11. Мониторинг и контроль риска нарушения информационной безопасности при аутсорсинге существенных функций

11. Мониторинг и контроль риска нарушения информационной безопасности при аутсорсинге существенных функций

11.1. Осуществление надлежащего мониторинга и контроля риска нарушения ИБ при аутсорсинге существенных функций входит в зону компетенции исполнительного органа организации БС РФ.

Для выполнения указанных функций исполнительный орган БС РФ должен обеспечить наличие регистра риска, содержащего:

- информацию обо всех соглашениях аутсорсинга существенных функций;

- показатели (метрики), характеризующие риск нарушения ИБ при аутсорсинге существенных функций, определенные в соответствии с разделом 7 настоящего стандарта. Показатели (метрики) должны рассматриваться исполнительным органом независимо для каждого заключенного соглашения об аутсорсинге;

- оценку значений показателей (метрик) риска нарушения ИБ, обновляемую в соответствии с установленной периодичностью, но не реже одного раза в год.

11.2. Исполнительный орган обязан организовать мониторинг следующих видов рисков:

- операционный риск, связанный с потерей (невозможностью) контроля обеспечения ИБ поставщиком услуг;

- операционный риск, связанный с возможностью прерывания деятельности в результате реализации угроз ИБ;

- операционный риск, связанный с реализацией инцидентов ИБ;

- операционный риск, связанный с возникновением зависимости от поставщика услуг.

Для выполнения мониторинга указанных видов рисков организацией БС РФ может быть рассмотрен подход, использованный в таблице 3.

Таблица 3. Рекомендуемый подход к мониторингу риска
нарушения ИБ при аутсорсинге существенных функций

Тип риска
Характеристика мониторинга (метрика)
Способ мониторинга (периодичность)
Операционный риск, связанный с потерей (невозможностью) контроля обеспечения ИБ поставщиком услуг
Характеристика достижения целей обеспечения ИБ организацией БС РФ;
потенциал организации БС РФ обеспечить контроль риска нарушения ИБ при аутсорсинге существенных функций
Самостоятельная оценка организацией БС РФ выполнения своих показателей;
рекомендуемая периодичность - ежегодно
Операционный риск, связанный с возможностью прерывания деятельности
Операционные расходы (убытки) организации БС РФ, связанные с нарушением непрерывности предоставления финансовых услуг в результате НСД к ее информационной инфраструктуре или информационной инфраструктуре поставщика услуг
Самостоятельная оценка организацией БС РФ операционных расходов (убытков) в результате нарушения непрерывности предоставления финансовых услуг;
рекомендуемая периодичность - ежеквартально
Операционный риск, связанный с реализацией инцидентов ИБ
Операционные расходы (убытки), связанные с совершением финансовых операций, имеющих финансовые последствия, в том числе переводов денежных средств, без согласия клиентов;
операционные расходы (убытки) организации БС РФ в результате НСД к объектам ее информационной инфраструктуры, используемой для осуществления переводов денежных средств или в результате использования электронных средств платежа без согласия клиентов
Самостоятельная оценка организацией БС РФ операционных расходов (убытков) в результате перевода денежных средств без согласия клиентов, а также в результате НСД к объектам информационной инфраструктуры организации БС РФ;
рекомендуемая периодичность - ежеквартально
Операционный риск, связанный с возникновением зависимости от поставщика услуг
Характеристика потенциала организации БС РФ обеспечить ИБ существенных функций после заключения соглашения с поставщиком услуг или в случае отказа поставщика услуг от выполнения своих обязательств
Самостоятельная оценка организацией БС РФ или с привлечением аудиторской или консалтинговой организации (независимой от поставщика услуг) возможности реализовать стратегию "выхода" в случае отказа поставщика услуг от выполнения своих обязательств;
рекомендуемая периодичность - ежегодно

11.3. Для проведения оценки показателей (метрик) риска нарушения ИБ при аутсорсинге существенных функций исполнительному органу следует обеспечить привлечение представителей службы ИБ организации БС РФ, подразделений управления рисками, операционных подразделений, юридической службы, а также при необходимости подразделений информатизации для:

- подготовки данных по определенному перечню показателей (метрик) риска нарушения ИБ;

- своевременного предоставления актуальной информации о значениях показателей (метрик) исполнительному органу организации БС РФ, а также обеспечения их достоверности.

Дополнительным видом мониторинга и контроля риска нарушения ИБ при аутсорсинге существенных функций является деятельность службы внутреннего контроля организации БС РФ, направленная на оценку полноты, адекватности и актуальности данных о показателях (метриках) нарушения ИБ, предоставляемых исполнительными органами организации БС РФ.

11.4. В случае возникновения риска нарушения ИБ, связанного с аутсорсингом существенных функций, превышающего принятый приемлемый риск (риск-аппетит), организации БС РФ следует совершить оперативные корректирующие действия, направленные на обработку указанного риска:

- корректировка (пересмотр) соглашения;

- рассмотрение целесообразности расторжения соглашения и последующая реализация стратегии "выхода".

Организация БС РФ должна предусмотреть механизмы принятия оперативного решения, в случае если уровень риска нарушения ИБ выходит за рамки допустимых значений. В таких случаях должен быть предусмотрен внеплановый аудит поставщика услуг для подтверждения способности выполнять аутсорсинг существенных функций организации БС РФ.

Рассмотрение вопросов о фактах выявления неприемлемых рисков при аутсорсинге существенных функций, а также принятие решения по таким случаям должно входить в компетенцию совета директоров (наблюдательного органа) организации БС РФ.

В случае выявления рисков и принятия решения о корректировке соглашения необходимо проведение надлежащей переоценки риска нарушения ИБ в объеме, определяемом содержанием предполагаемых корректировок.

11.5. Важной частью мониторинга и контроля риска нарушения ИБ при аутсорсинге существенных функций является прохождение поставщиком услуг регулярного аудита.

Организация БС РФ должна обеспечить анализ результатов проведения периодического аудита с целью:

- обновления (уточнения) перечня существенных функций, связанных с обработкой защищаемой информации или обеспечением ИБ, передаваемых на аутсорсинг поставщику услуг;

- контроля надлежащего и своевременного предоставления поставщиком услуг отчетности в части аутсорсинга существенных функций;

- оценки показателей качества деятельности поставщика услуг, определенных на основе показателей (метрик) управления риском нарушения ИБ;

- соблюдения поставщиком услуг установленных соглашением параметров уровня и качества предоставления услуг в части обеспечения ИБ и создания условий непрерывности предоставления финансовых услуг (требований к SLA).

Поставщик услуг должен проходить периодический аудит с целью подтверждения качества предоставления услуг в части:

- защиты информации в соответствии с требованием законодательства РФ;

- создания условий непрерывности предоставления финансовых услуг организации БС РФ.

11.6. Основные требования, предъявляемые к организациям, проводящим аудит информационной безопасности:

- независимость аудиторской организации от выполнения бизнес-функций организации БС РФ и поставщика услуг;

- обладание необходимой компетенцией и навыками выполнения аудиторских проверок, определенных в первую очередь опытом проведения проверок;

- использование передовых отечественных и международных практик аудиторских проверок;

- наличие рекомендаций Банка России о возможности привлечения аудиторской организации.

11.7. Минимальный срок хранения аудиторских заключений деятельности поставщика услуг - 5 лет.