11.1. Осуществление надлежащего мониторинга и контроля риска нарушения ИБ при аутсорсинге существенных функций входит в зону компетенции исполнительного органа организации БС РФ.
Для выполнения указанных функций исполнительный орган БС РФ должен обеспечить наличие регистра риска, содержащего:
- информацию обо всех соглашениях аутсорсинга существенных функций;
- показатели (метрики), характеризующие риск нарушения ИБ при аутсорсинге существенных функций, определенные в соответствии с разделом 7 настоящего стандарта. Показатели (метрики) должны рассматриваться исполнительным органом независимо для каждого заключенного соглашения об аутсорсинге;
- оценку значений показателей (метрик) риска нарушения ИБ, обновляемую в соответствии с установленной периодичностью, но не реже одного раза в год.
11.2. Исполнительный орган обязан организовать мониторинг следующих видов рисков:
- операционный риск, связанный с потерей (невозможностью) контроля обеспечения ИБ поставщиком услуг;
- операционный риск, связанный с возможностью прерывания деятельности в результате реализации угроз ИБ;
- операционный риск, связанный с реализацией инцидентов ИБ;
- операционный риск, связанный с возникновением зависимости от поставщика услуг.
Для выполнения мониторинга указанных видов рисков организацией БС РФ может быть рассмотрен подход, использованный в таблице 3.