Финансовая сфера

Банковское обозрение


  • Аутсорсинг в законе
03.10.2023 FinCorpFinSecurityАналитика

Аутсорсинг в законе

В ходе сессии «Аутсорсинг IT в банковском секторе: барьеры и возможности» в рамках XX Международного банковского форума удалось подвести некоторые промежуточные итоги, но регулятор обратил внимание и на новые вызовы


В 2018 году был утвержден Стандарт Банка России «Управление риском нарушения информационной безопасности при аутсорсинге», в котором отмечается связанная с экономической потребностью тенденция передачи выполнения отдельных собственных бизнес-функций на основании договорных отношений сторонним организациям, специализирующимся на предоставлении соответствующих услуг. В тот период регулятор в качестве основной цели своих усилий видел содействие оптимизации и повышению эффективности деятельности финансовых организаций.

Причину появления в 2023 году Законопроекта № 404786-8 о внесении изменений в отдельные законодательные акты РФ «О совершенствовании правовых основ для аутсорсинга IT и использования облачных услуг финансовыми организациями», который уже внесен в Государственную думу, в Ассоциации банков России «Б.О» объяснили в начале этого года так: «Нельзя осуществлять и передавать на аутсорсинг какие-то информационные функции, не имея возможности снять главный барьер, который существует в законодательстве: передачу персональных данных и информации, защищаемой банковской тайной».

Предварительные итоги

Сессия «Аутсорсинг IT в банковском секторе: барьеры и возможности» в рамках XX Международного банковского форума, модератором которой выступила Наталья Касперская, президент ГК InfoWatch, председатель правления АРПП «Отечественный софт», началась с выступления Вадима Уварова, директора департамента информационной безопасности Банка России, подведшего промежуточные итоги.

Наталья Касперская (InfoWatch). Фото: АБР

Наталья Касперская (InfoWatch). Фото: АБР

По словам эксперта, триггерами, которые привели к старту работ по законопроекту, стали ответы 900 участников финансового рынка в рамках опроса регулятора, проведенного в мае-июне 2022 года. Главный вывод, который сделали исследователи: половина опрошенных уже применяет аутсорсинг без всякого законодательства. При этом 28% опрошенных привлекают поставщиков IT и облачных услуг в рамках критичных технологических процессов, а 16% не анализируют риски при привлечении этих поставщиков. Еще 38% не осуществляют мониторинг предоставляемых услуг, 58% не получают предварительного уведомления от поставщика сервисов при передаче технологических процессов на субподряд, 37% не смогут расторгнуть договор с поставщиком услуг при наличии существенных рисков.

Картина, надо признаться, совсем не радужная. К этому стоит добавить информацию из публикации Interfax от 6 декабря 2022 года: «Данные опроса также указывают на намечающуюся концентрацию услуг по направлению аутсорсинга. Так, один из поставщиков оказывает более чем 45 кредитным организациям услуги облачного сервиса дистанционного банковского обслуживания». По итогам анализа сложившейся ситуации законопроект, разработанный Банком России, предполагает наличие трех субъектов регулирования: кредитных и некредитных финансовых организаций, а также лиц, оказывающих профессиональные услуги на финансовом рынке.

Вадим  Уваров (Банк России). Фото: АБР

Вадим Уваров (Банк России). Фото: АБР

Вадим Уваров пояснил в своей презентации: «В числе основных положений законопроекта закреплено, во-первых, определение правового статуса поставщика услуг аутсорсинга IT и облачных услуг и распространение на него требований по обеспечению конфиденциальности полученной информации, в том числе банковской тайны. Во-вторых, в тексте документа прописаны полномочия Банка России по установлению требований для поднадзорных организаций к порядку привлечения и взаимодействия с поставщиками услуг аутсорсинга IT и облачных услуг в целях обеспечения защиты информации и операционной надежности. И, наконец, закреплены полномочия Банка России по определению порядка контроля за соблюдением финансовыми организациями указанных требований».

Кому все это надо?

В Ассоциации банков России в упомянутом выше интервью отметили: «Около пяти лет назад стало понятно, что малые и отчасти средние банки далеко не всегда успевают за темпами цифровизации, неся существенные, по их меркам, издержки на выполнение регуляторных требований, связанных с диджитализацией и ИБ. Как следствие рано или поздно они придут к ситуации, когда часть банков материально не сможет далее выдерживать этот темп».

Но по какой-то причине на панельной сессии представителей этого сегмента банков не было. Зато Андрей Дмитриев, управляющий директор, руководитель дирекции трансформации клиентов CIB СберБанка, высказался за представителей крупных кредитно-финансовых учреждений: «Для крупнейших банков тема IT-аутсорсинга ограничена, вопросы решаются методами внутреннего аутсорсинга по причине нашей собственной высокоразвитой цифровой зрелости».

Андрей  Уваров (Банк России), Андрей Дмитриев (СберБанк). Фото: АБР

Вадим Уваров (Банк России), Андрей Дмитриев (СберБанк). Фото: АБР

А вот предложение представителя СберБанка об обязательной сертификации качества услуг провайдеров, хоть и нашло понимание регулятора, уперлось в выбор компетентного надзорного органа. Очевидно, что эта проблема потребует дальнейшей проработки, чтобы появился публичный список добросовестных поставщиков сервисов. 

Что касается разработчиков ПО, то прозвучал вопрос Натальи Касперской на эту тему: «Планирует ли Банк России формировать реестр и вести работу с вендорами отечественного базового ПО для банковского сектора по аналогии с той работой, которая проводится на рынке для нефинансовых организаций?». Вадим Уваров ответил: «Да, мы рассматриваем данную инициативу. Если это действительно необходимо, такой реестр появится».

В ходе дискуссии выяснилось, что, возможно в список субъектов регулирования Банка России имеет смысл каким-то образом включить страховщиков, специализирующихся на работе с киберрисками. Александр Долбнев, директор по работе с финансовым сектором компании Yandex Cloud, на прямой вопрос модератора о гарантии компенсаций со стороны облачного провайдера в случае ИБ-инцидента ответил: «В договорах с клиентами обычно такой пункт есть. Но в реальности в случае инцидентов с данными крупными банками потери могут быть больше, чем готов компенсировать провайдер».

Александр  Долбнев (Yandex Cloud). Фото: АБР

Александр Долбнев (Yandex Cloud). Фото: АБР

Смогут ли страховщики изменить ситуацию? Наталья Касперская, опираясь на свой опыт, заметила: «Эта тема обсуждается лет 15. Во всем мире она наталкивается на очень простое противоречие — как считать ущерб? Понятно, что организация хочет посчитать его по максимуму, а поставщик цифровых услуг соответственно хочет этот ущерб платить по минимуму. Страховая компания стоит между ними, как буриданов осел. У нее не хватает компетенций для расчета соответствующих рисков в силу их виртуальной природы. Продвижения вперед здесь пока нет».

Мировой опыт

Финальная часть сессии была посвящена мировому опыту в данной сфере. Елизавета Лаутс, руководитель НОЦ «Центр правовых исследований в сфере банковской деятельности», доцент кафедры предпринимательского права МГУ им. Ломоносова, и Анна Белицкая, профессор кафедры предпринимательского права юридического факультета МГУ, представили некоторые итоги своего исследования.

Елизавета Лаутс (МГУ).  Фото: АБР

Елизавета Лаутс (МГУ). Фото: АБР

Нормативные акты и законы по IT-аутсорсингу на финансовых рынках существуют как минимум в 20 странах. В них распространены две модели: множественность аутсорсинга и универсальность. При этом сущностные функции банковской деятельности никогда не отдаются вовне полностью. Кроме того, с регуляторами проводится согласование типовых форм контрактов. В Австралии даже происходит согласование конкретных договоров банка и аутсорсинговой компании. Документы содержат в себе практически все аспекты взаимодействия сторон, включая сроки, ответственность, привлечение и согласование субподрядчиков, компенсационные требования. При этом всю публичную ответственность банка перед клиентом несут финансовые организации.






Новости Релизы
Сейчас на главной

ПЕРЕЙТИ НА ГЛАВНУЮ