СТАНДАРТ БАНКА РОССИИ
СТО БР ИББС-1.4-2018
ОБЕСПЕЧЕНИЕ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ
РОССИЙСКОЙ ФЕДЕРАЦИИ
УПРАВЛЕНИЕ
РИСКОМ НАРУШЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
ПРИ АУТСОРСИНГЕ
Дата введения: 2018-07-01
Предисловие
ПРИНЯТ И ВВЕДЕН в действие приказом Банка России от 6 марта 2018 года N ОД-568.
Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Банка России.
Введение
В настоящее время в деятельности отдельных организаций банковской системы (БС) Российской Федерации (РФ) отмечается тенденция и экономическая потребность на передачу выполнения отдельных собственных бизнес-функций на основании договорных отношений сторонним (внешним) организациям, специализирующимся на предоставлении соответствующих услуг, - поставщикам услуг.
Основными причинами и целями передачи выполнения бизнес-функций организаций БС РФ поставщикам услуг (целями аутсорсинга), как правило, являются:
- содействие оптимизации и повышению эффективности деятельности организации БС РФ;
- оптимизация затрат и повышение эффективности деятельности организаций БС РФ, в том числе связанных с выполнением непрофильных (вспомогательных) бизнес-функций;
- повышение прозрачности бизнеса для уточнения его стоимости при совершении сделок с акциями (долями);
- привлечение внешних специалистов, обладающих необходимой квалификацией, компетенцией, знаниями и опытом работы в областях, которые являются вспомогательными или непрофильными для организаций БС РФ;
- снижение зависимости от ресурсных ограничений, в первую очередь финансовых и кадровых, для выполнения вспомогательных или непрофильных бизнес-функций.
Одними из основных видов бизнес-функций, которые рассматриваются организациями БС РФ в качестве приоритетных для возможной передачи на аутсорсинг, являются:
- функции, связанные с применением информационных технологий, обслуживанием и администрированием средств вычислительной техники (далее - СВТ), серверного и телекоммуникационного оборудования, устройств самообслуживания, с разработкой программного обеспечения;
- административные функции, включая функции, связанные с финансовой деятельностью, функционалом back-офиса, call-центра, организационным и административным обеспечением;
- функции, связанные с хранением и обработкой информации, в том числе на внешних центрах обработки данных и облачных сервисах (облачных службах);
- функции обеспечения информационной безопасности (ИБ) организации БС РФ;
- административно-хозяйственные функции.
Несмотря на то что привлечение поставщиков услуг для аутсорсинга призвано способствовать повышению эффективности реализации бизнес-функций при сокращении затрат на их реализацию, в большинстве случаев передача выполнения бизнес-функций приводит к появлению новых рисков в деятельности организаций БС РФ, включая риски нарушения ИБ. Передача выполнения бизнес-функций на аутсорсинг не снимает обязанности и не переносит ответственности организаций БС РФ, включая вопросы обеспечения ИБ, предусмотренные законодательством РФ, в том числе нормативно-правовыми актами РФ, нормативными актами Банка России (далее при совместном упоминании - законодательство РФ).
Основными факторами нового риска нарушения ИБ при аутсорсинге являются:
- возникновение зависимости процессов обеспечения ИБ от деятельности поставщика услуг;
- возникновение зависимости устойчивости (непрерывности) выполнения бизнес-функций организации БС РФ от возможных сбоев и отказа объектов информационной инфраструктуры поставщика услуг в результате реализации угроз ИБ;
- недостаточный уровень организации поставщиком услуг систем обеспечения ИБ;
- неверная оценка ресурсов, возможностей (кадровых, финансовых, технических) и потенциала поставщика услуг, необходимых для выполнения взятых на себя обязательств по обеспечению ИБ при реализации бизнес-функций организаций БС РФ;
- наличие в соглашении об аутсорсинге положений, реализация которых приведет к возникновению ограничений в деятельности организаций БС РФ;
- возникновение зависимости выполнения бизнес-функций организации БС РФ от эффективности деятельности поставщика услуг и добросовестности выполнения соглашения об уровне услуг (SLA).
Указанные факторы порождают риск нарушения ИБ, к которому относятся следующие риски:
- риск бесконтрольного несанкционированного доступа к защищаемой информации при реализации бизнес-функций лицами, не являющимися работниками организаций БС РФ;
- риск несанкционированного проведения операций, имеющих финансовые последствия как для организаций БС РФ, так для их клиентов и контрагентов;
- риск потери контроля над реализацией и уровнем зрелости процессов обеспечения ИБ и как следствие - риск потери контроля над уровнем обеспечения ИБ и киберустойчивости [1];
- риск нарушения бесперебойности бизнес-функций;
- риск несоблюдения требований законодательства РФ в области обеспечения ИБ, в том числе в части обеспечения режимов защиты банковской тайны и персональных данных (ПДн).
Указанные риски нарушения ИБ могут реализоваться в виде инцидентов ИБ, имеющих значимые финансовые или репутационные последствия, например:
- прерывание организациями БС РФ предоставления финансовых услуг <1> на неприемлемый для организации период времени;
--------------------------------
<1> В частности, прерывание услуг по переводу денежных средств на период более двух часов или незавершение выполнения расчетов в течение рабочего дня.
- несанкционированные переводы денежных средств, в том числе в крупных объемах;
- несоблюдение требований законодательства РФ в области обработки информации ограниченного доступа [2], в том числе ПДн и информации, составляющей банковскую тайну, инсайдерскую информацию, коммерческую тайну и другие виды тайн (далее - защищаемая информация).
Организациям БС РФ необходимо учитывать, что в ряде случаев ущерб от реализации указанных рисков не может быть компенсирован поставщиком услуг в рамках заключенных договорных отношений. В частности, ущерб от несанкционированного перевода денежных средств может составлять остаток на корреспондентском счете организации БС РФ, открытом в расчетном центре платежной системы, который в ряде случаев сопоставим с капиталом организации БС РФ.
В связи с этим организациям БС РФ при привлечении для аутсорсинга поставщиков услуг следует обеспечить реализацию механизмов управления и контроля риска нарушения ИБ, создающую основу для обеспечения соответствия уровня риска нарушения ИБ при передаче бизнес-функций на аутсорсинг уровню риска, принятому самостоятельно организацией БС РФ.
Для достижения цели управления и контроля риска нарушения ИБ при аутсорсинге настоящий стандарт устанавливает базовые требования к управлению риском нарушения ИБ, включая требования:
- к содержанию задач и зоне ответственности руководства организаций БС РФ при реализации управления и контроля риска нарушения ИБ при аутсорсинге;
- к оценке риска нарушения ИБ при аутсорсинге существенных функций, в том числе при принятии решения о передаче бизнес-функций на аутсорсинг;
- к оценке возможности поставщика услуг обеспечить должный уровень ИБ при выполнении бизнес-функций и наличию внутренней компетенции организации БС РФ для проведения такого рода оценки;
- к содержанию соглашений о передаче выполнения бизнес-функций на аутсорсинг;
- к содержанию мероприятий по контролю обеспечения непрерывности деятельности поставщиком услуг при реализации бизнес-функций организаций БС РФ в части обеспечения ИБ;
- к содержанию мероприятий по постоянному мониторингу и контролю рисков нарушения ИБ при аутсорсинге;
- к составу и содержанию мероприятий по проведению периодического внешнего аудита обеспечения ИБ при аутсорсинге существенных функций;
- к организации аутсорсинга процессов обеспечения ИБ.