В ходе сессии «Аутсорсинг на финансовом рынке: оптимизация расходов или новые риски?» в рамках прошедшего в феврале 2023 года Уральского форума «Кибербезопасность в финансах» в Екатеринбурге стало известно о планируемом изменении подхода к обороту информации и ее защите, что может открыть дорогу IT-аутсорсингу для всего финансового сектора.
Законопроект, разрабатываемый Банком России, вызвал энтузиазм, но также и озабоченность. «Б.О» в этой связи задал нескольким сервис-провайдерам вопросы, касающиеся их отношения к наиболее острым проблемам, в частности к возможному изменению бизнес-моделей для обеспечения информационной безопасности в новых условиях.
Границы ответственности
«Опираясь на практику организации работ в соответствии с другими стандартами, в том числе ЦБ, мы считаем, что ожидать серьезной реорганизации бизнес-моделей не стоит. В случаях предоставления сервисов банковскому сектору в соответствии с актуальными требованиями речь, скорее всего, будет идти о выполнении дополнительных требований в части безопасности и о заключении новых соглашений с банками — заказчиками услуг. Какой-то особенной новизны в моделях совместной ответственности нет — примерно так же работает закон о персональных данных при поручении обработки третьему лицу, включая сервис-провайдеров», — высказал свое мнение Константин Ансимов, директор по развитию инфраструктурных продуктов российской технологической компании Selectel, предоставляющей облачные инфраструктурные сервисы и услуги дата-центров.
Границы ответственности достаточно строго регламентируются стандартами по ИБ. При этом уже сейчас для большинства IT-систем финансовых организаций, размещенных в публичных облаках, ответственность в части информационной безопасности распределена между облачным провайдером-партнером и финансовой организацией.