7. Оценка риска нарушения информационной безопасности при аутсорсинге существенных функций
7. Оценка риска нарушения информационной безопасности при аутсорсинге существенных функций 
7.1. Аутсорсинг существенных функций организации БС РФ должен сопровождаться оценкой, надлежащим управлением и контролем организации БС РФ в отношении риска нарушения ИБ, реализуемыми в соответствии с политикой аутсорсинга.
7.2. Реализация организацией БС РФ программы аутсорсинга должна предусматривать следующие мероприятия:
- идентификация потенциального риска нарушения ИБ при аутсорсинге существенных функций, в том числе из видов риска, определенных в разделе 5 настоящего стандарта;
- оценка потенциального риска нарушения ИБ при аутсорсинге существенных функций;
- принятие решения о возможности аутсорсинга на основе результатов оценки риска нарушения ИБ;
- реализация последующего постоянного мониторинга и контроля уровня риска нарушения ИБ.
Ключевым фактором для реализации программ аутсорсинга является оценка потенциального риска нарушения ИБ, а также обеспечение возможности последующего мониторинга и контроля его уровня.
Идентификацию риска нарушения ИБ следует проводить на основе анализа состава бизнес-функций, планируемых к передаче на аутсорсинг, а также на основе анализа факторов нового риска нарушения ИБ, определенных в разделе 5 настоящего стандарта.
7.3. Для оценки потенциального риска нарушения ИБ и обеспечения возможности мониторинга и контроля его уровня организации БС РФ следует определить состав и проводить оценку (в том числе периодическую) показателей (метрик), характеризующих:
- степень возможности реализации риска нарушения ИБ (далее - СВР) в результате наличия факторов нового риска, приведенного в разделе 5 настоящего стандарта;
- степень тяжести последствий от реализации риска нарушения ИБ (далее - СТП) для реализации бизнес-функций организации БС РФ, переданных на аутсорсинг.
7.4. В качестве показателей (метрик), характеризующих СВР, организации БС РФ рекомендуется (среди прочих) рассмотреть использование следующих:
- оценка соблюдения требований законодательства РФ в области:
- обеспечения защиты информации, обработки ПДн и информации, содержащей банковскую тайну;
- обеспечения непрерывности предоставления финансовых услуг;
- обеспечения возможности организации БС РФ предоставить необходимую и достоверную информацию в рамках выполнения Банком России и уполномоченными органами исполнительной власти их надзорных (контрольных) функций;
- характеристика достижения целей обеспечения ИБ организации БС РФ;
- характеристика потенциала организации БС РФ, необходимого для контроля риска нарушения ИБ при аутсорсинге существенных функций;
- характеристика, определяющая требования к непрерывности предоставления финансовых услуг;
- характеристика, определяющая необходимый уровень защиты информации в соответствии с требованиями, установленными законодательством РФ;
- характеристика, определяющая наличие и функциональность системы обеспечения ИБ поставщика услуг;
- характеристика потенциала организации БС РФ, необходимого для обеспечения ИБ существенных функций после прекращения действия соглашения с поставщиком услуг или в случае отказа поставщика услуг от выполнения своих обязательств.
7.5. В качестве показателей (метрик), характеризующих СТП, организации БС РФ следует (среди прочих) рассмотреть использование следующих:
- общая сумма операций по переводу денежных средств, включая электронные денежные средства, осуществляемых через организацию БС РФ с использованием электронных технологий, связанных с бизнес-функцией, переданной на аутсорсинг;
- среднеквартальный остаток денежных средств, находящихся на корреспондентских счетах организации БС РФ, открытых в расчетных центрах платежных систем, в том числе в платежной системе Банка России;
- характеристика, определяющая уровень операционных расходов:
- операционные расходы (убытки) организации БС РФ, связанные с нарушением непрерывности предоставления финансовых услуг в результате НСД к ее информационной инфраструктуре или информационной инфраструктуре поставщика услуг;
- операционные расходы (убытки), связанные с совершением операций, имеющих финансовые последствия, в том числе переводов денежных средств, лицами, не обладающими соответствующими правами;
- операционные расходы (убытки) организации БС РФ в результате НСД к объектам ее информационной инфраструктуры, используемой для осуществления переводов денежных средств, или в результате использования электронных средств платежа без согласия клиентов;
- неприемлемые финансовые затраты организации БС РФ в случае отказа поставщика услуг от своих обязательств;
- невозможность организовать должный уровень обеспечения ИБ в случае необходимости возврата выполнения существенных функций в течение периода времени, приемлемого для организации БС РФ.
7.6. В качестве источников данных для показателя СВР могут быть использованы следующие оценки:
- собственная (экспертная) оценка организации БС РФ, выполненная ее работниками, обладающими необходимыми знаниями, опытом и компетенцией;
- оценка, выполненная аудиторской или консалтинговой организацией (независимой от поставщика услуг), обладающей необходимым опытом и компетенцией;
- оценка, выполненная на основе результатов проведения поставщиком услуг внешнего независимого аудита на соответствие применимым документам в области стандартизации, в первую очередь национальным стандартам РФ, разрабатываемым Банком России, отраслевым стандартам Банка России или иным применимым национальным стандартам РФ и международным стандартам, гармонизированным в установленном порядке в РФ (в том числе в соответствии с ГОСТ 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый набор организационных и технических мер" [17]).
7.7. Организации БС РФ следует выбирать те источники данных для оценки показателей СВР и СТП, которые смогут обеспечить наиболее достоверную и полную информацию для оценки риска нарушения ИБ при аутсорсинге существенных функций.
Выбор указанных показателей и источников их получения должен обеспечить возможность оценки наличия правовой возможности и экономической целесообразности при принятии решения об аутсорсинге существенных функций, а также возможности осуществления деятельности по должному мониторингу и контролю риска нарушения ИБ при аутсорсинге существенных функций.
Организации БС РФ следует учитывать, что определение показателей (факторов), характеризующих СВР и СТП, является ключевым элементом оценки, управления и контроля в отношении риска нарушения ИБ.
В качестве основы для выработки подходов к оценке риска нарушения ИБ может быть рекомендован подход, определенный в таблице 2.
Таблица 2. Рекомендации по определению и использованию
показателей (факторов) риска нарушения ИБ при аутсорсинге
существенных функций
(методика оценки риска определяется организацией БС РФ
самостоятельно на основе Рекомендаций в области
стандартизации Банка России (РС БР ИББС-2.2-2009)
"Обеспечение информационной безопасности организаций
банковской системы Российской Федерации. Методика оценки
рисков нарушения информационной безопасности")
|
Тип операционного риска
|
Возможная характеристика СВР
|
Возможный источник получения оценки СВР
|
Возможная характеристика СТП
|
Принятие решения о возможности аутсорсинга
|
|
Связанный с несоблюдением требований законодательства РФ (правовой)
|
Оценка соблюдения требований законодательства РФ в области:
- обеспечения защиты информации, обработки ПДн и информации, содержащей банковскую тайну;
- обеспечения непрерывности предоставления финансовых услуг;
- обеспечения возможности организации БС РФ предоставить необходимую и достоверную информацию в рамках выполнения Банком России и уполномоченными органами исполнительной власти их надзорных (контрольных) функций в области защиты информации
|
Собственная оценка организации БС РФ, выполненная ее работниками;
оценка, выполняемая консалтинговой организацией (независимой от поставщика услуг)
|
Наличие риска несоблюдения законодательства РФ
|
Однозначная невозможность передачи выполнения существенных функций на аутсорсинг;
аутсорсинг существенных функций невозможен
|
|
Связанный с потерей (невозможностью) контроля обеспечения ИБ поставщиком услуг
|
Оценка достижения целей обеспечения ИБ организации БС РФ;
оценка потенциала организации БС РФ обеспечить контроль риска нарушения ИБ при аутсорсинге существенных функций
|
Собственная оценка организации БС РФ, выполненная ее работниками;
оценка, выполняемая аудиторской или консалтинговой организацией (независимой от поставщика услуг)
|
Общая сумма операций по переводу денежных средств, включая электронные денежные средства, осуществляемых через организацию БС РФ с использованием электронных технологий;
среднеквартальный остаток денежных средств, находящихся на корреспондентских счетах организации БС РФ, открытых в расчетных центрах платежных систем, в том числе в платежной системе Банка России;
операционные расходы (убытки) организации БС РФ, связанные с нарушением непрерывности предоставления финансовых услуг в результате НСД к ее информационной инфраструктуре или информационной инфраструктуре поставщика услуг
|
Принимается самостоятельно организацией БС РФ на основании анализа показателей экономической целесообразности и уровня оцененного риска
|
|
Связанный с возможностью прерывания деятельности в результате реализации угроз ИБ
|
Оценка уровня соблюдения требования к непрерывности предоставления финансовых услуг;
оценка уровня защиты информации в соответствии с требованием законодательства РФ
|
Оценка выполняется на основе результатов прохождения поставщиком услуг внешнего независимого аудита
|
Операционные расходы (убытки) организации БС РФ, связанные с нарушением непрерывности предоставления финансовых услуг в результате НСД к ее информационной инфраструктуре или информационной инфраструктуре поставщика услуг
|
Принимается самостоятельно организацией БС РФ на основании анализа показателей экономической целесообразности и уровня оцененного риска
|
|
Связанный с реализацией инцидентов ИБ
|
Оценка уровня защиты информации в соответствии с требованием законодательства РФ;
оценка потенциала организации БС РФ обеспечить контроль уровня обеспечения ИБ после заключения соглашения с поставщиком услуг
|
Оценка выполняется на основе результатов прохождения поставщиком услуг внешнего независимого аудита
|
Общая сумма операций по переводу денежных средств, включая электронные денежные средства, осуществляемых через организацию БС РФ с использованием электронных технологий;
среднеквартальный остаток денежных средств, находящихся на корреспондентских счетах организации БС РФ, открытых в расчетных центрах платежных систем, в том числе в платежной системе Банка России;
операционные расходы (убытки) организации БС РФ, связанные с нарушением непрерывности предоставления финансовых услуг в результате НСД к ее информационной инфраструктуре или информационной инфраструктуре поставщика услуг
|
Принимается самостоятельно организацией БС РФ на основании анализа показателей экономической целесообразности и уровня оцененного риска
|
|
Связанный с возникновением зависимости от поставщика услуг
|
Оценка потенциала организации БС РФ обеспечить ИБ в случае отказа поставщика услуг от выполнения своих обязательств
|
Собственная оценка организации БС РФ, выполненная ее работниками;
оценка, выполняемая аудиторской или консалтинговой организацией (независимой от поставщика услуг)
|
Утрата организациями БС РФ необходимых компетенций, знаний и навыков, необходимых для обеспечения ИБ при необходимости возврата выполнения существенных функций с использованием собственных ресурсов;
неприемлемые финансовые затраты организаций БС РФ на обеспечение должного уровня ИБ в случае отказа поставщика услуг от своих обязательств;
невозможность обеспечить должный уровень ИБ при возврате выполнения существенных функций в течение периода времени, приемлемого для организаций БС РФ
|
Принимается самостоятельно организацией БС РФ на основании анализа показателей экономической целесообразности и уровня оцененного риска;
однозначная невозможность передачи выполнения существенных функций на аутсорсинг в случае отсутствия у организации БС РФ стратегии "выхода"
|
