О стандарте ЦБ по ИБ аутсорсинга

Еще несколько лет назад тема ИБ не была в фаворе у журналистов, которые очень редко радовали читателей темой кибербезопасности. Однако время текло и тема стала не просто очень горячей, а регулярно всплывающей на первых страницах ведущих деловых изданий - Коммерсанта, Ведомостей, РБК и т.д. И это привело к тому, что качество многих статей стало очень сильно страдать. Часто материал выпускается без какой-либо проверки фактов, с приглашением непонятных экспертов, а то и вовсе с такими ляпами, что диву даешься. В качестве примера возьмем проект стандарта ЦБ по информационной безопасности аутсорсинга.

Началось все со статьи в "Известиях". Когда я ее прочитал, я выпал в осадок, так как она не просто изобиловала фактическими ошибками, а была построена на изначально неверной базе. Статья почему-то была посвящена стандарту по аутсорсингу кибербезопасности. Но дело в том, что этой теме была посвящена первая версия проекта стандарта, выпущенная в прошлом году. Текущая версия посвящена кибербезопасности аутсорсинга. Слова те же - суть совершенно иная. Я тогда смолчал, просто прокомментировал в соцсетях новости, которые опубликовали специализированные порталы по ИБ с публикацией этой статьи. Я могу понять, когда чушь пишет журналист, мало понимающий в ИБ, но такое нельзя допускать для профессионального СМИ.

Спустя две недели выходит статья в Коммерсанте и она тоже посвящена этому проекту стандарта. К журналисту у меня вопросов нет :-) Есть к эспертам, которые комментируют стандарт в статье. По их мнению есть следующие проблемы у стандарта:

• он обязательный для банков и что-то требует
• он развивает бюрократию, требуя разработки множества документов, которых раньше у банков не было
• он не может быть выполнен мелкими банками, у которых всего 1-2 безопасника
• он не устраняет риска привлечения некачественных поставщиков услуг и фирм-однодневок.

Как участник рабочей группы, которая писала этот стандарт, хотел бы дать некоторые пояснения, чтобы не возникало иллюзий по поводу этого документа. Во-первых, он не обязателен. Это не ГОСТ, на который даются ссылки из нормативных актов ЦБ. Это СТО, то есть стандарт организации, который принимается по решению самой организации. Хочет - принимает, не хочет - не принимает. Ни заставить, ни наказать за присоединение или неприсоединение к СТО нельзя. Это по сути методические рекомендации, описывающие, на что обратить внимание при обращении к аутсорсингу.

С комментарием про кучу документов я тоже не согласен. Финансовая организация (а не только банк) принимает решение о передаче существенных бизнес-функций (инкассация, ЦОД, облачные вычисления, Call Center, аутстаффинг, разработка ПО и т.п.). Это важное решение, которое может приниматься только при оценке всех существенных рисков, часть из которых касается информационной безопасности. От того, насколько качественно проведена эта оценка, зависит возможность оказания услуг клиентам и партнерам финансовой организации. Поэтому вполне логично, что надо провести достаточно серьезную работу по выбору контрагента и формализации взаимоотношений с ним. Помню, когда мы заключали договор на аутсорсинг ИБ всех промышленных площадок одной из крупнейших мировых нефтяных компаний, мы потратили 9 месяцев на согласование договора. 9 месяцев! Потому что от того, насколько качественно он прописан зависит жизнедеятельность нефтяной компании и наша ответственность.

При этом, когда мы выбираем облачного провайдера для своих нужд, а мы пользуемся услугами около 700 облачных провайдеров по всему миру, то это тоже непростая процедура, которая у нас формализована в так называемой процедуре CASPR (Cloud and Application Service Provider Remediation), состоящей из множества элементов, часть из которых требует определенной формализации и документированию:

И, кстати, такая формализация помогает уменьшить число людей, которые занимаются выбором и оценкой нового провайдера услуг. Не надо ничего придумывать, искать, тратить время - следуй методичке и выбирай между вариантами CASPR Lite, CASPR Standard и CASPR Plus.

Что же касается отсечения фирм-однодневок, то стандарт как раз и призван это сделать. Ну какая однодневка будет иметь квалифицированный персонал, лицензии, подтвержденные проекты по аутсорсингу, соответствие PCI DSS (в отдельных случаях), прохождение регулярного аудита? А все это прописано в стандарте, по которому сейчас запущена процедура голосования.

Возвращаясь к статье Известий, стандарт также упоминает про аутсорсинг ИБ, но в качестве финального раздела, который просто уточняет, на что надо смотреть, если вы решите отдать во внешние руки свои МСЭ, сканирование периметра, мониторинг и т.п. Там же приведен и набор возможных метрик для оценки своего ИБ-аутсорсера. То есть еще раз - стандарт посвящен не аутсорсингу ИБ, а вопросам ИБ при переходе на аутсорсинг. Не пользуетесь аутсорсингом, ну и не применяйте стандарт. Обратились к внешним поставщикам, стандарт дает вам набор рекомендаций и оказывает методическую помощь. Хотите - пользуйтесь, не хотите - не пользуйтесь.

Стандарт состоит из следующих разделов:

• риск нарушения ИБ при аутсорсинге существенных функций
• основные требования к управлению риском ИБ при аутсорсинге существенных функций
• содержание задач и зона ответственности руководства организации БС РФ при аутсорсинге существенных функций
• требования к проведению оценки поставщика услуг при аутсорсинге существенных функций
• требования к содержанию соглашений на аутсорсинг существенных функций
• мониторинг и контроль риска нарушения ИБ при аутсорсинге существенных функций
• особенности аутсорсинга процессов ИБ
• приложения, среди которых список практичных вопросов, которые стоит задать аутсорсеру при решении о том, стоит ли с ним работать или нет.

Вот такая картина с этим стандартом, который могут принять в ближайшее время и он вступит в действие с 1-го января 2018-го года.