Соответствие требованиям

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

Стандарт ПС "Мир". Требования к системе управления Рисками информационной безопасности Субъектов ПС "Мир" v. 2.0

Стандарт

прил.3.4

Для проведения оценки соответствия по документу войдите в систему.

Список требований

Приложение № 3. Форма отчета о результатах оценки эффективности СУР ИБ
4. Детализированный отчет о результатах оценки эффективности
4.1. Направление оценки: оценка используемых методов анализа и оценки рисков
Базовый критерий
Требуемые действия по контролю
Критерий 1: Процедуры идентификации, анализа и оценки Рисков ИБ регламентированы во внутренних документах Субъекта и доведены до участников процедуры
Опишите структуру внутренней нормативной документации, описывающей процедуры идентификации, анализа и оценки Рисков ИБ у Субъекта и распределение ответственности за выполнение процедур между подразделениями Субъекта. Оцените полноту внутренней нормативной документации по оценке рисков в соответствии с требованиями Раздела 4 Стандарта. Опишите, как документы доводились до участников процедур управления рисками и как задействованные в реализации процедур лица могут получить доступ к данным документам
Базовый критерий
Требуемые действия по контролю
Критерий 2: Методы идентификации Рисков ИБ, применяемые Субъектом, соответствуют требованиям Раздела 4 Стандарта
Опишите перечень процедур по идентификации Рисков ИБ, которые проводились при проведении актуальной оценки рисков. Оцените, насколько процедуры идентификации Рисков ИБ соответствуют требованиям, приведенным в п. 4.8 Стандарта. В отношении повторных оценок, если в отношении показателей уровня Риска ИБ или ключевых индикаторов Рисков ИБ (далее – КИР) за оцениваемый период были выявлены достижения пороговых значений, опишите, как был проведен анализ необходимости расширения, детализации или переработки перечня идентифицированных Рисков ИБ
Ключевой критерий
Требуемые действия по контролю
Критерий 3: Область оценки Рисков ИБ соответствует деятельности Субъекта в ПС «Мир»
Опишите для каждого из приведенных ниже видов деятельности, относится ли вид деятельности к осуществляемым Субъектом видам деятельности в ПС «Мир» в соответствии с типом участия Субъекта в ПС «Мир», и для всех выполняемых видов деятельности – рассмотрен ли данный вид деятельности при проведении идентификации Рисков ИБ в рамках актуальной оценки Рисков ИБ. Критерий может быть рассмотрен как достигнутый только при условии, что в область оценки Рисков ИБ были включены все выполняемые в рамках участия в ПС «Мир» Субъектом виды деятельности
Базовый критерий
Требуемые действия по контролю
Критерий 4: При идентификации и анализе Рисков ИБ учтена информация о всех реализованных Риск-событиях за три года
Опишите, каким образом при проведении работ по идентификации и анализу Рисков ИБ учитывалась информация о реализованных Риск-событиях. Проанализируйте, есть ли среди Риск-событий, реализованных за прошедшие три года, Риск-события или группы Риск-событий, не учитываемые при идентификации Рисков ИБ или при анализе Рисков ИБ
Базовый критерий
Требуемые действия по контролю
Критерий 5: Используемые методы определения воздействия Рисков ИБ соответствуют требованиям ПС «Мир»
Опишите методы, применяемые Субъектом в целях определения ожидаемого воздействия от реализации Рисков ИБ / потенциально возможных Риск-событий (в случае, если в целях определения присущего и остаточного уровней воздействия от реализации Рисков ИБ применяются различные методы, укажите оба варианта). В случае, если результатом применения методов являются значения, не коррелирующие явным образом со значениями, установленными в шкалах Таблицы 1 Приложения № 2 к Стандарту – проанализируйте, как полученные значения конвертируются или интерпретируются в целях получения оценок, соответствующих шкалам Таблицы 1 Приложения № 2 к Стандарту
Базовый критерий
Требуемые действия по контролю
Критерий 6: Используемые методы определения частоты (вероятности) реализации
Опишите методы, применяемые Субъектом в целях определения ожидаемой частоты (вероятности) реализации Рисков ИБ / потенциально возможных Риск-событий (в случае, если в целях определения присущего и остаточного значений частоты (вероятности) реализации Рисков ИБ применяются различные методы, укажите оба варианта). В случае, если результатом применения методов являются значения, не коррелирующие явным образом со значениями, установленными в шкалах Таблицы 2 Приложения № 2 к Стандарту – проанализируйте, как полученные значения конвертируются или интерпретируются в целях получения оценок, соответствующих шкалам Таблицы 2 Приложения № 2 к Стандарту
Базовый критерий
Требуемые действия по контролю
Критерий 7: Применяемые способы оценки уровня Рисков ИБ соответствуют требованиям ПС «Мир»
Опишите методы, применяемые Субъектом в целях определения уровня Рисков ИБ (в случае, если в целях определения присущего и остаточного значений уровня Рисков ИБ применяются различные методы, укажите оба варианта). В случае, если результатом применения методов являются значения, полученные не способом, предполагающим применение тепловой карты из Таблицы 3 Приложения № 2 к Стандарту – проанализируйте, предполагают ли дальнейшие процедуры управления Рисками ИБ учет оценок уровня Риска ИБ, полученных согласно тепловой карте из Таблицы 3 Приложения № 2 к Стандарту
Ключевой критерий
Требуемые действия по контролю
Критерий 8: Применение методов анализа и оценки Рисков ИБ на практике реализовано корректным способом
В случае применения в целях анализа Рисков ИБ автоматизированных инструментов для оценки уровня Рисков ИБ, убедитесь, что:
- в случае отличия шкал оценки, используемых для анализа Рисков ИБ в автоматизированном инструменте, от шкал, установленных Приложением № 2 к Стандарту – предусмотрены и применяются методы конвертации или интерпретации полученных значений;
- в случае использования формул для расчета параметров Риска ИБ – вычисления функционируют корректно и выдают ожидаемый результат при известных данных;
- в случае переноса данных для анализа Рисков ИБ в автоматизированный инструмент из других источников, либо в случае выгрузки данных из автоматизированного инструмента – данные переносятся без искажений.
В случае проведения вычислений уровня Рисков ИБ работниками вручную убедитесь, что:
- работники в ходе анализа Рисков ИБ применяют актуальные версии методов и шкал оценки;
- при проведении актуальной оценки Рисков ИБ расчеты были проведены корректно (отсутствуют противоречия между учтенной при оценке информацией и результатами расчетов, используемые в расчетах формулы, зависимости и тепловые карты применены в виде, соответствующем установленным процедурам)
Базовый критерий
Требуемые действия по контролю
Критерий 9: Для идентифицированных Рисков ИБ определены присущий и допустимый уровни риска
Проверить, что для всех идентифицированных Рисков ИБ оценен присущий уровень Риска ИБ и допустимый уровень Риска ИБ; шкалы оценки присущего и допустимого уровня Риска ИБ должны обеспечивать возможность сопоставления шкал и возможности принятия решения о значимости Риска ИБ
Базовый критерий
Требуемые действия по контролю
Критерий 10: Профиль Рисков ИБ содержит информацию о всех идентифицированных Рисках ИБ
Проверить, что Профиль Рисков ИБ включает Риски ИБ, связанные с выполнением видов деятельности, которые должны быть включены в область оценки Рисков ИБ в соответствии с критерием № 3; проанализировать классификатор Рисков ИБ, рабочие материалы по оценке Рисков ИБ и Профиль Рисков ИБ на предмет наличия необоснованно исключенных из рассмотрения Рисков ИБ
Базовый критерий
Требуемые действия по контролю
Критерий 11: В Профиле Рисков ИБ для всех Рисков ИБ, присущий уровень которых превосходит допустимый уровень, отображена информация о реализованных мерах снижения уровня риска
Оценить наполненность Профиля Рисков ИБ информацией. Оценить возможность адекватного учета информации о реализованных мерах снижения уровня Риска ИБ на ожидаемые остаточные уровни воздействия от реализации Риска ИБ и частоты (вероятности) реализации Риска ИБ
Базовый критерий
Факты, идентифицированные в ходе выполнения действий по контролю
Базовый критерий
Свидетельства, подтверждающие достижение или недостижение критерия
Базовый критерий
Заключение о достижении критерия
Ключевой критерий
Требуемые действия по контролю
Критерий 12: Для всех Рисков ИБ, присущий уровень которых превосходит допустимый уровень, проведена оценка остаточного уровня Риска ИБ
Оценить наполненность Профиля Рисков ИБ информацией. Проверить, учтена ли информация о не реализованных на момент оценки мерах снижения уровня Риска ИБ, при оценке остаточного уровня Риска ИБ, в соответствии с п. 4.18 Стандарта
Ключевой критерий
Факты, идентифицированные в ходе выполнения действий по контролю
Ключевой критерий
Свидетельства, подтверждающие достижение или недостижение критерия
Ключевой критерий
Заключение о достижении критерия
Ключевой критерий
Требуемые действия по контролю
Критерий 13: Оценка Рисков ИБ проводится не реже одного раза в год
Оценить все работы по оценке Рисков ИБ, выполненные за год от выбранной точки отсчета (например, от начала года или от даты старта проведения прошлой оценки Рисков ИБ) на предмет полноты покрытия области оценки в соответствии с требованиями критерия № 3 и регулярности проведения
4.2. Направление оценки: оценка применения способов управления Рисками ИБ
Базовый критерий
Требуемые действия по контролю
Критерий 14: Процедуры принятия решений по способу реагирования на Риск ИБ установлены во внутренних документах Субъекта и доведены до участников процедуры
Опишите структуру внутренней нормативной документации, описывающей процедуры принятия решений по способам реагирования на Риски ИБ у Субъекта и распределение ответственности за выполнение процедур управления рисками между подразделениями Субъекта. Опишите, как документы доводились до участников процедур управления рисками и как задействованные в реализации процедур лица могут получить доступ к данным документам
Ключевой критерий
Требуемые действия по контролю
Критерий 15: Определение допустимого уровня Риска ИБ осуществлялось лицами, обладающими такими полномочиями
Проанализируйте, кем были приняты решения о допустимом уровне Риска ИБ при проведении анализа идентифицированных Рисков ИБ, и соответствует ли реализованная процедура полномочиям, установленным во внутренних документах Субъекта
Ключевой критерий
Требуемые действия по контролю
Критерий 16: В отношении Рисков ИБ, остаточный уровень которых превосходит допустимый уровень риска, приняты решения о способе реагирования на Риск ИБ
Проанализируйте фактически реализованный по итогам проведения актуальной оценки Рисков ИБ процесс выбора способов реагирования на Риск ИБ. Оцените, зафиксирована ли в Профиле Рисков ИБ информация о выборе способа реагирования на Риск ИБ и соответствует ли указанная информация действительности. Оцените, соответствуют ли решения о принятии Рисков ИБ (в случае формирования таковых) требованиям п. 5.5 Стандарта
Ключевой критерий
Требуемые действия по контролю
Критерий 17: В отношении Рисков ИБ, для которых принято решение о способе реагирования, отличное от принятия риска, выбраны дополнительные защитные меры в соответствии с требованиями Раздела 5 Стандарта
Проанализируйте фактически реализованный по итогам проведения актуальной оценки Рисков ИБ процесс выбора способов реагирования на Риск ИБ. Для Рисков ИБ, в отношении которых были приняты решения о способе реагирования, отличных от принятия риска, оцените наличие ресурсов и возможностей у подразделений, указанных в качестве ответственных за реализацию мер, достаточных для реализации указанных мер реагирования в запланированные сроки
Базовый критерий
Требуемые действия по контролю
Критерий 18: Показатели уровня Риска ИБ, установленные требованиями Раздела 8 Стандарта, установлены в соответствии с требованиями Стандарта
Проанализируйте материалы, устанавливающие показатели уровня Риска ИБ, на предмет:
- перечень установленных показателей уровня Риска ИБ должен включать все показатели, перечисленные в п. 8.3 Стандарта (с учетом возможностей по исключению показателей из расчета, установленных п. 8.15 Стандарта);
- в отношении установленных показателей уровня Риска ИБ должна быть зафиксирована информация, приведенная в п. 8.9 Стандарта;
- для всех показателей уровня Риска ИБ, исключенных из расчета, должно быть документально зафиксировано обоснование неприменимости показателя к Субъекту
Базовый критерий
Требуемые действия по контролю
Критерий 19: В отношении показателей уровня Риска ИБ и используемых в целях мониторинга рисков КИР установлены способы расчета и пороговые значения, являющиеся рассчитываемыми, непротиворечивыми и достижимыми
Проанализируйте материалы, устанавливающие показатели уровня Риска ИБ, на предмет:
Для всех показателей уровня Риска ИБ и КИР установлены способы расчета фактического значения и пороговые значения;
Пороговое значение, установленное для каждого показателя уровня Риска ИБ или КИР, должно иметь обоснование установки;
Пороговое значение, установленное для каждого показателя уровня Риска ИБ или КИР, должно быть математически достижимо при установленном способе расчета;
Устанавливаемый способ расчета фактических значений должен предусматривать использование актуальной информации о состоянии бизнес- и технологических процессов, состоянии процессов обеспечения ИБ и Инцидентах ИБ
Базовый критерий
Требуемые действия по контролю
Критерий 20: Информация о результатах расчета фактических значений, достижении или превышении установленных пороговых значений или прогнозировании превышения пороговых значений доводится до коллегиального исполнительного органа Субъекта, уполномоченного принимать решения в отношении вопросов управления операционными рисками или управления Риском ИБ, не реже чем на ежеквартальной основе
Проанализируйте жизненный цикл информации о фактических значениях показателей уровня Риска ИБ и КИР. Опишите, как и с какой периодичностью указанная информация доводилась до лиц, уполномоченных принимать решения в отношении вопросов по управлению Рисками ИБ
Базовый критерий
Требуемые действия по контролю
Критерий 21: В случае достижения пороговых значений показателей уровня Риска ИБ или КИР предпринимались меры реагирования, предусмотренные порядком реагирования на достижение пороговых значений
В случае, если Субъектом были достигнуты пороговые значения показателей уровня Риска ИБ или КИР, оцените, были ли предприняты меры реагирования, предусмотренные в описании соответствующих показателей уровня Риска ИБ или КИР. В случае, если меры не были предприняты, опишите основные причины, препятствовавшие запланированной процедуре реагирования – некорректность предусмотренных мер, неактуальность описаний показателей уровня Риска ИБ или КИР, невозможность принятия мер в результате внешних по отношению к Субъекту условий или иные причины (опишите, какие)
Базовый критерий
Требуемые действия по контролю
Критерий 22: В случае достижения пороговых значений показателей уровня Риска ИБ, установленных п. 8.3 Стандарта, до Оператора доводились уведомления о достижении пороговых значений и результатах выполнения предусмотренных мер реагирования
В случае, если Субъектом были достигнуты пороговые значения показателей уровня Риска ИБ или КИР, оцените, были ли (и если да – то в какой срок) сформированы и направлены уведомления Оператора о достижении пороговых значений показателей уровня Риска ИБ
4.3. Направление оценки: анализ темпов совершенствования СУР ИБ
Базовый критерий
Требуемые действия по контролю
Критерий 23: В случае формирования заключения о низкой эффективности или неэффективности СУР ИБ в результате проведения предшествующих оценок эффективности был сформирован план совершенствования СУР ИБ
В случае, если в результате прошлой проведенной оценки эффективности СУР ИБ было сформировано заключение о низкой эффективности или неэффективности СУР ИБ, оцените, был ли разработан план совершенствования СУР ИБ, позволяющий повысить уровень эффективности процессов СУР ИБ при его выполнении
Ключевой критерий
Требуемые действия по контролю
Критерий 24: В случае формирования заключения о низкой эффективности или неэффективности СУР ИБ по итогам проведения предшествующих оценок эффективности, были реализованы мероприятия, позволяющие достичь как минимум умеренного уровня эффективности СУР ИБ
В случае, если в результате прошлой проведенной оценки эффективности СУР ИБ было сформировано заключение о низкой эффективности или неэффективности СУР ИБ, оцените, какие действия были выполнены лицами, ответственными за реализацию процессов управления Рисками ИБ, и позволило ли выполнение указанных действий достичь как минимум умеренного уровня эффективности СУР ИБ
Базовый критерий
Требуемые действия по контролю
Критерий 25: В случае выявления недостижения критериев эффективности СУР ИБ в ходе проведения предшествующих оценок эффективности, к моменту проведения текущей оценки эффективности устранены причины, не позволяющие достигнуть эффективности СУР ИБ
В случае, если в результате прошлой проведенной оценки эффективности СУР ИБ было сформировано заключение об эффективности или умеренной эффективности СУР ИБ, но при этом был сформирован перечень замечаний или наблюдений, связанных с невыполнением требований Стандарта или потенциальным негативным влиянием на эффективность СУР ИБ в будущем – оцените, какие действия были выполнены лицами, ответственными за реализацию процессов управления Рисками ИБ, и позволило ли выполнение указанных действий устранить причины указанных замечаний или наблюдений
Базовый критерий
Требуемые действия по контролю
Критерий 26: Лицами, ответственными за организацию процессов СУР ИБ, осуществляется анализ необходимости совершенствования СУР ИБ на основе анализа возникновения иных приведенных в Разделе 10 Стандарта условий, требующих совершенствования СУР ИБ
Опишите, какие подразделения или должности в соответствии с установленными во внутренних нормативных документах процедурами осуществляют деятельность по контролю возникновения или реализации условий, требующих совершенствования СУР ИБ в соответствии с требованиями Раздела 9 Стандарта (за исключением условия, связанного с проведением оценки эффективности СУР ИБ), и каким образом в случае обнаружения необходимости совершенствования СУР ИБ будет инициирована данная деятельность. В случае, если на момент проведения текущей оценки эффективности у Субъекта были реализованы условия, требующие проведения совершенствования СУР ИБ – опишите, каким образом процедуры совершенствования СУР ИБ были реализованы на практике

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.