Раздел Р. 9 СТО БР ИББС-1.4-2018 - Контроль соответствия

9. Требования к проведению оценки поставщика услуг при аутсорсинге существенных функций

9.1. Одним из основных элементов успешной реализации управления риском нарушения ИБ при аутсорсинге существенных функций является всесторонняя оценка потенциала поставщика услуг выполнить свои обязательства в соответствии с требованиями по управлению риском нарушения ИБ, применяемыми организацией БС РФ.
Оценку поставщика услуг рекомендуется проводить перед заключением с ним соглашения об аутсор‑ синге, а также на периодической (регулярной) основе.

9.2. Основными целями оценки поставщика услуг являются:

оценка ресурсов, потенциала и возможностей поставщика услуг обеспечить необходимый уровень ИБ при выполнении своих обязательств в рамках заключенного соглашения;
оценка опыта и репутации поставщика услуг;
оценка показателей деятельности поставщика услуг на основе метрик СВР, принятых организацией БС РФ для контроля и мониторинга риска нарушения ИБ при аутсорсинге существенных функций;
оценка возможностей поставщика услуг обеспечивать выполнение обязательств организации БС РФ перед клиентами и контрагентами, а также Банком России и уполномоченными органами исполнительной власти в рамках выполнения надзорных (контрольных) мероприятий в области защиты информации, как если бы бизнес-функции, переданные на аутсорсинг, выполнялись самостоятельно организацией БС РФ.

9.3. При оценке ресурсов, потенциала и возможностей поставщика услуг организации БС РФ необходимо учитывать следующие показатели:

финансовое состояние поставщика услуг, наличие финансовых ресурсов, необходимых и достаточных для обеспечения ИБ при предоставлении организации БС РФ услуг аутсорсинга на протяжении всего срока действия соглашения. Для оценки финансового состояния поставщика услуг организацией БС РФ могут использоваться методы, аналогичные применяемым при оценке финансового состояния и потенциала кредиторов и иных контрагентов в организации БС РФ, результаты анализа или аудита финансового состояния (отчетности);

наличие в штате поставщика услуг персонала в необходимом количестве и с достаточной квалификацией, реализация поставщиком услуг программ повышения квалификации персонала и реализации проведения аттестации персонала в соответствии с применимыми отечественными и международными системами аттестации (см. Приложение 1);
наличие у поставщика услуг системы обеспечения ИБ;
реализация политики обеспечения доверия к персоналу, которая должна соответствовать политике обеспечения доверия к персоналу, применяемой в организации БС РФ. В составе реализации такой политики необходимо рассматривать:
- определение, выполнение и регистрацию процедуры контроля деятельности работников, обладающих совокупностью полномочий, определяемых их ролями, позволяющими получить доступ к защищаемой информации организации БС РФ;
- определение, выполнение и регистрацию процедуры приема на работу, реализующие принцип “знать своего работника”, включающие проверку подлинности предоставленных документов, заявляемой квалификации, точности и полноты биографических фактов, а также проверку в части профессиональных навыков и оценку профессиональной пригодности;
- получение письменного обязательства работников поставщика услуг о соблюдении конфиденциальности, приверженности правилам корпоративной этики, включая требования по недопущению конфликта интересов;
- включение обязанности персонала поставщика услуг по выполнению требований к обеспечению ИБ, обработке ПДн, обеспечению сохранности защищаемой информации в трудовые контракты (соглашения, договоры) и (или) должностные инструкции;
наличие у поставщика услуг необходимых лицензий, предусмотренных законодательством о лицензировании отдельных видов деятельности;
показатели, характеризующие политику аутсорсинга поставщика услуг в части обеспечения ИБ.

Для оценки политики поставщика услуг может быть рекомендован перечень вопросов, представленный в Приложении 2.

9.4. В составе метрик СВР, характеризующих деятельность поставщика услуг, могут использоваться следующие:

оценка уровня защиты информации, реализованного поставщиком услуг в соответствии с требованием законодательства РФ (в том числе в соответствии с ГОСТ 57580.1-2017);
оценка уровня соблюдения требования к непрерывности предоставления финансовых услуг, реализованного поставщиком услуг;
оценка потенциала организации БС РФ обеспечить контроль уровня обеспечения ИБ после заключения соглашения с поставщиком услуг;
наличие у поставщика услуг необходимого технического и (или) технологического обеспечения.

9.5. Важным фактором при выборе поставщика услуг является оценка его репутации:

наличие положительной деловой репутации в области выполнения аутсорсинга существенных функций для организаций БС РФ;
наличие опыта разработки, реализации и поддержки решений по аутсорсингу существенных функций;
наличие известных инцидентов ИБ.

9.6. При оценке возможности поставщика услуг обеспечить выполнение обязательств организации БС РФ следует рассмотреть следующие показатели:

соблюдение требований к обеспечению ИБ, установленных для организации БС РФ законодательством РФ по защите информации (в том числе в соответствии с ГОСТ 57580.1-2017);
возможность получения информации, необходимой для предоставления Банку России и уполномоченным органам исполнительной власти в рамках выполнения надзорных (контрольных) мероприятий в области защиты информации;
возможность осуществления организацией БС РФ деятельности по мониторингу и контролю риска на‑ рушения ИБ;
возможность организации БС РФ получать информацию о результатах проведения внешних аудитов обеспечения ИБ и внешних аудитов обеспечения непрерывности деятельности.

9.7. Организация БС РФ может выполнить оценку поставщика услуг следующими способами:

самостоятельно работниками организации БС РФ;
с привлечением аудиторской или консалтинговой организации (независимой от поставщика услуг), обладающей необходимым опытом и компетенцией для проведения оценки поставщика услуг.

9.8. В качестве основного фактора при оценке поставщика услуг организацией БС РФ следует рассматривать соблюдение законодательства РФ в области трансграничной передачи защищаемой информации в соответствии с положением пункта 6.9 настоящего стандарта.

9.9. В качестве дополнительного фактора при оценке поставщика услуг организацией БС РФ следует рассматривать:

зависимость деятельности поставщика услуг от субподрядчиков;
результаты взаимодействия поставщика услуг с субподрядчиками;
наличие у поставщика услуг страхования рисков, связанных с эксплуатацией его информационной инфраструктуры.

9.10. Организации БС РФ, выполняющей функции оператора по переводу денежных средств, признанной Банком России значимой на рынке платежных услуг, рекомендуется заранее уведомлять ФинЦЕРТ Банка России (info_fincert@cbr.ru) о планируемой передаче выполнения существенных функций на аутсорсинг.

9.11. Оценка поставщика услуг должна носить периодический характер и входить в состав мониторинга и контроля риска нарушения ИБ при аутсорсинге существенных функций, установленный разделом 11 настоящего стандарта. Оценку поставщика услуг рекомендуется проводить не реже одного раза в два года. Конкретные интервалы проведения оценки организация БС РФ определяет самостоятельно.

Стандарт Банка России № СТО БР ИББС-1.4-2018 от 01.07.2018

Управление риском нарушения информационной безопасности при аутсорсинге

Р. 9

Список требований