10.1. Заключение с поставщиком услуг соглашения (контракта, пакета договорных документов) об аутсорсинге является одним из основных элементов управления и контроля в отношении риска нарушения ИБ при аутсорсинге существенных функций.
10.2. Содержание соглашения об аутсорсинге должно создать правовые условия для возможности обеспечения организацией БС РФ:
- контроля и мониторинга уровня риска нарушения ИБ;
- выполнения своих обязательств перед клиентами и контрагентами, а также перед Банком России и уполномоченными органами исполнительной власти в рамках выполнения надзорных (контрольных) мероприятий в области защиты информации.
10.3. Содержание соглашения об аутсорсинге должно однозначно среди прочего определять:
- перечень существенных функций, связанных с обработкой защищаемой информации или обеспечением ИБ (реализацией процессов обеспечения ИБ), передаваемых на аутсорсинг поставщику услуг;
- обязанности и разделение зоны ответственности поставщика услуг и организации БС РФ в обеспечении ИБ при аутсорсинге существенных функций;
- требования к показателям качества деятельности поставщика услуг, определяемым на основе метрик управления риском нарушения ИБ организацией БС РФ в рамках процедур управления риском;
- требования к уровню и качеству предоставления услуг в части обеспечения ИБ и создания условий непрерывности предоставления финансовых услуг (требования к SLA) и к инструментам по мониторингу этого уровня;
- требования к гарантиям поставщика услуг (в том числе финансовым) в случае наступления риска нарушения ИБ;
- требования к инфраструктуре оказания услуг, включая инфраструктуру обеспечения ИБ и обеспечения непрерывности выполнения бизнес-функций и их восстановления после инцидентов ИБ;
- обязанность поставщика услуг обеспечить возможность проведения организацией БС РФ или привлекаемой организацией БС РФ консалтинговой или аудиторской организацией контрольных мероприятий в рамках мониторинга риска нарушения ИБ;
- обязанность по обеспечению сторонами конфиденциальности информации;
- обязанность поставщика услуг проходить периодический аудит с целью подтверждения качества предоставления услуг в части обеспечения ИБ и создания условий непрерывности предоставления финансовых услуг;