Контакты
Подписка 2025

Практическая реализация управления риском аутсорсинга (чек-лист)

Кирилл Чекудаев, 07/04/25

Как показал опрос Банка России [1], больше половины участников финансовой системы используют в той или иной мере аутсорсинг какой-либо функции. Но чем чаще заказчики прибегают к такой услуге, тем больше рисков, что поставщики не смогут качественно и своевременно выполнить взятые обязательства.

Автор: Кирилл Чекудаев, ведущий консультант по управлению рисками RTM Group

ris2_w-Apr-07-2025-03-12-40-1645-PM

Комплекс мер обозначен

Регулятор финсистемы Банк России определил основные зависимости в ИТ-сфере, способствующие появлению новых вызовов и угроз. Они, в частности, описаны в проекте изменений в Положение 716-П [2], где определен риск аутсорсинга, а также обозначена необходимость управления взаимоотношениями с поставщиками в области операционной надежности критичной архитектуры (787-П и 779-П).

Требования по взаимодействию с поставщиками призваны нейтрализовать информационные угрозы, в том числе и для объектов информационной инфраструктуры. Они также предназначены для минимизации зависимости функционирования ИТ-объектов от поставщиков ИТ-услуг.

ГОСТ Р 57580.3-2022 [3] и ГОСТ Р57580.4-2022 [4] описывают меры по управлению рисками реализации информационных угроз и операционной надежности при аутсорсинге. При этом стандарт определяет данную услугу как передачу финансовой организацией на основании договора на длительный срок (например от одного года) поставщику услуг выполнения бизнес- и технологических процессов. При аутсорсинге рекомендуется использовать ГОСТ Р ИСО/МЭК 27036-2 [5], ГОСТ Р ИСО/МЭК 27036-4 [6], а также Стандарт Банка России Управление риском нарушения информационной безопасности при аутсорсинге СТО БР ИББС-1.4-2018 [7].

Видно, что финансовым организациям придется проделать достаточно большую работу по управлению риском аутсорсинга. Это хоть и сложная, но выполнимая задача. Однако, есть ощущение, что некоторые организации вместо этого предпочтут перекладывать обязанности на поставщиков, что неизбежно приведет к удорожанию услуг.

И главные факторы риска – тоже

Участникам рынка важно постоянно следить за основными факторами риска с тем, чтобы в случае их возникновения быть готовыми оперативно принять меры.

Итак, к ключевым факторам риска аутсорсинга относятся:

  • возникновение зависимости процессов от деятельности поставщика услуг;
  • возникновение зависимости качества и непрерывности выполнения бизнес-функций от возможных сбоев и отказов на стороне поставщика услуг;
  • возникновение зависимости выполнения бизнес-функций от эффективности деятельности поставщика услуг и добросовестности выполнения SLA;
  • недостаточный уровень организации поставщиком услуг систем обеспечения ИБ;
  • неверная оценка ресурсов, возможностей (кадровых, финансовых, технических) и потенциала поставщика услуг, необходимых для выполнения взятых на себя обязательств при реализации бизнес-функций;
  • наличие в договоре с поставщиком услуг положений, реализация которых приведет к возникновению ограничений в деятельности.

В данном случае возможно, определившись с целями и задачами по управлению аутсорсинга, выработать единый, совместный с поставщиками услугами подход, который будет балансировать между экономической эффективностью и рисками.

Общий риск – общий путь

Ключевым моментом для определения единого подхода к процессу управления риск-менеджментом является соблюдение общих стандартов. Как заказчикам, так и поставщикам услуг следует определить зоны ответственности и порядок взаимодействия.

Опыт показывает, что нередко при сбоях в процессе ("легло" облако или любая другая ИС, которая находится на стороне поставщика услуг) и других проблемах заказчики любят перекладывать ответственность только на поставщика. Случается даже, что вместо того, чтобы вовремя и адекватно реагировать, они занимаются фиксацией и предъявлением материальных претензий (если они были прописаны в договорных отношениях).

При этом не всегда очевидно, что поставщик услуг в случае сбоя на своей стороне бездействовал. Аутсорсеру, конечно, не хочется платить штрафы и нести дополнительные репутационные риски, поэтому и он старается задействовать свои резервы в короткие сроки. При этом поставщик услуг также стремится реализовать процесс уведомления и регистрации инцидентов, а также предотвратить подобные инциденты в будущем.

Ключевой документ, который следует разработать и принять (и который значительно облегчает жизнь обеим сторонам), – Политика по аутсорсингу (или по управлению рисками аутсорсинга). В нее необходимо включить ответственность и распределение полномочий по управлению рисками, перечень необходимых мероприятий, порядок идентификации, управления и мониторинга рисков. Поставщики ИТ-услуг не только должны быть ознакомлены с Политикой и другими документами, но и проводить совместные мероприятия по предотвращению угроз, самооценке и обеспечению надежности процессов.

Один из документов, который также может быть определен совместно, – План ОНиВД и порядок взаимодействия по нему, с учетом отработки сценариев угроз, которые могут иметь место.

Участие сторон по обе стороны баррикад

Так как процесс управления риском аутсорсинга носит общий характер и необходимо участие как поставщиков услуг, так и клиентов, то для каждой из сторон процесса свой порядок работы.

Для банковской или финансовой организации следует осуществлять следующие меры:

  1. Обнаружение и предотвращение вторжений посредством объектов информатизации, используемых поставщиками услуг в рамках своей деятельности;
  2. Разработка и применение процедур реагирования в случае реализации информационных угроз, в том числе компьютерных атак со стороны поставщиков услуг, а также в случае идентификации риска распространения вредоносного кода на вычислительные сети;
  3. Выделение процедур по обеспечению безопасности цепи поставок в отношении поставщиков услуг, входящих в критичную архитектуру, включая:
    1. определение приоритета в отношении поставщиков услуг, реализующих необходимые процедуры по обеспечению безопасности на этапах жизненного цикла поставляемых объектов информатизации, в том числе обеспечивающих "прозрачность" в отношении реализуемых ими процессов производства и сопровождения объектов информатизации, а также имеющих необходимую зрелость собственных процессов обеспечения безопасности цепи поставок;
    2. анализ деятельности поставщиков услуг (в том числе, до заключения соглашений на поставку и аутсорс), включая оценку реализуемых поставщиком услуг процедур по обеспечению безопасности на этапах жизненного цикла поставляемых объектов информатизации и минимизации риска их несанкционированной модификации на этапах поставки;
    3. оценку квалификации, опыта и репутации поставщиков услуг;
    4. использование всевозможных источников информации для анализа и оценки поставщиков объектов информатизации и (или) сторонних информационных сервисов;
    5. выявление слабостей или недостатков цепи поставок посредством проведения независимой оценки (внешнего аудита);
    6. предварительную оценку (испытание, тестирование) объектов информатизации перед их использованием в качестве элементов критичной архитектуры (на этапах подбора или принятия в эксплуатацию, а также при их модернизации);
  4. Заключение соглашений об уровне оказания услуг (SLA) и неразглашении информации конфиденциального характера (NDA) в отношении поставщиков услуг;
  5. Определение основного и альтернативного поставщиков услуг – на случай, если основной не справится;
  6. Включение в договор (контракт) о разработке объектов информатизации или поставке готовых объектов информатизации положений по сопровождению (технической поддержке) и (или) техническому обслуживанию поставляемых изделий на планируемый срок их использования;
  7. Установление требований к обеспечению операционной надежности и защиты информации на этапах жизненного цикла проектируемых и разрабатываемых по заказу, а также приобретаемых объектов информатизации;
  8. Планирование на регулярной основе процесса передачи на аутсорсинг процессов или, наоборот, отказа от аутсорсинга;
  9. Разработка резервных планов на случай, если поставщик перестанет выполнять свои обязательства. Может включать возможность выполнения работ собственными силами или с резервным поставщиком;
  10. Своевременное, планируемое и контролируемое техническое обслуживание объектов информатизации, входящих в критичную архитектуру, в том числе:
    1. авторизация и регистрация операций, осуществляемых в рамках технического обслуживания, а также аутентификация осуществляющих их субъектов доступа
    2. контроль соблюдения требований к обеспечению защиты информации в процессе технического обслуживания, направленных на обеспечение целостности, конфиденциальности и доступности информации
    3. проведение технического обслуживания в соответствии со техническими требованиями и условиями
    4. тестирование (проверка) работоспособности объектов информатизации после проведения технического обслуживания для выявления риска нарушения операционной надежности;
  11. Контроль удаленного технического обслуживания и диагностики, осуществляемых при подключении извне вычислительных сетей финансовой организации;
  12. Тестирование сценариев непрерывности и восстановления деятельности в случае деградации процесса аутсорсинга и определение их влияния на деятельность организации.

Такие работы необходимо выполнить поставщикам:

  1. Сформировать (и задокументировать) комплексную стратегию управления рисками с целью их устранения для операций, клиентов и других организаций, связанных с эксплуатацией и использованием систем;
  2. Утвердить порядок информационного обмена с клиентами в случаях инцидентов или обнаруженных уязвимостей, которые могут повлиять на информационную безопасность клиентов и/или бесперебойность оказания услуг;
  3. Разработать, задокументировать и распространить политику ИБ, регламенты по управлению инцидентами кибербезопасности;
  4. Сформировать и распространить План ОНиВД, в т.ч. определение сроков восстановления как всей деятельности, так и по отдельным оказываемым услугам и задействованным ресурсам, необходимым для них;
  5. Провести тестирование плана ОНиВД совместно с представителями собственных поставщиков услуг, а также планов ОНиВД клиентов;
  6. Разработать, задокументировать и держать под контролем конфигурации (включая текущую базовую конфигурацию для устройств конечных пользователей), обеспечивающие:
    1. Обновления с последними исправлениями безопасности;
    2. Поддержку соответствующей аутентификации;
    3. Защиту данных при хранении и передаче;
    4. Целостность устройства;
    5. Гарантированную прозрачность состояния устройства;
    6. Разрешение только для доверенного программного обеспечения;
    7. Минимизацию доступа к привилегиям и приложениям;
    8. Ограничение использования всех интерфейсов устройства;
    9. Надежное управление устройствами;
    10. Ведение журнала безопасности, оповещения и мониторинга;
    11. Гарантированное восстановление до заведомо исправного состояния;
    12. Обеспечение ежегодного пересмотра и обновления базовой конфигурации;
  7. Планирование и актуализацию порядка изменений задействованной в оказании услуг архитектуры.

Рекомендации по управлению рисками аутсорсинга (чек-лист):

Исходя из анализа стандартов и регуляторных требований по рискам аутсорсинга, должна осуществляться совместная реализация организационных мер, включая нижеследующий список:

  • Определение информационных угроз, обеспечение операционной надежности и защиты информации;
  • Формирование и следование Политике аутсосринга;
  • Отнесение к зоне компетенции руководства вопросов, связанных с управлением рисками аутсорсинга;
  • Отладка механизма определения необходимости передачи функций на аутсорсинг на основе анализа экономического обоснования;
  • Организацию деятельности по выявлению и идентификации рисков в соответствии с ГОСТ Р ИСО/МЭК 27036-2;
  • Планирование, реализацию, контроль и совершенствование мероприятий, направленных на уменьшение негативного влияния рисков;
  • Информационный обмен по инцидентам и анализу уязвимостей;
  • Организацию совместного мониторинга рисков;
  • Совместное тестирование сценариев Плана ОНиВД и повышение эффективности и скорости восстановление деятельности;
  • Обеспечению соответствия фактических значений КПУР принятым организацией при аутсорсинге;
  • Применение соглашения об уровне предоставления услуг (SLA) и соглашения о неразглашении информации конфиденциального характера (NDA);
  • Обеспечение контроля качества услуг аутсорсинга в соответствии с SLA;
  • Актуализацию договорных отношений по предоставлению услуг аутсорсинга

Кроме этого, требуется корректировка сложившихся взаимоотношений с поставщиками услуг (особенно в части надежности и ИБ).


  1. https://cbr.ru/press/event/?id=14375
  2. https://www.garant.ru/products/ipo/prime/doc/404752271/
  3. https://docs.cntd.ru/document/1200194981
  4. https://docs.cntd.ru/document/1200194982
  5. https://docs.cntd.ru/document/573219765
  6. https://docs.cntd.ru/document/1200177454
  7. https://cbr.ru/statichtml/file/59420/st-14-18.pdf
Темы:аутсорсингБанк России

Программа мероприятий
для руководителей и специалистов
по защите информации

Посетить
Кибербезопасность
Форум ITSEC 2025 (июнь) для AppSec, Security Champions, DevOps-инженеров, тестировщиков, специалистов по ИБ
Участвуйте 17-18 июня →
Статьи по той же темеСтатьи по той же теме

  • Аутсорсинг ИБ для малого и среднего бизнеса: перестраховка или необходимость?
    Екатерина Киселева, эксперт Департамента сервиса и ИТ аутсорсинга ГК X-Com
    Часто небольшие компании не предпринимают никаких мер по обеспечению информационной безопасности. Как правило, это связано с высокими затратами на найм штатных специалистов: согласно данным hh.ru, рыночные зарплаты в сфере ИБ начинаются от 150 тыс. руб. в месяц и достигают 300 тыс. руб. и более. Для небольшой фирмы, особенно микробизнеса с численностью персонала до десяти человек, такие расходы становятся весьма ощутимыми.
  • Стать ИБ-аналитиком: Анастасия Ершова об обучении, услуге ИБ-аутсорсинга, задачах и препятствиях на пути к цели
    Анастасия Ершова, Аналитик информационной безопасности "Джи-Эс-Ти" (GST)
    Аналитик информационной безопасности «Джи-Эс-Ти» (GST) Анастасия Ершова рассказала, почему выбрала для работы направление ИБ-аутсорсинга, когда работа с заказчиками приносит максимальный результат и какие задачи ей приходится решать ежедневно – от рутинных дел до экстренных ситуаций.
  • Закон об ИТ-аутсорсинге: как он отразится на ИБ?
    Максим Захаров, управляющий партнер юридической фирмы Bishenov&Partners
    Участники финансового рынка все чаще прибегают к аутсорсингу ИТ-услуг – почему произошел этот переход и к чему он приведет?
  • Зачем ученым ИБ-аутсорсинг? История о внедрении услуги в Центре морских исследований МГУ
    Денис Илюшин, директор по информационным технологиям Центра морских исследований МГУ им. М.В. Ломоносова
    Денис Илюшин (Центр морских исследований МГУ им. М.В. Ломоносова) рассказал, почему информационную безопасность организации отдали на аутсорсинг.
  • Что лучше: свой SOC или внешний?
    Константин Саматов, Член Правления Ассоциации руководителей службы информационной безопасности
    Необходимо посмотреть на процессы SOC и оценить, какие из них выгодно передать на аутсорсинг, а какие – выгодно оставить себе

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Защиту СУБД и данных обсудим на ITSEC 2025
Посетите 17-18 июня →

More...
ТБ Форум 2025
18 июня | Форум ITSEC Доверенные корпоративные репозитории
Жми, чтобы участвовать

More...