Банк России готовит законопроект об аутсорсинге ИТ и облачных сервисов

Об основных положениях законопроекта об аутсорсинге информационных технологий и облачных сервисов рассказал Вадим Уваров, Директор Департамента информационной безопасности Банка России, на Круглом столе «Аутсорсинг ИТ в банковском секторе: барьеры и возможности», который прошёл в рамках XX Международного банковского Форума.

Докладчик отметил, что Банк России занимается вопросами аутсорсинга в течение 5-6 лет. В 2018 году был утверждён Стандарт Банка России по обеспечению информационной безопасности организаций банковской системы РФ «Управление риском. Нарушения информационной безопасности при аутсорсинге».

В 2022 году регулятор провёл большой опрос 900 организаций, на основе которого был подготовлен публичный доклад. Его выводы легли в законопроект об аутсорсинге информационных технологий и облачных сервисов.

В частности, исследование «Использование финансовыми организациями аутсорсинга ИТ и облачных услуг» показало, что:

  • практика привлечения поставщиков ИТ и облачных услуг широко распространена;
  • качество управления рисками при аутсорсинге ИТ и облачных услуг находится на низком уровне;
  • отмечена значительная концентрации риска.

При этом 28% организаций привлекают поставщиков ИТ и облачных услуг в рамках критичных технологических процессов. 16% респондентов не анализируют риски при привлечении поставщиков услуг. 38% компаний не осуществляют мониторинг качества предоставляемых услуг. 58% опрошенных не получают предварительные уведомления от поставщиков услуг при передаче технологических процессов на субподряд. 37% участников исследования не могут расторгнуть договор с поставщиком услуг при наличии существенных рисков.

Эти триггеры легли в основу законопроекта, в разработке которого принимали участие Банк России, Минцифры, ФСТЭК и ФСБ России. Нормы законопроекта были осуждены банковским сообществом, регуляторами, поправки нашли отражение в проекте документа. Более того, 65 (менее 10%) из всех опрошенных организаций отметили, что взаимоотношения компаний с поставщиками и порядок передачи определённых функций на аутсорсинг не требуют регулирования.

«Эта точка зрения имеет право на существование, но в понимании Банка России регуляторные требования даже при передаче определённых функций, в том числе на разработку приложений, имеющих банковскую тайну, должны быть», — отметил Вадим Уваров. — «Задача отражена в основных направлениях деятельности Банка России в области ИБ на 2023-2025 гг.». Регулятор планирует достичь консенсуса с банковским сообществом и довести законопроект до закона.

Законопроект даёт определение правового статуса поставщика услуг аутсорсинга ИТ и облачных услуг и распространяемых на него требований по обеспечению конфиденциальности полученной информации, в т. ч. банковской тайны. Описывает полномочия Банка России по установлению требований для поднадзорных организаций к порядку привлечения и взаимодействия с поставщиками услуг аутсорсинга ИТ и облачных услуг в целях обеспечения защиты информации и операционной надёжности. А также полномочия Банка России по определению порядка контроля за соблюдением финансовыми организациями указанных требований.

Субъектами регулирования данного законопроекта станут кредитные организации, не-кредитные финансовые организации и лица, оказывающие профессиональные услуги на финансовом рынке.

Вадим Уваров подчеркнул, что взаимоотношения поставщиков и заказчиков услуг надо поставить в законные рамки. «Договорных отношений для привлечения ИТ-услуг уже было достаточно», — считает он.

Отвечая на вопрос о необходимости регулирования стоимости банковских ИТ-услуг, особенно при смене разработчика или банковской АБС, представитель Банка России отметил, что общий объём рынка аутсорсинга в 2021 году составлял 2,2 млрд долларов. К 2026 году он вырастет до 9 млрд долларов. «Вопрос регулирования цен находится вне компетенции регулятора, заниматься этим Банк России не будет», — подчеркнул Вадим Уваров, отметив что выступает за рыночные отношения и здоровую конкуренцию на рынке услуг.

 

BIS Journal — главный медиапартнёр XX Международного банковского Форума.

28 сентября, 2023

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

19.07.2024
Глобальный сбой загнал компьютеры на Windows в «вечную» перезагрузку
19.07.2024
CrowdStrike: Это не инцидент безопасности или кибератака
19.07.2024
«Верификация и идентификация абонентов — главная задача»
19.07.2024
«Т-Банк» приглашает сыграть в азартные игры с опасными людьми
19.07.2024
«Ростелеком» пополнился разработчиком госинформсистем
18.07.2024
Власти обяжут СМИ импортозаместить профильное ПО и ИБ-решения?
18.07.2024
Банкирам кратно увеличат штрафы за мисселинг уже в этом году
18.07.2024
Шакал против чёрных топоров: Интерпол обескровил африканских мошенников
18.07.2024
«Хорошие мальчики» позаботятся о физической безопасности ЦОДов
18.07.2024
ИБ-почте — ИИ-секретаря. Нейросеть расширила возможности «Протона»

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных