Регулирование IT-аутсорсинга

О поддержке финансовых компаний, имеющих IT-аккредитацию и о том, что нужно сделать банкам для получения субсидий по программе поддержки цифровизации, рассказал Алексей Войлуков, вице-президент АБР

Алексей Войлуков, вице-президент Ассоциации банков России— Алексей, в реестр аккредитованных IT-компаний вошло несколько дочерних компаний Тинькофф Банка. Как будет осуществляться их регулирование?

— Сейчас банки испытывают нагрузку на свои ИБ-подразделения, связанную в том числе с возросшей киберагрессией из-за рубежа, а также с повышением стоимости софта и аппаратных комплексов, уходом зарубежных вендоров с рынка, форсированным импортозамещением, прекращением техподдержки и подписных сервисов, дефицитом кадров. Все эти факторы требуют мер поддержки не только для служб ИБ, но и для всего IT-направления банков.

Наиболее эффективный способ, по мнению членов Ассоциации, — распространение мер поддержки IT-отрасли и IT-специалистов, предусмотренных Указом Президента Российской Федерации № 83, на финансовые организации, осуществляющие деятельность в области IT. Такая инициатива уже направлена в Госдуму и Правительство. Минцифры по итогам ее рассмотрения сообщило, что для получения мер поддержки и льгот, предусмотренных для аккредитованных IT-компаний, финансовым организациям предлагается провести реорганизацию и выделить отдельное юридическое лицо, осуществляющее деятельность в сфере IT.

Также кредитным организациям нужна помощь по выделению собственных служб IT и ИБ в отдельное юридическое лицо с последующим оказанием им услуг банкам на основании аутсорсинга. В частности, появляются следующие вопросы:

  • юридическое оформление аутсорсинга услуг IT и ИБ и правомерность полной ликвидации подразделений IT и ИБ в кредитной организации;
  • возможность передачи создаваемому юридическому лицу программных продуктов и IT-оборудования, принадлежащих кредитной организации;
  • разграничение ответственности между кредитной организацией и юридическим лицом, оказывающим услуги IT и/или ИБ;
  • правомерность передачи информации из информационных систем кредитных организаций, в том числе представляющих банковскую тайну, стороннему юридическому лицу;
  • возможность исполнения требований Банка России и национальных стандартов в области ИБ, в том числе Положений № 716-П и № 683-П, при реализации всех необходимых мер не в кредитной организации, а на стороне выделенного юридического лица;
  • необходимые изменения в системе управления операционным риском кредитной организации при передаче функций IT и ИБ в отдельное юридическое лицо;
  • возможность выделения служб IT и ИБ нескольких кредитных организаций в одно юридическое лицо и оказания ими соответствующих услуг нескольким заказчикам.

Без решения этих вопросов и без получения разъяснений от регулятора кредитные организации не смогут быстро реализовать предложенный Минцифры подход по получению мер поддержки для своего IT-функционала.

Поэтому АБР направила в Банк России запросы о возможности разработки рекомендаций для кредитных организаций c учетом проблемных моментов, связанных с выделением IT-функционала в отдельное юридическое лицо, содержащих пошаговое описание процесса такой реорганизации, требуемого перестроения IT-инфраструктуры, а также учитывающих лучшие практики рынка аутсорсинга IT-услуг.

Контролировать создаваемые банками дочерние IT-компании Банк России будет в рамках консолидированного надзора.

— Кто может быть допущен к субсидиям в рамках программы поддержки цифровизации? Какова роль АБР в продвижении этой инициативы?

— Минцифры оказывает поддержку организациям  через уполномоченные банки субсидированными кредитами на реализацию проектов по цифровой трансформации, реализуемых на основе российских решений в сфере информационных технологий в соответствии с Постановлением Правительства № 1598 (далее — Постановление). Субсидии смогут получить юридические лица, имеющие право осуществлять банковские операции и предоставлять кредиты, прошедшие отбор и заключившие соглашения о предоставлении субсидии.

В рамках поддержки аккредитованных системообразующих организаций Минцифры проводит их отбор для предоставления субсидий из федерального бюджета на возмещение недополученных ими доходов по кредитам, выданным в соответствии с Правилами, утвержденными Постановлением Правительства РФ № 754.

К программе субсидирования допущены банки, имеющие кредитный рейтинг не ниже уровня ВВВ-(RU) по национальной рейтинговой шкале от кредитного рейтингового агентства АКРА и (или) кредитный рейтинг не ниже уровня ruBBB- по национальной рейтинговой шкале кредитного рейтингового агентства «Эксперт РА». Принятие Постановления и разработка критериев допуска кредитных организаций к этой программе происходили по инициативе и участии АБР.

Также мы продолжаем работу по повышению эффективности государственных программ субсидирования льготных процентных ставок. В планах — направить обращение в Правительство чтобы установить единый для всех федеральных органов исполнительной власти заявительный порядок участия банков в программах государственной поддержки, предусматривающих компенсацию части банковской процентной ставки.

— На рабочей встрече АБР рассматривались возможности использования кредитными организациями IT-инфраструктуры на условиях аутсорсинга, а также требования к операторам такой целевой инфраструктуры. Расскажите об этих инициативах. Что будет в дорожной карте по реализации единого инфраструктурного решения на основе облачного аутсорсинга?

— Основной задачей остается проработка правового регулирования оказания услуг IT-аутсорсинга. В Госдуме находится на рассмотрении проект Федерального закона «О внесении изменений в отдельные законодательные акты Российской Федерации», регламентирующий использование финансовыми организациями услуг аутсорсинга IT и облачных услуг.

Согласно законопроекту, требования к порядку привлечения поставщиков услуг аутсорсинга, в том числе по защите информации и операционной надежности, будут устанавливаться актами Банка России. Законопроект в целом не противоречит целям кредитных организаций по использованию IT-аутсорсинга, но потребуется проработка подзаконных актов Банка России для достижения максимального эффекта от применения услуги.

— Какие направления развития инфраструктурных сервисов Банка России ожидают ускорение и модернизация: ЕБС, СБП, KYC?

— Практика внедрения ЕБС показала, что первоначальный замысел добровольной регистрации банков в этой системе был более правильным, чем обязательное участие в ней банков, закрепленное законодательно. Все еще не решены вопросы внедрения облачных решений для ЕБС. Сложности подтверждаются переносами срока внедрения системы теперь на 1 сентября 2022 года. Экономическая эффективность работы банков с этой системой неоднозначна из-за крупных инвестиционных затрат на ее внедрение и сопровождение в части платежей оператору ЕБС — Ростелекому.

Что касается СБП, то мы ожидаем развития и совершенствования системы, в том числе за счет подключения к ней банков из дружественных стран.

С платформой KYC ситуация следующая: на текущем этапе платформа может быть дополнительным элементом в работе банков по ПОД/ФТ/ФРОМУ. Ассоциация ожидает, что в ближайшее время Банк России приступит к пилотным проектам с участием платформы по анализу платежей физических лиц, а также государственных органов и органов местного самоуправления, причем некоторые недобропорядочные сотрудники этих организаций могут быть причастны к проведению махинаций. Потребуется совместная работа, позволяющая сохранить баланс между прозрачностью физических транзакций для банков и государства и сложившейся практикой объемов и количества безналичных платежей.

— Достаточно ли усилий только Ассоциации разработчиков программных продуктов «Отечественный софт» или необходимо расширить полномочия других структур в импортозамещении IT и ИБ? Какие еще болевые точки в области ИБ можно выделить в свете Указа Президента «О дополнительных мерах по обеспечению информационной безопасности»?

— Основные сложности возникают при импортозамещении вычислительных систем и сетевого оборудования. Отечественных аналогов, применяемых для банковских систем, сейчас нет.

Актуален вопрос создания межсетевых экранов экспертного уровня (NGFW). Российские разработки межсетевых экранов формально закрывают базовые требования к функционалу, но реализовать с их помощью привычных для банковского сектора комплексных задач не представляется возможным.

Сейчас необходим общий аудит всех российских программных продуктов и их функционала. Важно понять, какие зарубежные IT-решения имеют в России аналоги по классу и конкретному функционалу, какие находятся в разработке, а чего вообще нет на отечественном рынке. Необходим единый центр, который обладал бы всей информацией и смог бы устанавливать приоритеты развития, а при необходимости даже направлять государственные ресурсы на создание самых востребованных IT-продуктов.

Основная проблема в исполнении требований указа  № 250 лежит в плоскости предоставления удаленного доступа ФСБ для мониторинга информационных систем кредитных организаций. Необходимо совместно с ФСБ и Банком России разработать параметры такого доступа, регламентировать технические процессы и подготовить требуемую правовую базу. Ассоциация планирует инициировать такую работу в ближайшее время.

SmartMoney
maxcredit
zaimigo
zaimexpress
zaimer
zaim24na7
ucenter
telezaim
prostozaim
platiza
pepic
otnal
nadodeneg
zaimsrazu
dobrozaim
fastmany
imoneys
bistrodengi
cacheu
checkmany
credit7
credito24
credits24
efinmarket
joymoney
ekapusta
everwell
ezaem
migcache
mck
bigzaim
kapitalina