Соответствие требованиям

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

Стандарт ПС "Мир". Требования к системе управления Рисками информационной безопасности Субъектов ПС "Мир" v. 2.0

Стандарт

прил.3.4.1

Для проведения оценки соответствия по документу войдите в систему.

Список требований

Приложение № 3. Форма отчета о результатах оценки эффективности СУР ИБ
4. Детализированный отчет о результатах оценки эффективности
4.1. Направление оценки: оценка используемых методов анализа и оценки рисков
Базовый критерий
Требуемые действия по контролю
Критерий 1: Процедуры идентификации, анализа и оценки Рисков ИБ регламентированы во внутренних документах Субъекта и доведены до участников процедуры
Опишите структуру внутренней нормативной документации, описывающей процедуры идентификации, анализа и оценки Рисков ИБ у Субъекта и распределение ответственности за выполнение процедур между подразделениями Субъекта. Оцените полноту внутренней нормативной документации по оценке рисков в соответствии с требованиями Раздела 4 Стандарта. Опишите, как документы доводились до участников процедур управления рисками и как задействованные в реализации процедур лица могут получить доступ к данным документам
Базовый критерий
Требуемые действия по контролю
Критерий 2: Методы идентификации Рисков ИБ, применяемые Субъектом, соответствуют требованиям Раздела 4 Стандарта
Опишите перечень процедур по идентификации Рисков ИБ, которые проводились при проведении актуальной оценки рисков. Оцените, насколько процедуры идентификации Рисков ИБ соответствуют требованиям, приведенным в п. 4.8 Стандарта. В отношении повторных оценок, если в отношении показателей уровня Риска ИБ или ключевых индикаторов Рисков ИБ (далее – КИР) за оцениваемый период были выявлены достижения пороговых значений, опишите, как был проведен анализ необходимости расширения, детализации или переработки перечня идентифицированных Рисков ИБ
Ключевой критерий
Требуемые действия по контролю
Критерий 3: Область оценки Рисков ИБ соответствует деятельности Субъекта в ПС «Мир»
Опишите для каждого из приведенных ниже видов деятельности, относится ли вид деятельности к осуществляемым Субъектом видам деятельности в ПС «Мир» в соответствии с типом участия Субъекта в ПС «Мир», и для всех выполняемых видов деятельности – рассмотрен ли данный вид деятельности при проведении идентификации Рисков ИБ в рамках актуальной оценки Рисков ИБ. Критерий может быть рассмотрен как достигнутый только при условии, что в область оценки Рисков ИБ были включены все выполняемые в рамках участия в ПС «Мир» Субъектом виды деятельности
Базовый критерий
Требуемые действия по контролю
Критерий 4: При идентификации и анализе Рисков ИБ учтена информация о всех реализованных Риск-событиях за три года
Опишите, каким образом при проведении работ по идентификации и анализу Рисков ИБ учитывалась информация о реализованных Риск-событиях. Проанализируйте, есть ли среди Риск-событий, реализованных за прошедшие три года, Риск-события или группы Риск-событий, не учитываемые при идентификации Рисков ИБ или при анализе Рисков ИБ
Базовый критерий
Требуемые действия по контролю
Критерий 5: Используемые методы определения воздействия Рисков ИБ соответствуют требованиям ПС «Мир»
Опишите методы, применяемые Субъектом в целях определения ожидаемого воздействия от реализации Рисков ИБ / потенциально возможных Риск-событий (в случае, если в целях определения присущего и остаточного уровней воздействия от реализации Рисков ИБ применяются различные методы, укажите оба варианта). В случае, если результатом применения методов являются значения, не коррелирующие явным образом со значениями, установленными в шкалах Таблицы 1 Приложения № 2 к Стандарту – проанализируйте, как полученные значения конвертируются или интерпретируются в целях получения оценок, соответствующих шкалам Таблицы 1 Приложения № 2 к Стандарту
Базовый критерий
Требуемые действия по контролю
Критерий 6: Используемые методы определения частоты (вероятности) реализации
Опишите методы, применяемые Субъектом в целях определения ожидаемой частоты (вероятности) реализации Рисков ИБ / потенциально возможных Риск-событий (в случае, если в целях определения присущего и остаточного значений частоты (вероятности) реализации Рисков ИБ применяются различные методы, укажите оба варианта). В случае, если результатом применения методов являются значения, не коррелирующие явным образом со значениями, установленными в шкалах Таблицы 2 Приложения № 2 к Стандарту – проанализируйте, как полученные значения конвертируются или интерпретируются в целях получения оценок, соответствующих шкалам Таблицы 2 Приложения № 2 к Стандарту
Базовый критерий
Требуемые действия по контролю
Критерий 7: Применяемые способы оценки уровня Рисков ИБ соответствуют требованиям ПС «Мир»
Опишите методы, применяемые Субъектом в целях определения уровня Рисков ИБ (в случае, если в целях определения присущего и остаточного значений уровня Рисков ИБ применяются различные методы, укажите оба варианта). В случае, если результатом применения методов являются значения, полученные не способом, предполагающим применение тепловой карты из Таблицы 3 Приложения № 2 к Стандарту – проанализируйте, предполагают ли дальнейшие процедуры управления Рисками ИБ учет оценок уровня Риска ИБ, полученных согласно тепловой карте из Таблицы 3 Приложения № 2 к Стандарту
Ключевой критерий
Требуемые действия по контролю
Критерий 8: Применение методов анализа и оценки Рисков ИБ на практике реализовано корректным способом
В случае применения в целях анализа Рисков ИБ автоматизированных инструментов для оценки уровня Рисков ИБ, убедитесь, что:
- в случае отличия шкал оценки, используемых для анализа Рисков ИБ в автоматизированном инструменте, от шкал, установленных Приложением № 2 к Стандарту – предусмотрены и применяются методы конвертации или интерпретации полученных значений;
- в случае использования формул для расчета параметров Риска ИБ – вычисления функционируют корректно и выдают ожидаемый результат при известных данных;
- в случае переноса данных для анализа Рисков ИБ в автоматизированный инструмент из других источников, либо в случае выгрузки данных из автоматизированного инструмента – данные переносятся без искажений.
В случае проведения вычислений уровня Рисков ИБ работниками вручную убедитесь, что:
- работники в ходе анализа Рисков ИБ применяют актуальные версии методов и шкал оценки;
- при проведении актуальной оценки Рисков ИБ расчеты были проведены корректно (отсутствуют противоречия между учтенной при оценке информацией и результатами расчетов, используемые в расчетах формулы, зависимости и тепловые карты применены в виде, соответствующем установленным процедурам)
Базовый критерий
Требуемые действия по контролю
Критерий 9: Для идентифицированных Рисков ИБ определены присущий и допустимый уровни риска
Проверить, что для всех идентифицированных Рисков ИБ оценен присущий уровень Риска ИБ и допустимый уровень Риска ИБ; шкалы оценки присущего и допустимого уровня Риска ИБ должны обеспечивать возможность сопоставления шкал и возможности принятия решения о значимости Риска ИБ
Базовый критерий
Требуемые действия по контролю
Критерий 10: Профиль Рисков ИБ содержит информацию о всех идентифицированных Рисках ИБ
Проверить, что Профиль Рисков ИБ включает Риски ИБ, связанные с выполнением видов деятельности, которые должны быть включены в область оценки Рисков ИБ в соответствии с критерием № 3; проанализировать классификатор Рисков ИБ, рабочие материалы по оценке Рисков ИБ и Профиль Рисков ИБ на предмет наличия необоснованно исключенных из рассмотрения Рисков ИБ
Базовый критерий
Требуемые действия по контролю
Критерий 11: В Профиле Рисков ИБ для всех Рисков ИБ, присущий уровень которых превосходит допустимый уровень, отображена информация о реализованных мерах снижения уровня риска
Оценить наполненность Профиля Рисков ИБ информацией. Оценить возможность адекватного учета информации о реализованных мерах снижения уровня Риска ИБ на ожидаемые остаточные уровни воздействия от реализации Риска ИБ и частоты (вероятности) реализации Риска ИБ
Базовый критерий
Факты, идентифицированные в ходе выполнения действий по контролю
Базовый критерий
Свидетельства, подтверждающие достижение или недостижение критерия
Базовый критерий
Заключение о достижении критерия
Ключевой критерий
Требуемые действия по контролю
Критерий 12: Для всех Рисков ИБ, присущий уровень которых превосходит допустимый уровень, проведена оценка остаточного уровня Риска ИБ
Оценить наполненность Профиля Рисков ИБ информацией. Проверить, учтена ли информация о не реализованных на момент оценки мерах снижения уровня Риска ИБ, при оценке остаточного уровня Риска ИБ, в соответствии с п. 4.18 Стандарта
Ключевой критерий
Факты, идентифицированные в ходе выполнения действий по контролю
Ключевой критерий
Свидетельства, подтверждающие достижение или недостижение критерия
Ключевой критерий
Заключение о достижении критерия
Ключевой критерий
Требуемые действия по контролю
Критерий 13: Оценка Рисков ИБ проводится не реже одного раза в год
Оценить все работы по оценке Рисков ИБ, выполненные за год от выбранной точки отсчета (например, от начала года или от даты старта проведения прошлой оценки Рисков ИБ) на предмет полноты покрытия области оценки в соответствии с требованиями критерия № 3 и регулярности проведения

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.