Куда я попал?
Стандарт Банка России № СТО БР ИББС-1.4-2018 от 01.07.2018
Управление риском нарушения информационной безопасности при аутсорсинге
Р. 6 п. 6
Для проведения оценки соответствия по документу войдите в систему.
Список требований
-
6.6. Основное требование 5. Организации БС РФ следует привлекать поставщиков услуг для аутсорсинга существенных функций только после принятия поставщиком услуг всех необходимых мер по обеспечению ИБ и заключения соглашения, определяющего детальные условия и разграничение ответственности по обеспечению ИБ.Детализация условий по обеспечению ИБ в соглашении должна обеспечивать возможность проведения оперативных мероприятий по мониторингу и контролю со стороны организации БС РФ деятельности поставщика услуг в части обеспечения ИБ.Детальные требования к содержанию соглашения об аутсорсинге существенных функций установлены в разделе 9 настоящего стандарта, а примерный перечень вопросов, которые могут использоваться для оценки поставщика услуг в части обеспечения ИБ, приведен в Приложении 2.При заключении соглашения с поставщиками услуг на осуществление аутсорсинга существенных функций организации БС РФ следует обеспечить наличие следующих условий по обеспечению ИБ:
- обязанность поставщика услуг обеспечить соблюдение требований к защите информации, установленных для организации БС РФ, в том числе требований, установленных в рамках законодательства о национальной платежной системе, а также в области защиты персональных данных;
- составление перечня защищаемой информации, передаваемой на обработку и (или) хранение поставщику услуг;
- разграничение ответственности между организацией БС РФ и поставщиком услуг в части обеспечения ИБ;
- наличие у поставщика услуг лицензий по оказываемым видам деятельности в соответствии с законодательством о лицензировании отдельных видов деятельности;
- наличие у поставщика услуг, связанных с обработкой данных платежных карт, свидетельства о соответствии требованиям стандарта PCI DSS;
- сохранение права организации БС РФ на контроль выполнения организацией БС РФ самостоятельно или с привлечением внешнего аудитора, определяемого организацией БС РФ, условий соглашения в части выполнения обязанностей по обеспечению ИБ, соблюдение порядка и (или) процедуры выполнения указанного контроля;
- обязанность поставщиков услуг уведомлять организации БС РФ об инцидентах, связанных с обеспечением ИБ, соблюдение порядка и (или) процедуры выполнения указанного уведомления.
Похожие требования
ГОСТ Р № 57580.3-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения.":
ЗИУ.11.1
ЗИУ.11.1 Определение критериев, в том числе основанных на законодательстве о лицензировании отдельных видов деятельности, для оценки способностей, ресурсов и возможностей поставщика услуг обеспечить соблюдение принятых финансовой организацией сигнальных и контрольных значений КПУР;
Положение Банка России № 719-П от 04.06.2020 "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств":
Глава 2 п. 6
2.6. Операторы по переводу денежных средств должны установить порядок их информирования привлекаемыми ими банковскими платежными агентами (субагентами), операторами услуг информационного обмена о выявленных инцидентах защиты информации. Операторы по переводу денежных средств по запросу Банка России должны направлять в Банк России сведения об инцидентах защиты информации, полученные от привлекаемых ими банковских платежных агентов (субагентов), операторов услуг информационного обмена.
SWIFT Customer Security Controls Framework v2022:
2 - 2.8A Critical Activity Outsourcing
2.8A Critical Activity Outsourcing
Положение Банка России № 757-П от 20.04.2021 "Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций":
1.5.1.
1.5.1. Оценка соответствия уровня защиты информации должна осуществляться некредитными финансовыми организациями с привлечением сторонних организаций, имеющих лицензию на проведение работ и услуг, предусмотренных подпунктами "б", "д" или "е" пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 года N 79 "О лицензировании деятельности по технической защите конфиденциальной информации" (далее - проверяющая организация).
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.