8. Содержание задач и зона ответственности руководства организации банковской системы Российской Федерации при аутсорсинге существенных функций
8. Содержание задач и зона ответственности руководства организации банковской системы Российской Федерации при аутсорсинге существенных функций 
8.1. Деятельность руководства организации БС РФ является ключевым фактором обеспечения должного уровня управления и контроля в отношении риска нарушения ИБ при аутсорсинге существенных функций. Одним из основных аспектов является наличие полного осознания руководством БС РФ, что передача при аутсорсинге поставщику услуг выполнения бизнес-функций не переносит на поставщика услуг ответственность, обязанности по обеспечению ИБ и риски нарушения ИБ организации БС РФ.
8.2. Основным содержанием задач руководства организации БС РФ при аутсорсинге, определенным в настоящем стандарте, является:
- установление политики и программы аутсорсинга существенных функций в соответствии с требованиями к их содержанию, определенными в настоящем стандарте, и реализация контроля за их выполнением;
- установление механизмов управления и контроля в отношении уровня риска нарушения ИБ в рамках заключения соглашений с поставщиком услуг;
- контроль над реализацией и выполнением деятельности по управлению риском нарушения ИБ;
- принятие решения о возможности аутсорсинга только на основании оценки риска нарушения ИБ;
- обеспечение наличия плана действий организации БС РФ в случае отказа поставщика услуг от выполнения своих обязательств, реализация которого позволит обеспечить необходимый уровень ИБ для продолжения выполнения бизнес-функций в течение периода времени, приемлемого для организации БС РФ (далее - стратегия "выхода").
8.3. В зону компетенции совета директоров (наблюдательного совета) организации БС РФ рекомендуется включить:
- определение политики аутсорсинга в соответствии с положениями раздела 6 настоящего стандарта, предполагающей оценку (мониторинг) риска нарушения ИБ в рамках всех действующих и возможных соглашений об аутсорсинге существенных функций;
- установление показателей уровня риска нарушения ИБ, связанного с аутсорсингом, приемлемого для организации БС РФ (риск-аппетита);
- обеспечение контроля соблюдения политики аутсорсинга и уровня риска нарушения ИБ, связанного с аутсорсингом;
- определение лиц из числа членов исполнительного органа организации БС РФ, в компетенцию которых входит принятие решений о возможности аутсорсинга в соответствии с требованиями политики аутсорсинга на основании оценки и установленного показателя уровня приемлемого риска нарушения ИБ (риск-аппетита);
- обеспечение контроля установления исполнительным органом организации БС РФ программы аутсорсинга в соответствии с принятой политикой аутсорсинга;
- рассмотрение вопросов финансирования регулярного аудита поставщика услуг с целью подтверждения качества предоставления услуг в части обеспечения ИБ и создания условий непрерывности предоставления финансовых услуг.
8.4. В зону компетенции исполнительного органа организации БС РФ входит:
- определение методики оценки и уровня риска при аутсорсинге;
- определение показателей (метрик), характеризующих риск нарушения ИБ при аутсорсинге существенных функций, в том числе на основе положений раздела 7 настоящего стандарта;
- определение и контроль выполнения программы аутсорсинга, соответствующей политике аутсорсинга, установленной в соответствии с разделом 6 настоящего стандарта;
- принятие решения о возможности аутсорсинга и последующий выбор поставщика услуг;
- обеспечение оперативного мониторинга и контроля уровня риска нарушения ИБ, связанного с аутсорсингом существенных функции, на основе разработанных показателей (метрик), характеризующих риск нарушения ИБ, в рамках всех действующих соглашений об аутсорсинге;
- обеспечение наличия стратегии (плана действий) на случай отказа поставщика услуг от выполнения своих обязательств перед организациями БС РФ (стратегии "выхода");
- обеспечение контрольных мероприятий в рамках выполнения программы аутсорсинга, связанных с мониторингом и контролем риска нарушения ИБ. К таким мероприятиям могут относиться:
- организация проведения и использования результатов внешних аудитов обеспечения ИБ и обеспечения непрерывности предоставления финансовых услуг;
- организация проведения и использования результатов мониторинга и контроля обеспечения ИБ, выполненного самостоятельно организацией БС РФ или с привлечением аудиторской или консалтинговой организации;
- обеспечение надлежащих и корректирующих действий, направленных на поддержание уровня риска нарушения ИБ при аутсорсинге существенных функций на приемлемом уровне, установленном политикой аутсорсинга.
