СТАНДАРТ БАНКА РОССИИ

СТО БР ИББС-1.4-2018

ОБЕСПЕЧЕНИЕ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ
РОССИЙСКОЙ ФЕДЕРАЦИИ

УПРАВЛЕНИЕ
РИСКОМ НАРУШЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
ПРИ АУТСОРСИНГЕ

Дата введения: 2018-07-01

Предисловие

ПРИНЯТ И ВВЕДЕН в действие приказом Банка России от 6 марта 2018 года N ОД-568.

Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Банка России.

Введение

В настоящее время в деятельности отдельных организаций банковской системы (БС) Российской Федерации (РФ) отмечается тенденция и экономическая потребность на передачу выполнения отдельных собственных бизнес-функций на основании договорных отношений сторонним (внешним) организациям, специализирующимся на предоставлении соответствующих услуг, - поставщикам услуг.

Основными причинами и целями передачи выполнения бизнес-функций организаций БС РФ поставщикам услуг (целями аутсорсинга), как правило, являются:

- содействие оптимизации и повышению эффективности деятельности организации БС РФ;

- оптимизация затрат и повышение эффективности деятельности организаций БС РФ, в том числе связанных с выполнением непрофильных (вспомогательных) бизнес-функций;

- повышение прозрачности бизнеса для уточнения его стоимости при совершении сделок с акциями (долями);

- привлечение внешних специалистов, обладающих необходимой квалификацией, компетенцией, знаниями и опытом работы в областях, которые являются вспомогательными или непрофильными для организаций БС РФ;

- снижение зависимости от ресурсных ограничений, в первую очередь финансовых и кадровых, для выполнения вспомогательных или непрофильных бизнес-функций.

Одними из основных видов бизнес-функций, которые рассматриваются организациями БС РФ в качестве приоритетных для возможной передачи на аутсорсинг, являются:

- функции, связанные с применением информационных технологий, обслуживанием и администрированием средств вычислительной техники (далее - СВТ), серверного и телекоммуникационного оборудования, устройств самообслуживания, с разработкой программного обеспечения;

- административные функции, включая функции, связанные с финансовой деятельностью, функционалом back-офиса, call-центра, организационным и административным обеспечением;

- функции, связанные с хранением и обработкой информации, в том числе на внешних центрах обработки данных и облачных сервисах (облачных службах);

- функции обеспечения информационной безопасности (ИБ) организации БС РФ;

- административно-хозяйственные функции.

Несмотря на то что привлечение поставщиков услуг для аутсорсинга призвано способствовать повышению эффективности реализации бизнес-функций при сокращении затрат на их реализацию, в большинстве случаев передача выполнения бизнес-функций приводит к появлению новых рисков в деятельности организаций БС РФ, включая риски нарушения ИБ. Передача выполнения бизнес-функций на аутсорсинг не снимает обязанности и не переносит ответственности организаций БС РФ, включая вопросы обеспечения ИБ, предусмотренные законодательством РФ, в том числе нормативно-правовыми актами РФ, нормативными актами Банка России (далее при совместном упоминании - законодательство РФ).

Основными факторами нового риска нарушения ИБ при аутсорсинге являются:

- возникновение зависимости процессов обеспечения ИБ от деятельности поставщика услуг;

- возникновение зависимости устойчивости (непрерывности) выполнения бизнес-функций организации БС РФ от возможных сбоев и отказа объектов информационной инфраструктуры поставщика услуг в результате реализации угроз ИБ;

- недостаточный уровень организации поставщиком услуг систем обеспечения ИБ;

- неверная оценка ресурсов, возможностей (кадровых, финансовых, технических) и потенциала поставщика услуг, необходимых для выполнения взятых на себя обязательств по обеспечению ИБ при реализации бизнес-функций организаций БС РФ;

- наличие в соглашении об аутсорсинге положений, реализация которых приведет к возникновению ограничений в деятельности организаций БС РФ;

- возникновение зависимости выполнения бизнес-функций организации БС РФ от эффективности деятельности поставщика услуг и добросовестности выполнения соглашения об уровне услуг (SLA).

Указанные факторы порождают риск нарушения ИБ, к которому относятся следующие риски:

- риск бесконтрольного несанкционированного доступа к защищаемой информации при реализации бизнес-функций лицами, не являющимися работниками организаций БС РФ;

- риск несанкционированного проведения операций, имеющих финансовые последствия как для организаций БС РФ, так для их клиентов и контрагентов;

- риск потери контроля над реализацией и уровнем зрелости процессов обеспечения ИБ и как следствие - риск потери контроля над уровнем обеспечения ИБ и киберустойчивости [1];

- риск нарушения бесперебойности бизнес-функций;

- риск несоблюдения требований законодательства РФ в области обеспечения ИБ, в том числе в части обеспечения режимов защиты банковской тайны и персональных данных (ПДн).

Указанные риски нарушения ИБ могут реализоваться в виде инцидентов ИБ, имеющих значимые финансовые или репутационные последствия, например:

- прерывание организациями БС РФ предоставления финансовых услуг <1> на неприемлемый для организации период времени;

--------------------------------

<1> В частности, прерывание услуг по переводу денежных средств на период более двух часов или незавершение выполнения расчетов в течение рабочего дня.

- несанкционированные переводы денежных средств, в том числе в крупных объемах;

- несоблюдение требований законодательства РФ в области обработки информации ограниченного доступа [2], в том числе ПДн и информации, составляющей банковскую тайну, инсайдерскую информацию, коммерческую тайну и другие виды тайн (далее - защищаемая информация).

Организациям БС РФ необходимо учитывать, что в ряде случаев ущерб от реализации указанных рисков не может быть компенсирован поставщиком услуг в рамках заключенных договорных отношений. В частности, ущерб от несанкционированного перевода денежных средств может составлять остаток на корреспондентском счете организации БС РФ, открытом в расчетном центре платежной системы, который в ряде случаев сопоставим с капиталом организации БС РФ.

В связи с этим организациям БС РФ при привлечении для аутсорсинга поставщиков услуг следует обеспечить реализацию механизмов управления и контроля риска нарушения ИБ, создающую основу для обеспечения соответствия уровня риска нарушения ИБ при передаче бизнес-функций на аутсорсинг уровню риска, принятому самостоятельно организацией БС РФ.

Для достижения цели управления и контроля риска нарушения ИБ при аутсорсинге настоящий стандарт устанавливает базовые требования к управлению риском нарушения ИБ, включая требования:

- к содержанию задач и зоне ответственности руководства организаций БС РФ при реализации управления и контроля риска нарушения ИБ при аутсорсинге;

- к оценке риска нарушения ИБ при аутсорсинге существенных функций, в том числе при принятии решения о передаче бизнес-функций на аутсорсинг;

- к оценке возможности поставщика услуг обеспечить должный уровень ИБ при выполнении бизнес-функций и наличию внутренней компетенции организации БС РФ для проведения такого рода оценки;

- к содержанию соглашений о передаче выполнения бизнес-функций на аутсорсинг;

- к содержанию мероприятий по контролю обеспечения непрерывности деятельности поставщиком услуг при реализации бизнес-функций организаций БС РФ в части обеспечения ИБ;

- к содержанию мероприятий по постоянному мониторингу и контролю рисков нарушения ИБ при аутсорсинге;

- к составу и содержанию мероприятий по проведению периодического внешнего аудита обеспечения ИБ при аутсорсинге существенных функций;

- к организации аутсорсинга процессов обеспечения ИБ.