6.1. Настоящий стандарт определяет ряд основных требований, основанных на положениях документа Базельского комитета по банковскому надзору при Банке международных расчетов "Аутсорсинг в сфере финансовых услуг" [5], адаптированных для цели управления риском нарушения ИБ и контроля над ним при аутсорсинге существенных функций.
Реализация указанных ниже основных требований с учетом дальнейших положений настоящего стандарта способствует применению взвешенного подхода к передаче организациями БС РФ выполнения бизнес-функций поставщикам услуг на основе оценке объема потенциального риска нарушения ИБ.
При определении основных требований к управлению риском нарушения ИБ в настоящем стандарте предполагается, что аутсорсинг существенных функций может привести к повышению общего отраслевого системного риска нарушения ИБ, который может оказать существенное влияние не только на деятельность отдельной организации БС РФ, но и на стабильность функционирования БС РФ в целом.
На аутсорсинг не могут передаваться функции, связанные с выбором требуемого уровня защищенности, а также функции, связанные с принятием рисков нарушения ИБ.
6.2. Основное требование 1. В случае планирования передачи выполнения бизнес-функций поставщикам услуг на аутсорсинг организации БС РФ следует установить политику в отношении аутсорсинга существенных функций (далее - политика аутсорсинга).
Политика аутсорсинга должна среди прочего однозначно определять:
- возможность аутсорсинга бизнес-функций, при выполнении которых осуществляется обработка защищаемой информации;
- возможность аутсорсинга бизнес-функций, невыполнение или ненадлежащее выполнение которых поставщиком услуг создает условия для реализации или реализует инциденты ИБ;
- возможность аутсорсинга только в случае соблюдения требований законодательства РФ в области обработки ПДн и информации, составляющей банковскую тайну, в частности возможность аутсорсинга в случае надлежащего получения соглашения субъектов ПДн [4];
- возможность аутсорсинга только в случае соблюдения требований законодательства РФ в области защиты информации;
- возможность аутсорсинга только в случае отсутствия прямых или косвенных ограничений на реализацию полномочий Банка России и уполномоченных органов исполнительной власти в рамках выполнения надзорных (контрольных) мероприятий в части вопросов защиты информации;
- возможность аутсорсинга только в случае реализации организацией БС РФ надлежащего управления риском нарушения ИБ и контроля над ним.
Политика аутсорсинга существенных функций должна быть принята советом директоров (наблюдательным советом) организации БС РФ, а в случае его отсутствия - исполнительным органом организации БС РФ.
В отношении аутсорсинга существенных функций организация БС РФ должна реализовать процедуры внутреннего контроля соответствия принятой политики аутсорсинга, результаты которого должны рассматриваться советом директоров (наблюдательным советом) организации БС РФ.