12 декабря на очередном совещании ТК122 в ЦБ РФ было принято решение рекомендовать к введению в действие новый стандарт - СТО БР ИББС 1.4 "Управление риском нарушения ИБ при аутсорсинге". Это значит, что в начале следующего года он будет утвержден, и на него уже стоит ориентироваться при передаче отдельных процессов (и ИБ в том числе) на аутсорсинг.
"Положения настоящего стандарта имеют рекомендательный характер, если только в отношении отдельных положений обязательность их применения не установлена законодательством РФ."
О чем этот документ?
Документ разрабатывался несколько лет и много раз существенно изменялся. Так, первая редакция предполагала, что он будет только про аутсорсинг ИБ (как правильно использовать), но итоговая версия стала про необходимость оценивать новые риски ИБ, которые могут возникнуть при передаче процессов (не только ИБ) на аутсорсинг. Причем именно новые (или другие), само по себе использование аутсорсинга не говорит о том, что рисков будет больше или меньше (надо оценивать в каждом конкретном случае)...
Было:
"Настоящие рекомендации в области стандартизации Банка России распространяются на организации БС РФ, проводящие деятельность по построению и/или совершенствованию СОИБ в соответствии с требованиями СТО БР ИББС-1.0 и принявшие решение использовать услуги аутсорсинга ИБ."
Стало:
"Настоящий стандарт распространяется на организации БС РФ, передающие на постоянной (непрерывной) основе выполнение на длительный срок следующих бизнес-функций (процессов) сторонним (внешним) организациям – поставщикам услуг, в рамках которого возникает новый риск нарушения ИБ:
- при выполнении которых осуществляется обработка информации, защищаемой в соответствии с требованиями законодательства РФ, несанкционированный доступ к которой, раскрытие (распространение), несанкционированное (неавторизованное) изменение, уничтожение (потеря) и (или) хищение, создают условия для возникновения убытков организации БС РФ, ее клиентов или контрагентов, в том числе условия для совершения финансовых операций от имени клиентов;
- ненадлежащие выполнение которых поставщиком услуг создают условия для реализации или реализуют инциденты ИБ."
В итоге стандарт ориентируется именно на контроль рисков ИБ при аутсорсинге и заявляет следующую цель:
"Целью стандарта является установление требований к управлению и контролю риска нарушения ИБ при аутсорсинге, выполнение которых создает основу для обеспечения соответствия уровня риска нарушения ИБ, при передаче бизнес-функций на аутсорсинг, уровню риска нарушения ИБ, принятому самостоятельно организацией БС РФ, а также основу для уменьшения такого риска."
Одними из основных видов бизнес-функций, которые рассматриваются организациями БС РФ в качестве приоритетных для возможной передачи на аутсорсинг, определены:
- функции, связанные с применением информационных технологий, обслуживание и администрирование средств вычислительной техники (далее – СВТ), серверного и телекоммуникационного оборудования, устройств самообслуживания, разработкой программного обеспечения;
- операционные и административные функции, включая функции, связанные с финансовой деятельностью, функционалом back-офиса, call-центра, организационным и административным обеспечением;
- функции, связанные с хранением и обработкой информации, в том числе на внешних центрах обработки данных и облачных сервисах (облачных службах);
- функции обеспечения информационной безопасности (ИБ) организации БС РФ;
- административно-хозяйственные функции.
Да, ИБ - лишь один из вариантов, но при этом именно особенностям аутсорсинга ИБ отведена целая часть стандарта (п.12). С ней рекомендую ознакомиться в первую очередь.
Как относится ЦБ РФ к аутсорсингу?
"Основными причинами и целями передачи выполнения бизнес-функций организаций БС РФ поставщикам услуг (целями аутсорсинга), как правило, являются:
- содействие оптимизации и повышению эффективности деятельности организации БС РФ;
- оптимизация затрат и повышение эффективности деятельности организаций БС РФ, в том числе связанных с выполнением не профильных (вспомогательных) бизнес-функций;
- повышение «прозрачности» бизнеса с целью уточнения его стоимости при совершении сделок с его акциями (долями);
- привлечение внешних специалистов, обладающих необходимой квалификацией, компетенцией, знаниями и опытом работ в областях, которые являются вспомогательными или не профильными для организаций БС РФ;
- снижение зависимости от ресурсных ограничений, в первую очередь финансовых и кадровых, для выполнения вспомогательных или не профильных бизнес-функций."
"Несмотря на то что привлечение поставщиков услуг для аутсорсинга призвано способствовать повышению эффективности реализации бизнес-функций при сокращении затрат на их реализацию, в большинстве случаев передача выполнения бизнес-функций приводит к появлению новых рисков в деятельности организаций БС РФ, включая риски нарушения ИБ."
Какие требования устанавливает стандарт?
Для достижения цели управления и контроля риска нарушения ИБ при аутсорсинге, настоящий стандарт устанавливает базовые требования к управлению риском нарушения ИБ, включая требования:
- к содержанию задач и зоне ответственности руководства организаций БС РФ при реализации управления и контроля риска нарушения ИБ при аутсорсинге;
- к оценке риска нарушения ИБ при аутсорсинге существенных функций, в том числе при принятии решения о передаче бизнес-функций на аутсорсинг;
- к оценке возможности поставщика услуг обеспечить должный уровень ИБ при выполнении бизнес-функций, и наличию внутренней компетенции организации БС РФ для проведения такого рода оценки;
- к содержанию соглашений о передаче выполнения бизнес-функций на аутсорсинг;
- к содержанию мероприятий по контролю обеспечения непрерывности деятельности поставщиком услуг при реализации бизнес-функций организаций БС РФ, в части обеспечения ИБ;
- к содержанию мероприятий по постоянному мониторингу и контролю рисков нарушения ИБ при аутсорсинге;
- к составу и содержанию мероприятий по проведению периодического внешнего аудита обеспечения ИБ при аутсорсинге существенных функций;
- к организации аутсорсинга процессов обеспечения ИБ.
Это, пожалуй, основная вводная информация про новый стандарт. А чуть подробнее можно посмотреть в короткой презентации-обзоре, которую я подготовил (если у вас нет доступа к SlideShare, то можете ее посмотреть и скачать в группе ВК - https://vk.com/isms8020 ).
Итого: Если вы работает в финансовой организации и тема аутсорсинга вам близка (уже используете или собираетесь), то стоит, не дожидаясь утверждения документа, начинать разрабатывать Политику и Программу аутсорсинга, определять Критерии выбора провайдера услуг, Оценивать риски и пересматривать SLA. Задачи, на мой взгляд, не сложные, но потребуют больших трудозатрат хотя бы на внутреннее согласование и утверждение документов. Поэтому начинать желательно как можно раньше... Успехов!