Автор: Максим Захаров, управляющий партнер юридической фирмы Bishenov&Partners
Аутсорсинг для участников финансового рынка выгоден: он помогает оптимизировать затраты на содержание информационной инфраструктуры. Передача ряда процессов третьему лицу позволяет компании быть конкурентоспособной в сфере информационных технологий, помогая обеспечить информационную безопасность, поддерживая киберустойчивость.
Переход на аутсорсинговую модель бизнеса произошел не только из-за ее экономической целесообразности. В современных условиях для развития компании необходимо постоянно повышать уровень цифровизации и совершенствовать автоматизацию внутренних процессов, не жертвуя при этом, стабильностью работы организации.
В результате все большего распространения аутсорсинга информационных технологий возникла необходимость регулирования этой деятельности.
Законопроект о регулировании аутсорсинга информационных технологий и облачных услуг финансового сектора [1] принят Государственной Думой в первом чтении.
Проект закона вводит новый субъект правоотношений – поставщика услуг аутсорсинга информационных технологий и облачных услуг. Речь идет о лице или организации, которая оказывает профессиональные услуги на финансовом рынке, имеет лицензию на осуществление деятельности по технической защите конфиденциальной информации.
Поставщик услуг аутсорсинга оказывает их на основании договора либо действует как субподрядчик, при этом в отдельных случаях поставщик может не иметь лицензии (это условие не применяется, если он входит в банковскую группу, с головной организацией которой уже заключен договор аутсорсинга ИТ-услуг).
Законопроект поясняет понятие финансового сектора, в который входят:
Участники финансового сектора могут поручить поставщикам ИТ-услуг определенный набор таких процессов, как размещение, хранение и обработка информации (кроме государственной тайны), для этого им не нужно получать дополнительного согласия от тех, к кому относятся эти сведения. Поставщик ИТ-услуг может использовать для работы с информацией свои информационные системы в рамках прописанных условий в договоре.
Закон предусматривает исключения. Например, он запрещает поручать поставщикам ИТ-услуг обработку информации о мерах противодействия отмыванию доходов, финансированию терроризма и финансированию распространения оружия массового уничтожения.
Поставщики ИТ-услуг и их должностные лица обязаны соблюдать банковскую тайну. Следовательно, они не могут разглашать информацию об операциях, счетах и вкладах клиентов. В случае разглашения банковской тайны аутсорсинговая компания несет ответственность не только по условиям договора аутсорсинга, но и предусмотренную законодательством РФ.
Банк России по согласованию с ФСБ, ФСТЭК и Минцифры устанавливает обязательные требования к порядку привлечения поставщиков ИТ-услуг, взаимодействия с ними, а также требования к их информационным системам. Эти требования призваны обеспечить защиту информации и операционную надежность.
Новый законопроект дает финансовому сектору возможность передавать информацию аутсорсинговым компаниям, не получая для этого дополнительное согласие со стороны клиентов. В настоящее время обязательное получение согласия таких лиц предусмотрено ФЗ-152 "О персональных данных".
Поставщики ИТ-услуг будут нести ответственность за обращение с полученной информацией на равных с банковскими организациями. Ранее аутсорсинговые компании в большинстве случаев отвечали только за простой оборудования, но не за потерю данных.
Принятие такого законопроекта будет способствовать развитию аутсорсинга и в других сферах деятельности. В данном контексте важно, что законодатель должен представить согласованные с ЦБ РФ, ФСТЭК России, Минцифры России требования к аутсорсинговым компаниям. Так, к моменту вступления закона в силу ИТ-компании смогут подстроиться под эти требования и получить соответствующие лицензии. В противном случае поставщиками услуг будут только нелицензируемые компании, входящие в банковские экосистемы.
Введение на законодательном уровне аутсорсинга ИТ-услуг положительно скажется на информационной безопасности в целом. Поставщики ИТ-услуг будут использовать все более высокие стандарты информационной защиты.
Законопроект своевременно решает проблемы финансового сектора, а также улучшает положение поставщиков услуг аутсорсинга, значительно увеличивая количество потенциальных заказчиков и, соответственно, прибыль поставщиков услуг.
Привлечение заказчиков из финансового сектора будет являться приоритетной задачей для поставщиков аутсорсинга информационных технологий и облачных услуг.
ЦБ РФ должен предусмотреть обязательное условие сотрудничества с аутсорсинговыми компаниями, а именно требование к организации финансовых ИТ-систем в закрытых контурах, что будет способствовать скорейшему развитию отечественных технологий и софта.