Контакты
Подписка 2024

Закон об ИТ-аутсорсинге: как он отразится на ИБ?

Максим Захаров, 02/02/24

Участники финансового рынка все чаще прибегают к аутсорсингу ИТ-услуг – почему произошел этот переход и к чему он приведет?

Автор: Максим Захаров, управляющий партнер юридической фирмы Bishenov&Partners

ris1-Feb-02-2024-12-28-23-2023-PM

Причины распространенности

Аутсорсинг для участников финансового рынка выгоден: он помогает оптимизировать затраты на содержание информационной инфраструктуры. Передача ряда процессов третьему лицу позволяет компании быть конкурентоспособной в сфере информационных технологий, помогая обеспечить информационную безопасность, поддерживая киберустойчивость.

Переход на аутсорсинговую модель бизнеса произошел не только из-за ее экономической целесообразности. В современных условиях для развития компании необходимо постоянно повышать уровень цифровизации и совершенствовать автоматизацию внутренних процессов, не жертвуя при этом, стабильностью работы организации.

В результате все большего распространения аутсорсинга информационных технологий возникла необходимость регулирования этой деятельности.

Поставщик и финансовый рынок

Законопроект о регулировании аутсорсинга информационных технологий и облачных услуг финансового сектора [1] принят Государственной Думой в первом чтении.

Проект закона вводит новый субъект правоотношений – поставщика услуг аутсорсинга информационных технологий и облачных услуг. Речь идет о лице или организации, которая оказывает профессиональные услуги на финансовом рынке, имеет лицензию на осуществление деятельности по технической защите конфиденциальной информации.

Поставщик услуг аутсорсинга оказывает их на основании договора либо действует как субподрядчик, при этом в отдельных случаях поставщик может не иметь лицензии (это условие не применяется, если он входит в банковскую группу, с головной организацией которой уже заключен договор аутсорсинга ИТ-услуг).

Законопроект поясняет понятие финансового сектора, в который входят:

  • лица, оказывающие профессиональные услуги на финансовом рынке;
  • профессиональные участники рынка ценных бумаг;
  • фонды;
  • кредитные рейтинговые агентства;
  • бюро кредитных историй;
  • кредитные организации, ломбарды;
  • микрофинансовые организации;
  • страховые организации (за исключением иностранных);
  • общества взаимного страхования;
  • саморегулируемые организации в сфере финансового рынка, объединяющие финансовые организации, осуществляющие страховую деятельность;
  • профессиональные объединения страховщиков. 

Что можно передавать на аутсорсинг

Участники финансового сектора могут поручить поставщикам ИТ-услуг определенный набор таких процессов, как размещение, хранение и обработка информации (кроме государственной тайны), для этого им не нужно получать дополнительного согласия от тех, к кому относятся эти сведения. Поставщик ИТ-услуг может использовать для работы с информацией свои информационные системы в рамках прописанных условий в договоре.

Закон предусматривает исключения. Например, он запрещает поручать поставщикам ИТ-услуг обработку информации о мерах противодействия отмыванию доходов, финансированию терроризма и финансированию распространения оружия массового уничтожения.

Банковская тайна

Поставщики ИТ-услуг и их должностные лица обязаны соблюдать банковскую тайну. Следовательно, они не могут разглашать информацию об операциях, счетах и вкладах клиентов. В случае разглашения банковской тайны аутсорсинговая компания несет ответственность не только по условиям договора аутсорсинга, но и предусмотренную законодательством РФ.

Банк России по согласованию с ФСБ, ФСТЭК и Минцифры устанавливает обязательные требования к порядку привлечения поставщиков ИТ-услуг, взаимодействия с ними, а также требования к их информационным системам. Эти требования призваны обеспечить защиту информации и операционную надежность. 

Что меняет принятие законопроекта

Новый законопроект дает финансовому сектору возможность передавать информацию аутсорсинговым компаниям, не получая для этого дополнительное согласие со стороны клиентов. В настоящее время обязательное получение согласия таких лиц предусмотрено ФЗ-152 "О персональных данных".

Поставщики ИТ-услуг будут нести ответственность за обращение с полученной информацией на равных с банковскими организациями. Ранее аутсорсинговые компании в большинстве случаев отвечали только за простой оборудования, но не за потерю данных.

Будущее аутсорсинга

Принятие такого законопроекта будет способствовать развитию аутсорсинга и в других сферах деятельности. В данном контексте важно, что законодатель должен представить согласованные с ЦБ РФ, ФСТЭК России, Минцифры России требования к аутсорсинговым компаниям. Так, к моменту вступления закона в силу ИТ-компании смогут подстроиться под эти требования и получить соответствующие лицензии. В противном случае поставщиками услуг будут только нелицензируемые компании, входящие в банковские экосистемы.

Введение на законодательном уровне аутсорсинга ИТ-услуг положительно скажется на информационной безопасности в целом. Поставщики ИТ-услуг будут использовать все более высокие стандарты информационной защиты.

Законопроект своевременно решает проблемы финансового сектора, а также улучшает положение поставщиков услуг аутсорсинга, значительно увеличивая количество потенциальных заказчиков и, соответственно, прибыль поставщиков услуг.

Привлечение заказчиков из финансового сектора будет являться приоритетной задачей для поставщиков аутсорсинга информационных технологий и облачных услуг.

ЦБ РФ должен предусмотреть обязательное условие сотрудничества с аутсорсинговыми компаниями, а именно требование к организации финансовых ИТ-систем в закрытых контурах, что будет способствовать скорейшему развитию отечественных технологий и софта. 


  1. https://sozd.duma.gov.ru/bill/404786-8 
Темы:Право и нормативыаутсорсингЖурнал "Информационная безопасность" №1, 2024

Обеспечение кибербезопасности.
Защита АСУ ТП. Безопасность КИИ
Конференция | 28 июня 2024

Жми для участия
Обзоры. Спец.проекты. Исследования
Участвуйте в обзорах / исследованиях проекта "Информационная безопасность"!
Станьте автором журнала!
Статьи по той же темеСтатьи по той же теме

  • Обзор изменений в законодательстве. Март, апрель 2024 г.
    Анастасия Заведенская, старший аналитик Аналитического центра Уральского центра систем безопасности
    Изменения в ФЗ о безопасности КИИ. Категорирование для сферы транспорта. Продление эксперимента по повышению уровня защищенности ГИС. Новые стандарты в области защиты информации. Сертификация процессов безопасной разработки.
  • Обзор изменений в законодательстве. Январь, февраль 2024 г.
    Анастасия Заведенская, старший аналитик Аналитического центра Уральского центра систем безопасности
    Доверенные ПАК, перечни типовых ОКИИ, формы  для обработки биометрических ПДн, методика оценки безопасности ОКИИ, госконтроль за обеспечением защиты гостайны, стандарты по безопасной разработке.
  • Правовые риски взаимодействия оператора ПДн с обработчиком в случае утечки данных
    Денис Лукаш, управляющий партнер юридической компании Lukash & Partners
    На каких основаниях операторы ПДн привлекаются к ответственности и каким образом они могут себя обезопасить от штрафов, если утечка происходит по вине обработчиков данных?
  • Обзор изменений в законодательстве. Ноябрь-декабрь 2023 г.
    Анастасия Заведенская, старший аналитик Аналитического центра Уральского центра систем безопасности
    Порядок перехода субъектов КИИ на преимущественное применение доверенных ПАК на ЗОКИИ, ужесточение административной и уголовной ответственности в области обработки ПДн и другие важные изменения
  • Обзор изменений в ИБ-законодательстве. Сентябрь, октябрь 2023 г.
    Анастасия Заведенская, старший аналитик Аналитического центра Уральского центра систем безопасности
    Перечень НПА для оценки применения по ПДн. Требования по защите информации для провайдеров хостинга. Проекты стандартов по КИИ.  Сертификация безопасной разработки ПО для изготовителей СрЗИ. Изменения в порядке ведения реестра значимых объектов КИИ. 

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
4 июля. Защищенный удаленный доступ к ИТ-инфраструктуре
Участвуйте!

More...
Обзоры. Исследования. Спец.проекты
Обзоры и исследования проекта "Информационная безопасность"
Жми, чтобы участвовать