Действующий

СТО БР ИББС-1.4-2018 Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Управление риском нарушения информационной безопасности при аутсорсинге

1. Область применения

Настоящий стандарт распространяется на организации БС РФ, передающие на постоянной (непрерывной) основе на длительный срок выполнение следующих бизнес-функций (процессов) сторонним (внешним) организациям - поставщикам услуг, в рамках которых возникает новый риск нарушения ИБ:

- при выполнении которых осуществляется обработка информации, защищаемой в соответствии с требованиями законодательства РФ [2-4], несанкционированный доступ к которой, раскрытие (распространение), несанкционированное (неавторизованное) изменение, уничтожение (потеря) и (или) хищение создают условия для возникновения убытков организации БС РФ, ее клиентов или контрагентов, в том числе условия для совершения финансовых операций от имени клиентов;

- ненадлежащее выполнение которых поставщиком услуг создает условия для реализации или реализует инциденты ИБ.

Настоящий стандарт среди прочего распространяется на случай аутсорсинга, при котором:

- поставщик услуг является поднадзорной Банку России организацией или не является таковой;

- поставщику услуг передаются функции, связанные с обеспечением ИБ, выполнение которых регулируется и контролируется Банком России в зоне его компетенции, определенной законодательством РФ. Целью стандарта является установление требований к управлению и контролю риска нарушения ИБ при аутсорсинге, выполнение которых создает основу для обеспечения соответствия уровня риска нарушения ИБ при передаче бизнес-функций на аутсорсинг уровню риска нарушения ИБ, принятому самостоятельно организацией БС РФ, а также основу для уменьшения такого риска.

Настоящий стандарт рекомендован для применения путем включения ссылок на него и (или) прямого использования устанавливаемых в нем положений во внутренних документах организаций БС РФ, а также в соглашениях (контрактах, пакетах договорных документов) с поставщиками услуг.

Настоящий стандарт не распространяется на случаи:

- разовой передачи организацией БС РФ выполнения своих бизнес-функций сторонним (внешним) организациям - поставщикам услуг;

- привлечения организацией БС РФ сторонних (внешних) организаций - поставщиков услуг для обслуживания организации БС РФ, в том числе направленного на повышение качества услуг и (или) расширение перечня услуг, сопутствующих банковским операциям, осуществляемым организацией БС РФ для своих клиентов (например, привлечение удостоверяющих центров, платежных агентов).

Положения настоящего стандарта носят рекомендательный характер, если только обязательность применения отдельных из них не установлена законодательством РФ.

Обязательность применения настоящего стандарта может быть установлена договорами и соглашениями, заключенными организациями БС РФ, или решением организаций БС РФ о присоединении к настоящему стандарту.

Положения настоящего стандарта предназначены и могут быть использованы кредитными организациями, некредитными финансовыми организациями, указанными в части первой статьи 76.1 Федерального закона "О Центральном банке Российской Федерации (Банке России)", а также субъектами национальной платежной системы.