Куда я попал?
Стандарт Банка России № СТО БР ИББС-1.4-2018 от 01.07.2018
Управление риском нарушения информационной безопасности при аутсорсинге
Обеспечение информационной безопасности организаций банковской системы Российской Федерации
Для проведения оценки соответствия по документу войдите в систему.
Для оценки соответствия
- авторизуйтесь
- авторизуйтесь
Планируемый уровень
Текущий уровень
Группы областей
43
%
Входящая логистика
72
%
Создание продукта
93
%
Исходящая логистика
81
%
Маркетинг, продажа
94
%
Обслуживание клиента
61
%
Инфраструктура
57
%
HR-менеджмент
58
%
Технологии
55
%
Закупки / Снабжение
36
%
Опыт клиента
Список требований
-
5.2. При аутсорсинге существенных функций факторы, указанные в пункте 5.1 настоящего стандарта, создают новый риск нарушения ИБ, который должен управляться и контролироваться организацией БС РФ.Основные виды риска нарушения ИБ организаций БС РФ, связанные с аутсорсингом существенных функций, и возможные последствия от его реализации приведены в таблице 1.
-
6.4. Основное требование 3. Организация БС РФ должна обеспечить выполнение своих обязательств перед клиентами и контрагентами, а также возможность проведения эффективного контроля выполнения требований в области защиты информации со стороны Банка России и уполномоченных органов исполнительной власти в рамках выполнения надзорных (контрольных) мероприятий в области защиты информации.Организации БС РФ рекомендуется реализовать:
- регламентацию и применение организационных мер и технических средств, реализующих контроль доступа работников поставщика услуг и иных лиц к защищаемой информации, а также информационным (автоматизированным) обрабатывающим ее системам;
- обязательное сохранение за организацией БС РФ функций управления предоставлением доступа к защищаемой информации, а при технической невозможности (например, при использовании облачных вычислений по модели SaaS) - контроль выполнения функций по управлению предоставлением доступа к защищаемой информации поставщиком услуг.
Привлечение поставщиков услуг для выполнения работ не должно оказывать влияния на законодательно закрепленные права клиентов по отношению к организации БС РФ, включая право на возврат денежных средств при использовании электронного средства платежа без согласия клиента, установленное статьей 9 Федерального закона от 27 июня 2011 года N 161-ФЗ "О национальной платежной системе". -
6.6. Основное требование 5. Организации БС РФ следует привлекать поставщиков услуг для аутсорсинга существенных функций только после принятия поставщиком услуг всех необходимых мер по обеспечению ИБ и заключения соглашения, определяющего детальные условия и разграничение ответственности по обеспечению ИБ.Детализация условий по обеспечению ИБ в соглашении должна обеспечивать возможность проведения оперативных мероприятий по мониторингу и контролю со стороны организации БС РФ деятельности поставщика услуг в части обеспечения ИБ.Детальные требования к содержанию соглашения об аутсорсинге существенных функций установлены в разделе 9 настоящего стандарта, а примерный перечень вопросов, которые могут использоваться для оценки поставщика услуг в части обеспечения ИБ, приведен в Приложении 2.При заключении соглашения с поставщиками услуг на осуществление аутсорсинга существенных функций организации БС РФ следует обеспечить наличие следующих условий по обеспечению ИБ:
- обязанность поставщика услуг обеспечить соблюдение требований к защите информации, установленных для организации БС РФ, в том числе требований, установленных в рамках законодательства о национальной платежной системе, а также в области защиты персональных данных;
- составление перечня защищаемой информации, передаваемой на обработку и (или) хранение поставщику услуг;
- разграничение ответственности между организацией БС РФ и поставщиком услуг в части обеспечения ИБ;
- наличие у поставщика услуг лицензий по оказываемым видам деятельности в соответствии с законодательством о лицензировании отдельных видов деятельности;
- наличие у поставщика услуг, связанных с обработкой данных платежных карт, свидетельства о соответствии требованиям стандарта PCI DSS;
- сохранение права организации БС РФ на контроль выполнения организацией БС РФ самостоятельно или с привлечением внешнего аудитора, определяемого организацией БС РФ, условий соглашения в части выполнения обязанностей по обеспечению ИБ, соблюдение порядка и (или) процедуры выполнения указанного контроля;
- обязанность поставщиков услуг уведомлять организации БС РФ об инцидентах, связанных с обеспечением ИБ, соблюдение порядка и (или) процедуры выполнения указанного уведомления.
-
7.4. В качестве показателей (метрик), характеризующих СВР, организации БС РФ рекомендуется (среди прочих) рассмотреть использование следующих:
- оценка соблюдения требований законодательства РФ в области:
- обеспечения защиты информации, обработки ПДн и информации, содержащей банковскую тайну;
- обеспечения непрерывности предоставления финансовых услуг; обеспечения возможности организации БС РФ предоставить необходимую и достоверную информацию в рамках выполнения Банком России и уполномоченными органами исполнительной власти их надзорных (контрольных) функций;
- характеристика достижения целей обеспечения ИБ организации БС РФ;
- характеристика потенциала организации БС РФ, необходимого для контроля риска нарушения ИБ при аутсорсинге существенных функций;
- характеристика, определяющая требования к непрерывности предоставления финансовых услуг;
- характеристика, определяющая необходимый уровень защиты информации в соответствии с требованиями, установленными законодательством РФ;
- характеристика, определяющая наличие и функциональность системы обеспечения ИБ поставщика услуг;
- характеристика потенциала организации БС РФ, необходимого для обеспечения ИБ существенных функций после прекращения действия соглашения с поставщиком услуг или в случае отказа поставщика услуг от выполнения своих обязательств.
7.5. В качестве показателей (метрик), характеризующих СТП, организации БС РФ следует (среди прочих) рассмотреть использование следующих:- общая сумма операций по переводу денежных средств, включая электронные денежные средства, осуществляемых через организацию БС РФ с использованием электронных технологий, связанных с бизнес-функцией, переданной на аутсорсинг;
- среднеквартальный остаток денежных средств, находящихся на корреспондентских счетах организации БС РФ, открытых в расчетных центрах платежных систем, в том числе в платежной системе Банка России;
- характеристика, определяющая уровень операционных расходов:
- операционные расходы (убытки) организации БС РФ, связанные с нарушением непрерывности предоставления финансовых услуг в результате НСД к ее информационной инфраструктуре или информационной инфраструктуре поставщика услуг;
- операционные расходы (убытки), связанные с совершением операций, имеющих финансовые последствия, в том числе переводов денежных средств, лицами, не обладающими соответствующими правами;
- операционные расходы (убытки) организации БС РФ в результате НСД к объектам ее информационной инфраструктуры, используемой для осуществления переводов денежных средств, или в результате использования электронных средств платежа без согласия клиентов;
- неприемлемые финансовые затраты организации БС РФ в случае отказа поставщика услуг от своих обязательств;
- невозможность организовать должный уровень обеспечения ИБ в случае необходимости возврата выполнения существенных функций в течение периода времени, приемлемого для организации БС РФ.
7.6. В качестве источников данных для показателя СВР могут быть использованы следующие оценки:- собственная (экспертная) оценка организации БС РФ, выполненная ее работниками, обладающими необходимыми знаниями, опытом и компетенцией;
- оценка, выполненная аудиторской или консалтинговой организацией (независимой от поставщика услуг), обладающей необходимым опытом и компетенцией;
- оценка, выполненная на основе результатов проведения поставщиком услуг внешнего независимого аудита на соответствие применимым документам в области стандартизации, в первую очередь национальным стандартам РФ, разрабатываемым Банком России, отраслевым стандартам Банка России или иным применимым национальным стандартам РФ и международным стандартам, гармонизированным в установленном порядке в РФ (в том числе в соответствии с ГОСТ 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый набор организационных и технических мер").
7.7. Организации БС РФ следует выбирать те источники данных для оценки показателей СВР и СТП, которые смогут обеспечить наиболее достоверную и полную информацию для оценки риска нарушения ИБ при аутсорсинге существенных функций.Выбор указанных показателей и источников их получения должен обеспечить возможность оценки наличия правовой возможности и экономической целесообразности при принятии решения об аутсорсинге существенных функций, а также возможности осуществления деятельности по должному мониторингу и контролю риска нарушения ИБ при аутсорсинге существенных функций.Организации БС РФ следует учитывать, что определение показателей (факторов), характеризующих СВР и СТП, является ключевым элементом оценки, управления и контроля в отношении риска нарушения ИБ.В качестве основы для выработки подходов к оценке риска нарушения ИБ может быть рекомендован подход, определенный в таблице 2. - оценка соблюдения требований законодательства РФ в области:
-
9.3. При оценке ресурсов, потенциала и возможностей поставщика услуг организации БС РФ необходимо учитывать следующие показатели:
- финансовое состояние поставщика услуг, наличие финансовых ресурсов, необходимых и достаточных для обеспечения ИБ при предоставлении организации БС РФ услуг аутсорсинга на протяжении всего срока действия соглашения. Для оценки финансового состояния поставщика услуг организацией БС РФ могут использоваться методы, аналогичные применяемым при оценке финансового состояния и потенциала кредиторов и иных контрагентов в организации БС РФ, результаты анализа или аудита финансового состояния (отчетности);
- наличие в штате поставщика услуг персонала в необходимом количестве и с достаточной квалификацией, реализация поставщиком услуг программ повышения квалификации персонала и реализации проведения аттестации персонала в соответствии с применимыми отечественными и международными системами аттестации (см. Приложение 1);
- наличие у поставщика услуг системы обеспечения ИБ;
- реализация политики обеспечения доверия к персоналу, которая должна соответствовать политике обеспечения доверия к персоналу, применяемой в организации БС РФ. В составе реализации такой политики необходимо рассматривать:
- определение, выполнение и регистрацию процедуры контроля деятельности работников, обладающих совокупностью полномочий, определяемых их ролями, позволяющими получить доступ к защищаемой информации организации БС РФ;
- определение, выполнение и регистрацию процедуры приема на работу, реализующие принцип “знать своего работника”, включающие проверку подлинности предоставленных документов, заявляемой квалификации, точности и полноты биографических фактов, а также проверку в части профессиональных навыков и оценку профессиональной пригодности;
- получение письменного обязательства работников поставщика услуг о соблюдении конфиденциальности, приверженности правилам корпоративной этики, включая требования по недопущению конфликта интересов;
- включение обязанности персонала поставщика услуг по выполнению требований к обеспечению ИБ, обработке ПДн, обеспечению сохранности защищаемой информации в трудовые контракты (соглашения, договоры) и (или) должностные инструкции;
- наличие у поставщика услуг необходимых лицензий, предусмотренных законодательством о лицензировании отдельных видов деятельности;
- показатели, характеризующие политику аутсорсинга поставщика услуг в части обеспечения ИБ.
Для оценки политики поставщика услуг может быть рекомендован перечень вопросов, представленный в Приложении 2.
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.