Банк России заявил о разработке совместно с профессиональным сообществом стандарта «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Управление риском информационной безопасности при аутсорсинге» (СТО БР ИББС-1.4-2018).
Документ определяет процесс обеспечения ИБ для финансовых организаций при использовании услуг аутсорсинга.
Стандарт предназначен для банков, НФО, субъектов национальной платежной системы и других участников финансового рынка. При этом его положения имеют особое значение для деятельности малых и средних организаций, которым необходимо формировать и поддерживать на приемлемом уровне систему обеспечения информационной безопасности в условиях дефицита финансовых и кадровых ресурсов, подчеркнули в ЦБ РФ.
Стандартом определены факторы риска нарушения информационной безопасности при аутсорсинге, установлены требования к управлению такими рисками, контролю за ними и их оценке. Кроме того, документ определяет зону ответственности и задачи руководства финансовых организаций при аутсорсинге услуг по обеспечению информационной безопасности, утверждает критерии оценки поставщика услуг и требования к содержанию соглашений об аутсорсинге.
Так, согласно СТО БР ИББС-1.4-2018, финансовые организации вправе выбрать одну из трех моделей взаимодействия с аутсорсерами: долговременное, среднесрочное и краткосрочное сотрудничество.
Во втором случае финансовая организация привлекает аутсорсинговую компанию для проведения технологически сложной проектной работы, например, построения собственного центра мониторинга и реагирования на компьютерные атаки.
Наконец, третья модель подразумевает, что финансовая организация прибегает к услугам аутсорсера на время повышения уровня киберрисков.
Стандарт СТО БР ИББС-1.4-2018 вступает в силу с 1 июля 2018 года. Как уточнили в Банке России, его положения носят рекомендательный характер. Однако в дальнейшем при необходимости может быть рассмотрен вопрос об их обязательном применении.
