Статьи по информационной безопасности

Практическая реализация управления риском аутсорсинга (чек-лист)

Written by Кирилл Чекудаев | 07/04/25

Как показал опрос Банка России [1], больше половины участников финансовой системы используют в той или иной мере аутсорсинг какой-либо функции. Но чем чаще заказчики прибегают к такой услуге, тем больше рисков, что поставщики не смогут качественно и своевременно выполнить взятые обязательства.

Автор: Кирилл Чекудаев, ведущий консультант по управлению рисками RTM Group

Комплекс мер обозначен

Регулятор финсистемы Банк России определил основные зависимости в ИТ-сфере, способствующие появлению новых вызовов и угроз. Они, в частности, описаны в проекте изменений в Положение 716-П [2], где определен риск аутсорсинга, а также обозначена необходимость управления взаимоотношениями с поставщиками в области операционной надежности критичной архитектуры (787-П и 779-П).

Требования по взаимодействию с поставщиками призваны нейтрализовать информационные угрозы, в том числе и для объектов информационной инфраструктуры. Они также предназначены для минимизации зависимости функционирования ИТ-объектов от поставщиков ИТ-услуг.

ГОСТ Р 57580.3-2022 [3] и ГОСТ Р57580.4-2022 [4] описывают меры по управлению рисками реализации информационных угроз и операционной надежности при аутсорсинге. При этом стандарт определяет данную услугу как передачу финансовой организацией на основании договора на длительный срок (например от одного года) поставщику услуг выполнения бизнес- и технологических процессов. При аутсорсинге рекомендуется использовать ГОСТ Р ИСО/МЭК 27036-2 [5], ГОСТ Р ИСО/МЭК 27036-4 [6], а также Стандарт Банка России Управление риском нарушения информационной безопасности при аутсорсинге СТО БР ИББС-1.4-2018 [7].

Видно, что финансовым организациям придется проделать достаточно большую работу по управлению риском аутсорсинга. Это хоть и сложная, но выполнимая задача. Однако, есть ощущение, что некоторые организации вместо этого предпочтут перекладывать обязанности на поставщиков, что неизбежно приведет к удорожанию услуг.

И главные факторы риска – тоже

Участникам рынка важно постоянно следить за основными факторами риска с тем, чтобы в случае их возникновения быть готовыми оперативно принять меры.

Итак, к ключевым факторам риска аутсорсинга относятся:

  • возникновение зависимости процессов от деятельности поставщика услуг;
  • возникновение зависимости качества и непрерывности выполнения бизнес-функций от возможных сбоев и отказов на стороне поставщика услуг;
  • возникновение зависимости выполнения бизнес-функций от эффективности деятельности поставщика услуг и добросовестности выполнения SLA;
  • недостаточный уровень организации поставщиком услуг систем обеспечения ИБ;
  • неверная оценка ресурсов, возможностей (кадровых, финансовых, технических) и потенциала поставщика услуг, необходимых для выполнения взятых на себя обязательств при реализации бизнес-функций;
  • наличие в договоре с поставщиком услуг положений, реализация которых приведет к возникновению ограничений в деятельности.

В данном случае возможно, определившись с целями и задачами по управлению аутсорсинга, выработать единый, совместный с поставщиками услугами подход, который будет балансировать между экономической эффективностью и рисками.

Общий риск – общий путь

Ключевым моментом для определения единого подхода к процессу управления риск-менеджментом является соблюдение общих стандартов. Как заказчикам, так и поставщикам услуг следует определить зоны ответственности и порядок взаимодействия.

Опыт показывает, что нередко при сбоях в процессе ("легло" облако или любая другая ИС, которая находится на стороне поставщика услуг) и других проблемах заказчики любят перекладывать ответственность только на поставщика. Случается даже, что вместо того, чтобы вовремя и адекватно реагировать, они занимаются фиксацией и предъявлением материальных претензий (если они были прописаны в договорных отношениях).

При этом не всегда очевидно, что поставщик услуг в случае сбоя на своей стороне бездействовал. Аутсорсеру, конечно, не хочется платить штрафы и нести дополнительные репутационные риски, поэтому и он старается задействовать свои резервы в короткие сроки. При этом поставщик услуг также стремится реализовать процесс уведомления и регистрации инцидентов, а также предотвратить подобные инциденты в будущем.

Ключевой документ, который следует разработать и принять (и который значительно облегчает жизнь обеим сторонам), – Политика по аутсорсингу (или по управлению рисками аутсорсинга). В нее необходимо включить ответственность и распределение полномочий по управлению рисками, перечень необходимых мероприятий, порядок идентификации, управления и мониторинга рисков. Поставщики ИТ-услуг не только должны быть ознакомлены с Политикой и другими документами, но и проводить совместные мероприятия по предотвращению угроз, самооценке и обеспечению надежности процессов.

Один из документов, который также может быть определен совместно, – План ОНиВД и порядок взаимодействия по нему, с учетом отработки сценариев угроз, которые могут иметь место.

Участие сторон по обе стороны баррикад

Так как процесс управления риском аутсорсинга носит общий характер и необходимо участие как поставщиков услуг, так и клиентов, то для каждой из сторон процесса свой порядок работы.

Для банковской или финансовой организации следует осуществлять следующие меры:

  1. Обнаружение и предотвращение вторжений посредством объектов информатизации, используемых поставщиками услуг в рамках своей деятельности;
  2. Разработка и применение процедур реагирования в случае реализации информационных угроз, в том числе компьютерных атак со стороны поставщиков услуг, а также в случае идентификации риска распространения вредоносного кода на вычислительные сети;
  3. Выделение процедур по обеспечению безопасности цепи поставок в отношении поставщиков услуг, входящих в критичную архитектуру, включая:
    1. определение приоритета в отношении поставщиков услуг, реализующих необходимые процедуры по обеспечению безопасности на этапах жизненного цикла поставляемых объектов информатизации, в том числе обеспечивающих "прозрачность" в отношении реализуемых ими процессов производства и сопровождения объектов информатизации, а также имеющих необходимую зрелость собственных процессов обеспечения безопасности цепи поставок;
    2. анализ деятельности поставщиков услуг (в том числе, до заключения соглашений на поставку и аутсорс), включая оценку реализуемых поставщиком услуг процедур по обеспечению безопасности на этапах жизненного цикла поставляемых объектов информатизации и минимизации риска их несанкционированной модификации на этапах поставки;
    3. оценку квалификации, опыта и репутации поставщиков услуг;
    4. использование всевозможных источников информации для анализа и оценки поставщиков объектов информатизации и (или) сторонних информационных сервисов;
    5. выявление слабостей или недостатков цепи поставок посредством проведения независимой оценки (внешнего аудита);
    6. предварительную оценку (испытание, тестирование) объектов информатизации перед их использованием в качестве элементов критичной архитектуры (на этапах подбора или принятия в эксплуатацию, а также при их модернизации);
  4. Заключение соглашений об уровне оказания услуг (SLA) и неразглашении информации конфиденциального характера (NDA) в отношении поставщиков услуг;
  5. Определение основного и альтернативного поставщиков услуг – на случай, если основной не справится;
  6. Включение в договор (контракт) о разработке объектов информатизации или поставке готовых объектов информатизации положений по сопровождению (технической поддержке) и (или) техническому обслуживанию поставляемых изделий на планируемый срок их использования;
  7. Установление требований к обеспечению операционной надежности и защиты информации на этапах жизненного цикла проектируемых и разрабатываемых по заказу, а также приобретаемых объектов информатизации;
  8. Планирование на регулярной основе процесса передачи на аутсорсинг процессов или, наоборот, отказа от аутсорсинга;
  9. Разработка резервных планов на случай, если поставщик перестанет выполнять свои обязательства. Может включать возможность выполнения работ собственными силами или с резервным поставщиком;
  10. Своевременное, планируемое и контролируемое техническое обслуживание объектов информатизации, входящих в критичную архитектуру, в том числе:
    1. авторизация и регистрация операций, осуществляемых в рамках технического обслуживания, а также аутентификация осуществляющих их субъектов доступа
    2. контроль соблюдения требований к обеспечению защиты информации в процессе технического обслуживания, направленных на обеспечение целостности, конфиденциальности и доступности информации
    3. проведение технического обслуживания в соответствии со техническими требованиями и условиями
    4. тестирование (проверка) работоспособности объектов информатизации после проведения технического обслуживания для выявления риска нарушения операционной надежности;
  11. Контроль удаленного технического обслуживания и диагностики, осуществляемых при подключении извне вычислительных сетей финансовой организации;
  12. Тестирование сценариев непрерывности и восстановления деятельности в случае деградации процесса аутсорсинга и определение их влияния на деятельность организации.

Такие работы необходимо выполнить поставщикам:

  1. Сформировать (и задокументировать) комплексную стратегию управления рисками с целью их устранения для операций, клиентов и других организаций, связанных с эксплуатацией и использованием систем;
  2. Утвердить порядок информационного обмена с клиентами в случаях инцидентов или обнаруженных уязвимостей, которые могут повлиять на информационную безопасность клиентов и/или бесперебойность оказания услуг;
  3. Разработать, задокументировать и распространить политику ИБ, регламенты по управлению инцидентами кибербезопасности;
  4. Сформировать и распространить План ОНиВД, в т.ч. определение сроков восстановления как всей деятельности, так и по отдельным оказываемым услугам и задействованным ресурсам, необходимым для них;
  5. Провести тестирование плана ОНиВД совместно с представителями собственных поставщиков услуг, а также планов ОНиВД клиентов;
  6. Разработать, задокументировать и держать под контролем конфигурации (включая текущую базовую конфигурацию для устройств конечных пользователей), обеспечивающие:
    1. Обновления с последними исправлениями безопасности;
    2. Поддержку соответствующей аутентификации;
    3. Защиту данных при хранении и передаче;
    4. Целостность устройства;
    5. Гарантированную прозрачность состояния устройства;
    6. Разрешение только для доверенного программного обеспечения;
    7. Минимизацию доступа к привилегиям и приложениям;
    8. Ограничение использования всех интерфейсов устройства;
    9. Надежное управление устройствами;
    10. Ведение журнала безопасности, оповещения и мониторинга;
    11. Гарантированное восстановление до заведомо исправного состояния;
    12. Обеспечение ежегодного пересмотра и обновления базовой конфигурации;
  7. Планирование и актуализацию порядка изменений задействованной в оказании услуг архитектуры.

Рекомендации по управлению рисками аутсорсинга (чек-лист):

Исходя из анализа стандартов и регуляторных требований по рискам аутсорсинга, должна осуществляться совместная реализация организационных мер, включая нижеследующий список:

  • Определение информационных угроз, обеспечение операционной надежности и защиты информации;
  • Формирование и следование Политике аутсосринга;
  • Отнесение к зоне компетенции руководства вопросов, связанных с управлением рисками аутсорсинга;
  • Отладка механизма определения необходимости передачи функций на аутсорсинг на основе анализа экономического обоснования;
  • Организацию деятельности по выявлению и идентификации рисков в соответствии с ГОСТ Р ИСО/МЭК 27036-2;
  • Планирование, реализацию, контроль и совершенствование мероприятий, направленных на уменьшение негативного влияния рисков;
  • Информационный обмен по инцидентам и анализу уязвимостей;
  • Организацию совместного мониторинга рисков;
  • Совместное тестирование сценариев Плана ОНиВД и повышение эффективности и скорости восстановление деятельности;
  • Обеспечению соответствия фактических значений КПУР принятым организацией при аутсорсинге;
  • Применение соглашения об уровне предоставления услуг (SLA) и соглашения о неразглашении информации конфиденциального характера (NDA);
  • Обеспечение контроля качества услуг аутсорсинга в соответствии с SLA;
  • Актуализацию договорных отношений по предоставлению услуг аутсорсинга

Кроме этого, требуется корректировка сложившихся взаимоотношений с поставщиками услуг (особенно в части надежности и ИБ).

  1. https://cbr.ru/press/event/?id=14375
  2. https://www.garant.ru/products/ipo/prime/doc/404752271/
  3. https://docs.cntd.ru/document/1200194981
  4. https://docs.cntd.ru/document/1200194982
  5. https://docs.cntd.ru/document/573219765
  6. https://docs.cntd.ru/document/1200177454
  7. https://cbr.ru/statichtml/file/59420/st-14-18.pdf
View full post