Банк России готовит законопроект об аутсорсинге ИТ и облачных сервисов

Об основных положениях законопроекта об аутсорсинге информационных технологий и облачных сервисов рассказал Вадим Уваров, Директор Департамента информационной безопасности Банка России, на Круглом столе «Аутсорсинг ИТ в банковском секторе: барьеры и возможности», который прошёл в рамках XX Международного банковского Форума.

Докладчик отметил, что Банк России занимается вопросами аутсорсинга в течение 5-6 лет. В 2018 году был утверждён Стандарт Банка России по обеспечению информационной безопасности организаций банковской системы РФ «Управление риском. Нарушения информационной безопасности при аутсорсинге».

В 2022 году регулятор провёл большой опрос 900 организаций, на основе которого был подготовлен публичный доклад. Его выводы легли в законопроект об аутсорсинге информационных технологий и облачных сервисов.

В частности, исследование «Использование финансовыми организациями аутсорсинга ИТ и облачных услуг» показало, что:

  • практика привлечения поставщиков ИТ и облачных услуг широко распространена;
  • качество управления рисками при аутсорсинге ИТ и облачных услуг находится на низком уровне;
  • отмечена значительная концентрации риска.

При этом 28% организаций привлекают поставщиков ИТ и облачных услуг в рамках критичных технологических процессов. 16% респондентов не анализируют риски при привлечении поставщиков услуг. 38% компаний не осуществляют мониторинг качества предоставляемых услуг. 58% опрошенных не получают предварительные уведомления от поставщиков услуг при передаче технологических процессов на субподряд. 37% участников исследования не могут расторгнуть договор с поставщиком услуг при наличии существенных рисков.

Эти триггеры легли в основу законопроекта, в разработке которого принимали участие Банк России, Минцифры, ФСТЭК и ФСБ России. Нормы законопроекта были осуждены банковским сообществом, регуляторами, поправки нашли отражение в проекте документа. Более того, 65 (менее 10%) из всех опрошенных организаций отметили, что взаимоотношения компаний с поставщиками и порядок передачи определённых функций на аутсорсинг не требуют регулирования.

«Эта точка зрения имеет право на существование, но в понимании Банка России регуляторные требования даже при передаче определённых функций, в том числе на разработку приложений, имеющих банковскую тайну, должны быть», — отметил Вадим Уваров. — «Задача отражена в основных направлениях деятельности Банка России в области ИБ на 2023-2025 гг.». Регулятор планирует достичь консенсуса с банковским сообществом и довести законопроект до закона.

Законопроект даёт определение правового статуса поставщика услуг аутсорсинга ИТ и облачных услуг и распространяемых на него требований по обеспечению конфиденциальности полученной информации, в т. ч. банковской тайны. Описывает полномочия Банка России по установлению требований для поднадзорных организаций к порядку привлечения и взаимодействия с поставщиками услуг аутсорсинга ИТ и облачных услуг в целях обеспечения защиты информации и операционной надёжности. А также полномочия Банка России по определению порядка контроля за соблюдением финансовыми организациями указанных требований.

Субъектами регулирования данного законопроекта станут кредитные организации, не-кредитные финансовые организации и лица, оказывающие профессиональные услуги на финансовом рынке.

Вадим Уваров подчеркнул, что взаимоотношения поставщиков и заказчиков услуг надо поставить в законные рамки. «Договорных отношений для привлечения ИТ-услуг уже было достаточно», — считает он.

Отвечая на вопрос о необходимости регулирования стоимости банковских ИТ-услуг, особенно при смене разработчика или банковской АБС, представитель Банка России отметил, что общий объём рынка аутсорсинга в 2021 году составлял 2,2 млрд долларов. К 2026 году он вырастет до 9 млрд долларов. «Вопрос регулирования цен находится вне компетенции регулятора, заниматься этим Банк России не будет», — подчеркнул Вадим Уваров, отметив что выступает за рыночные отношения и здоровую конкуренцию на рынке услуг.

 

BIS Journal — главный медиапартнёр XX Международного банковского Форума.

28 сентября, 2023

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

22.04.2025
«Этот функционал позволяет оперативно вернуть себе контроль над онлайн-банком»
22.04.2025
Объявлена деловая программа «Тех-Френдли Викенд»
22.04.2025
В Москве прошёл Дата Саммит «Пульс данных»
22.04.2025
Крупных кибербезопасников выведут из-под «уголовки»? Такова идея АБД
22.04.2025
Половина компаний делает ставку на усиление ИБ в контексте развития ИT-инфраструктуры
21.04.2025
Двойную шапочку из фольги, пожалуйста. В Китае появилась 10G-сеть
21.04.2025
Нейросети будут писать законы на 70% быстрее специалистов
21.04.2025
Сертифицированный софт для удаления ПДн есть только у 3% компаний
21.04.2025
«Раскрыл бы только IP-адреса и номера телефонов, но не сообщения»
21.04.2025
У 13% россиян, установивших самозапрет на кредиты, — более десяти действующих договоров

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных