Таблица 3. Рекомендуемый подход к мониторингу риска нарушения ИБ при аутсорсинге существенных функций

11.3. Для проведения оценки показателей (метрик) риска нарушения ИБ при аутсорсинге существенных функций исполнительному органу следует обеспечить привлечение представителей службы ИБ организации БС РФ, подразделений управления рисками, операционных подразделений, юридической службы, а также при необходимости подразделений информатизации для:

- подготовки данных по определенному перечню показателей (метрик) риска нарушения ИБ;

- своевременного предоставления актуальной информации о значениях показателей (метрик) исполнительному органу организации БС РФ, а также обеспечения их достоверности.

Дополнительным видом мониторинга и контроля риска нарушения ИБ при аутсорсинге существенных функций является деятельность службы внутреннего контроля организации БС РФ, направленная на оценку полноты, адекватности и актуальности данных о показателях (метриках) нарушения ИБ, предоставляемых исполнительными органами организации БС РФ.

11.4. В случае возникновения риска нарушения ИБ, связанного с аутсорсингом существенных функций, превышающего принятый приемлемый риск (риск-аппетит), организации БС РФ следует совершить оперативные корректирующие действия, направленные на обработку указанного риска:

- корректировка (пересмотр) соглашения;

- рассмотрение целесообразности расторжения соглашения и последующая реализация стратегии "выхода".

Организация БС РФ должна предусмотреть механизмы принятия оперативного решения, в случае если уровень риска нарушения ИБ выходит за рамки допустимых значений. В таких случаях должен быть предусмотрен внеплановый аудит поставщика услуг для подтверждения способности выполнять аутсорсинг существенных функций организации БС РФ.

Рассмотрение вопросов о фактах выявления неприемлемых рисков при аутсорсинге существенных функций, а также принятие решения по таким случаям должно входить в компетенцию совета директоров (наблюдательного органа) организации БС РФ.

В случае выявления рисков и принятия решения о корректировке соглашения необходимо проведение надлежащей переоценки риска нарушения ИБ в объеме, определяемом содержанием предполагаемых корректировок.

11.5. Важной частью мониторинга и контроля риска нарушения ИБ при аутсорсинге существенных функций является прохождение поставщиком услуг регулярного аудита.

Организация БС РФ должна обеспечить анализ результатов проведения периодического аудита с целью:

- обновления (уточнения) перечня существенных функций, связанных с обработкой защищаемой информации или обеспечением ИБ, передаваемых на аутсорсинг поставщику услуг;

- контроля надлежащего и своевременного предоставления поставщиком услуг отчетности в части аутсорсинга существенных функций;

- оценки показателей качества деятельности поставщика услуг, определенных на основе показателей (метрик) управления риском нарушения ИБ;

- соблюдения поставщиком услуг установленных соглашением параметров уровня и качества предоставления услуг в части обеспечения ИБ и создания условий непрерывности предоставления финансовых услуг (требований к SLA).

Поставщик услуг должен проходить периодический аудит с целью подтверждения качества предоставления услуг в части:

- защиты информации в соответствии с требованием законодательства РФ;

- создания условий непрерывности предоставления финансовых услуг организации БС РФ.

11.6. Основные требования, предъявляемые к организациям, проводящим аудит информационной безопасности:

- независимость аудиторской организации от выполнения бизнес-функций организации БС РФ и поставщика услуг;

- обладание необходимой компетенцией и навыками выполнения аудиторских проверок, определенных в первую очередь опытом проведения проверок;

- использование передовых отечественных и международных практик аудиторских проверок;

- наличие рекомендаций Банка России о возможности привлечения аудиторской организации.

11.7. Минимальный срок хранения аудиторских заключений деятельности поставщика услуг - 5 лет.