5. Риск нарушения информационной безопасности при аутсорсинге существенных функций
5. Риск нарушения информационной безопасности при аутсорсинге существенных функций 
5.1. Организациям БС РФ при аутсорсинге существенных функций следует рассматривать следующие факторы нового риска нарушения ИБ:
- возникновение зависимости процессов обеспечения ИБ от деятельности поставщика услуг;
- возникновение зависимости устойчивости (непрерывности) выполнения бизнес-функций организаций БС РФ от возможных сбоев и отказа объектов информационной инфраструктуры поставщика услуг в результате реализации угроз ИБ;
- ненадлежащий уровень организации поставщиком услуг систем обеспечения ИБ;
- неверная оценка ресурсов, возможностей (кадровых, финансовых, технических) и потенциала поставщика услуг, необходимых для выполнения взятых на себя обязательств по обеспечению ИБ при реализации бизнес-функций организаций БС РФ;
- возникновение зависимости выполнения бизнес-функций организаций БС РФ от эффективности деятельности поставщика услуг и добросовестности выполнения соглашения об уровне услуг (SLA);
- наличие в соглашении об аутсорсинге положений, реализация которых приведет к возникновению ограничений в деятельности организаций БС РФ, которые в том числе могут быть связаны:
- с досрочным односторонним прекращением поставщиком услуг обеспечения дополнительного уровня ИБ при предоставлении услуг аутсорсинга;
- с ограничением возможности контроля деятельности поставщика услуг и получения необходимой информации для контроля риска нарушения ИБ;
- с недостаточным уровнем обеспечения ИБ и ненадлежащим управлением риском нарушения ИБ в случае недостаточной детализации в соглашении обязанностей поставщика услуг;
- с зависимостью реализации обеспечения ИБ от содержания и качества деятельности лиц, не являющихся работниками организаций БС РФ;
- с расширением состава внутренних нарушителей безопасности информации, обладающих легально предоставленными правами логического и (или) физического доступа.
5.2. При аутсорсинге существенных функций факторы, указанные в пункте 5.1 настоящего стандарта, создают новый риск нарушения ИБ, который должен управляться и контролироваться организацией БС РФ.
Основные виды риска нарушения ИБ организаций БС РФ, связанные с аутсорсингом существенных функций, и возможные последствия от его реализации приведены в таблице 1.
Таблица 1. Виды операционных рисков и возможные
последствия для организаций БС РФ от их реализации
при аутсорсинге существенных функций
|
Вид риска организаций БС РФ
|
Последствия для организаций БС РФ от реализации риска
|
|
Операционный риск, связанный с несоблюдением требований законодательства РФ (правовой риск)
|
Несоблюдение требований законодательства РФ в области обработки защищаемой информации;
несоблюдение законодательства РФ в области обеспечения защиты информации;
несоблюдение законодательства РФ в обеспечении непрерывности предоставления финансовых услуг в результате реализации угроз ИБ;
возникновение ограничений на способность организации БС РФ предоставить необходимую и достоверную информацию Банку России и уполномоченным органам исполнительной власти в рамках выполнения надзорных (контрольных) мероприятий в области обеспечения защиты информации
|
|
Операционный риск, связанный с потерей (невозможностью) контроля обеспечения ИБ поставщиком услуг
|
Политика обеспечения ИБ поставщика услуг может не совпадать с политикой обеспечения ИБ организации БС РФ, а деятельность поставщика услуг в части обеспечения ИБ может осуществляться с учетом собственных интересов;
потеря организацией БС РФ контроля над уровнем риска нарушения ИБ и уровнем зрелости реализации поставщиком услуг процессов обеспечения ИБ;
отсутствие возможности и необходимой компетенции у организации БС РФ обеспечить надлежащий контроль деятельности поставщика услуг в части обеспечения ИБ при аутсорсинге существенных функций
|
|
Операционный риск, связанный с возможностью прерывания деятельности организации БС РФ в результате реализации угроз ИБ
|
Нарушение непрерывности предоставления финансовых услуг в случае реализации сбоев и отказа в работе информационной инфраструктуры поставщика услуг или в работе информационной инфраструктуры организации БС РФ в результате деятельности поставщика услуг;
нарушение непрерывности предоставления финансовых услуг в случае реализации сбоев и отказа в обслуживании технических средств и систем защиты информации в результате действий поставщика услуг;
возникновение уязвимостей защиты информации в результате действий поставщика услуг
|
|
Операционный риск, связанный с реализацией инцидентов ИБ, имеющих последствия для организации БС РФ
|
Нарушение непрерывности предоставления финансовых услуг;
утечка информации конфиденциального характера;
хищение материальных носителей, содержащих объекты интеллектуальной собственности;
совершение несанкционированных операций, имеющих финансовые последствия, в том числе переводов денежных средств, лицами, не обладающими соответствующими правами
|
|
Операционный риск, связанный с возникновением зависимости от поставщика услуг
|
Отказ поставщика услуг от выполнения своих обязательств по обеспечению ИБ перед организацией БС РФ, в том числе предусмотренных соглашением об аутсорсинге существенных функций;
возникновение неприемлемых финансовых затрат у организации БС РФ в случае отказа поставщика услуг от своих обязательств;
утрата у работников организации БС РФ необходимых компетенций, знаний и навыков, необходимых для обеспечения ИБ при возврате выполнения существенных функций с использованием собственных ресурсов;
невозможность обеспечить необходимый уровень ИБ при возврате выполнения бизнес-функций в течение периода времени, приемлемого для организации БС РФ;
увеличение временных затрат на выполнение бизнес-функций, связанное с территориальной удаленностью поставщика услуг (при нахождении на большом расстоянии от организации БС РФ или в другом часовом поясе);
снижение гибкости в обеспечении ИБ при выполнении бизнес-функций, связанное с выполнением поставщиком услуг только тех требований, которые установлены соглашением об аутсорсинге
|
|
Операционный риск, связанный со снижением качества услуг по обеспечению ИБ, предоставляемых поставщиком услуг
|
Снижение лояльности и удовлетворенности клиентов и контрагентов организации БС РФ;
снижение лояльности, удовлетворенности и продуктивности сотрудников организации БС РФ
|
