Банк России регламентирует оказание услуг аутсорсинга ИБ

В начале прошлого месяца Банк России выложил в публичный доступ проект рекомендаций в области стандартизации Банка России РС БР ИББС-2.Х-20ХХ «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аутсорсинг информационной безопасности». Сам документ по сути является еще драфтом, получить его можно с официально сайта Технического Комитета 122. А до 31 августа 2016г для зарегистрированных пользователей доступен сервис обсуждения и гол сования. 

Но интересна эта тема скорее другим - главный регулятор банковский сектора наконец-то обратил внимание на аутсорсинг ИБ, который в последнее время все больше и больше набирает популярность

 

РЕКОМЕНДАЦИИ В ОБЛАСТИ СТАНДАРТИЗАЦИИ БАНКА РОССИИ 

РС БР ИББС- 2.ХХ-20ХХ 

ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ

Хочу процитировать наиболее запоминающиеся моменты:

1.Наконец-то в обиход ЦБ РФ входят такое понятие как Аусторсинг ИБ

2.Среди главных причин (ОБОСНОВАНИЕ!) использования аутсорсинга ИБ организациями БС РФ можно назватьзациями БС РФ можно назвать:

Кадровые

• отсутствие необходимых квалифицированных и мотивированных кадров внутри организации БС РФ;
• необходимость высвобождения ключевых специалистов для других проектов и задач;
• необходимость снижения зависимости от собственных работников организации БС РФ

Экономические

• повышение прозрачности и предсказуемости расходов на СОИБ;
• оптимизация расходов на СОИБ;

Технологические

• повышение общего уровня ИБ за счет использования современных технологий и методологий;
• возможность обеспечения отдельных процессов СОИБ в режиме 24х7;

Временные

• возможность быстрого внедрения отдельных процессов СОИБ;
• возможность быстрого повышения уровня зрелости отдельных процессов СОИБ."

3. В пункте документа 5.1.    Краткое сравнение аутсорсинга и инсорсинга по другим критериям представлено в таблице 1.

Таблица 1. Сравнение Аутсорсинга и Инсорсинга

	Аутсорсинг	Инсорсинг
Длительность внедрения процесса СОИБ	Обычно 2-6 недели	В зависимости от процесса. Если процесс и технологии новые и сложные, то может занять от месяца до нескольких лет
Уровень компетенций персонала	Очень высокий (экспертная среда)	Средний / Высокий
Затраты	Предсказуемые, OpEx	CapEx и OpEx. Некоторые расходы могут быть скрытыми
Источник методологий	Провайдер услуг	Заказчик / Консультант
Режим работы	Обычно 24х7	Обычно 8х5
Возможности по реагированию и гибкость	Формальные, в рамках SLA	Полные
Понимание контекста	Низкое	Высокое
Доступ к ИС и СЗИ	Внешний	Внутренний
Ключевые угрозы и риски для заказчика	·      Зависимость от Провайдера услуг ·      Типизированный подход к оказанию услуг (поверхностное понимание Провайдером услуг контекста организации) ·      Отсутствие необходимых ресурсов у Поставщика услуг аутсорсинга (в случае быстрого масштабирования) ·      Формальный подход (в соответствии с SLA) ·      Риск потери конфиденциальности информации	·      Риски персонала (нехватка квалифицированного персонала, потеря персонала, чрезмерная загруженность, недозагруженность, снижение мотивации) ·      Сильное влияние со стороны других заинтересованных лиц внутри организации ·      Проектные риски при реализации процессов СОИБ, внедрении средств мониторинга и защиты информации (срыв сроков и превышение бюджета) ·      Отсутствие необходимых технологий и методологий ·      Игнорирование приоритетов в области ИБ (расходование ресурсов на второстепенные задачи) ·      Отсутствие контроля угроз ИБ, реализующиеся во вне рабочего времени ·      Низкая эффективность процессов, слабый контроль

4. В пункте 6.1.    Не рекомендуется передавать на аутсорсинг следующие процессы (в соответствии с РС БР ИББС-2.7):

-     определение/коррекция области действия процесса СОИБ;

-     разработка стратегии ИБ;

-     управление рисками ИБ;

-     планирование и контроль реализации процессов СОИБ;

-     разработка/коррекция внутренних документов, регламентирующих выполнение процесса СОИБ;

-     анализ реализации и выполнения процессов СОИБ;

-     инициирование своевременного совершенствования процессов СОИБ;

-   обеспечение ИБ при эксплуатации и снятии с эксплуатации автоматизированных банковских систем (АБС), используемых для реализации банковских платежных и информационных технологических процессов;

-     обеспечение непрерывности бизнеса и его восстановления после прерывания.

5. Ну и сам процесс Аутсорсинга прописан и зарисован на схеме чем то напоминающую цикл Деминга

Фаза 1. ОЦЕНКА. На этой фазе проводятся оценки текущего состояния системы ИБ и возможности передачи отдельных процессов ИБ на аутсорсинг, определяются цели и задачи, формируются первичные требования и ожидания. Если услуги аутсорсинга уже используются, то производится оценка их эффективности и результативности.

Фаза 2. ВЫБОР. На этой фазе происходят утверждение финальных требований к услугам аутсорсинга ИБ, выбор их поставщика (Провайдера услуг аутсорсинга) и согласование метрик и показателей услуг.

Фаза 3. ПЕРЕХОД. На этой фазе производится подключение и реализация выбранных услуг аутсорсинга ИБ.

Фаза 4. УПРАВЛЕНИЕ И КОНТРОЛЬ. На этой фазе предоставляются услуги аутсорсинга ИБ и производится контроль их соответствия утвержденному SLA.

P.S. В заключение хотелось бы привести небольшой список общих рекомендаций по переходу на аутсорсинговое обслуживание ИБ:

• Оцените готовность банка к ИТ-аутсорсингу
• Определите ИТ и ИБ риски
• Подберите адекватные меры по снижению рисков
• Оцените уровень зрелости управленческих и технологических процессов банка
• Составьте четкое соглашение об уровне предоставления услуг (SLA)
• Предусмотрите порядок пересмотра условий, указанных в SLA, согласно изменениям в бизнесе банка
• Выберите надежную компанию-аутсорсера

Ниже майндкарта цикла Аутсорса ИБ от нашего коллеги

Расширенную майндкарту цикла из ISO 37500-2014