мир" v. 2.0

4.19. Для каждого из значимых Рисков ИБ должны быть сопоставлены уровни остаточного риска и допустимого Риска ИБ в целях принятия решений о необходимости применения возможных способов управления Рисками ИБ Субъекта в дополнение к ранее примененным способам управления Рисками ИБ, в соответствии с требованиями Раздела 5 настоящего Стандарта. 

4.21. В случае применения в рамках подхода к оценке рисков качественных методов анализа рисков, итоговые значения присущего и остаточного уровней воздействия Рисков ИБ, присущей и остаточной вероятности (частоты) реализации Рисков ИБ, присущего и остаточного уровня Риска ИБ должны быть оценены с использованием шкал оценки, приведенных в Приложении № 2 к настоящему Стандарту <3>.
<3> Шкалы оценки, приведенные в Приложении № 2 к Стандарту, являются выдержками шкал, установленных в Разделе 18 Правил ПС «Мир», применимыми для Участников. В случае изменения шкал оценки в Правилах ПС «Мир», вступающих в противоречие с шкалами, приведенными в Таблицах 1-3 Стандарта, Участникам необходимо руководствоваться требованиями Правил ПС «Мир». Иным видам Субъектов необходимо пользоваться полной версией шкал, установленных в Разделе 18 Правил ПС «Мир». 

4.22. В случае применения в рамках подхода к оценке рисков количественных методов анализа рисков, итоговые значения присущего и остаточного уровней воздействия Рисков ИБ, присущей и остаточной вероятности (частоты) реализации Рисков ИБ должны быть оценены в формате, допускающем возможность конвертации или интерпретации полученных значений в качественные значения в соответствии со шкалами Таблицы 1 и Таблицы 2 Приложения № 2 к Стандарту. Если применяемые методы оценки рисков также предполагают получение значения присущего и остаточного уровня рисков для оцениваемых Рисков ИБ способом, отличающимся от применения тепловой карты, приведенной в Таблице 3 Приложения № 2 к Стандарту, значения присущего и остаточного уровня Риска ИБ должны быть дополнительно оценены с использованием тепловой карты в Таблице 3 Приложения № 2 к Стандарту на основании сконвертированных (интерпретированных) оценок уровня воздействия и вероятности (частоты) реализации Рисков ИБ. 

4.23. Информация по идентифицированным Рискам ИБ, полученная в результате проведения анализа и оценки рисков, должна быть включена в Профиль Рисков ИБ. Требования к составу информации, отображаемой в Профиле Рисков ИБ, приведены в Приложении № 1 к настоящему документу <4>.
<4> В случае применения двойных шкал оценки в соответствии с п. 4.22, формат Профиля Рисков ИБ рекомендуется расширить дополнительными полями в целях включения в Профиль Рисков ИБ полученных значений характеристик уровня рисков как по итогам применения методов анализа рисков, установленных Субъектом, так и сконвертированные (интерпретированные) оценки в соответствии с шкалами, установленными Стандартом. В случае применения двойных шкал оценки в соответствии с п. 4.21, формат Профиля Рисков ИБ необходимо расширить дополнительными полями в целях включения в Профиль Рисков ИБ полученных значений характеристик уровня рисков как по итогам применения методов анализа рисков, установленных Субъектом, так и сконвертированные (интерпретированные) оценки в соответствии с шкалами, установленными Стандартом. Профиль Рисков ИБ полученных значений характеристик уровня рисков как по итогам применения методов анализа рисков, уста 

4.25. При фиксации в Профиле Рисков ИБ информации о предпринятых мерах реагирования и контрольных процедурах, направленных на снижение вероятности (частоты) реализации воздействия и (или) последствий от реализации значимых Рисков ИБ, рекомендуется указывать пометки, требуется ли реализация данных мер в соответствии с документом [2].