5. Риск нарушения информационной безопасности при аутсорсинге существенных функций
5.1. Организациям БС РФ при аутсорсинге существенных функций следует рассматривать следующие факторы нового риска нарушения ИБ:
- возникновение зависимости процессов обеспечения ИБ от деятельности поставщика услуг;
- возникновение зависимости устойчивости (непрерывности) выполнения бизнес-функций организаций БС РФ от возможных сбоев и отказа объектов информационной инфраструктуры поставщика услуг в результате реализации угроз ИБ;
- ненадлежащий уровень организации поставщиком услуг систем обеспечения ИБ;
- неверная оценка ресурсов, возможностей (кадровых, финансовых, технических) и потенциала поставщика услуг, необходимых для выполнения взятых на себя обязательств по обеспечению ИБ при реализации бизнес-функций организаций БС РФ;
- возникновение зависимости выполнения бизнес-функций организаций БС РФ от эффективности деятельности поставщика услуг и добросовестности выполнения соглашения об уровне услуг (SLA);
- наличие в соглашении об аутсорсинге положений, реализация которых приведет к возникновению ограничений в деятельности организаций БС РФ, которые в том числе могут быть связаны:
- с досрочным односторонним прекращением поставщиком услуг обеспечения дополнительного уровня ИБ при предоставлении услуг аутсорсинга;
- с ограничением возможности контроля деятельности поставщика услуг и получения необходимой информации для контроля риска нарушения ИБ;
- с недостаточным уровнем обеспечения ИБ и ненадлежащим управлением риском нарушения ИБ в случае недостаточной детализации в соглашении обязанностей поставщика услуг;
- с зависимостью реализации обеспечения ИБ от содержания и качества деятельности лиц, не являющихся работниками организаций БС РФ;
- с расширением состава внутренних нарушителей безопасности информации, обладающих легально предоставленными правами логического и (или) физического доступа.
5.2. При аутсорсинге существенных функций факторы, указанные в пункте 5.1 настоящего стандарта, создают новый риск нарушения ИБ, который должен управляться и контролироваться организацией БС РФ.
Основные виды риска нарушения ИБ организаций БС РФ, связанные с аутсорсингом существенных функций, и возможные последствия от его реализации приведены в таблице 1.
Таблица 1. Виды операционных рисков и возможные
последствия для организаций БС РФ от их реализации
при аутсорсинге существенных функций
|
Вид риска организаций БС РФ
|
Последствия для организаций БС РФ от реализации риска
|
|
Операционный риск, связанный с несоблюдением требований законодательства РФ (правовой риск)
|
Несоблюдение требований законодательства РФ в области обработки защищаемой информации;
несоблюдение законодательства РФ в области обеспечения защиты информации;
несоблюдение законодательства РФ в обеспечении непрерывности предоставления финансовых услуг в результате реализации угроз ИБ;
возникновение ограничений на способность организации БС РФ предоставить необходимую и достоверную информацию Банку России и уполномоченным органам исполнительной власти в рамках выполнения надзорных (контрольных) мероприятий в области обеспечения защиты информации
|
|
Операционный риск, связанный с потерей (невозможностью) контроля обеспечения ИБ поставщиком услуг
|
Политика обеспечения ИБ поставщика услуг может не совпадать с политикой обеспечения ИБ организации БС РФ, а деятельность поставщика услуг в части обеспечения ИБ может осуществляться с учетом собственных интересов;
потеря организацией БС РФ контроля над уровнем риска нарушения ИБ и уровнем зрелости реализации поставщиком услуг процессов обеспечения ИБ;
отсутствие возможности и необходимой компетенции у организации БС РФ обеспечить надлежащий контроль деятельности поставщика услуг в части обеспечения ИБ при аутсорсинге существенных функций
|
|
Операционный риск, связанный с возможностью прерывания деятельности организации БС РФ в результате реализации угроз ИБ
|
Нарушение непрерывности предоставления финансовых услуг в случае реализации сбоев и отказа в работе информационной инфраструктуры поставщика услуг или в работе информационной инфраструктуры организации БС РФ в результате деятельности поставщика услуг;
нарушение непрерывности предоставления финансовых услуг в случае реализации сбоев и отказа в обслуживании технических средств и систем защиты информации в результате действий поставщика услуг;
возникновение уязвимостей защиты информации в результате действий поставщика услуг
|
|
Операционный риск, связанный с реализацией инцидентов ИБ, имеющих последствия для организации БС РФ
|
Нарушение непрерывности предоставления финансовых услуг;
утечка информации конфиденциального характера;
хищение материальных носителей, содержащих объекты интеллектуальной собственности;
совершение несанкционированных операций, имеющих финансовые последствия, в том числе переводов денежных средств, лицами, не обладающими соответствующими правами
|
|
Операционный риск, связанный с возникновением зависимости от поставщика услуг
|
Отказ поставщика услуг от выполнения своих обязательств по обеспечению ИБ перед организацией БС РФ, в том числе предусмотренных соглашением об аутсорсинге существенных функций;
возникновение неприемлемых финансовых затрат у организации БС РФ в случае отказа поставщика услуг от своих обязательств;
утрата у работников организации БС РФ необходимых компетенций, знаний и навыков, необходимых для обеспечения ИБ при возврате выполнения существенных функций с использованием собственных ресурсов;
невозможность обеспечить необходимый уровень ИБ при возврате выполнения бизнес-функций в течение периода времени, приемлемого для организации БС РФ;
увеличение временных затрат на выполнение бизнес-функций, связанное с территориальной удаленностью поставщика услуг (при нахождении на большом расстоянии от организации БС РФ или в другом часовом поясе);
снижение гибкости в обеспечении ИБ при выполнении бизнес-функций, связанное с выполнением поставщиком услуг только тех требований, которые установлены соглашением об аутсорсинге
|
|
Операционный риск, связанный со снижением качества услуг по обеспечению ИБ, предоставляемых поставщиком услуг
|
Снижение лояльности и удовлетворенности клиентов и контрагентов организации БС РФ;
снижение лояльности, удовлетворенности и продуктивности сотрудников организации БС РФ
|