Контакты
Подписка 2024

Закон об ИТ-аутсорсинге: как он отразится на ИБ?

Максим Захаров, 02/02/24

Участники финансового рынка все чаще прибегают к аутсорсингу ИТ-услуг – почему произошел этот переход и к чему он приведет?

Автор: Максим Захаров, управляющий партнер юридической фирмы Bishenov&Partners

ris1-Feb-02-2024-12-28-23-2023-PM

Причины распространенности

Аутсорсинг для участников финансового рынка выгоден: он помогает оптимизировать затраты на содержание информационной инфраструктуры. Передача ряда процессов третьему лицу позволяет компании быть конкурентоспособной в сфере информационных технологий, помогая обеспечить информационную безопасность, поддерживая киберустойчивость.

Переход на аутсорсинговую модель бизнеса произошел не только из-за ее экономической целесообразности. В современных условиях для развития компании необходимо постоянно повышать уровень цифровизации и совершенствовать автоматизацию внутренних процессов, не жертвуя при этом, стабильностью работы организации.

В результате все большего распространения аутсорсинга информационных технологий возникла необходимость регулирования этой деятельности.

Поставщик и финансовый рынок

Законопроект о регулировании аутсорсинга информационных технологий и облачных услуг финансового сектора [1] принят Государственной Думой в первом чтении.

Проект закона вводит новый субъект правоотношений – поставщика услуг аутсорсинга информационных технологий и облачных услуг. Речь идет о лице или организации, которая оказывает профессиональные услуги на финансовом рынке, имеет лицензию на осуществление деятельности по технической защите конфиденциальной информации.

Поставщик услуг аутсорсинга оказывает их на основании договора либо действует как субподрядчик, при этом в отдельных случаях поставщик может не иметь лицензии (это условие не применяется, если он входит в банковскую группу, с головной организацией которой уже заключен договор аутсорсинга ИТ-услуг).

Законопроект поясняет понятие финансового сектора, в который входят:

  • лица, оказывающие профессиональные услуги на финансовом рынке;
  • профессиональные участники рынка ценных бумаг;
  • фонды;
  • кредитные рейтинговые агентства;
  • бюро кредитных историй;
  • кредитные организации, ломбарды;
  • микрофинансовые организации;
  • страховые организации (за исключением иностранных);
  • общества взаимного страхования;
  • саморегулируемые организации в сфере финансового рынка, объединяющие финансовые организации, осуществляющие страховую деятельность;
  • профессиональные объединения страховщиков. 

Что можно передавать на аутсорсинг

Участники финансового сектора могут поручить поставщикам ИТ-услуг определенный набор таких процессов, как размещение, хранение и обработка информации (кроме государственной тайны), для этого им не нужно получать дополнительного согласия от тех, к кому относятся эти сведения. Поставщик ИТ-услуг может использовать для работы с информацией свои информационные системы в рамках прописанных условий в договоре.

Закон предусматривает исключения. Например, он запрещает поручать поставщикам ИТ-услуг обработку информации о мерах противодействия отмыванию доходов, финансированию терроризма и финансированию распространения оружия массового уничтожения.

Банковская тайна

Поставщики ИТ-услуг и их должностные лица обязаны соблюдать банковскую тайну. Следовательно, они не могут разглашать информацию об операциях, счетах и вкладах клиентов. В случае разглашения банковской тайны аутсорсинговая компания несет ответственность не только по условиям договора аутсорсинга, но и предусмотренную законодательством РФ.

Банк России по согласованию с ФСБ, ФСТЭК и Минцифры устанавливает обязательные требования к порядку привлечения поставщиков ИТ-услуг, взаимодействия с ними, а также требования к их информационным системам. Эти требования призваны обеспечить защиту информации и операционную надежность. 

Что меняет принятие законопроекта

Новый законопроект дает финансовому сектору возможность передавать информацию аутсорсинговым компаниям, не получая для этого дополнительное согласие со стороны клиентов. В настоящее время обязательное получение согласия таких лиц предусмотрено ФЗ-152 "О персональных данных".

Поставщики ИТ-услуг будут нести ответственность за обращение с полученной информацией на равных с банковскими организациями. Ранее аутсорсинговые компании в большинстве случаев отвечали только за простой оборудования, но не за потерю данных.

Будущее аутсорсинга

Принятие такого законопроекта будет способствовать развитию аутсорсинга и в других сферах деятельности. В данном контексте важно, что законодатель должен представить согласованные с ЦБ РФ, ФСТЭК России, Минцифры России требования к аутсорсинговым компаниям. Так, к моменту вступления закона в силу ИТ-компании смогут подстроиться под эти требования и получить соответствующие лицензии. В противном случае поставщиками услуг будут только нелицензируемые компании, входящие в банковские экосистемы.

Введение на законодательном уровне аутсорсинга ИТ-услуг положительно скажется на информационной безопасности в целом. Поставщики ИТ-услуг будут использовать все более высокие стандарты информационной защиты.

Законопроект своевременно решает проблемы финансового сектора, а также улучшает положение поставщиков услуг аутсорсинга, значительно увеличивая количество потенциальных заказчиков и, соответственно, прибыль поставщиков услуг.

Привлечение заказчиков из финансового сектора будет являться приоритетной задачей для поставщиков аутсорсинга информационных технологий и облачных услуг.

ЦБ РФ должен предусмотреть обязательное условие сотрудничества с аутсорсинговыми компаниями, а именно требование к организации финансовых ИТ-систем в закрытых контурах, что будет способствовать скорейшему развитию отечественных технологий и софта. 


  1. https://sozd.duma.gov.ru/bill/404786-8 
Темы:Право и нормативыаутсорсингЖурнал "Информационная безопасность" №1, 2024

Форум ITSEC 2024:
информационная и
кибербезопасность России
Москва | 15-16 октября 2024

Посетить
Обзоры. Спец.проекты. Исследования
Персональные данные в 2025 году: новые требования и инструменты. Что нужно знать бизнесу о защите ПДн?
Получите комментарии экспертов на ITSEC 2024
Статьи по той же темеСтатьи по той же теме

  • Обзор изменений в законодательстве. Июль, август - 2024
    Анастасия Заведенская, старший аналитик Аналитического центра Уральского центра систем безопасности
    Изменения правил категорирования ОКИИ. Защита ГИС и ЗОКИИ от DoS. Изменения в 152-ФЗ, 98-ФЗ и КоАП. Защита ГИС. Переход ОКИИ на доверенные ПАК. Госконтроль за ПДн. Требования к уничтожению и обезличиванию ПДн. Методические рекомендации ЦБ по показателям уровня риска ИБ. 
  • Стать ИБ-аналитиком: Анастасия Ершова об обучении, услуге ИБ-аутсорсинга, задачах и препятствиях на пути к цели
    Анастасия Ершова, Аналитик информационной безопасности "Джи-Эс-Ти" (GST)
    Аналитик информационной безопасности «Джи-Эс-Ти» (GST) Анастасия Ершова рассказала, почему выбрала для работы направление ИБ-аутсорсинга, когда работа с заказчиками приносит максимальный результат и какие задачи ей приходится решать ежедневно – от рутинных дел до экстренных ситуаций.
  • Полгода после вступления в силу 572-ФЗ. Полет нормальный?
    Федор Музалевский, Директор технического департамента RTM Group
    Прошло полгода после вступления в силу большей части федерального закона о применении биометрии 572-ФЗ1. Закон определяет сразу несколько регуляторов – попробуем разобраться, кто за что отвечает.
  • Обзор изменений в законодательстве. Май, июнь 2024 г.
    Анастасия Заведенская, старший аналитик Аналитического центра Уральского центра систем безопасности
    Методика оценки защиты ОКИИ. Дополнительные требования по защите ЗОКИИ в электроэнергетике. Защита цифрового рубля. Контроль ЦБ за импортозамещением ПО. Требования для хостинг-провайдеров. Деятельность по стандартизации.
  • Обзор изменений в законодательстве. Март, апрель 2024 г.
    Анастасия Заведенская, старший аналитик Аналитического центра Уральского центра систем безопасности
    Изменения в ФЗ о безопасности КИИ. Категорирование для сферы транспорта. Продление эксперимента по повышению уровня защищенности ГИС. Новые стандарты в области защиты информации. Сертификация процессов безопасной разработки.
  • Обзор изменений в законодательстве. Январь, февраль 2024 г.
    Анастасия Заведенская, старший аналитик Аналитического центра Уральского центра систем безопасности
    Доверенные ПАК, перечни типовых ОКИИ, формы  для обработки биометрических ПДн, методика оценки безопасности ОКИИ, госконтроль за обеспечением защиты гостайны, стандарты по безопасной разработке.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
15 октября | Форум ITSEC Защищенный удаленный доступ: как обеспечить контроль работы внешних сотрудников
Узнайте на ITSEC 2024!

More...
Обзоры. Исследования. Спец.проекты
Защита АСУ ТП и объектов КИИ: готовимся к 2025 году
Жми, чтобы участвовать

More...