В настоящее время отмечается объективная тенденция и экономическая потребность на передачу выполнения отдельных собственных бизнес-функций на основании договорных отношений сторонними (внешним) компаниям, специализирующимся на предоставлении соответствующих услуг – поставщикам услуг.

В большинстве случаев передача выполнения бизнес-функций на аутсорсинг приводит к появлению новых рисков в деятельности организаций, включая риски нарушения информационной безопасности (ИБ). Передача выполнения бизнес-функций на аутсорсинг не снимает обязанность и не переносит ответственность - организаций, в том числе в части вопросов обеспечения ИБ, включая обязанность и ответственность, предусмотренные законодательством РФ, в том числе нормативно-правовыми актами РФ, нормативными актами Банка России (далее при совместном упоминании – законодательство РФ).

Факторы дополнительного риска нарушения ИБ порождают риски нарушения ИБ, которые в свою очередь могут реализоваться в виде инцидентов ИБ, имеющих значимые финансовые или репутационные последствия.

Следует учитывать, что в ряде случаев ущерб от реализации указанных рисков не может быть компенсирован поставщиком услуг в рамках заключенных договорных отношений.

Стандарт Банка России СТО ИББС-1.4-2018 «Управление риском нарушения информационной безопасности при аутсорсинге» определяет ряд основных требований, основанных на положениях документа Базельского комитета по банковскому надзору при Банке международных расчётов «Аутсорсинг в сфере финансовых услуг», адаптированных для цели управления и контроля риска нарушения ИБ при аутсорсинге существенных функций.

Стандарт также содержит рекомендации по выбору основных показателей (метрик) измерения степени возможности реализации риска нарушения ИБ, степени тяжести последствий от реализации риска нарушения ИБ, а также рекомендации по выбору источников данных.

ООО «Реальная безопасность» предлагает услугу по аудиту организаций на соответствие требованиям Стандарта Банка России СТО ИББС-1.4-2018.