7.1. Аутсорсинг существенных функций организации БС РФ должен сопровождаться оценкой, надлежащим управлением и контролем организации БС РФ в отношении риска нарушения ИБ, реализуемыми в соответствии с политикой аутсорсинга.
7.2. Реализация организацией БС РФ программы аутсорсинга должна предусматривать следующие мероприятия:
- идентификация потенциального риска нарушения ИБ при аутсорсинге существенных функций, в том числе из видов риска, определенных в разделе 5 настоящего стандарта;
- оценка потенциального риска нарушения ИБ при аутсорсинге существенных функций;
- принятие решения о возможности аутсорсинга на основе результатов оценки риска нарушения ИБ;
- реализация последующего постоянного мониторинга и контроля уровня риска нарушения ИБ.
Ключевым фактором для реализации программ аутсорсинга является оценка потенциального риска нарушения ИБ, а также обеспечение возможности последующего мониторинга и контроля его уровня.
Идентификацию риска нарушения ИБ следует проводить на основе анализа состава бизнес-функций, планируемых к передаче на аутсорсинг, а также на основе анализа факторов нового риска нарушения ИБ, определенных в разделе 5 настоящего стандарта.
7.3. Для оценки потенциального риска нарушения ИБ и обеспечения возможности мониторинга и контроля его уровня организации БС РФ следует определить состав и проводить оценку (в том числе периодическую) показателей (метрик), характеризующих:
- степень возможности реализации риска нарушения ИБ (далее - СВР) в результате наличия факторов нового риска, приведенного в разделе 5 настоящего стандарта;
- степень тяжести последствий от реализации риска нарушения ИБ (далее - СТП) для реализации бизнес-функций организации БС РФ, переданных на аутсорсинг.
7.4. В качестве показателей (метрик), характеризующих СВР, организации БС РФ рекомендуется (среди прочих) рассмотреть использование следующих:
- оценка соблюдения требований законодательства РФ в области:
- обеспечения защиты информации, обработки ПДн и информации, содержащей банковскую тайну;
- обеспечения непрерывности предоставления финансовых услуг;
- обеспечения возможности организации БС РФ предоставить необходимую и достоверную информацию в рамках выполнения Банком России и уполномоченными органами исполнительной власти их надзорных (контрольных) функций;
- характеристика достижения целей обеспечения ИБ организации БС РФ;
- характеристика потенциала организации БС РФ, необходимого для контроля риска нарушения ИБ при аутсорсинге существенных функций;
- характеристика, определяющая требования к непрерывности предоставления финансовых услуг;
- характеристика, определяющая необходимый уровень защиты информации в соответствии с требованиями, установленными законодательством РФ;
- характеристика, определяющая наличие и функциональность системы обеспечения ИБ поставщика услуг;
- характеристика потенциала организации БС РФ, необходимого для обеспечения ИБ существенных функций после прекращения действия соглашения с поставщиком услуг или в случае отказа поставщика услуг от выполнения своих обязательств.
7.5. В качестве показателей (метрик), характеризующих СТП, организации БС РФ следует (среди прочих) рассмотреть использование следующих:
- общая сумма операций по переводу денежных средств, включая электронные денежные средства, осуществляемых через организацию БС РФ с использованием электронных технологий, связанных с бизнес-функцией, переданной на аутсорсинг;
- среднеквартальный остаток денежных средств, находящихся на корреспондентских счетах организации БС РФ, открытых в расчетных центрах платежных систем, в том числе в платежной системе Банка России;
- характеристика, определяющая уровень операционных расходов:
- операционные расходы (убытки) организации БС РФ, связанные с нарушением непрерывности предоставления финансовых услуг в результате НСД к ее информационной инфраструктуре или информационной инфраструктуре поставщика услуг;
- операционные расходы (убытки), связанные с совершением операций, имеющих финансовые последствия, в том числе переводов денежных средств, лицами, не обладающими соответствующими правами;
- операционные расходы (убытки) организации БС РФ в результате НСД к объектам ее информационной инфраструктуры, используемой для осуществления переводов денежных средств, или в результате использования электронных средств платежа без согласия клиентов;
- неприемлемые финансовые затраты организации БС РФ в случае отказа поставщика услуг от своих обязательств;
- невозможность организовать должный уровень обеспечения ИБ в случае необходимости возврата выполнения существенных функций в течение периода времени, приемлемого для организации БС РФ.
7.6. В качестве источников данных для показателя СВР могут быть использованы следующие оценки:
- собственная (экспертная) оценка организации БС РФ, выполненная ее работниками, обладающими необходимыми знаниями, опытом и компетенцией;
- оценка, выполненная аудиторской или консалтинговой организацией (независимой от поставщика услуг), обладающей необходимым опытом и компетенцией;
- оценка, выполненная на основе результатов проведения поставщиком услуг внешнего независимого аудита на соответствие применимым документам в области стандартизации, в первую очередь национальным стандартам РФ, разрабатываемым Банком России, отраслевым стандартам Банка России или иным применимым национальным стандартам РФ и международным стандартам, гармонизированным в установленном порядке в РФ (в том числе в соответствии с ГОСТ 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый набор организационных и технических мер" [17]).
7.7. Организации БС РФ следует выбирать те источники данных для оценки показателей СВР и СТП, которые смогут обеспечить наиболее достоверную и полную информацию для оценки риска нарушения ИБ при аутсорсинге существенных функций.
Выбор указанных показателей и источников их получения должен обеспечить возможность оценки наличия правовой возможности и экономической целесообразности при принятии решения об аутсорсинге существенных функций, а также возможности осуществления деятельности по должному мониторингу и контролю риска нарушения ИБ при аутсорсинге существенных функций.
Организации БС РФ следует учитывать, что определение показателей (факторов), характеризующих СВР и СТП, является ключевым элементом оценки, управления и контроля в отношении риска нарушения ИБ.
В качестве основы для выработки подходов к оценке риска нарушения ИБ может быть рекомендован подход, определенный в таблице 2.
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2023 год
- МРОТ 2024
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2024 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2024 год
- Частичная мобилизация: обзор новостей