Соответствие требованиям

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

Стандарт ПС "Мир". Требования к системе управления Рисками информационной безопасности Субъектов ПС "Мир" v. 2.0

Стандарт

5. Требования к обеспечению защиты информации

Для проведения оценки соответствия по документу войдите в систему.

Список требований

5. Требования к обеспечению защиты информации
5.1 Субъекты должны выполнять требования по обеспечению защиты информации, установленные в документе [2], в отношении выявленных и идентифицированных Рисков ИБ в ПС «Мир».
5.2 В случае недостаточности защитных мер, реализованных в соответствии с требованиями документа [2], для минимизации идентифицированных Рисков ИБ до определенного Субъектом допустимого уровня, Субъект должен самостоятельно определить и реализовать в отношении каждого Риска ИБ решение о способе реагирования на риск в дополнение к защитным мерам, требуемым документом [2].
5.3 Рекомендуется определять уровень решения о реагировании на риски на основании сформированной и установленной во внутренних нормативных документах Субъекта матрицы реагирования на риски, в качестве исходных данных рассматривая как минимум два значения из следующих <5>:
присущий уровень Риска ИБ;
остаточный уровень Риска ИБ;
остаточный уровень воздействия Риска ИБ.
<5> В случае применения Субъектом методов анализа и оценки рисков, предусматривающих использование способов оценки, требующих последующей конвертации (интерпретации) в шкалы оценки, приведенные в таблицах 1-3 Стандарта, для разработки данной матрицы допускается использование как шкал, установленных Стандартом, так и шкал, установленных Субъектом.
5.4 Информация о принятии решения о способе реагирования на риск должна быть зафиксирована в Профиле рисков ИБ с указанием должности лица или наименования коллегиального органа, принявшего решение.
5.5 Принятие решения об отсутствии необходимости реагирования на риск (принятии риска) в отношении значимых Рисков ИБ допускается в случае, когда отсутствует возможность реализации эффективных мер реагирования, позволяющих снизить ожидаемую частоту (вероятность) или ожидаемый уровень воздействия Риска ИБ <6>. Принятие решения об отсутствии необходимости реагирования на риск (принятии риска) в отношении Рисков ИБ, имеющих критический или высокий остаточный уровень в соответствии с тепловой картой, приведенной в Таблице 3 Приложения № 2 к настоящему Стандарту, допускается только коллегиальным исполнительным органом Субъекта, уполномоченным принимать решения в отношении вопросов управления операционными рисками или управления Риском ИБ.
<6> Решение об отсутствии необходимости реагирования на риск не может быть принято, если превышение допустимого уровня риска связано с невыполнением мер, требуемых документом [2].
5.6 В случае принятия решения об отсутствии необходимости реагирования на риск (принятии риска), при проведении повторной оценки рисков в отношении рассматриваемого риска должна быть либо повторно выполнена процедура принятия решения об отсутствии необходимости реагирования на риск (принятии риска), либо пересмотрен допустимый уровень риска.
5.7 В случае принятия решений, отличных от принятия риска, Субъект должен самостоятельно запланировать и реализовать как минимум один из следующих способов обработки Риска ИБ (далее – дополнительные защитные меры) в отношении каждого из рассматриваемых Рисков ИБ:
- реализация дополнительных мер, направленных на снижение вероятности реализации Риск-событий, в дополнение к мерам, требуемым документом [2];
реализация мер снижения уровня воздействия Риска ИБ или мер смягчения последствий от реализации Риск-событий, ассоциированных с рассматриваемым Риском ИБ;
реализация действий, направленных на избегание Риска ИБ.
5.8 Перечень дополнительных защитных мер, выбранных Субъектом в качестве способов обработки Рисков ИБ, должен быть указан в Профиле рисков ИБ. Для мер, ожидаемый срок реализации которых составляет более 3-х месяцев с момента выбора меры, в Профиле рисков ИБ должен быть указан ожидаемый срок реализации.

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.