Соответствие требованиям

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

Стандарт ПС "Мир". Требования к системе управления Рисками информационной безопасности Субъектов ПС "Мир" v. 2.0

Стандарт

прил.3.4.2

Для проведения оценки соответствия по документу войдите в систему.

Список требований

Приложение № 3. Форма отчета о результатах оценки эффективности СУР ИБ
4. Детализированный отчет о результатах оценки эффективности
4.2. Направление оценки: оценка применения способов управления Рисками ИБ
Базовый критерий
Требуемые действия по контролю
Критерий 14: Процедуры принятия решений по способу реагирования на Риск ИБ установлены во внутренних документах Субъекта и доведены до участников процедуры
Опишите структуру внутренней нормативной документации, описывающей процедуры принятия решений по способам реагирования на Риски ИБ у Субъекта и распределение ответственности за выполнение процедур управления рисками между подразделениями Субъекта. Опишите, как документы доводились до участников процедур управления рисками и как задействованные в реализации процедур лица могут получить доступ к данным документам
Ключевой критерий
Требуемые действия по контролю
Критерий 15: Определение допустимого уровня Риска ИБ осуществлялось лицами, обладающими такими полномочиями
Проанализируйте, кем были приняты решения о допустимом уровне Риска ИБ при проведении анализа идентифицированных Рисков ИБ, и соответствует ли реализованная процедура полномочиям, установленным во внутренних документах Субъекта
Ключевой критерий
Требуемые действия по контролю
Критерий 16: В отношении Рисков ИБ, остаточный уровень которых превосходит допустимый уровень риска, приняты решения о способе реагирования на Риск ИБ
Проанализируйте фактически реализованный по итогам проведения актуальной оценки Рисков ИБ процесс выбора способов реагирования на Риск ИБ. Оцените, зафиксирована ли в Профиле Рисков ИБ информация о выборе способа реагирования на Риск ИБ и соответствует ли указанная информация действительности. Оцените, соответствуют ли решения о принятии Рисков ИБ (в случае формирования таковых) требованиям п. 5.5 Стандарта
Ключевой критерий
Требуемые действия по контролю
Критерий 17: В отношении Рисков ИБ, для которых принято решение о способе реагирования, отличное от принятия риска, выбраны дополнительные защитные меры в соответствии с требованиями Раздела 5 Стандарта
Проанализируйте фактически реализованный по итогам проведения актуальной оценки Рисков ИБ процесс выбора способов реагирования на Риск ИБ. Для Рисков ИБ, в отношении которых были приняты решения о способе реагирования, отличных от принятия риска, оцените наличие ресурсов и возможностей у подразделений, указанных в качестве ответственных за реализацию мер, достаточных для реализации указанных мер реагирования в запланированные сроки
Базовый критерий
Требуемые действия по контролю
Критерий 18: Показатели уровня Риска ИБ, установленные требованиями Раздела 8 Стандарта, установлены в соответствии с требованиями Стандарта
Проанализируйте материалы, устанавливающие показатели уровня Риска ИБ, на предмет:
- перечень установленных показателей уровня Риска ИБ должен включать все показатели, перечисленные в п. 8.3 Стандарта (с учетом возможностей по исключению показателей из расчета, установленных п. 8.15 Стандарта);
- в отношении установленных показателей уровня Риска ИБ должна быть зафиксирована информация, приведенная в п. 8.9 Стандарта;
- для всех показателей уровня Риска ИБ, исключенных из расчета, должно быть документально зафиксировано обоснование неприменимости показателя к Субъекту
Базовый критерий
Требуемые действия по контролю
Критерий 19: В отношении показателей уровня Риска ИБ и используемых в целях мониторинга рисков КИР установлены способы расчета и пороговые значения, являющиеся рассчитываемыми, непротиворечивыми и достижимыми
Проанализируйте материалы, устанавливающие показатели уровня Риска ИБ, на предмет:
Для всех показателей уровня Риска ИБ и КИР установлены способы расчета фактического значения и пороговые значения;
Пороговое значение, установленное для каждого показателя уровня Риска ИБ или КИР, должно иметь обоснование установки;
Пороговое значение, установленное для каждого показателя уровня Риска ИБ или КИР, должно быть математически достижимо при установленном способе расчета;
Устанавливаемый способ расчета фактических значений должен предусматривать использование актуальной информации о состоянии бизнес- и технологических процессов, состоянии процессов обеспечения ИБ и Инцидентах ИБ
Базовый критерий
Требуемые действия по контролю
Критерий 20: Информация о результатах расчета фактических значений, достижении или превышении установленных пороговых значений или прогнозировании превышения пороговых значений доводится до коллегиального исполнительного органа Субъекта, уполномоченного принимать решения в отношении вопросов управления операционными рисками или управления Риском ИБ, не реже чем на ежеквартальной основе
Проанализируйте жизненный цикл информации о фактических значениях показателей уровня Риска ИБ и КИР. Опишите, как и с какой периодичностью указанная информация доводилась до лиц, уполномоченных принимать решения в отношении вопросов по управлению Рисками ИБ
Базовый критерий
Требуемые действия по контролю
Критерий 21: В случае достижения пороговых значений показателей уровня Риска ИБ или КИР предпринимались меры реагирования, предусмотренные порядком реагирования на достижение пороговых значений
В случае, если Субъектом были достигнуты пороговые значения показателей уровня Риска ИБ или КИР, оцените, были ли предприняты меры реагирования, предусмотренные в описании соответствующих показателей уровня Риска ИБ или КИР. В случае, если меры не были предприняты, опишите основные причины, препятствовавшие запланированной процедуре реагирования – некорректность предусмотренных мер, неактуальность описаний показателей уровня Риска ИБ или КИР, невозможность принятия мер в результате внешних по отношению к Субъекту условий или иные причины (опишите, какие)
Базовый критерий
Требуемые действия по контролю
Критерий 22: В случае достижения пороговых значений показателей уровня Риска ИБ, установленных п. 8.3 Стандарта, до Оператора доводились уведомления о достижении пороговых значений и результатах выполнения предусмотренных мер реагирования
В случае, если Субъектом были достигнуты пороговые значения показателей уровня Риска ИБ или КИР, оцените, были ли (и если да – то в какой срок) сформированы и направлены уведомления Оператора о достижении пороговых значений показателей уровня Риска ИБ

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.