Приложение 2. "Стандарт Банка России "Обеспечение информационной безопасности организаций банковской системы РФ. Управление риском нарушения информационной безопасности при аутсорсинге" СТО БР ИББС-1.4-2018" (принят и введен в действие Приказом Банка России от 06.03.2018 N ОД-568)

1. Вопросы организации защиты данных

- Как данные организации БС РФ, включая защищаемую информацию, отделены от данных других клиентов?

- Где хранятся данные организации БС РФ, включая защищаемую информацию?

- Как обеспечивается конфиденциальность и целостность данных организации БС РФ, включая защищаемую информацию?

- Как осуществляется контроль доступа к данным организации БС РФ, включая защищаемую информацию?

- Как защищаются данные организации БС РФ в процессе их передачи поставщику услуг?

- Как защищаются данные организации БС РФ в процессе их передачи между различными подразделениями поставщика услуг, в том числе в процессе их передачи между различными центрами обработки данных, включая облачные?

- Как защищаются данные организации БС РФ в процессе их передачи субподрядчикам поставщика услуг?

- Реализованы ли меры по контролю утечек данных организации БС РФ?

- Может ли третья сторона, в том числе правоохранительные органы, операторы связи, хостинг-провайдеры, получить доступ к данным организации БС РФ? Какие правила и механизмы доступа должны применяться?

- Все ли данные организации БС РФ уничтожаются по завершении договора на оказание услуг аутсорсинга?

2. Вопросы анализа защищенности

- Как часто проводится анализ защищенности сети и приложений поставщика услуг и его субподрядчиков?

- Может ли организация БС РФ провести собственный анализ защищенности поставщика услуг аутсорсинга? Какова процедура проведения анализа защищенности?

- Каков процесс устранения обнаруженных уязвимостей?

- Существуют ли результаты анализа защищенности инфраструктуры поставщика услуг со стороны третьих фирм?

3. Вопросы управления доступом

- Возможна ли интеграция с каталогом учетных записей организации БС РФ?

- Как осуществляется управление учетными записями в информационных системах поставщика услуг?

- Поддерживается ли Single Sign-On (SSO)? Какой стандарт применяется для реализации SSO?

- Поддерживается ли федеративная система аутентификации? Какой стандарт применяется?

4. Вопросы охраны и персонала

- В каком режиме обеспечивается контроль доступа на территорию поставщика услуг и его субподрядчиков (8 x 5 или 24 x 7)?

- Поставщик услуг и его субподрядчики пользуются выделенной инфраструктурой, включая помещения, или разделяют ее с другими организациями?

- Регистрируется ли доступ персонала поставщика услуг и субподрядчиков к данным, включая защищаемую информацию, организации БС РФ?

- Какова процедура набора персонала поставщиком услуг и его субподрядчиками?

5. Вопросы доступности и производительности

- Каков обеспечиваемый поставщиком услуг и его субподрядчиками уровень качества обслуживания (SLA)?

- Какие меры обеспечения доступности используются поставщиком услуг и его субподрядчиками (например, резервные каналы связи, защита от DDoS)?

- Какие инструменты контроля доступности инфраструктуры поставщика услуг предоставляются организации БС РФ?

- Существует ли у поставщика услуг план действий на время нарушения доступности инфраструктуры?

6. Вопросы безопасности приложений

- Существует ли у поставщика услуг процесс тестирования внешних приложений и исходного кода?

- Использует ли поставщик услуг или его субподрядчики приложения третьих фирм при оказании услуг аутсорсинга?

- Каковы используемые меры защиты приложений (например, WAF, защита БД)

- Внедрен ли поставщиком услуг и его субподрядчиками процесс безопасного программирования (SDLC) при разработке приложений?

7. Вопросы управления инцидентами

- Согласовано ли понятие инцидента ИБ и их перечень между организацией БС РФ и поставщиком услуг?

- Существует ли у поставщика услуг и его субподрядчиков план реагирования на инциденты?

- Каков процесс реагирования на инциденты?

8. Вопросы обеспечения сохранности защищаемой информации

- Какие данные собираются поставщиком услуг или его субподрядчиками об организации БС РФ? Где и как долго они хранятся?

- Каковы условия передачи данных организации БС РФ третьим лицам?

- Каковы гарантии поставщика услуг относительно нераскрытия защищаемой информации организации БС РФ третьим лицам и третьими лицами?

- Существует ли у поставщика услуг процесс обезличивания защищаемой информации и предоставления к ней доступа только авторизованному персоналу?

9. Вопросы обеспечения непрерывности бизнеса и восстановления после инцидентов ИБ

- Существует ли у поставщика услуг и его субподрядчиков план обеспечения непрерывности бизнеса и восстановления после катастроф?

- Существует ли у поставщика услуг и его субподрядчиков резервная инфраструктура, включая центр обработки данных?

- Проходил ли поставщик услуг внешний аудит по непрерывности бизнеса и восстановлению после катастроф?

10. Вопросы регистрации событий безопасности

- Как поставщиком услуг и его субподрядчиками обеспечивается регистрация событий безопасности и сбор доказательств по инцидентам ИБ?

- Как долго хранятся журналы регистрации событий? Какова периодичность ротации журналов регистрации? Возможно ли увеличение этого срока?

- Можно ли организовать хранение журналов регистрации событий во внешнем хранилище?

11. Вопросы соответствия требованиям

- Подчиняется ли поставщик услуг или его субподрядчики локальным, национальным или международным нормативным требованиям? Каким?

- Проходил ли поставщик услуг или его субподрядчики внешний аудит на требования обеспечения ИБ?

- Проводит ли поставщик услуг регулярную оценку рисков нарушения выполнения требований заказчиков, в том числе организации БС РФ?

- Внедрены ли средства контроля, обеспечивающие полное, точное и своевременное оказание услуг, снижающие выявленные риски?

12. Вопросы финансовых гарантий

- Существует ли компенсация в случае инцидента безопасности или нарушения соглашения о качестве обслуживания (SLA)?

13. Вопросы завершения договорных обязательств

- Какова процедура завершения договорных обязательств?

- Как осуществляется возврат защищаемой информации и в каком виде (формате)?

- В течение какого срока по окончании договорных обязательств поставщик услуг возвратит все данные организации БС РФ?

- Каков процесс уничтожения всех резервных и иных копий данных организации БС РФ?

14. Вопросы интеллектуальной собственности

- Кому принадлежат права на данные, переданные организацией БС РФ поставщику услуг? Кому принадлежат права на данные, полученные в процессе оказания услуг аутсорсинга организации БС РФ поставщиком услуг (в том числе журналы регистрации, резервные копии, репликации БД, базы инцидентов)?