18 июля, 2018, BIS Journal №3(30)/2018

Оцени киберриски при аутсорсинге, прими оптимальное решение


Выборнов Андрей

начальник отдела методологии обеспечения безопасности информационных ресурсов ГУБиЗИ (Банк России)

Стандарт СТО БР ИББС-1.4-2018 «Управление риском наруше-ния ИБ при аутсорсинге» значим, актуален и востребован орга-низациями кредитно-финансовой сферы

Ситуация в финансовой сфере в настоящее время характеризуются высоким уровнем киберрисков. В этой связи востребована высокая компетенция специалистов, актуальным является привлечение новых высокооплачиваемых сотрудников. Банки встают перед лицом значительных финансовых затрат на обеспечение киберустойчивости своих бизнес-процессов. Приемлемым решением проблемы оказывается аутсорсинг, при условии должного уровня его безопасности.

АКТУАЛЬНОСТЬ АУТСОРСИНГА

На рынке труда кадровый ресурс специалистов бывает ограничен, является дефицитом. Неудивительно, что многие кредитные организации в этом плане испытывают затруднения. Поэтому для малых и средних банков и финансовых организаций актуален аутсорсинг некоторых организационных аспектов обеспечения информационной безопасности. В этом случае они могут привлекать организации, сторонних исполнителей, обладающих необходимым уровнем компетенций.

Но и для крупных банков актуальна безопасность аутсорсинга, хотя, возможно и в других аспектах, в том числе в области облачных технологий, работы с внешними центрами обработки данных. Использование этой услуги позволяет крупным банкам оптимизировать свои бизнес-процессы, связанные с информатизацией.

При использовании аутсорсинга управление рисками в любом случае всё равно должно оставаться на стороне кредитной организации, в зоне её ответственности. Выбирая поставщиков услуг, формулируя для них техническое задание, кредитные организации должны руководствоваться определёнными принципами и требованиями. Чтобы сохранить управление имеющимися рисками и контроль их минимизации.

Центральные банки развитых зарубежных стран (США, Евросоюз, Сингапур и др.) активно занимаются регулированием аутсорсинга информационной безопасности в финансовой сфере. Ими издаются соответствующие нормативные документы, этот опыт был тщательно изучен специалистами Банка России и использован применительно к нашей практике. В Сингапуре, где многие компании специализируются на предоставлении облачных сервисов, это рекомендации Центрального банка. В США также действуют рекомендации в этой области.

Аутсорсинг информационной безопасности, её обеспечение во внешних сервисах – тема, актуальная и интересная для банков. Среди вынесенных банком на аутсорсинг процессов могут быть обслуживание и защита информации в облачных сервисах – центрах обработки данных, услуги SOCов, промышленных систем антифрода, sms-рассылки и т.п. Повторим: для малых и средних банков это возможность использовать сторонние компетенции, для крупных – оптимизировать затраты на основные бизнес-процессы.

ПЕРЕПЛЕТЕНИЯ РИСКОВ

Банки, с которыми осуществлялось взаимодействие в ходе разработки стандарта, интересовались в основном комплаенсом – соответствием требованиям к защите информации. На этом вопросе они сейчас в большей степени сконцентрированы, чем на минимизации рисков. Банк России создавал комплексную методическую базу, чтобы оба эти аспекта аутсорсинга рассматривались в совокупности.

Необходимость регулирования рисков нарушения ИБ при аутсорсинге в финансовой сфере возникла в связи с перспективами включения рисков киберустойчивости, информационной безопасности в основные, операционные банковские риски. Чтобы после этого заниматься ими по единой методологии. На основе оценки этих рисков оценивать общее финансово-экономическое состояние банка, устойчивость кредитно-финансовой организации и других участников финансовой сферы.

Передавая обработку информации на аутсорсинг, банки становятся зависимыми от поставщика услуг. Но риски при этом сохраняются на стороне банка, в зоне его ответственности. Поэтому важно, как банки выстраивают свои отношения с поставщиком услуг аутсорсинга. Какой заключают с ним договор, какие в нём прописываются обязательства.

В информационной безопасности риски сводятся, как правило, к двум основным. Первый ‑ нарушения бесперебойности предоставления поставщиком тех или иных услуг, что может приостановить предоставление услуг уже самой финансовой организацией. Второй риск ‑ утечки информации, чреватые как ущербом репутации кредитно-финансовой организации, так и, отдельная тема, – несанкционированными транзакциями, хищениями денежных средств. Эти риски при аутсорсинге остаются на стороне банков, а не поставщиков услуг, именно банки должны продолжать контролировать минимизацию этих рисков. Потому что придётся нести ущерб при их реализации.

ОПТИМАЛЬНО ВЫСТРОИТЬ ОТНОШЕНИЯ

Главным адресатом СТО БР ИББС-1.4-2018 являются кредитно-финансовые организации. Деятельность поставщиков услуг банкам Банк России не может контролировать по закону. Однако опосредованно, косвенно новый стандарт касается поставщиков-аутсорсеров, поскольку рекомендует банкам выстраивать отношения с ними по определённым правилам. Включая возможность внешнего аудита, чтоб банк заранее мог определить уровень защищённости, который поставщик в состоянии предоставить. И чтобы этот уровень подтверждался независимой внешней оценкой.

Это комплексная проблема: отдавая свои бизнес-процессы внешнему исполнителю, банк чаще всего не имеет компетенции оценить, насколько поставщик способен обеспечивать киберустойчивость и защиту информации. Банк не владеет механизмами оценок деятельности поставщиков услуг, соответствия её результатов требованиям и рекомендациям Банка России.

Банк России позаботился о том, чтобы создать атмосферу доверия к поставщикам через механизм внешнего аудита. Чтобы финансовая организация, используя его итоги, могла объективно оценивать свои риски при аутсорсинге. Таким образом, СТО БР ИББС-1.4-2018 должен помочь банкам оптимально выстроить отношения с аутсорсерами.

Новый стандарт востребован банками, сигналы об этом поступали в течение нескольких лет. Нормативная база в сфере защиты информации, в том числе при аутсорсинге, активно развивается не только Банком России, но и другими уполномоченными государственными органами, регулирующими отрасль ‑ ФСБ России, ФСТЭК России, Роскомнадзором и другими.

Банк России старался обеспечить принятие СТО БР ИББС-1.4-2018 к моменту, когда потребность банков в аутсорсинге и обеспечении его безопасности стала массовой, по экономическим причинам. В случаях, когда банкам просто невыгодно создавать и обслуживать новые специализированные вычислительные структуры, брать в штат высокопрофессиональных, но узких специалистов. Объём услуг аутсорсинга на рынке стал значительным, его доля в банковском деле заметно возросла.

ОТ «ВХОДА» ДО «ВЫХОДА»

Логическая структура СТО БР ИББС-1.4-2018 строится следующим образом. Вначале речь идёт о вовлечённости руководства ‑ Совета директоров, исполнительных органов ‑ в процессы построения системы управления аутсорсингом, об определении политики кредитной организации в этом вопросе. Далее ‑ об оценке рисков при выборе поставщика таких услуг: результат выбора должен соответствовать рискам, принятым руководством банка. Следующий шаг – заключение банком соглашения, договора с поставщиком услуг – аутсорсером, включающие требования обеспечения информационной безопасности.

Потом описывается, как банку, осознавая имеющиеся риски, нужно организовать мониторинг деятельности, порученной внешнему поставщику услуг. Завершает текст стандарта «стратегия выхода», процедуры завершения взаимодействия банка с поставщиком. В том числе и для перехода к услугам другого поставщика. СТО БР ИББС-1.4-2018 описывает аутсорсинг «на всех этапах жизненного цикла», от выработки соответствующей политики руководством банка, выбора компании-аутсорсера и заключения с ним договора вплоть до завершения работы с данным поставщиком.

Суть стандарта в том, чтобы помочь банкам, посредством рекомендуемых процедур, сформировать компетенции в области выбора поставщика услуг ‑ аутсорсера, заключении с ним договора и контроля выполнения переданных ему бизнес-процессов. Для этого нужны организационные мероприятия: выработка политики, подготовка юридической документации. А также получение данных о деятельности поставщиков, анализ показателей, как для выбора поставщика, так и для контроля его деятельности.

Отдавая бизнес-процесс на аутосорсинг, банку не нужно специально нанимать сотрудника, который бы вёл мониторинг исполнения. Контроль качества может осуществлять уже имеющийся в штате сотрудник, делать это он должен на основе определённых показателей и критериев. Это всё чисто организационные действия, помогающие банку контролировать свои риски при использовании аутсорсинга, обеспечивать информационную безопасность.

ОТ РЕКОМЕНДАЦИЙ К ТРЕБОВАНИЯМ

Стандарт СТО БР ИББС-1.4-2018 «Управление риском нарушения ИБ при аутсорсинге», как и аналогичные документы за рубежом, носит рекомендательный характер. Этот Стандарт, как и другие отраслевые документы этого комплекса, разрабатывался не как некий свод правил, а как «настольная книга», методическое «руководство к действию» для специалистов по ИБ финансовых организаций.

Действует такая концепция: вначале создаётся отраслевой стандарт – методические рекомендации. Банкам даётся время на их изучение, апробацию, внедрение, выполнение в добровольном порядке. Если сейчас банк при аутсорсинге не будет выполнять предложенные правила, ему грозят «только» повышенные риски прерывания бизнес-процессов, обслуживания клиентов, утечек конфиденциальной информации и хищений денежных средств.

Следующий шаг – придание отраслевому стандарту статуса государственного (национального), ГОСТ Р, переход к обязательному применению. В обозримом будущем положениям стандарта в конкретизированных, более чётких формулировках может быть придан статус обязательных требований, закреплённый нормативными документами Банка России.

Блок, посвящённый аутсорсингу информационной безопасности, использованию сторонних сервисов, может пройти этот путь ориентировочно за два года. В настоящее время принятие и выполнение СТО БР ИББС-1.4-2018 – дело руководства банка. После того, как прописанные в нём нормы превратятся в обязательные требования, будут закреплены нормативными актами.

Вопросы киберустойчивости, информационной безопасности в перспективе предстоит рассматривать в рамках операционных рисков организаций финансовой сферы. Причём – среди основных рисков, существенно влияющих на систему управления капиталом. Низкий уровень информационной безопасности будет означать рост рисков и потребует «страхового» увеличения капитала.