8.1. Деятельность руководства организации БС РФ является ключевым фактором обеспечения должного уровня управления и контроля в отношении риска нарушения ИБ при аутсорсинге существенных функций. Одним из основных аспектов является наличие полного осознания руководством БС РФ, что передача при аутсорсинге поставщику услуг выполнения бизнес-функций не переносит на поставщика услуг ответственность, обязанности по обеспечению ИБ и риски нарушения ИБ организации БС РФ.
8.2. Основным содержанием задач руководства организации БС РФ при аутсорсинге, определенным в настоящем стандарте, является:
- установление политики и программы аутсорсинга существенных функций в соответствии с требованиями к их содержанию, определенными в настоящем стандарте, и реализация контроля за их выполнением;
- установление механизмов управления и контроля в отношении уровня риска нарушения ИБ в рамках заключения соглашений с поставщиком услуг;
- контроль над реализацией и выполнением деятельности по управлению риском нарушения ИБ;
- принятие решения о возможности аутсорсинга только на основании оценки риска нарушения ИБ;
- обеспечение наличия плана действий организации БС РФ в случае отказа поставщика услуг от выполнения своих обязательств, реализация которого позволит обеспечить необходимый уровень ИБ для продолжения выполнения бизнес-функций в течение периода времени, приемлемого для организации БС РФ (далее - стратегия "выхода").
8.3. В зону компетенции совета директоров (наблюдательного совета) организации БС РФ рекомендуется включить:
- определение политики аутсорсинга в соответствии с положениями раздела 6 настоящего стандарта, предполагающей оценку (мониторинг) риска нарушения ИБ в рамках всех действующих и возможных соглашений об аутсорсинге существенных функций;
- установление показателей уровня риска нарушения ИБ, связанного с аутсорсингом, приемлемого для организации БС РФ (риск-аппетита);
- обеспечение контроля соблюдения политики аутсорсинга и уровня риска нарушения ИБ, связанного с аутсорсингом;
- определение лиц из числа членов исполнительного органа организации БС РФ, в компетенцию которых входит принятие решений о возможности аутсорсинга в соответствии с требованиями политики аутсорсинга на основании оценки и установленного показателя уровня приемлемого риска нарушения ИБ (риск-аппетита);
- обеспечение контроля установления исполнительным органом организации БС РФ программы аутсорсинга в соответствии с принятой политикой аутсорсинга;
- рассмотрение вопросов финансирования регулярного аудита поставщика услуг с целью подтверждения качества предоставления услуг в части обеспечения ИБ и создания условий непрерывности предоставления финансовых услуг.