8. Содержание задач и зона ответственности руководства организации банковской системы Российской Федерации при аутсорсинге существенных функций

8. Содержание задач и зона ответственности руководства организации банковской системы Российской Федерации при аутсорсинге существенных функций

8.1. Деятельность руководства организации БС РФ является ключевым фактором обеспечения должного уровня управления и контроля в отношении риска нарушения ИБ при аутсорсинге существенных функций. Одним из основных аспектов является наличие полного осознания руководством БС РФ, что передача при аутсорсинге поставщику услуг выполнения бизнес-функций не переносит на поставщика услуг ответственность, обязанности по обеспечению ИБ и риски нарушения ИБ организации БС РФ.

8.2. Основным содержанием задач руководства организации БС РФ при аутсорсинге, определенным в настоящем стандарте, является:

- установление политики и программы аутсорсинга существенных функций в соответствии с требованиями к их содержанию, определенными в настоящем стандарте, и реализация контроля за их выполнением;

- установление механизмов управления и контроля в отношении уровня риска нарушения ИБ в рамках заключения соглашений с поставщиком услуг;

- контроль над реализацией и выполнением деятельности по управлению риском нарушения ИБ;

- принятие решения о возможности аутсорсинга только на основании оценки риска нарушения ИБ;

- обеспечение наличия плана действий организации БС РФ в случае отказа поставщика услуг от выполнения своих обязательств, реализация которого позволит обеспечить необходимый уровень ИБ для продолжения выполнения бизнес-функций в течение периода времени, приемлемого для организации БС РФ (далее - стратегия "выхода").

8.3. В зону компетенции совета директоров (наблюдательного совета) организации БС РФ рекомендуется включить:

- определение политики аутсорсинга в соответствии с положениями раздела 6 настоящего стандарта, предполагающей оценку (мониторинг) риска нарушения ИБ в рамках всех действующих и возможных соглашений об аутсорсинге существенных функций;

- установление показателей уровня риска нарушения ИБ, связанного с аутсорсингом, приемлемого для организации БС РФ (риск-аппетита);

- обеспечение контроля соблюдения политики аутсорсинга и уровня риска нарушения ИБ, связанного с аутсорсингом;

- определение лиц из числа членов исполнительного органа организации БС РФ, в компетенцию которых входит принятие решений о возможности аутсорсинга в соответствии с требованиями политики аутсорсинга на основании оценки и установленного показателя уровня приемлемого риска нарушения ИБ (риск-аппетита);

- обеспечение контроля установления исполнительным органом организации БС РФ программы аутсорсинга в соответствии с принятой политикой аутсорсинга;

- рассмотрение вопросов финансирования регулярного аудита поставщика услуг с целью подтверждения качества предоставления услуг в части обеспечения ИБ и создания условий непрерывности предоставления финансовых услуг.

8.4. В зону компетенции исполнительного органа организации БС РФ входит:

- определение методики оценки и уровня риска при аутсорсинге;

- определение показателей (метрик), характеризующих риск нарушения ИБ при аутсорсинге существенных функций, в том числе на основе положений раздела 7 настоящего стандарта;

- определение и контроль выполнения программы аутсорсинга, соответствующей политике аутсорсинга, установленной в соответствии с разделом 6 настоящего стандарта;

- принятие решения о возможности аутсорсинга и последующий выбор поставщика услуг;

- обеспечение оперативного мониторинга и контроля уровня риска нарушения ИБ, связанного с аутсорсингом существенных функции, на основе разработанных показателей (метрик), характеризующих риск нарушения ИБ, в рамках всех действующих соглашений об аутсорсинге;

- обеспечение наличия стратегии (плана действий) на случай отказа поставщика услуг от выполнения своих обязательств перед организациями БС РФ (стратегии "выхода");

- обеспечение контрольных мероприятий в рамках выполнения программы аутсорсинга, связанных с мониторингом и контролем риска нарушения ИБ. К таким мероприятиям могут относиться:

- организация проведения и использования результатов внешних аудитов обеспечения ИБ и обеспечения непрерывности предоставления финансовых услуг;

- организация проведения и использования результатов мониторинга и контроля обеспечения ИБ, выполненного самостоятельно организацией БС РФ или с привлечением аудиторской или консалтинговой организации;

- обеспечение надлежащих и корректирующих действий, направленных на поддержание уровня риска нарушения ИБ при аутсорсинге существенных функций на приемлемом уровне, установленном политикой аутсорсинга.