вторник, 19 июля 2016 г.

Банк России регламентирует оказание услуг аутсорсинга ИБ

В начале прошлого месяца Банк России выложил в публичный доступ проект рекомендаций в области стандартизации Банка России РС БР ИББС-2.Х-20ХХ «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аутсорсинг информационной безопасности». Сам документ по сути является еще драфтом, получить его можно с официально сайта Технического Комитета 122. А до 31 августа 2016г для зарегистрированных пользователей доступен сервис обсуждения и гол сования. 
Но интересна эта тема скорее другим - главный регулятор банковский сектора наконец-то обратил внимание на аутсорсинг ИБ, который в последнее время все больше и больше набирает популярность
 
РЕКОМЕНДАЦИИ В ОБЛАСТИ СТАНДАРТИЗАЦИИ БАНКА РОССИИ 
РС БР ИББС- 2.ХХ-20ХХ 
ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ

Хочу процитировать наиболее запоминающиеся моменты:

1.Наконец-то в обиход ЦБ РФ входят такое понятие как Аусторсинг ИБ



2.Среди главных причин (ОБОСНОВАНИЕ!) использования аутсорсинга ИБ организациями БС РФ можно назватьзациями БС РФ можно назвать:

Кадровые

  • отсутствие необходимых квалифицированных и мотивированных кадров внутри организации БС РФ;
  • необходимость высвобождения ключевых специалистов для других проектов и задач;
  • необходимость снижения зависимости от собственных работников организации БС РФ

Экономические

  • повышение прозрачности и предсказуемости расходов на СОИБ;
  • оптимизация расходов на СОИБ;

Технологические

  • повышение общего уровня ИБ за счет использования современных технологий и методологий;
  • возможность обеспечения отдельных процессов СОИБ в режиме 24х7;

Временные

  • возможность быстрого внедрения отдельных процессов СОИБ;
  • возможность быстрого повышения уровня зрелости отдельных процессов СОИБ."

3. В пункте документа 5.1.    Краткое сравнение аутсорсинга и инсорсинга по другим критериям представлено в таблице 1.

Таблица 1. Сравнение Аутсорсинга и Инсорсинга

Аутсорсинг
Инсорсинг
Длительность внедрения процесса СОИБ 
Обычно 2-6 недели
В зависимости от процесса. Если процесс и технологии новые и сложные, то может занять от месяца до нескольких лет
Уровень компетенций персонала
Очень высокий
(экспертная среда)
Средний / Высокий
Затраты
Предсказуемые, OpEx
CapEx и OpEx. Некоторые расходы могут быть скрытыми
Источник методологий
Провайдер услуг
Заказчик / Консультант
Режим работы
Обычно 24х7
Обычно 8х5
Возможности по реагированию и гибкость
Формальные, в рамках SLA
Полные
Понимание контекста
Низкое
Высокое
Доступ к ИС и СЗИ
Внешний
Внутренний

Ключевые угрозы и риски для заказчика
·      Зависимость от Провайдера услуг
·      Типизированный подход к оказанию услуг (поверхностное понимание Провайдером услуг контекста организации)
·      Отсутствие необходимых ресурсов у Поставщика услуг аутсорсинга (в случае быстрого масштабирования)
·      Формальный подход
(в соответствии с SLA)
·      Риск потери конфиденциальности информации
·      Риски персонала (нехватка квалифицированного персонала, потеря персонала, чрезмерная загруженность, недозагруженность, снижение мотивации)
·      Сильное влияние со стороны других заинтересованных лиц внутри организации
·      Проектные риски при реализации процессов СОИБ, внедрении средств мониторинга и защиты информации (срыв сроков и превышение бюджета)
·      Отсутствие необходимых технологий и методологий
·      Игнорирование приоритетов в области ИБ (расходование ресурсов на второстепенные задачи)
·      Отсутствие контроля угроз ИБ, реализующиеся во вне рабочего времени
·      Низкая эффективность процессов, слабый контроль

4. В пункте 6.1.    Не рекомендуется передавать на аутсорсинг следующие процессы (в соответствии с РС БР ИББС-2.7):

-     определение/коррекция области действия процесса СОИБ;
-     разработка стратегии ИБ;
-     управление рисками ИБ;
-     планирование и контроль реализации процессов СОИБ;
-     разработка/коррекция внутренних документов, регламентирующих выполнение процесса СОИБ;
-     анализ реализации и выполнения процессов СОИБ;
-     инициирование своевременного совершенствования процессов СОИБ;
-   обеспечение ИБ при эксплуатации и снятии с эксплуатации автоматизированных банковских систем (АБС), используемых для реализации банковских платежных и информационных технологических процессов;
-     обеспечение непрерывности бизнеса и его восстановления после прерывания.

5. Ну и сам процесс Аутсорсинга прописан и зарисован на схеме чем то напоминающую цикл Деминга


Фаза 1. ОЦЕНКА. На этой фазе проводятся оценки текущего состояния системы ИБ и возможности передачи отдельных процессов ИБ на аутсорсинг, определяются цели и задачи, формируются первичные требования и ожидания. Если услуги аутсорсинга уже используются, то производится оценка их эффективности и результативности.

Фаза 2. ВЫБОР. На этой фазе происходят утверждение финальных требований к услугам аутсорсинга ИБ, выбор их поставщика (Провайдера услуг аутсорсинга) и согласование метрик и показателей услуг.

Фаза 3. ПЕРЕХОД. На этой фазе производится подключение и реализация выбранных услуг аутсорсинга ИБ.

Фаза 4. УПРАВЛЕНИЕ И КОНТРОЛЬ. На этой фазе предоставляются услуги аутсорсинга ИБ и производится контроль их соответствия утвержденному SLA.


P.S. В заключение хотелось бы привести небольшой список общих рекомендаций по переходу на аутсорсинговое обслуживание ИБ:
  • Оцените готовность банка к ИТ-аутсорсингу
  • Определите ИТ и ИБ риски
  • Подберите адекватные меры по снижению рисков
  • Оцените уровень зрелости управленческих и технологических процессов банка
  • Составьте четкое соглашение об уровне предоставления услуг (SLA)
  • Предусмотрите порядок пересмотра условий, указанных в SLA, согласно изменениям в бизнесе банка
  • Выберите надежную компанию-аутсорсера

Ниже майндкарта цикла Аутсорса ИБ от нашего коллеги

Расширенную майндкарту цикла из ISO 37500-2014 



Комментариев нет:

Отправить комментарий

Вы можете добавить свой комментарий...