СТАНДАРТ БАНКА РОССИИ
СТО БР ИББС-1.4-2018
Обеспечение информационной безопасности организаций банковской системы Российской Федерации
Управление риском нарушения информационной безопасности при аутсорсинге
Дата введения: 2018-07-01
ПРИНЯТ И ВВЕДЕН в действие приказом Банка России от 6 марта 2018 года N ОД-568.
Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Банка России.
В настоящее время в деятельности отдельных организаций банковской системы (БС) Российской Федерации (РФ) отмечается тенденция и экономическая потребность на передачу выполнения отдельных собственных бизнес-функций на основании договорных отношений сторонним (внешним) организациям, специализирующимся на предоставлении соответствующих услуг, - поставщикам услуг.
Основными причинами и целями передачи выполнения бизнес-функций организаций БС РФ поставщикам услуг (целями аутсорсинга), как правило, являются:
- содействие оптимизации и повышению эффективности деятельности организации БС РФ;
- оптимизация затрат и повышение эффективности деятельности организаций БС РФ, в том числе связанных с выполнением непрофильных (вспомогательных) бизнес-функций;
- повышение прозрачности бизнеса для уточнения его стоимости при совершении сделок с акциями (долями);
- привлечение внешних специалистов, обладающих необходимой квалификацией, компетенцией, знаниями и опытом работы в областях, которые являются вспомогательными или непрофильными для организаций БС РФ;
- снижение зависимости от ресурсных ограничений, в первую очередь финансовых и кадровых, для выполнения вспомогательных или непрофильных бизнес-функций.
Одними из основных видов бизнес-функций, которые рассматриваются организациями БС РФ в качестве приоритетных для возможной передачи на аутсорсинг, являются:
- функции, связанные с применением информационных технологий, обслуживанием и администрированием средств вычислительной техники (далее - СВТ), серверного и телекоммуникационного оборудования, устройств самообслуживания, с разработкой программного обеспечения;
- административные функции, включая функции, связанные с финансовой деятельностью, функционалом back-офиса, call-центра, организационным и административным обеспечением;
- функции, связанные с хранением и обработкой информации, в том числе на внешних центрах обработки данных и облачных сервисах (облачных службах);
- функции обеспечения информационной безопасности (ИБ) организации БС РФ;
- административно-хозяйственные функции.
Несмотря на то что привлечение поставщиков услуг для аутсорсинга призвано способствовать повышению эффективности реализации бизнес-функций при сокращении затрат на их реализацию, в большинстве случаев передача выполнения бизнес-функций приводит к появлению новых рисков в деятельности организаций БС РФ, включая риски нарушения ИБ. Передача выполнения бизнес-функций на аутсорсинг не снимает обязанности и не переносит ответственности организаций БС РФ, включая вопросы обеспечения ИБ, предусмотренные законодательством РФ, в том числе нормативно-правовыми актами РФ, нормативными актами Банка России (далее при совместном упоминании - законодательство РФ).
Основными факторами нового риска нарушения ИБ при аутсорсинге являются:
- возникновение зависимости процессов обеспечения ИБ от деятельности поставщика услуг;
- возникновение зависимости устойчивости (непрерывности) выполнения бизнес-функций организации БС РФ от возможных сбоев и отказа объектов информационной инфраструктуры поставщика услуг в результате реализации угроз ИБ;
- недостаточный уровень организации поставщиком услуг систем обеспечения ИБ;
- неверная оценка ресурсов, возможностей (кадровых, финансовых, технических) и потенциала поставщика услуг, необходимых для выполнения взятых на себя обязательств по обеспечению ИБ при реализации бизнес-функций организаций БС РФ;
- наличие в соглашении об аутсорсинге положений, реализация которых приведет к возникновению ограничений в деятельности организаций БС РФ;
- возникновение зависимости выполнения бизнес-функций организации БС РФ от эффективности деятельности поставщика услуг и добросовестности выполнения соглашения об уровне услуг (SLA).
Указанные факторы порождают риск нарушения ИБ, к которому относятся следующие риски:
- риск бесконтрольного несанкционированного доступа к защищаемой информации при реализации бизнес-функций лицами, не являющимися работниками организаций БС РФ;
- риск несанкционированного проведения операций, имеющих финансовые последствия как для организаций БС РФ, так для их клиентов и контрагентов;
- риск потери контроля над реализацией и уровнем зрелости процессов обеспечения ИБ и как следствие - риск потери контроля над уровнем обеспечения ИБ и киберустойчивости [1];
- риск нарушения бесперебойности бизнес-функций;
- риск несоблюдения требований законодательства РФ в области обеспечения ИБ, в том числе в части обеспечения режимов защиты банковской тайны и персональных данных (ПДн).
Указанные риски нарушения ИБ могут реализоваться в виде инцидентов ИБ, имеющих значимые финансовые или репутационные последствия, например:
- прерывание организациями БС РФ предоставления финансовых услуг на неприемлемый для организации период времени;
________________
В частности, прерывание услуг по переводу денежных средств на период более двух часов или незавершение выполнения расчетов в течение рабочего дня.
- несанкционированные переводы денежных средств, в том числе в крупных объемах;
- несоблюдение требований законодательства РФ в области обработки информации ограниченного доступа [2], в том числе ПДн и информации, составляющей банковскую тайну, инсайдерскую информацию, коммерческую тайну и другие виды тайн (далее - защищаемая информация).
Организациям БС РФ необходимо учитывать, что в ряде случаев ущерб от реализации указанных рисков не может быть компенсирован поставщиком услуг в рамках заключенных договорных отношений. В частности, ущерб от несанкционированного перевода денежных средств может составлять остаток на корреспондентском счете организации БС РФ, открытом в расчетном центре платежной системы, который в ряде случаев сопоставим с капиталом организации БС РФ.
В связи с этим организациям БС РФ при привлечении для аутсорсинга поставщиков услуг следует обеспечить реализацию механизмов управления и контроля риска нарушения ИБ, создающую основу для обеспечения соответствия уровня риска нарушения ИБ при передаче бизнес-функций на аутсорсинг уровню риска, принятому самостоятельно организацией БС РФ.
Для достижения цели управления и контроля риска нарушения ИБ при аутсорсинге настоящий стандарт устанавливает базовые требования к управлению риском нарушения ИБ, включая требования:
- к содержанию задач и зоне ответственности руководства организаций БС РФ при реализации управления и контроля риска нарушения ИБ при аутсорсинге;
- к оценке риска нарушения ИБ при аутсорсинге существенных функций, в том числе при принятии решения о передаче бизнес-функций на аутсорсинг;
- к оценке возможности поставщика услуг обеспечить должный уровень ИБ при выполнении бизнес-функций и наличию внутренней компетенции организации БС РФ для проведения такого рода оценки;
- к содержанию соглашений о передаче выполнения бизнес-функций на аутсорсинг;
- к содержанию мероприятий по контролю обеспечения непрерывности деятельности поставщиком услуг при реализации бизнес-функций организаций БС РФ в части обеспечения ИБ;
- к содержанию мероприятий по постоянному мониторингу и контролю рисков нарушения ИБ при аутсорсинге;
- к составу и содержанию мероприятий по проведению периодического внешнего аудита обеспечения ИБ при аутсорсинге существенных функций;
- к организации аутсорсинга процессов обеспечения ИБ.
Настоящий стандарт распространяется на организации БС РФ, передающие на постоянной (непрерывной) основе на длительный срок выполнение следующих бизнес-функций (процессов) сторонним (внешним) организациям - поставщикам услуг, в рамках которых возникает новый риск нарушения ИБ:
- при выполнении которых осуществляется обработка информации, защищаемой в соответствии с требованиями законодательства РФ [2-4], несанкционированный доступ к которой, раскрытие (распространение), несанкционированное (неавторизованное) изменение, уничтожение (потеря) и (или) хищение создают условия для возникновения убытков организации БС РФ, ее клиентов или контрагентов, в том числе условия для совершения финансовых операций от имени клиентов;
- ненадлежащее выполнение которых поставщиком услуг создает условия для реализации или реализует инциденты ИБ.
Настоящий стандарт среди прочего распространяется на случай аутсорсинга, при котором:
- поставщик услуг является поднадзорной Банку России организацией или не является таковой;
- поставщику услуг передаются функции, связанные с обеспечением ИБ, выполнение которых регулируется и контролируется Банком России в зоне его компетенции, определенной законодательством РФ. Целью стандарта является установление требований к управлению и контролю риска нарушения ИБ при аутсорсинге, выполнение которых создает основу для обеспечения соответствия уровня риска нарушения ИБ при передаче бизнес-функций на аутсорсинг уровню риска нарушения ИБ, принятому самостоятельно организацией БС РФ, а также основу для уменьшения такого риска.
Настоящий стандарт рекомендован для применения путем включения ссылок на него и (или) прямого использования устанавливаемых в нем положений во внутренних документах организаций БС РФ, а также в соглашениях (контрактах, пакетах договорных документов) с поставщиками услуг.
Настоящий стандарт не распространяется на случаи:
- разовой передачи организацией БС РФ выполнения своих бизнес-функций сторонним (внешним) организациям - поставщикам услуг;
- привлечения организацией БС РФ сторонних (внешних) организаций - поставщиков услуг для обслуживания организации БС РФ, в том числе направленного на повышение качества услуг и (или) расширение перечня услуг, сопутствующих банковским операциям, осуществляемым организацией БС РФ для своих клиентов (например, привлечение удостоверяющих центров, платежных агентов).
Положения настоящего стандарта носят рекомендательный характер, если только обязательность применения отдельных из них не установлена законодательством РФ.
Обязательность применения настоящего стандарта может быть установлена договорами и соглашениями, заключенными организациями БС РФ, или решением организаций БС РФ о присоединении к настоящему стандарту.
Положения настоящего стандарта предназначены и могут быть использованы кредитными организациями, некредитными финансовыми организациями, указанными в части первой статьи 76.1 Федерального закона "О Центральном банке Российской Федерации (Банке России)", а также субъектами национальной платежной системы.
В настоящем стандарте использованы нормативные ссылки на стандарт Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" СТО БР ИББС-1.0-2014.
Аутсорсинг - передача организацией БС РФ на основании договора на длительный срок сторонней (внешней) организации - поставщику услуг выполнения бизнес-функций организации БС РФ, которые являются необходимыми для ее деятельности и которые в обычных условиях (без привлечения поставщика услуг) осуществлялось бы организацией БС РФ самостоятельно.
Примечание: отличительными характеристиками аутсорсинга, рассматриваемыми в настоящем стандарте, которые отличают аутсорсинг от других форм оказания услуг, являются:
- передача полностью выполнения бизнес-функций поставщику услуг без участия в реализации указанных бизнес-функций работников организации БС РФ;
- передача поставщику услуг выполнения бизнес-функций на постоянной (непрерывной) основе на длительный период времени (например, не менее 1 года).
При этом под аутсорсингом не понимается привлечение организацией БС РФ сторонних (внешних) организаций - поставщиков услуг в следующих случаях:
- разовой передачи организацией БС РФ выполнения своих бизнес-функций сторонним (внешним) организациям - поставщикам услуг;
- привлечения организацией БС РФ сторонних (внешних) организаций - поставщиков услуг для обслуживания организации БС РФ, в том числе направленного на повышение качества услуг и (или) расширение перечня услуг, сопутствующих банковским операциям, осуществляемым организацией БС РФ для своих клиентов (например, привлечение удостоверяющих центров, платежных агентов).
Поставщик услуг - обслуживающая организация, специализирующаяся на предоставлении услуг, которой организации БС РФ передают выполнение своих бизнес-функций на аутсорсинг.
Примечание: поставщиком услуг может выступать как аффилированное в пределах банковской группы юридическое лицо, так и юридическое лицо, которое является внешним по отношению к банковской группе, привлекаемым для выполнения на постоянной (непрерывной) основе определенных бизнес-функций организации БС РФ, выполнение которых в обычных условиях (без привлечения поставщика услуг) осуществлялось бы организацией БС РФ самостоятельно.
Услуга - деятельность поставщика услуг по выполнению бизнес-функций организаций БС РФ, переданных на аутсорсинг.