Об основных положениях законопроекта об аутсорсинге информационных технологий и облачных сервисов рассказал Вадим Уваров, Директор Департамента информационной безопасности Банка России, на Круглом столе «Аутсорсинг ИТ в банковском секторе: барьеры и возможности», который прошёл в рамках XX Международного банковского Форума.
Докладчик отметил, что Банк России занимается вопросами аутсорсинга в течение 5-6 лет. В 2018 году был утверждён Стандарт Банка России по обеспечению информационной безопасности организаций банковской системы РФ «Управление риском. Нарушения информационной безопасности при аутсорсинге».
В 2022 году регулятор провёл большой опрос 900 организаций, на основе которого был подготовлен публичный доклад. Его выводы легли в законопроект об аутсорсинге информационных технологий и облачных сервисов.
В частности, исследование «Использование финансовыми организациями аутсорсинга ИТ и облачных услуг» показало, что:
- практика привлечения поставщиков ИТ и облачных услуг широко распространена;
- качество управления рисками при аутсорсинге ИТ и облачных услуг находится на низком уровне;
- отмечена значительная концентрации риска.
При этом 28% организаций привлекают поставщиков ИТ и облачных услуг в рамках критичных технологических процессов. 16% респондентов не анализируют риски при привлечении поставщиков услуг. 38% компаний не осуществляют мониторинг качества предоставляемых услуг. 58% опрошенных не получают предварительные уведомления от поставщиков услуг при передаче технологических процессов на субподряд. 37% участников исследования не могут расторгнуть договор с поставщиком услуг при наличии существенных рисков.
Эти триггеры легли в основу законопроекта, в разработке которого принимали участие Банк России, Минцифры, ФСТЭК и ФСБ России. Нормы законопроекта были осуждены банковским сообществом, регуляторами, поправки нашли отражение в проекте документа. Более того, 65 (менее 10%) из всех опрошенных организаций отметили, что взаимоотношения компаний с поставщиками и порядок передачи определённых функций на аутсорсинг не требуют регулирования.
«Эта точка зрения имеет право на существование, но в понимании Банка России регуляторные требования даже при передаче определённых функций, в том числе на разработку приложений, имеющих банковскую тайну, должны быть», — отметил Вадим Уваров. — «Задача отражена в основных направлениях деятельности Банка России в области ИБ на 2023-2025 гг.». Регулятор планирует достичь консенсуса с банковским сообществом и довести законопроект до закона.
Законопроект даёт определение правового статуса поставщика услуг аутсорсинга ИТ и облачных услуг и распространяемых на него требований по обеспечению конфиденциальности полученной информации, в т. ч. банковской тайны. Описывает полномочия Банка России по установлению требований для поднадзорных организаций к порядку привлечения и взаимодействия с поставщиками услуг аутсорсинга ИТ и облачных услуг в целях обеспечения защиты информации и операционной надёжности. А также полномочия Банка России по определению порядка контроля за соблюдением финансовыми организациями указанных требований.
Субъектами регулирования данного законопроекта станут кредитные организации, не-кредитные финансовые организации и лица, оказывающие профессиональные услуги на финансовом рынке.
Вадим Уваров подчеркнул, что взаимоотношения поставщиков и заказчиков услуг надо поставить в законные рамки. «Договорных отношений для привлечения ИТ-услуг уже было достаточно», — считает он.
Отвечая на вопрос о необходимости регулирования стоимости банковских ИТ-услуг, особенно при смене разработчика или банковской АБС, представитель Банка России отметил, что общий объём рынка аутсорсинга в 2021 году составлял 2,2 млрд долларов. К 2026 году он вырастет до 9 млрд долларов. «Вопрос регулирования цен находится вне компетенции регулятора, заниматься этим Банк России не будет», — подчеркнул Вадим Уваров, отметив что выступает за рыночные отношения и здоровую конкуренцию на рынке услуг.
BIS Journal — главный медиапартнёр XX Международного банковского Форума.
.jpg)