Рекомендаций ЦБ РФ по аутсорсингу ИБ

Рекомендаций ЦБ РФ по аутсорсингу ИБ
В среду (06.07.2016) ЦБ РФ выложил на обсуждение проект рекомендаций в области стандартизации Банка России РС БР ИББС-2.Х-20ХХ «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аутсорсинг информационной безопасности». Замечания и предложения можно подавать до 31.08.2016, но только участникам технического комитета ТК122, вот ссылка для тех, кто имеет доступ.

Введение у документа очень лаконичное, но по существу:
"Действующим стандартом Банка России “Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения” (далее — СТО БР ИББС-1.0) определена необходимость создания и поддержания на должном уровне системы обеспечения информационной безопасности (далее — СОИБ) организаций банковской системы (далее — БС) Российской Федерации (далее — РФ). Одним из вариантов оптимизации и повышения результативности и эффективности СОИБ является использование услуг аутсорсинга информационной безопасности (далее — ИБ). 
Настоящие рекомендации устанавливают подход к использованию аутсорсинга ИБ организациями БС РФ и способствуют: повышению доверия к аутсорсингу ИБ; достижению адекватности мер защиты реальным угрозам ИБ; совершенствованию СОИБ."
Я редко пишу про проекты документов, но этот уж слишком хорош и полезен даже в первой редакции. Вот, что в нем можно найти уже сейчас (выделил цветом для удобства):
  • Термины и определения (например, "аутсорсинг", "инсорсинг", "аутстаффинг", "SLA" и другие).
  • Причины использования услуг аутсорсинга ИБ, приведу их:
"5.4. Среди главных причин использования аутсорсинга ИБ организациями БС РФ можно назвать:
Кадровые
-отсутствие необходимых квалифицированных и мотивированных кадров внутри организации БС РФ;
-необходимость высвобождения ключевых специалистов для других проектов и задач;
-необходимость снижения зависимости от собственных работников организации БС РФ
Экономические
-повышение прозрачности и предсказуемости расходов на СОИБ;
-оптимизация расходов на СОИБ;
Технологические
-повышение общего уровня ИБ за счет использования современных технологий и методологий;
-возможность обеспечения отдельных процессов СОИБ в режиме 24х7;
Временные
-возможность быстрого внедрения отдельных процессов СОИБ;
-возможность быстрого повышения уровня зрелости отдельных процессов СОИБ."
  • Сравнение Аутсорсинга и Инсорсинга (по возможностям и рискам).
  • Общий перечень возможных услуг аутсорсинга ИБ, а также рекомендации для SMB. Общий перечень приведен, кстати, с маппингом на меры из СТО БР ИББС 1.0 с указанием приоритетов.
  • Подходы к аутсорсингу ИБ, тоже приведу их полностью:
"5.10.Организациям БС РФ стоит ориентироваться на один из следующих подходов к аутсорсингу ИБ:
-Долговременное сотрудничество. На аутсорсинг передаются непрофильные и/или сложные процессы ИБ (например, мониторинг событий и реагирование на инциденты ИБ).
-Среднесрочное сотрудничество. На аутсорсинг временно передаются сложные технологические процессы СОИБ до тех пор, пока не будет реализован соответствующий процесс внутри организации БС РФ. Например, процесс мониторинга событий ИБ может быть передан на аутсорсинг на время построения собственного Центра мониторинга и реагирования.
-Кратковременное сотрудничество. Усиление СОИБ услугами аутсорсинга на время проведения крупных мероприятий, характерных увеличением рисков ИБ (например, политические саммиты, выборы, спортивные соревнования, международные конкурсы и другое)."
  • Сравнение Аутсорсинга и Аутстаффинга.
  • Положения про разделение ответственности между заказчиком и провайдером услуг аутсорсинга.
  • Цикл аутсорсинга (детальные рекомендации по каждой фазе), приведу только фазы:
Фаза 1. ОЦЕНКА. На этой фазе проводятся оценки текущего состояния системы ИБ и возможности передачи отдельных процессов ИБ на аутсорсинг, определяются цели и задачи, формируются первичные требования и ожидания. Если услуги аутсорсинга уже используются, то производится оценка их эффективности и результативности.
Фаза 2. ВЫБОР. На этой фазе происходят утверждение финальных требований к услугам аутсорсинга ИБ, выбор их поставщика (Провайдера услуг аутсорсинга) и согласование метрик и показателей услуг.
Фаза 3. ПЕРЕХОД. На этой фазе производится подключение и реализация выбранных услуг аутсорсинга ИБ.
Фаза 4. УПРАВЛЕНИЕ И КОНТРОЛЬ. На этой фазе предоставляются услуги аутсорсинга ИБ и производится контроль их соответствия утвержденному SLA.
  • Критерии выбора провайдера услуг аутсорсинга.
  • Вопросы для обсуждения с Провайдером услуг аутсорсинга ИБ.
  • Пример целевых показателей для услуги «Мониторинг и анализ событий ИБ.
  • Ссылки на полезные международные стандарты.

Т.е. уже сейчас документ раскрывает вопросы аутсорсинга ИБ со всех возможных сторон и дает огромное количество рекомендаций. Кстати, они достаточно универсальные и могут быть использованы не только финансовыми организациями... Красота :)))
Alt text

Баги в софте могут влиять на судьбы заключенных в тюрьмах, недобросовестные полицейские находят слабые места в копирайт-защите соцсетей. Смотрите новый выпуск на нашем Yotube канале

Andrey Prozorov

Информационная безопасность в России и мире