2018/03/30 15:37:53

Обеспечение ИБ организаций банковской системы РФ.
Управление риском ИБ при аутсорсинге
(СТО БР ИББС-1.4-2018)

2018: Разработан стандарт по аутсорсингу ИБ финансовой системы

Банк России 30 марта 2018 года заявил о разработке совместно с профессиональным сообществом стандарта «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Управление риском информационной безопасности при аутсорсинге» (СТО БР ИББС-1.4-2018). Документ определяет процесс обеспечения ИБ для финансовых организаций при использовании услуг аутсорсинга.

ЦБ стандартизировал аутсорсинг ИБ-услуг для банков. Фото: ria.ru

Стандарт предназначен для банков, НФО, субъектов национальной платежной системы и других участников финансового рынка. При этом его положения имеют особое значение для деятельности малых и средних организаций, которым необходимо формировать и поддерживать на приемлемом уровне систему обеспечения информационной безопасности в условиях дефицита финансовых и кадровых ресурсов, подчеркнули в ЦБ РФ.

Стандартом определены факторы риска нарушения информационной безопасности при аутсорсинге, установлены требования к управлению такими рисками, контролю за ними и их оценке. Кроме того, документ определяет зону ответственности и задачи руководства финансовых организаций при аутсорсинге услуг по обеспечению информационной безопасности, утверждает критерии оценки поставщика услуг и требования к содержанию соглашений об аутсорсинге.

Так, согласно СТО БР ИББС-1.4-2018, финансовые организации вправе выбрать одну из трех моделей взаимодействия с аутсорсерами: долговременное, среднесрочное и краткосрочное сотрудничество. Рынок аутсорсинга информационной безопасности в России: особенности развития и перспективы. Обзор TAdviser 6.5 т

В первом случае аутсорсер на постоянной основе занимается мониторингом кибератак и реагированием на них, выстраивает и поддерживает систему противодействия киберрискам.

Во втором случае финансовая организация привлекает аутсорсинговую компанию для проведения технологически сложной проектной работы, например, построения собственного центра мониторинга и реагирования на компьютерные атаки.

Наконец, третья модель подразумевает, что финансовая организация прибегает к услугам аутсорсера на время повышения уровня киберрисков.

Стандарт СТО БР ИББС-1.4-2018 вступает в силу с 1 июля 2018 года. Как уточнили в Банке России, его положения носят рекомендательный характер. Однако в дальнейшем при необходимости может быть рассмотрен вопрос об их обязательном применении. Ознакомиться с текстом документа можно по ссылке.

Источник — «https://www.tadviser.ru/index.php/%D0%A1%D1%82%D0%B0%D1%82%D1%8C%D1%8F:%D0%9E%D0%B1%D0%B5%D1%81%D0%BF%D0%B5%D1%87%D0%B5%D0%BD%D0%B8%D0%B5_%D0%98%D0%91_%D0%BE%D1%80%D0%B3%D0%B0%D0%BD%D0%B8%D0%B7%D0%B0%D1%86%D0%B8%D0%B9_%D0%B1%D0%B0%D0%BD%D0%BA%D0%BE%D0%B2%D1%81%D0%BA%D0%BE%D0%B9_%D1%81%D0%B8%D1%81%D1%82%D0%B5%D0%BC%D1%8B_%D0%A0%D0%A4._%D0%A3%D0%BF%D1%80%D0%B0%D0%B2%D0%BB%D0%B5%D0%BD%D0%B8%D0%B5_%D1%80%D0%B8%D1%81%D0%BA%D0%BE%D0%BC_%D0%98%D0%91_%D0%BF%D1%80%D0%B8_%D0%B0%D1%83%D1%82%D1%81%D0%BE%D1%80%D1%81%D0%B8%D0%BD%D0%B3%D0%B5_(%D0%A1%D0%A2%D0%9E_%D0%91%D0%A0_%D0%98%D0%91%D0%91%D0%A1-1.4-2018)»