О стандарте ЦБ по ИБ аутсорсинга

Законодательство
Еще несколько лет назад тема ИБ не была в фаворе у журналистов, которые очень редко радовали читателей темой кибербезопасности. Однако время текло и тема стала не просто очень горячей, а регулярно всплывающей на первых страницах ведущих деловых изданий — Коммерсанта, Ведомостей, РБК и т.д. И это привело к тому, что качество многих статей стало очень сильно страдать. Часто материал выпускается без какой-либо проверки фактов, с приглашением непонятных экспертов, а то и вовсе с такими ляпами, что диву даешься. В качестве примера возьмем проект стандарта ЦБ по информационной безопасности аутсорсинга.

Началось все со статьи в «Известиях». Когда я ее прочитал, я выпал в осадок, так как она не просто изобиловала фактическими ошибками, а была построена на изначально неверной базе. Статья почему-то была посвящена стандарту по аутсорсингу кибербезопасности. Но дело в том, что этой теме была посвящена первая версия проекта стандарта, выпущенная в прошлом году. Текущая версия посвящена кибербезопасности аутсорсинга. Слова те же — суть совершенно иная. Я тогда смолчал, просто прокомментировал в соцсетях новости, которые опубликовали специализированные порталы по ИБ с публикацией этой статьи. Я могу понять, когда чушь пишет журналист, мало понимающий в ИБ, но такое нельзя допускать для профессионального СМИ.

Спустя две недели выходит статья в Коммерсанте и она тоже посвящена этому проекту стандарта. К журналисту у меня вопросов нет 🙂 Есть к эспертам, которые комментируют стандарт в статье. По их мнению есть следующие проблемы у стандарта:

  • он обязательный для банков и что-то требует
  • он развивает бюрократию, требуя разработки множества документов, которых раньше у банков не было
  • он не может быть выполнен мелкими банками, у которых всего 1-2 безопасника
  • он не устраняет риска привлечения некачественных поставщиков услуг и фирм-однодневок.
Как участник рабочей группы, которая писала этот стандарт, хотел бы дать некоторые пояснения, чтобы не возникало иллюзий по поводу этого документа. Во-первых, он не обязателен. Это не ГОСТ, на который даются ссылки из нормативных актов ЦБ. Это СТО, то есть стандарт организации, который принимается по решению самой организации. Хочет — принимает, не хочет — не принимает. Ни заставить, ни наказать за присоединение или неприсоединение к СТО нельзя. Это по сути методические рекомендации, описывающие, на что обратить внимание при обращении к аутсорсингу.
С комментарием про кучу документов я тоже не согласен. Финансовая организация (а не только банк) принимает решение о передаче существенных бизнес-функций (инкассация, ЦОД, облачные вычисления, Call Center, аутстаффинг, разработка ПО и т.п.). Это важное решение, которое может приниматься только при оценке всех существенных рисков, часть из которых касается информационной безопасности. От того, насколько качественно проведена эта оценка, зависит возможность оказания услуг клиентам и партнерам финансовой организации. Поэтому вполне логично, что надо провести достаточно серьезную работу по выбору контрагента и формализации взаимоотношений с ним. Помню, когда мы заключали договор на аутсорсинг ИБ всех промышленных площадок одной из крупнейших мировых нефтяных компаний, мы потратили 9 месяцев на согласование договора. 9 месяцев! Потому что от того, насколько качественно он прописан зависит жизнедеятельность нефтяной компании и наша ответственность.
При этом, когда мы выбираем облачного провайдера для своих нужд, а мы пользуемся услугами около 700 облачных провайдеров по всему миру, то это тоже непростая процедура, которая у нас формализована в так называемой процедуре CASPR (Cloud and Application Service Provider Remediation), состоящей из множества элементов, часть из которых требует определенной формализации и документированию:
И, кстати, такая формализация помогает уменьшить число людей, которые занимаются выбором и оценкой нового провайдера услуг. Не надо ничего придумывать, искать, тратить время — следуй методичке и выбирай между вариантами CASPR Lite, CASPR Standard и CASPR Plus.
Что же касается отсечения фирм-однодневок, то стандарт как раз и призван это сделать. Ну какая однодневка будет иметь квалифицированный персонал, лицензии, подтвержденные проекты по аутсорсингу, соответствие PCI DSS (в отдельных случаях), прохождение регулярного аудита? А все это прописано в стандарте, по которому сейчас запущена процедура голосования.
Возвращаясь к статье Известий, стандарт также упоминает про аутсорсинг ИБ, но в качестве финального раздела, который просто уточняет, на что надо смотреть, если вы решите отдать во внешние руки свои МСЭ, сканирование периметра, мониторинг и т.п. Там же приведен и набор возможных метрик для оценки своего ИБ-аутсорсера. То есть еще раз — стандарт посвящен не аутсорсингу ИБ, а вопросам ИБ при переходе на аутсорсинг. Не пользуетесь аутсорсингом, ну и не применяйте стандарт. Обратились к внешним поставщикам, стандарт дает вам набор рекомендаций и оказывает методическую помощь. Хотите — пользуйтесь, не хотите — не пользуйтесь.

Стандарт состоит из следующих разделов:

  • риск нарушения ИБ при аутсорсинге существенных функций
  • основные требования к управлению риском ИБ при аутсорсинге существенных функций
  • содержание задач и зона ответственности руководства организации БС РФ при аутсорсинге существенных функций
  • требования к проведению оценки поставщика услуг при аутсорсинге существенных функций
  • требования к содержанию соглашений на аутсорсинг существенных функций
  • мониторинг и контроль риска нарушения ИБ при аутсорсинге существенных функций
  • особенности аутсорсинга процессов ИБ
  • приложения, среди которых список практичных вопросов, которые стоит задать аутсорсеру при решении о том, стоит ли с ним работать или нет.
Вот такая картина с этим стандартом, который могут принять в ближайшее время и он вступит в действие с 1-го января 2018-го года.
Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. Unknown

    Этот комментарий был удален автором.

    Ответить
  2. Unknown

    Алексей, это нормально для небольших финансовых организаций: "мы потратили 9 месяцев на согласование договора. 9 месяцев!"? Написанное как раз подтверждает слова эксперта о сложности в реализации стандарта в условиях ограниченности ресурсов. Или проект стандарта создан , чтобы ему никто не мог следовать? Цель имхо другая!

    Ответить
  3. tomato

    Простите, что влезаю, но вот что не нормально — это сравнивать сроки принятия решений в нефтяном гиганте и в небольшой финансовой организации… Ну и хотеть стандарт — "серебряную пулю", чтоб долго не читать, ничего не делать, и при этом как-то риски приемлемо обработать…

    Ответить
  4. Алексей Лукацкий

    Maxim: я приводил опыт крупнейшей мировой нефтяной компании, которая для защиты своих интересов потратила 9 месяцев на согласование договора, так как не хотела рисковать. У некрупной финансовой организации нет таких рисков — у нее и время займет все это меньше. Да и опять, повторю. Никто не требует применения ВСЕХ норм стандарта — принимаете все риски на себя, кто ж мешает. Только ЦБ потом спросит с руководства финансовой организации, если что пойдет не так. А стандарт объясняет, на что обратить внимание руководства при переходе на аутсорсинг.

    Ответить
  5. Алексей Лукацкий

    tomato: да, все верно 🙂

    Ответить
  6. ZW

    Люди хотят стандарт, который можно быстро выполнить, чтобы соответствовать стандарту для последующего сваливания возникших проблем на стандарт. Мы всё сделали по стандарту и вот справка от проверяющих органов. А то, что от такого, легко выполнимого, стандарта никакого толку — это не важно.

    Ответить
  7. Алексей Лукацкий

    Люди вообще ничего не хотят исполнять. А уж рекомендательный стандарт тем более. Выполнение его или невыполнение никак не скажется на соответствии для проверяющих органов

    Ответить
  8. ZW

    Да, стандарт рекомендательный, но очевидно, что многие этого не понимают, а некоторые, понимая, или перестраховываются (вдруг он станет обязательным), или нагнетают, чтобы дать очередное интервью:)

    Ответить
  9. Алексей Лукацкий

    Увы

    Ответить