Точный
Действующий

СТО БР ИББС-1.4-2018 Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Управление риском нарушения информационной безопасности при аутсорсинге

5. Риск нарушения информационной безопасности при аутсорсинге существенных функций

5.1. Организациям БС РФ при аутсорсинге существенных функций следует рассматривать следующие факторы нового риска нарушения ИБ:

- возникновение зависимости процессов обеспечения ИБ от деятельности поставщика услуг;

- возникновение зависимости устойчивости (непрерывности) выполнения бизнес-функций организаций БС РФ от возможных сбоев и отказа объектов информационной инфраструктуры поставщика услуг в результате реализации угроз ИБ;

- ненадлежащий уровень организации поставщиком услуг систем обеспечения ИБ;

- неверная оценка ресурсов, возможностей (кадровых, финансовых, технических) и потенциала поставщика услуг, необходимых для выполнения взятых на себя обязательств по обеспечению ИБ при реализации бизнес-функций организаций БС РФ;

- возникновение зависимости выполнения бизнес-функций организаций БС РФ от эффективности деятельности поставщика услуг и добросовестности выполнения соглашения об уровне услуг (SLA);

- наличие в соглашении об аутсорсинге положений, реализация которых приведет к возникновению ограничений в деятельности организаций БС РФ, которые в том числе могут быть связаны:

с досрочным односторонним прекращением поставщиком услуг обеспечения дополнительного уровня ИБ при предоставлении услуг аутсорсинга;

с ограничением возможности контроля деятельности поставщика услуг и получения необходимой информации для контроля риска нарушения ИБ;

с недостаточным уровнем обеспечения ИБ и ненадлежащим управлением риском нарушения ИБ в случае недостаточной детализации в соглашении обязанностей поставщика услуг;

с зависимостью реализации обеспечения ИБ от содержания и качества деятельности лиц, не являющихся работниками организаций БС РФ;

с расширением состава внутренних нарушителей безопасности информации, обладающих легально предоставленными правами логического и (или) физического доступа.

5.2. При аутсорсинге существенных функций факторы, указанные в пункте 5.1 настоящего стандарта, создают новый риск нарушения ИБ, который должен управляться и контролироваться организацией БС РФ.

Основные виды риска нарушения ИБ организаций БС РФ, связанные с аутсорсингом существенных функций, и возможные последствия от его реализации приведены в таблице 1.