Оценка эффективности системы управления рисками ИБ по Стандарту ПС «Мир» НСПК
Услуга направлена на проверку того, насколько система управления рисками информационной безопасности (СУР ИБ) вашей организации реально функционирует и соответствует требованиям главы 7 «Требования к системе управления рисками информационной безопасности субъектов платёжной системы «Мир»» Стандарта ПС «Мир» П.255, версия 2.0.
Результатом является формализованное заключение, набор рекомендаций и (при необходимости) план совершенствования СУР ИБ в форме, соответствующем требованиям НСПК. Основанием для проведения оценки служат требования Стандарта ПС «Мир» к идентификации, анализу, оценке и мониторингу рисков ИБ, а также к порядку и периодичности оценки эффективности СУР ИБ (разделы 4, 7, 8 стандарта).
Кому полезна услуга
- банкам-участникам ПС «Мир», ОПКЦ и РЦ (кроме Банка России), на которых прямо распространяется Стандарт ПС «Мир»;
- подразделениям ИБ, риск-менеджмента и операционных рисков, которые отвечают за поддержание СУР ИБ и должны подтвердить её эффективность перед коллегиальным органом/НСПК;
- организациям, у которых СУР ИБ уже формально есть (профиль рисков, классификатор, показатели, KRI), но нет независимого заключения о её эффективности в соответствии с требованиями НСПК определенными в Приложении 3 стандарта;
- руководителям финансовых организаций, которым нужен проработанный экспертами, обоснованный план совершенствования СУР ИБ в случаях, когда по итогам оценки система признана низкоэффективной или неэффективной (стандарт прямо требует разработать такой план в пределах 1 года).
Описание этапов работ
Этап 1. Подготовка и обследование СУР ИБ
Мы собираем и анализируем:
- действующие внутренние документы по управлению рисками ИБ, профиль рисков ИБ, классификатор рисков, матрицы реагирования, регламенты мониторинга показателей и KRI и другие свидетельства функционирования СУР ИБ;
- материалы по ежегодной/внеплановой оценке рисков ИБ, в том числе за последние 3 года (в стандарте указано, что должны учитываться факты реализации риск-событий и инцидентов ИБ);
- сведения об организационной структуре по управлению риском ИБ и её независимости (раздел 3 стандарта);
- свидетельства выполнения процедур (выгрузки из АС управления рисками, скриншоты, утверждённые документы) — это требование раздела 7, в том числе п. 7.12–7.13.
На этом этапе мы фиксируем фактическую область оценки (какие процессы в ПС «Мир» затрагиваются, какие сервис-провайдеры участвуют, какие показатели установлены, что исключено и на каком основании). Это важно, потому что стандарт допускает документированное исключение отдельных показателей и использование собственных шкал — но только при наличии обоснования.
Этап 2. Оценка эффективности СУР ИБ по критериям Стандарта ПС «Мир»
На этом этапе мы проводим независимый аудит эффективности СУР ИБ на соответствие требованиям стандарта:
- проверяем, что процедуры идентификации, анализа и оценки рисков ИБ проводятся в формате, описанном в разделе 4 стандарта (подход сверху вниз/снизу вверх, наличие классификатора, регулярность, учёт инцидентов, ведение профиля рисков ИБ);
- оцениваем корректность выбора способов обработки рисков и фиксации решений (раздел 5 стандарта);
- проверяем установку и мониторинг показателей уровня риска ИБ и ключевых индикаторов риска (раздел 8 стандарта), в том числе наличие и корректность пороговых значений и порядка реагирования;
- сопоставляем фактические результаты с критериями эффективности из раздела 7 и Приложения 2: где критерий достигнут («1»), где нет («0»), и есть ли недостижение ключевых критериев — от этого зависит итоговый статус: «эффективна», «умеренно эффективна», «низкоэффективна», «неэффективна».
По итогам этого этапа мы даём оценку эффективности СУР ИБ в одной из четырёх категорий, прямо предусмотренных стандартом. Это то, что затем предоставляется коллегиальному органу финансовой организации и по запросу — в НСПК.
Этап 3. Разработка рекомендаций и плана совершенствования
Если СУР ИБ признана низкоэффективной или неэффективной, стандарт обязывает разработать план совершенствования с указанием мероприятий, сроков и ответственных — на срок не более 1 года (либо с согласованием у Оператора, если срок больше). Мы готовим этот план в привязке к тем критериям, которые не были достигнуты, и к тем процедурам, которые выявлены как неполные (идентификация, анализ, выбор мер, мониторинг, хранение свидетельств).
Если СУР ИБ признана эффективной или умеренно эффективной, мы ограничиваемся рекомендациями и точечной доработкой документов/процедур.
Результат для заказчика
- заключение об оценке эффективности СУР ИБ организации в форме соответствующем требованиям стандарта (с перечнем достигнутых и недостигнутых критериев);
- формально определенная область оценки для СУР ИБ организации и перечень использованных свидетельств — то, что стандарт предписывает хранить не менее 3 лет;
- перечень несоответствий требованиям стандарта в разрезе процессов: идентификация → анализ/оценка → управление → мониторинг → совершенствование;
- рекомендации по совершенствованию СУР ИБ (обновление профиля рисков ИБ, уточнение классификатора, корректировка KRI и порогов, оформление решений о принятии/обработке рисков, оформление отчётности в коллегиальный орган);
- план совершенствования СУР ИБ (если по результату — «низкоэффективна» или «неэффективна») с указанием сроков, ответственных и порядка повторной оценки.
Почему это важно
Стандарт ПС «Мир» версии 2.0 усилил требования к подтверждению эффективности СУР ИБ: недостаточно иметь описанный процесс — необходимо показать, что он выполняется с установленной периодичностью, достигает заявленных целей и это подтверждено документированными свидетельствами (раздел 7). Наша услуга охватывает все требования стандарта к построению и оценке СУР ИБ и позволяет организациям оперативно выполнить требования НСПК.
Ограничения услуги:
Данная услуга ограничена областью, определённой Стандартом ПС «Мир» (платёжный контур, операции, процессы и ИТ-сервисы, влияющие на безопасность операций и непрерывность платёжных услуг) и направлена именно на проверку того, что СУР ИБ не только описана, но и подтверждена свидетельствами, как этого требует НСПК (п. 7.12–7.13 стандарта).
Услуга направлена на проверку того, насколько система управления рисками информационной безопасности (СУР ИБ) вашей организации реально функционирует и соответствует требованиям главы 7 «Требования к системе управления рисками информационной безопасности субъектов платёжной системы «Мир»» Стандарта ПС «Мир» П.255, версия 2.0.
Новости и материалы по теме
В 2025 году компания «Информзащита» выступила партнёром социально-образовательного проекта «Агенты безопасности», реализуемого корпорацией «ФосАгро» при участии государственных и общественных организаций.
В течение года «Информзащита» приняла участие в восьми мероприятиях проекта, прошедших в разных регионах России - от Балаково до Мурманска. На каждом мероприятии специалисты компании делились экспертизой в области информационной безопасности, проводили обучающие квизы и лекции, направленные на развитие цифровой грамотности и формирование устойчивости к киберугрозам.
В рамках проекта участники знакомились с практическими аспектами безопасного поведения в цифровой среде, а также получали знания о современных онлайн-угрозах и способах их предотвращения. Интерактивные станции и игровые форматы, разработанные «Информзащитой», повышали интерес подростков к теме кибербезопасности и подчёркивали важность ответственного цифрового поведения.
Участие в проекте «Агенты безопасности» стало для «Информзащиты» подтверждением её социальной ответственности и готовности не только развивать профессиональные решения в сфере информационной безопасности, но и передавать экспертные знания молодому поколению, способствуя формированию культуры безопасной цифровой активности.
