СТО БР ИББС-1.4-2018 Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Управление риском нарушения информационной безопасности при аутсорсинге

7. Оценка риска нарушения информационной безопасности при аутсорсинге существенных функций

7.1. Аутсорсинг существенных функций организации БС РФ должен сопровождаться оценкой, надлежащим управлением и контролем организации БС РФ в отношении риска нарушения ИБ, реализуемыми в соответствии с политикой аутсорсинга.

7.2. Реализация организацией БС РФ программы аутсорсинга должна предусматривать следующие мероприятия:

- идентификация потенциального риска нарушения ИБ при аутсорсинге существенных функций, в том числе из видов риска, определенных в разделе 5 настоящего стандарта;

- оценка потенциального риска нарушения ИБ при аутсорсинге существенных функций;

- принятие решения о возможности аутсорсинга на основе результатов оценки риска нарушения ИБ;

- реализация последующего постоянного мониторинга и контроля уровня риска нарушения ИБ.

Ключевым фактором для реализации программ аутсорсинга является оценка потенциального риска нарушения ИБ, а также обеспечение возможности последующего мониторинга и контроля его уровня.

Идентификацию риска нарушения ИБ следует проводить на основе анализа состава бизнес-функций, планируемых к передаче на аутсорсинг, а также на основе анализа факторов нового риска нарушения ИБ, определенных в разделе 5 настоящего стандарта.

7.3. Для оценки потенциального риска нарушения ИБ и обеспечения возможности мониторинга и контроля его уровня организации БС РФ следует определить состав и проводить оценку (в том числе периодическую) показателей (метрик), характеризующих:

- степень возможности реализации риска нарушения ИБ (далее - СВР) в результате наличия факторов нового риска, приведенного в разделе 5 настоящего стандарта;

- степень тяжести последствий от реализации риска нарушения ИБ (далее - СТП) для реализации бизнес-функций организации БС РФ, переданных на аутсорсинг.

7.4. В качестве показателей (метрик), характеризующих СВР, организации БС РФ рекомендуется (среди прочих) рассмотреть использование следующих:

- оценка соблюдения требований законодательства РФ в области:

обеспечения защиты информации, обработки ПДн и информации, содержащей банковскую тайну;