Оцени киберриски при аутсорсинге, прими оптимальное решение

BIS Journal №3(30)/2018

18 июля, 2018

Оцени киберриски при аутсорсинге, прими оптимальное решение

Ситуация в финансовой сфере в настоящее время характеризуются высоким уровнем киберрисков. В этой связи востребована высокая компетенция специалистов, актуальным является привлечение новых высокооплачиваемых сотрудников. Банки встают перед лицом значительных финансовых затрат на обеспечение киберустойчивости своих бизнес-процессов. Приемлемым решением проблемы оказывается аутсорсинг, при условии должного уровня его безопасности.

АКТУАЛЬНОСТЬ АУТСОРСИНГА

На рынке труда кадровый ресурс специалистов бывает ограничен, является дефицитом. Неудивительно, что многие кредитные организации в этом плане испытывают затруднения. Поэтому для малых и средних банков и финансовых организаций актуален аутсорсинг некоторых организационных аспектов обеспечения информационной безопасности. В этом случае они могут привлекать организации, сторонних исполнителей, обладающих необходимым уровнем компетенций.

Но и для крупных банков актуальна безопасность аутсорсинга, хотя, возможно и в других аспектах, в том числе в области облачных технологий, работы с внешними центрами обработки данных. Использование этой услуги позволяет крупным банкам оптимизировать свои бизнес-процессы, связанные с информатизацией.

При использовании аутсорсинга управление рисками в любом случае всё равно должно оставаться на стороне кредитной организации, в зоне её ответственности. Выбирая поставщиков услуг, формулируя для них техническое задание, кредитные организации должны руководствоваться определёнными принципами и требованиями. Чтобы сохранить управление имеющимися рисками и контроль их минимизации.

Центральные банки развитых зарубежных стран (США, Евросоюз, Сингапур и др.) активно занимаются регулированием аутсорсинга информационной безопасности в финансовой сфере. Ими издаются соответствующие нормативные документы, этот опыт был тщательно изучен специалистами Банка России и использован применительно к нашей практике. В Сингапуре, где многие компании специализируются на предоставлении облачных сервисов, это рекомендации Центрального банка. В США также действуют рекомендации в этой области.

Аутсорсинг информационной безопасности, её обеспечение во внешних сервисах – тема, актуальная и интересная для банков. Среди вынесенных банком на аутсорсинг процессов могут быть обслуживание и защита информации в облачных сервисах – центрах обработки данных, услуги SOCов, промышленных систем антифрода, sms-рассылки и т.п. Повторим: для малых и средних банков это возможность использовать сторонние компетенции, для крупных – оптимизировать затраты на основные бизнес-процессы.

ПЕРЕПЛЕТЕНИЯ РИСКОВ

Банки, с которыми осуществлялось взаимодействие в ходе разработки стандарта, интересовались в основном комплаенсом – соответствием требованиям к защите информации. На этом вопросе они сейчас в большей степени сконцентрированы, чем на минимизации рисков. Банк России создавал комплексную методическую базу, чтобы оба эти аспекта аутсорсинга рассматривались в совокупности.

Необходимость регулирования рисков нарушения ИБ при аутсорсинге в финансовой сфере возникла в связи с перспективами включения рисков киберустойчивости, информационной безопасности в основные, операционные банковские риски. Чтобы после этого заниматься ими по единой методологии. На основе оценки этих рисков оценивать общее финансово-экономическое состояние банка, устойчивость кредитно-финансовой организации и других участников финансовой сферы.

Передавая обработку информации на аутсорсинг, банки становятся зависимыми от поставщика услуг. Но риски при этом сохраняются на стороне банка, в зоне его ответственности. Поэтому важно, как банки выстраивают свои отношения с поставщиком услуг аутсорсинга. Какой заключают с ним договор, какие в нём прописываются обязательства.

В информационной безопасности риски сводятся, как правило, к двум основным. Первый ‑ нарушения бесперебойности предоставления поставщиком тех или иных услуг, что может приостановить предоставление услуг уже самой финансовой организацией. Второй риск ‑ утечки информации, чреватые как ущербом репутации кредитно-финансовой организации, так и, отдельная тема, – несанкционированными транзакциями, хищениями денежных средств. Эти риски при аутсорсинге остаются на стороне банков, а не поставщиков услуг, именно банки должны продолжать контролировать минимизацию этих рисков. Потому что придётся нести ущерб при их реализации.

ОПТИМАЛЬНО ВЫСТРОИТЬ ОТНОШЕНИЯ

Главным адресатом СТО БР ИББС-1.4-2018 являются кредитно-финансовые организации. Деятельность поставщиков услуг банкам Банк России не может контролировать по закону. Однако опосредованно, косвенно новый стандарт касается поставщиков-аутсорсеров, поскольку рекомендует банкам выстраивать отношения с ними по определённым правилам. Включая возможность внешнего аудита, чтоб банк заранее мог определить уровень защищённости, который поставщик в состоянии предоставить. И чтобы этот уровень подтверждался независимой внешней оценкой.

Это комплексная проблема: отдавая свои бизнес-процессы внешнему исполнителю, банк чаще всего не имеет компетенции оценить, насколько поставщик способен обеспечивать киберустойчивость и защиту информации. Банк не владеет механизмами оценок деятельности поставщиков услуг, соответствия её результатов требованиям и рекомендациям Банка России.

Банк России позаботился о том, чтобы создать атмосферу доверия к поставщикам через механизм внешнего аудита. Чтобы финансовая организация, используя его итоги, могла объективно оценивать свои риски при аутсорсинге. Таким образом, СТО БР ИББС-1.4-2018 должен помочь банкам оптимально выстроить отношения с аутсорсерами.

Новый стандарт востребован банками, сигналы об этом поступали в течение нескольких лет. Нормативная база в сфере защиты информации, в том числе при аутсорсинге, активно развивается не только Банком России, но и другими уполномоченными государственными органами, регулирующими отрасль ‑ ФСБ России, ФСТЭК России, Роскомнадзором и другими.

Банк России старался обеспечить принятие СТО БР ИББС-1.4-2018 к моменту, когда потребность банков в аутсорсинге и обеспечении его безопасности стала массовой, по экономическим причинам. В случаях, когда банкам просто невыгодно создавать и обслуживать новые специализированные вычислительные структуры, брать в штат высокопрофессиональных, но узких специалистов. Объём услуг аутсорсинга на рынке стал значительным, его доля в банковском деле заметно возросла.

ОТ «ВХОДА» ДО «ВЫХОДА»

Логическая структура СТО БР ИББС-1.4-2018 строится следующим образом. Вначале речь идёт о вовлечённости руководства ‑ Совета директоров, исполнительных органов ‑ в процессы построения системы управления аутсорсингом, об определении политики кредитной организации в этом вопросе. Далее ‑ об оценке рисков при выборе поставщика таких услуг: результат выбора должен соответствовать рискам, принятым руководством банка. Следующий шаг – заключение банком соглашения, договора с поставщиком услуг – аутсорсером, включающие требования обеспечения информационной безопасности.

Потом описывается, как банку, осознавая имеющиеся риски, нужно организовать мониторинг деятельности, порученной внешнему поставщику услуг. Завершает текст стандарта «стратегия выхода», процедуры завершения взаимодействия банка с поставщиком. В том числе и для перехода к услугам другого поставщика. СТО БР ИББС-1.4-2018 описывает аутсорсинг «на всех этапах жизненного цикла», от выработки соответствующей политики руководством банка, выбора компании-аутсорсера и заключения с ним договора вплоть до завершения работы с данным поставщиком.

Суть стандарта в том, чтобы помочь банкам, посредством рекомендуемых процедур, сформировать компетенции в области выбора поставщика услуг ‑ аутсорсера, заключении с ним договора и контроля выполнения переданных ему бизнес-процессов. Для этого нужны организационные мероприятия: выработка политики, подготовка юридической документации. А также получение данных о деятельности поставщиков, анализ показателей, как для выбора поставщика, так и для контроля его деятельности.

Отдавая бизнес-процесс на аутосорсинг, банку не нужно специально нанимать сотрудника, который бы вёл мониторинг исполнения. Контроль качества может осуществлять уже имеющийся в штате сотрудник, делать это он должен на основе определённых показателей и критериев. Это всё чисто организационные действия, помогающие банку контролировать свои риски при использовании аутсорсинга, обеспечивать информационную безопасность.

ОТ РЕКОМЕНДАЦИЙ К ТРЕБОВАНИЯМ

Стандарт СТО БР ИББС-1.4-2018 «Управление риском нарушения ИБ при аутсорсинге», как и аналогичные документы за рубежом, носит рекомендательный характер. Этот Стандарт, как и другие отраслевые документы этого комплекса, разрабатывался не как некий свод правил, а как «настольная книга», методическое «руководство к действию» для специалистов по ИБ финансовых организаций.

Действует такая концепция: вначале создаётся отраслевой стандарт – методические рекомендации. Банкам даётся время на их изучение, апробацию, внедрение, выполнение в добровольном порядке. Если сейчас банк при аутсорсинге не будет выполнять предложенные правила, ему грозят «только» повышенные риски прерывания бизнес-процессов, обслуживания клиентов, утечек конфиденциальной информации и хищений денежных средств.

Следующий шаг – придание отраслевому стандарту статуса государственного (национального), ГОСТ Р, переход к обязательному применению. В обозримом будущем положениям стандарта в конкретизированных, более чётких формулировках может быть придан статус обязательных требований, закреплённый нормативными документами Банка России.

Блок, посвящённый аутсорсингу информационной безопасности, использованию сторонних сервисов, может пройти этот путь ориентировочно за два года. В настоящее время принятие и выполнение СТО БР ИББС-1.4-2018 – дело руководства банка. После того, как прописанные в нём нормы превратятся в обязательные требования, будут закреплены нормативными актами.

Вопросы киберустойчивости, информационной безопасности в перспективе предстоит рассматривать в рамках операционных рисков организаций финансовой сферы. Причём – среди основных рисков, существенно влияющих на систему управления капиталом. Низкий уровень информационной безопасности будет означать рост рисков и потребует «страхового» увеличения капитала.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

04.07.2025
Конгрессмен рассказал агентам ФБР про кибербез (не наоборот)
04.07.2025
«Это ускорит развитие национальной платёжной инфраструктуры»
04.07.2025
«Пар»? «Ростелеком» строит свой Steam
04.07.2025
«Не будет никакой остановки». Европейский AI Act — на марше
04.07.2025
В России всё же создадут базу биометрии мошенников
03.07.2025
В Госдуме продолжают намекать на преимущества импортозамещения
03.07.2025
Котята отрастили щупальца. Kraken целится в Apple издалека?
03.07.2025
DLBI: До конца года стилеры могут парализовать поиск «удалёнки» в РФ
03.07.2025
Международный уголовный суд подвергается атакам хакеров
03.07.2025
17% компаний выбирает ноутбуки с предустановленными отечественными ОС

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных