Соответствие требованиям

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

Стандарт ПС "Мир". Требования к системе управления Рисками информационной безопасности Субъектов ПС "Мир" v. 2.0

Стандарт

7. Оценка эффективности функционирования СУР ИБ

Для проведения оценки соответствия по документу войдите в систему.

Список требований

7. Оценка эффективности функционирования СУР ИБ
7.1. Субъект должен самостоятельно проводить оценку эффективности СУР ИБ в рамках своей деятельности в ПС «Мир» не реже одного раза в два года.
7.2. Проведение оценки эффективности должно осуществлять подразделение Субъекта, структурно независимое от подразделения (подразделений), осуществляющих реализацию процедур управления Рисками ИБ, установленных требованиями Разделов 4-6 настоящего Стандарта, уполномоченное проводить оценку эффективности в соответствии с организационной структурой по управлению Риском ИБ, и (или) внешний эксперт (специализированная организация или квалифицированный внешний эксперт) по решению уполномоченного органа Субъекта.
7.3. При проведении оценки эффективности должны быть выполнены работы по следующим направлениям:
оценка используемых методов анализа и оценки Рисков ИБ:
оценка полноты проведения идентификации Рисков ИБ;
оценка соответствия применяемых методов анализа и оценки Рисков ИБ требованиям настоящего Стандарта;
оценка полноты и корректности применения методов анализа рисков, включая корректность применения автоматизированных средств для анализа и оценки рисков;
оценка полноты ведения Профилей рисков ИБ;
- оценка применения способов управления Рисками ИБ:
  анализ корректности применения процедур выбора способов управления рисками;
  анализ выполнения планов по реализации дополнительных защитных мер, установленных в соответствии с п. 5.7 настоящего Стандарта;
  оценка полноты и корректности установки показателей уровня Риска ИБ и ключевых индикаторов риска в соответствии с требованиями Раздела 8 настоящего Стандарта;
  анализ полноты доведения информации о результатах мониторинга показателей уровня Риска ИБ и ключевых индикаторов риска;
  контроль соблюдения установленных сроков выполнения процедур управления рисками;
- анализ темпа совершенствования СУР ИБ:
  контроль полноты исправления замечаний, сформированных в ходе проведения прошлой оценки эффективности СУР ИБ в соответствии с требованиями настоящего раздела;
  анализ учета иных условий, требующих совершенствования СУР ИБ согласно Разделу 9 настоящего Стандарта.
7.4. Оценка эффективности СУР ИБ должна осуществляться на основании анализа достижения критериев эффективности в рамках каждого из направлений оценки. Перечень базовых и ключевых критериев приведен в Приложении № 3 настоящего Стандарта. Субъект вправе самостоятельно определить дополнительные критерии оценки эффективности СУР ИБ.
7.5. При формировании заключения о достижении критериев оценки эффективности, установленных в Приложении № 3 к Стандарту, в качестве базовых значений оценки достижения критериев должны быть использованы значения «1 – критерий достигнут» и «0 – критерий не достигнут», где оценка «1 – критерий достигнут» может быть указана при условии полного выполнения рассматриваемого критерия, подтвержденного свидетельствами выполнения деятельности в соответствии с п. 7.12 Субъект может самостоятельно расширить применяемую шкалу оценки достижения критериев, введя промежуточные значения оценки.
7.6. В зависимости от степени достижения критериев эффективности, результат оценки эффективности СУР ИБ может принимать следующие значения:
СУР ИБ признается эффективной, если были достигнуты все рассматриваемые критерии эффективности;
СУР ИБ признается умеренно эффективной, если были достигнуты все ключевые критерии эффективности, но было выявлено недостижение или неполное достижение не более чем пяти базовых критериев;
СУР ИБ признается низкоэффективной, если было выявлено недостижение или неполное достижение не более трех ключевых критериев эффективности и не более восьми базовых критериев эффективности;
СУР ИБ признается неэффективной, было выявлено недостижение или неполное достижение более чем трех ключевых критериев эффективности или более чем восьми базовых критериев эффективности.
7.7. В случае, если Субъект определил дополнительные критерии эффективности, дополнительные критерии должны быть внесены в отчет о результатах оценки эффективности с указанием отметки, рассматриваются ли данные критерии в качестве базовых или ключевых критериев процесса.
7.8. В случае признания СУР ИБ неэффективной или низкоэффективной, Субъектом должен быть разработан план совершенствования СУР ИБ, включающий:
- в случае, если не были достигнуты ключевые критерии, связанные с процедурами выбора способов обработки Рисков ИБ – сроки пересмотра и разработки плана реализации мер, направленных на снижение уровня Рисков ИБ, в соответствии с требованиями Раздела 5 настоящего Стандарта;
- сроки проведения следующей оценки эффективности СУР ИБ, в ходе которой будут проанализированы изменения, выполненные в соответствии с разработанным планом совершенствования СУР ИБ.
7.9. Суммарный срок выполнения работ, включаемых в план совершенствования СУР ИБ в случае признания СУР ИБ неэффективной или низкоэффективной, не должен превышать 1 год. В случае невозможности выполнения работ плана за 1 год, план совершенствования СУР ИБ должен быть согласован с Оператором.
7.10. В случае признания СУР ИБ эффективной или умеренно эффективной, разработка плана совершенствования СУР ИБ не является обязательной, действия по совершенствованию СУР ИБ могут осуществляться в рабочем порядке.
7.11. Результат оценки эффективности СУР ИБ должен быть оформлен документально. Форма отчета о результатах оценки эффективности СУР ИБ приведена в Приложении № 3 настоящего Стандарта<7>.
<7> В случае, если проводимая Субъектом оценка эффективности СУР ИБ учитывает не только требования настоящего Стандарта, но и требования иных внутренних или внешних документов к проведению оценки эффективности, допускается использование альтернативных форм отчета о результатах оценки эффективности,
7.12. Выводы о достижении критериев эффективности СУР ИБ, сформированные в процессе оценки эффективности, должны быть подтверждены свидетельствами аудита. Допустимыми видами свидетельств являются:
утвержденные версии внутренних нормативных документов Субъекта, учитываемые в ходе оценки эффективности СУР ИБ;
рабочие материалы и отчеты, используемые и формируемые при выполнении процедур управления рисками;
выгрузки баз из автоматизированных инструментов управления рисками и (или) снимки экрана, демонстрирующие выполнение рассматриваемой деятельности с применением таких инструментов;
результаты измерения ключевых индикаторов риска (в случае, если оцениваемый критерий эффективности СУР ИБ контролируется в рамках мониторинга эффективности процессов обеспечения защиты информации с использованием ключевых индикаторов риска).
7.13. Хранение свидетельств, подтверждающих достижение или недостижение критериев эффективности СУР ИБ, должно осуществляться подразделением Субъекта, осуществляющим проведение оценки эффективности СУР ИБ, или привлеченным к проведению оценки эффективности СУР ИБ внешним экспертом. Срок хранения свидетельств должен составлять не менее трех лет.
7.14. Результат оценки должен быть передан на рассмотрение коллегиальному исполнительному органу Субъекта, уполномоченному принимать решения по рассмотрению/утверждению вопросов оценки эффективности системы управления рисками. Коллегиальный исполнительный орган Субъекта по итогам рассмотрения отчетной документации с результатами оценки эффективности СУР ИБ должен сформировать поручения по разработке или выполнению мероприятий, направленных на совершенствование СУР ИБ.
7.15. Субъект должен по запросу предоставлять в АО «НСПК» отчетную документацию с результатами оценки эффективности СУР ИБ Субъекта в сроки и в порядке, установленном в таком запросе.
7.16. В рамках анализа отчетной документации с результатами оценки эффективности СУР ИБ, проведенной Субъектом, АО «НСПК» вправе запрашивать дополнительную информацию и свидетельства выполнения деятельности по управлению Рисками ИБ Субъектом в целях контроля качества и достоверности информации о результатах проведения оценки эффективности СУР ИБ. По итогам проведения анализа НСПК формирует заключение, которое может содержать:
информацию о выявленных нарушениях требований текущего Стандарта и иных наблюдениях, связанных с выполнением процедур управления Рисками ИБ;
требования или рекомендации по устранению выявленных недостатков и наблюдений;
требования или рекомендации по проведению повторной оценки эффективности СУР ИБ;
иную информацию, относящуюся к результатам контроля качества и достоверности оценки эффективности СУР ИБ.

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.