6. "Стандарт Банка России "Обеспечение информационной безопасности организаций банковской системы РФ. Управление риском нарушения информационной безопасности при аутсорсинге" СТО БР ИББС-1.4-2018" (принят и введен в действие Приказом Банка России от 06.03.2018 N ОД-568)

6.1. Настоящий стандарт определяет ряд основных требований, основанных на положениях документа Базельского комитета по банковскому надзору при Банке международных расчетов "Аутсорсинг в сфере финансовых услуг" [5], адаптированных для цели управления риском нарушения ИБ и контроля над ним при аутсорсинге существенных функций.

Реализация указанных ниже основных требований с учетом дальнейших положений настоящего стандарта способствует применению взвешенного подхода к передаче организациями БС РФ выполнения бизнес-функций поставщикам услуг на основе оценке объема потенциального риска нарушения ИБ.

При определении основных требований к управлению риском нарушения ИБ в настоящем стандарте предполагается, что аутсорсинг существенных функций может привести к повышению общего отраслевого системного риска нарушения ИБ, который может оказать существенное влияние не только на деятельность отдельной организации БС РФ, но и на стабильность функционирования БС РФ в целом.

На аутсорсинг не могут передаваться функции, связанные с выбором требуемого уровня защищенности, а также функции, связанные с принятием рисков нарушения ИБ.

6.2. Основное требование 1. В случае планирования передачи выполнения бизнес-функций поставщикам услуг на аутсорсинг организации БС РФ следует установить политику в отношении аутсорсинга существенных функций (далее - политика аутсорсинга).

Политика аутсорсинга должна среди прочего однозначно определять:

- возможность аутсорсинга бизнес-функций, при выполнении которых осуществляется обработка защищаемой информации;

- возможность аутсорсинга бизнес-функций, невыполнение или ненадлежащее выполнение которых поставщиком услуг создает условия для реализации или реализует инциденты ИБ;

- возможность аутсорсинга только в случае соблюдения требований законодательства РФ в области обработки ПДн и информации, составляющей банковскую тайну, в частности возможность аутсорсинга в случае надлежащего получения соглашения субъектов ПДн [4];

- возможность аутсорсинга только в случае соблюдения требований законодательства РФ в области защиты информации;

- возможность аутсорсинга только в случае отсутствия прямых или косвенных ограничений на реализацию полномочий Банка России и уполномоченных органов исполнительной власти в рамках выполнения надзорных (контрольных) мероприятий в части вопросов защиты информации;

- возможность аутсорсинга только в случае реализации организацией БС РФ надлежащего управления риском нарушения ИБ и контроля над ним.

Политика аутсорсинга существенных функций должна быть принята советом директоров (наблюдательным советом) организации БС РФ, а в случае его отсутствия - исполнительным органом организации БС РФ.

В отношении аутсорсинга существенных функций организация БС РФ должна реализовать процедуры внутреннего контроля соответствия принятой политики аутсорсинга, результаты которого должны рассматриваться советом директоров (наблюдательным советом) организации БС РФ.

6.3. Основное требование 2. Организация БС РФ должна разработать, применять и обеспечить контроль программы аутсорсинга, предусматривающей вопросы управления риском нарушения ИБ (далее - программа аутсорсинга).

Программа аутсорсинга должна определять:

- состав и содержание мероприятий по управлению риском нарушения ИБ при аутсорсинге существенных функций;

- состав и содержание мероприятий по мониторингу и контролю деятельности поставщика услуг по обеспечению ИБ при аутсорсинге существенных функций;

- возможность привлечения поставщиком услуг субподрядчиков при оказании услуг аутсорсинга, а также требования к таким субподрядчикам.

В части мероприятий по управлению риском нарушения ИБ и контролю над ним программа аутсорсинга должна определять:

- задачи и зоны ответственности исполнительного органа организации БС РФ для цели реализации управления риском нарушения ИБ и контроля над ним при аутсорсинге;

- требования к составу и содержанию мероприятий по оценке организацией БС РФ риска нарушения ИБ при принятии решения о передаче бизнес-функций на аутсорсинг;

- требования к составу и содержанию мероприятий по оценке организацией БС РФ возможности поставщика услуг обеспечить должный уровень ИБ при аутсорсинге существенных функций и по обеспечению наличия внутренней компетенции организации БС РФ для проведения такого рода оценки;

- требования к содержанию соглашений, связанных с передачей выполнения бизнес-функций на аутсорсинг.

В части состава и содержания мероприятий по мониторингу и контролю деятельности поставщика услуг программа аутсорсинга должна определять:

- требования к составу и содержанию мероприятий по контролю обеспечения непрерывности деятельности поставщиков услуг при реализации бизнес-функций организации БС РФ в части обеспечения ИБ;

- требования к составу и содержанию мероприятий по постоянному мониторингу и контролю риска нарушения ИБ при аутсорсинге.

Организация БС РФ должна реализовать контроль выполнения программы аутсорсинга, в том числе со стороны службы ИБ и службы внутреннего контроля, а также контроль со стороны исполнительного органа организации БС РФ.

6.4. Основное требование 3. Организация БС РФ должна обеспечить выполнение своих обязательств перед клиентами и контрагентами, а также возможность проведения эффективного контроля выполнения требований в области защиты информации со стороны Банка России и уполномоченных органов исполнительной власти в рамках выполнения надзорных (контрольных) мероприятий в области защиты информации.

Организации БС РФ рекомендуется реализовать:

- регламентацию и применение организационных мер и технических средств, реализующих контроль доступа работников поставщика услуг и иных лиц к защищаемой информации, а также информационным (автоматизированным) обрабатывающим ее системам;

- обязательное сохранение за организацией БС РФ функций управления предоставлением доступа к защищаемой информации, а при технической невозможности (например, при использовании облачных вычислений по модели SaaS) - контроль выполнения функций по управлению предоставлением доступа к защищаемой информации поставщиком услуг.

Привлечение поставщиков услуг для выполнения работ не должно оказывать влияния на законодательно закрепленные права клиентов по отношению к организации БС РФ, включая право на возврат денежных средств при использовании электронного средства платежа без согласия клиента, установленное статьей 9 Федерального закона от 27 июня 2011 года N 161-ФЗ "О национальной платежной системе" [3].

6.5. Основное требование 4. Исполнительный орган организации БС РФ должен определить критерии, в том числе основанные на законодательстве РФ о лицензировании отдельных видов деятельности [6 - 8], которые должны использоваться для оценки способности и потенциала поставщика услуг эффективно и качественно обеспечить ИБ при предоставлении услуги по аутсорсингу существенных функций, в том числе обеспечить защиту информации в соответствии с требованиями законодательства РФ.

В случае несоответствия поставщика услуг соответствующим критериям ему не могут передаваться на выполнение существенные функции.

6.6. Основное требование 5. Организации БС РФ следует привлекать поставщиков услуг для аутсорсинга существенных функций только после принятия поставщиком услуг всех необходимых мер по обеспечению ИБ и заключения соглашения, определяющего детальные условия и разграничение ответственности по обеспечению ИБ.

Детализация условий по обеспечению ИБ в соглашении должна обеспечивать возможность проведения оперативных мероприятий по мониторингу и контролю со стороны организации БС РФ деятельности поставщика услуг в части обеспечения ИБ.

Детальные требования к содержанию соглашения об аутсорсинге существенных функций установлены в разделе 9 настоящего стандарта, а примерный перечень вопросов, которые могут использоваться для оценки поставщика услуг в части обеспечения ИБ, приведен в Приложении 2.

При заключении соглашения с поставщиками услуг на осуществление аутсорсинга существенных функций организации БС РФ следует обеспечить наличие следующих условий по обеспечению ИБ:

- обязанность поставщика услуг обеспечить соблюдение требований к защите информации, установленных для организации БС РФ, в том числе требований, установленных в рамках законодательства о национальной платежной системе [3, 9, 10], а также в области защиты персональных данных [4, 11, 12];

- составление перечня защищаемой информации, передаваемой на обработку и (или) хранение поставщику услуг;

- разграничение ответственности между организацией БС РФ и поставщиком услуг в части обеспечения ИБ;

- наличие у поставщика услуг лицензий по оказываемым видам деятельности в соответствии с законодательством о лицензировании отдельных видов деятельности [6 - 8];

- наличие у поставщика услуг, связанных с обработкой данных платежных карт, свидетельства о соответствии требованиям стандарта PCI DSS;

- сохранение права организации БС РФ на контроль выполнения организацией БС РФ самостоятельно или с привлечением внешнего аудитора, определяемого организацией БС РФ, условий соглашения в части выполнения обязанностей по обеспечению ИБ, соблюдение порядка и (или) процедуры выполнения указанного контроля;

- обязанность поставщиков услуг уведомлять организации БС РФ об инцидентах, связанных с обеспечением ИБ, соблюдение порядка и (или) процедуры выполнения указанного уведомления.

6.7. Основное требование 6. В программе аутсорсинга исполнительный орган организации БС РФ должен определить требования к проведению мероприятий, связанных с обеспечением непрерывности деятельности поставщиков услуг при аутсорсинге бизнес-функций организаций БС РФ в части обеспечения ИБ.

Организации БС РФ следует учитывать, что наличие и использование ограниченного числа поставщиков услуг, предоставляющих услуги аутсорсинга многим организациям БС РФ, реализует концентрацию операционного риска, что является системной угрозой для БС РФ в целом. С целью своевременного выявления концентрации операционного риска, связанного с передачей многими организациями БС РФ выполнения существенных бизнес-функций ограниченной группе поставщиков услуг, Банк России рекомендует организациям БС РФ уведомлять ФинЦЕРТ Банка России (info_fincert@cbr.ru) о планируемой передаче выполнения бизнес-функций. Информирование осуществляется в форме электронных сообщений.

6.8. Основное требование 7. Организация БС РФ должна рассматривать бизнес-функции, передаваемые на аутсорсинг поставщику услуг, в качестве неотъемлемой части своей деятельности, в том числе подпадающей под регулирование в части защиты информации со стороны уполномоченных органов исполнительной власти РФ и Банка России.

При аутсорсинге существенных функций организация БС РФ должна обеспечить выполнение своих обязательств по предоставлению возможности контроля соблюдения требований к защите информации, установленных в рамках законодательства о национальной платежной системе [3, 9, 10], персональных данных [4, 11, 12] и безопасности критической информационной инфраструктуры [13], со стороны уполномоченных органов исполнительной власти РФ и Банка России (в пределах их полномочий, установленных законодательством РФ), в том числе обеспечить доступ к информации, связанной с деятельностью поставщика услуг.

6.9. Основное требование 8. Организации БС РФ при принятии решения об аутсорсинге существенных функций, при котором предполагается трансграничная передача защищаемой информации, следует убедиться в соблюдении требований:

- законодательства РФ, регулирующего вопросы трансграничной передачи персональных данных [14];

- законодательства РФ, устанавливающего обязанность обработки и хранения персональных данных на территории РФ [15];

- нормативных актов Банка России, устанавливающих обязанность кредитных организаций создавать и передавать Банку России резервные копии электронных баз данных, а также размещать резервные копии электронных баз данных на территории РФ [16];

- законодательства РФ, регулирующего вопросы лицензирования отдельных видов деятельности [6 - 8];

- законодательства РФ, регулирующего вопросы обеспечения безопасности критической информационной инфраструктуры [13].

В случае наличия у поставщика услуг подразделений и (или) дочерних предприятий за пределами РФ, а также при использовании самим поставщиком услуг аутсорсинга поставщик услуг должен предоставить организации БС РФ информацию о таких подразделениях, предприятиях или аутсорсинговых субподрядчиках (если они участвуют в оказании услуг аутсорсинга), выполняемых ими работах, часовых поясах и странах, в которых находятся их штаб-квартиры и из которых они ведут свою деятельность в целях выполнения соглашения об аутсорсинге для организации БС РФ. Необходимо учитывать возможность существования своих законодательных требований и ограничений, а также используемых разговорных языках и возможных культурных и религиозных особенностях в области обеспечения ИБ в юрисдикциях, в которых находятся поставщики услуг, их подразделения, дочерние предприятия и субподрядчики.

Трансграничная передача информации, составляющей банковскую тайну, допускается в обезличенной обобщенной (агрегированной) форме, за исключением случаев, установленных законодательством РФ.