10. Требования к содержанию соглашений об аутсорсинге существенных функций

10. Требования к содержанию соглашений об аутсорсинге существенных функций

10.1. Заключение с поставщиком услуг соглашения (контракта, пакета договорных документов) об аутсорсинге является одним из основных элементов управления и контроля в отношении риска нарушения ИБ при аутсорсинге существенных функций.

10.2. Содержание соглашения об аутсорсинге должно создать правовые условия для возможности обеспечения организацией БС РФ:

- контроля и мониторинга уровня риска нарушения ИБ;

- выполнения своих обязательств перед клиентами и контрагентами, а также перед Банком России и уполномоченными органами исполнительной власти в рамках выполнения надзорных (контрольных) мероприятий в области защиты информации.

10.3. Содержание соглашения об аутсорсинге должно однозначно среди прочего определять:

- перечень существенных функций, связанных с обработкой защищаемой информации или обеспечением ИБ (реализацией процессов обеспечения ИБ), передаваемых на аутсорсинг поставщику услуг;

- обязанности и разделение зоны ответственности поставщика услуг и организации БС РФ в обеспечении ИБ при аутсорсинге существенных функций;

- требования к показателям качества деятельности поставщика услуг, определяемым на основе метрик управления риском нарушения ИБ организацией БС РФ в рамках процедур управления риском;

- требования к уровню и качеству предоставления услуг в части обеспечения ИБ и создания условий непрерывности предоставления финансовых услуг (требования к SLA) и к инструментам по мониторингу этого уровня;

- требования к гарантиям поставщика услуг (в том числе финансовым) в случае наступления риска нарушения ИБ;

- требования к инфраструктуре оказания услуг, включая инфраструктуру обеспечения ИБ и обеспечения непрерывности выполнения бизнес-функций и их восстановления после инцидентов ИБ;

- обязанность поставщика услуг обеспечить возможность проведения организацией БС РФ или привлекаемой организацией БС РФ консалтинговой или аудиторской организацией контрольных мероприятий в рамках мониторинга риска нарушения ИБ;

- обязанность по обеспечению сторонами конфиденциальности информации;

- обязанность поставщика услуг проходить периодический аудит с целью подтверждения качества предоставления услуг в части обеспечения ИБ и создания условий непрерывности предоставления финансовых услуг;

- обязанность поставщика услуг информировать организацию БС РФ об инцидентах ИБ, включая НСД к защищаемой информации, в течение 3-х часов после выявления инцидента ИБ, а также о мерах, предпринятых для управления наступившими инцидентами;

- порядок разбора конфликтов в случае нарушения поставщиком услуг условий оказания услуг, а также в случае несогласия поставщика услуг признавать факт реализации риска нарушения ИБ или инцидента ИБ;

- обязанность поставщика услуг информировать организацию БС РФ обо всех факторах, связанных с возникновением риска нарушения ИБ при аутсорсинге существенных функций, включая тип событий и обстоятельства их реализации;

- обязанность поставщика услуг передавать всю необходимую информацию организации БС РФ для выполнения своих обязательств перед Банком России и уполномоченными органами исполнительной власти в рамках выполнения надзорных (контрольных) мероприятий в области защиты информации;

- возможность пересмотра и изменения условий соглашения по инициативе организации БС РФ в следующих случаях:

- наличие у организации БС РФ необходимости сохранить надлежащий уровень контроля и управления в отношении риска нарушения ИБ при аутсорсинге существенных функций;

- наличие у организации БС РФ необходимости принять соответствующие меры для выполнения своих обязательств перед клиентами и контрагентами, а также перед Банком России и уполномоченными органами исполнительной власти;

- возможность проведения регулярных (не реже одного раза в квартал) встреч представителей организации БС РФ и поставщика услуг для обсуждения статуса выполнения соглашения об аутсорсинге в части вопросов обеспечения ИБ;

- рекомендуемые основания для отказа организаций БС РФ от исполнения соглашения с поставщиком услуг в одностороннем внесудебном порядке в случае:

- смены владельцев (участников) поставщика услуг;

- изменения финансового состояния поставщика услуг, его потенциала, ресурсов и возможностей в отношении выполнения услуг аутсорсинга существенных функций;

- нарушения поставщиком услуг требований к уровню и качеству предоставления услуг в части обеспечения ИБ и создания условий непрерывности предоставления финансовых услуг (требования к SLA);

- препятствия (отказа) со стороны поставщика услуг реализации мониторинга и контроля риска нарушения ИБ со стороны организации БС РФ или со стороны независимой аудиторской организации;

- возникновения риска нарушения ИБ, превышающего уровень, определенный организацией БС РФ в качестве приемлемого;

- возникновения инцидентов нарушения ИБ;

- минимальный срок выполнения условий расторжения соглашения об аутсорсинге существенных функций, необходимый организации БС РФ для возобновления выполнения бизнес-функций собственными ресурсами или с привлечением иного поставщика услуг в случаях расторжения действующего соглашения;

- условия привлечения поставщиком услуг субподрядчиков, предусматривающие:

- право организации БС РФ сохранить способность мониторинга и контроля риска нарушения ИБ при аутсорсинге существенных функций в случаях привлечения поставщиком услуг субподрядчиков;

- ограничения на передачу субподрядчику обработки защищаемой информации;

- ответственность поставщика услуг за все действия субподрядчика в части вопросов обеспечения ИБ, в том числе ответственность за соблюдение законодательства РФ;

- обязанность поставщика услуг обеспечить уведомление и получать предварительное согласование организации БС РФ при привлечении субподрядчиков для выполнения существенных функций организации БС РФ;

- обязанность поставщика услуг предоставить организации БС РФ документы (в том числе политики, стандарты), разработанные поставщиком услуг для обеспечения ИБ;

- обязанность поставщика услуг обеспечить соблюдение требований к защите информации, установленных для организации БС РФ, в том числе:

- в рамках законодательства о национальной платежной системе [3, 9, 10];

- в области защиты информации ограниченного доступа, включая защиту ПДн [4, 11, 12];

- в области безопасности критической информационной инфраструктуры [13];

- в области лицензирования отдельных видов деятельности [6 - 8];

- нормативных актов Банка России, устанавливающих обязанность кредитных организаций по созданию и передаче Банку России резервных копий электронных баз данных, а также размещению их на территории РФ [16];

- политику предоставления поставщику услуг доступа к защищаемой информации и инфраструктуре организации БС РФ;

- описание контактных данных лица, ответственного за реализацию соглашения об аутсорсинге со стороны поставщика услуг, а также процедур эскалации возможных конфликтов при оказании услуг аутсорсинга;

- требования к работникам поставщика услуг, задействованным в обеспечении ИБ.

10.4. Целесообразно указать услуги (сервисы), которые будут поддерживаться поставщиком услуг в случае возникновения инцидентов ИБ.

10.5. При составлении соглашения об аутсорсинге необходимо привлекать представителей службы ИБ организации БС РФ, подразделений управления рисками, операционных подразделений, юридической службы, службы управления закупками, а также подразделений информатизации.