11. Мониторинг и контроль риска нарушения информационной безопасности при аутсорсинге существенных функций
11. Мониторинг и контроль риска нарушения информационной безопасности при аутсорсинге существенных функций 
11.1. Осуществление надлежащего мониторинга и контроля риска нарушения ИБ при аутсорсинге существенных функций входит в зону компетенции исполнительного органа организации БС РФ.
Для выполнения указанных функций исполнительный орган БС РФ должен обеспечить наличие регистра риска, содержащего:
- информацию обо всех соглашениях аутсорсинга существенных функций;
- показатели (метрики), характеризующие риск нарушения ИБ при аутсорсинге существенных функций, определенные в соответствии с разделом 7 настоящего стандарта. Показатели (метрики) должны рассматриваться исполнительным органом независимо для каждого заключенного соглашения об аутсорсинге;
- оценку значений показателей (метрик) риска нарушения ИБ, обновляемую в соответствии с установленной периодичностью, но не реже одного раза в год.
11.2. Исполнительный орган обязан организовать мониторинг следующих видов рисков:
- операционный риск, связанный с потерей (невозможностью) контроля обеспечения ИБ поставщиком услуг;
- операционный риск, связанный с возможностью прерывания деятельности в результате реализации угроз ИБ;
- операционный риск, связанный с реализацией инцидентов ИБ;
- операционный риск, связанный с возникновением зависимости от поставщика услуг.
Для выполнения мониторинга указанных видов рисков организацией БС РФ может быть рассмотрен подход, использованный в таблице 3.
Таблица 3. Рекомендуемый подход к мониторингу риска
нарушения ИБ при аутсорсинге существенных функций
|
Тип риска
|
Характеристика мониторинга (метрика)
|
Способ мониторинга (периодичность)
|
|
Операционный риск, связанный с потерей (невозможностью) контроля обеспечения ИБ поставщиком услуг
|
Характеристика достижения целей обеспечения ИБ организацией БС РФ;
потенциал организации БС РФ обеспечить контроль риска нарушения ИБ при аутсорсинге существенных функций
|
Самостоятельная оценка организацией БС РФ выполнения своих показателей;
рекомендуемая периодичность - ежегодно
|
|
Операционный риск, связанный с возможностью прерывания деятельности
|
Операционные расходы (убытки) организации БС РФ, связанные с нарушением непрерывности предоставления финансовых услуг в результате НСД к ее информационной инфраструктуре или информационной инфраструктуре поставщика услуг
|
Самостоятельная оценка организацией БС РФ операционных расходов (убытков) в результате нарушения непрерывности предоставления финансовых услуг;
рекомендуемая периодичность - ежеквартально
|
|
Операционный риск, связанный с реализацией инцидентов ИБ
|
Операционные расходы (убытки), связанные с совершением финансовых операций, имеющих финансовые последствия, в том числе переводов денежных средств, без согласия клиентов;
операционные расходы (убытки) организации БС РФ в результате НСД к объектам ее информационной инфраструктуры, используемой для осуществления переводов денежных средств или в результате использования электронных средств платежа без согласия клиентов
|
Самостоятельная оценка организацией БС РФ операционных расходов (убытков) в результате перевода денежных средств без согласия клиентов, а также в результате НСД к объектам информационной инфраструктуры организации БС РФ;
рекомендуемая периодичность - ежеквартально
|
|
Операционный риск, связанный с возникновением зависимости от поставщика услуг
|
Характеристика потенциала организации БС РФ обеспечить ИБ существенных функций после заключения соглашения с поставщиком услуг или в случае отказа поставщика услуг от выполнения своих обязательств
|
Самостоятельная оценка организацией БС РФ или с привлечением аудиторской или консалтинговой организации (независимой от поставщика услуг) возможности реализовать стратегию "выхода" в случае отказа поставщика услуг от выполнения своих обязательств;
рекомендуемая периодичность - ежегодно
|
11.3. Для проведения оценки показателей (метрик) риска нарушения ИБ при аутсорсинге существенных функций исполнительному органу следует обеспечить привлечение представителей службы ИБ организации БС РФ, подразделений управления рисками, операционных подразделений, юридической службы, а также при необходимости подразделений информатизации для:
- подготовки данных по определенному перечню показателей (метрик) риска нарушения ИБ;
- своевременного предоставления актуальной информации о значениях показателей (метрик) исполнительному органу организации БС РФ, а также обеспечения их достоверности.
Дополнительным видом мониторинга и контроля риска нарушения ИБ при аутсорсинге существенных функций является деятельность службы внутреннего контроля организации БС РФ, направленная на оценку полноты, адекватности и актуальности данных о показателях (метриках) нарушения ИБ, предоставляемых исполнительными органами организации БС РФ.
11.4. В случае возникновения риска нарушения ИБ, связанного с аутсорсингом существенных функций, превышающего принятый приемлемый риск (риск-аппетит), организации БС РФ следует совершить оперативные корректирующие действия, направленные на обработку указанного риска:
- корректировка (пересмотр) соглашения;
- рассмотрение целесообразности расторжения соглашения и последующая реализация стратегии "выхода".
Организация БС РФ должна предусмотреть механизмы принятия оперативного решения, в случае если уровень риска нарушения ИБ выходит за рамки допустимых значений. В таких случаях должен быть предусмотрен внеплановый аудит поставщика услуг для подтверждения способности выполнять аутсорсинг существенных функций организации БС РФ.
Рассмотрение вопросов о фактах выявления неприемлемых рисков при аутсорсинге существенных функций, а также принятие решения по таким случаям должно входить в компетенцию совета директоров (наблюдательного органа) организации БС РФ.
В случае выявления рисков и принятия решения о корректировке соглашения необходимо проведение надлежащей переоценки риска нарушения ИБ в объеме, определяемом содержанием предполагаемых корректировок.
11.5. Важной частью мониторинга и контроля риска нарушения ИБ при аутсорсинге существенных функций является прохождение поставщиком услуг регулярного аудита.
Организация БС РФ должна обеспечить анализ результатов проведения периодического аудита с целью:
- обновления (уточнения) перечня существенных функций, связанных с обработкой защищаемой информации или обеспечением ИБ, передаваемых на аутсорсинг поставщику услуг;
- контроля надлежащего и своевременного предоставления поставщиком услуг отчетности в части аутсорсинга существенных функций;
- оценки показателей качества деятельности поставщика услуг, определенных на основе показателей (метрик) управления риском нарушения ИБ;
- соблюдения поставщиком услуг установленных соглашением параметров уровня и качества предоставления услуг в части обеспечения ИБ и создания условий непрерывности предоставления финансовых услуг (требований к SLA).
Поставщик услуг должен проходить периодический аудит с целью подтверждения качества предоставления услуг в части:
- защиты информации в соответствии с требованием законодательства РФ;
- создания условий непрерывности предоставления финансовых услуг организации БС РФ.
11.6. Основные требования, предъявляемые к организациям, проводящим аудит информационной безопасности:
- независимость аудиторской организации от выполнения бизнес-функций организации БС РФ и поставщика услуг;
- обладание необходимой компетенцией и навыками выполнения аудиторских проверок, определенных в первую очередь опытом проведения проверок;
- использование передовых отечественных и международных практик аудиторских проверок;
- наличие рекомендаций Банка России о возможности привлечения аудиторской организации.
11.7. Минимальный срок хранения аудиторских заключений деятельности поставщика услуг - 5 лет.
