11. Мониторинг и контроль риска нарушения информационной безопасности при аутсорсинге существенных функций

11.1. Осуществление надлежащего мониторинга и контроля риска нарушения ИБ при аутсорсинге существенных функций входит в зону компетенции исполнительного органа организации БС РФ.

Для выполнения указанных функций исполнительный орган БС РФ должен обеспечить наличие регистра риска, содержащего:

- информацию обо всех соглашениях аутсорсинга существенных функций;

- показатели (метрики), характеризующие риск нарушения ИБ при аутсорсинге существенных функций, определенные в соответствии с разделом 7 настоящего стандарта. Показатели (метрики) должны рассматриваться исполнительным органом независимо для каждого заключенного соглашения об аутсорсинге;

- оценку значений показателей (метрик) риска нарушения ИБ, обновляемую в соответствии с установленной периодичностью, но не реже одного раза в год.

11.2. Исполнительный орган обязан организовать мониторинг следующих видов рисков:

- операционный риск, связанный с потерей (невозможностью) контроля обеспечения ИБ поставщиком услуг;

- операционный риск, связанный с возможностью прерывания деятельности в результате реализации угроз ИБ;

- операционный риск, связанный с реализацией инцидентов ИБ;

- операционный риск, связанный с возникновением зависимости от поставщика услуг.

Для выполнения мониторинга указанных видов рисков организацией БС РФ может быть рассмотрен подход, использованный в таблице 3.