6 подписчиков
Основные моменты обсуждения на сессии «Аутсорсинг на финансовом рынке: оптимизация расходов или новые риски?», которая прошла в рамках Уральского форума «Кибербезопасность в финансах».
1. Законопроект о регулировании аутсорсинга, предложенный Банком России, проходит межведомственное согласование, в нем зашиты несколько важных вещей:
- дано определение «поставщик услуг аутсорсинга информационных технологий и облачных услуг»;
- дает право Банку России устанавливать требования к поставщику облачных и ИТ-услуг, включая защиту информации и операционной надежности;
- предоставляет право финансовым организациям поручать поставщикам ИТ-услуг размещение, хранение и иную обработку сведений, за исключением государственной тайны, без получения согласия лиц, к которым относятся указанные сведения, на основании договоров и в соответствии с требованиями Банка России;
- вводит ответственность поставщика услуг аутсорсинга за разглашение конфиденциальной информации и нарушение требований к режимам обработки, порядку использования конфиденциальной информации.
2. возможность передавать персональные данные и сведения, представляющие банковскую тайну без разрешения клиентов частично снимает запрет с оборота данных. Это революция в обращении с данными. До сих пор банковское регулирование следовало принципу ограничения доступа к информации неуполномоченных лиц, теперь этот принцип будет распространяться и на поставщика облачных и ИТ-услуг аутсорсинга. Устоит ли этот тезис при обсуждении с госорганами – вопрос открытый;
3. из предлагаемого регулирования создаются два вектора развития правовых моделей. Первый - перераспределение гражданской ответственности будет решаться через договоры, подходы к таким моделям известны, детали будут обсуждаться; второй - сложнее, юридические модели для административной и уголовной ответственности пока не наработаны;
4. самым сложным вопросом будет деление ответственности между финансовыми организациями и компаниями-аутсорсерами (теми, кто размещает, хранит, обрабатывает данные); «прокурор запросил 5 лет – 3 года банку, 2- аутсорсеру», - перевел обсуждение в практическую плоскость модератор;
5. в законодательстве важно урегулировать четкий механизм ответственности, чтобы поставщики ИТ-аутсорсинга понимали, за какую конфигурацию функционала они будут нести ответственность;
6. еще одно следствие законопроекта – гражданская ответственность повысит ценник облаков, а уголовная – умножит в разы, потому что предстоит ответить на вопрос – за какое количество денег конкретный человек готов отсидеть срок;
7. законопроект даст шанс на выживание банкам с базовой лицензией (ББЛ) и небольшим компаниям, так как в облака можно упаковать готовое решение и комплаенс по требованиям надежности. Это будет стимулировать рост финансового сектора и наведет порядок в хаосе малого и среднего бизнеса;
8. Банк России разрабатывает положение, где будут прописаны обязательные требования к поставщикам ИТ-услуг;
По итогу: у рынка есть запрос на возобновление обсуждений законопроекта и разработку подходов регулятора на его основе. Обе стороны готовы к диалогу.
2 минуты
20 февраля 2023