Тип риска | Характеристика мониторинга (метрика) | Способ мониторинга (периодичность) |
Операционный риск, связанный с потерей (невозможностью) контроля обеспечения ИБ поставщиком услуг | Характеристика достижения целей обеспечения ИБ организацией БС РФ; потенциал организации БС РФ обеспечить контроль риска нарушения ИБ при аутсорсинге существенных функций | Самостоятельная оценка организацией БС РФ выполнения своих показателей; рекомендуемая периодичность - ежегодно |
Операционный риск, связанный с возможностью прерывания деятельности | Операционные расходы (убытки) организации БС РФ, связанные с нарушением непрерывности предоставления финансовых услуг в результате НСД к ее информационной инфраструктуре или информационной инфраструктуре поставщика услуг | Самостоятельная оценка организацией БС РФ операционных расходов (убытков) в результате нарушения непрерывности предоставления финансовых услуг; рекомендуемая периодичность - ежеквартально |
Операционный риск, связанный с реализацией инцидентов ИБ | Операционные расходы (убытки), связанные с совершением финансовых операций, имеющих финансовые последствия, в том числе переводов денежных средств, без согласия клиентов; операционные расходы (убытки) организации БС РФ в результате НСД к объектам ее информационной инфраструктуры, используемой для осуществления переводов денежных средств или в результате использования электронных средств платежа без согласия клиентов | Самостоятельная оценка организацией БС РФ операционных расходов (убытков) в результате перевода денежных средств без согласия клиентов, а также в результате НСД к объектам информационной инфраструктуры организации БС РФ; рекомендуемая периодичность - ежеквартально |
Операционный риск, связанный с возникновением зависимости от поставщика услуг | Характеристика потенциала организации БС РФ обеспечить ИБ существенных функций после заключения соглашения с поставщиком услуг или в случае отказа поставщика услуг от выполнения своих обязательств | Самостоятельная оценка организацией БС РФ или с привлечением аудиторской или консалтинговой организации (независимой от поставщика услуг) возможности реализовать стратегию "выхода" в случае отказа поставщика услуг от выполнения своих обязательств; рекомендуемая периодичность - ежегодно |
11.3. Для проведения оценки показателей (метрик) риска нарушения ИБ при аутсорсинге существенных функций исполнительному органу следует обеспечить привлечение представителей службы ИБ организации БС РФ, подразделений управления рисками, операционных подразделений, юридической службы, а также при необходимости подразделений информатизации для:
- подготовки данных по определенному перечню показателей (метрик) риска нарушения ИБ;
- своевременного предоставления актуальной информации о значениях показателей (метрик) исполнительному органу организации БС РФ, а также обеспечения их достоверности.
Дополнительным видом мониторинга и контроля риска нарушения ИБ при аутсорсинге существенных функций является деятельность службы внутреннего контроля организации БС РФ, направленная на оценку полноты, адекватности и актуальности данных о показателях (метриках) нарушения ИБ, предоставляемых исполнительными органами организации БС РФ.
11.4. В случае возникновения риска нарушения ИБ, связанного с аутсорсингом существенных функций, превышающего принятый приемлемый риск (риск-аппетит), организации БС РФ следует совершить оперативные корректирующие действия, направленные на обработку указанного риска:
- корректировка (пересмотр) соглашения;
- рассмотрение целесообразности расторжения соглашения и последующая реализация стратегии "выхода".
Организация БС РФ должна предусмотреть механизмы принятия оперативного решения, в случае если уровень риска нарушения ИБ выходит за рамки допустимых значений. В таких случаях должен быть предусмотрен внеплановый аудит поставщика услуг для подтверждения способности выполнять аутсорсинг существенных функций организации БС РФ.
Рассмотрение вопросов о фактах выявления неприемлемых рисков при аутсорсинге существенных функций, а также принятие решения по таким случаям должно входить в компетенцию совета директоров (наблюдательного органа) организации БС РФ.
В случае выявления рисков и принятия решения о корректировке соглашения необходимо проведение надлежащей переоценки риска нарушения ИБ в объеме, определяемом содержанием предполагаемых корректировок.
11.5. Важной частью мониторинга и контроля риска нарушения ИБ при аутсорсинге существенных функций является прохождение поставщиком услуг регулярного аудита.
Организация БС РФ должна обеспечить анализ результатов проведения периодического аудита с целью:
- обновления (уточнения) перечня существенных функций, связанных с обработкой защищаемой информации или обеспечением ИБ, передаваемых на аутсорсинг поставщику услуг;