ЦБ берет под крыло ИТ-аутсорсинг банков
ЦБ предложил обсудить возможные механизмы управления рисками аутсорсинга, а также требования к условиям и порядку взаимодействия финансовых компаний и сторонних организаций, которые привлекаются для выполнения отдельных функций. Преимущества аутсорсинга, возможные риски и сложившуюся практику представители ЦБ проанализировали в докладе для общественных консультаций.
Отдельный раздел ЦБ посвятил регулированию вопросов аутсорсинга услуг в сфере ИТ и облачных сервисов. "Необходимо обеспечивать непрерывную деятельность участников финансового рынка, включая операционную надежность, а также создавать механизмы защиты информации. На первоначальном этапе введения регулирования предлагаем установить требования к порядку взаимодействия поднадзорных Банку России организаций с поставщиками, оказывающими услуги в сфере ИТ и облачных сервисов, включая требования к предоставляемым такими поставщиками информационным системам", - предлагают авторы доклада.
По их словам, для установления полномочий Банка России по определению требований ведется законопроектная работа. "Предлагаем определить правовой статус поставщика услуг аутсорсинга ИТ и облачных услуг. На поставщиков планируется распространить требования по обеспечению конфиденциальности информации, относящейся к банковской тайне, иной информации, доступ к которой ограничен законодательством, а также соблюдению установленных законодательством режимов защиты, обработки информации", - говорят авторы документа.
Дополнительно они предлагают установить ответственность поставщиков за нарушения требований к режимам защиты и разглашение конфиденциальной информации. "Предлагаем установить необходимые уровни защиты информации и операционной надежности, обязанность соблюдения поставщиками предъявляемых к отдельным участникам финансового рынка требований к операционной надежности и защите информации, необходимость уведомления поставщиком участника финансового рынка о планируемых изменениях в отношении объектов информационной инфраструктуры, которые могут оказать влияние на выполнение переданных на аутсорсинг функций", - предлагает ЦБ.
Кроме того, ЦБ намерен обязать поставщика предоставлять информацию о своей деятельности, которая поможет оценить участнику финансового рынка риски передачи ему функций. Также поставщик должен обеспечить упорядоченный переход с объектов информационной инфраструктуры поставщиков и полного переноса данных при расторжении договора аутсорсинга.
Представители пресс-службы ЦБ сообщили, что Центробанк подготовил консультативный доклад для общественного обсуждения и в настоящее время принимает предложения и замечания от участников рынка и экспертного сообщества по регулированию аутсорсинга. "По результатам обсуждения Банк России сформулирует итоговую позицию", - отметили они.
Представители пресс-службы ВТБ сообщили, что банк положительно оценивает инициативу ЦБ. "Для усиления положительного эффекта от инициативы целесообразно рассмотреть возможность расширения объема услуг, которые можно передать на аутсорсинг. Например, услуги по модификации, тестированию и техподдержке ИС, а также возможность контролируемого доступа "надежных" организаций к данным для оказания соответствующих услуг. Реализация инициативы ЦБ может стимулировать спрос на услуги российских ИТ-компаний, что в свою очередь должно дать положительный эффект для достижения целей технологического суверенитета", - считают представители банка.
Директор департамента информационной безопасности Росбанка Михаил Иванов сообщил, что в банке приветствуют любые инициативы, направленные на повышение сохранности информации в отношении клиентов и участников финансового рынка с целью минимизации вероятности утраты в результате несанкционированного доступа к такой информации или умышленного предоставления поставщиком услуг информации третьим лицам, с целью получения материальной или иной выгоды. "Однако считаем целесообразным, чтобы любые инициативы в области регулирования аутсорсинга ИТ были открыто и широко обсуждены с профессиональным сообществом для учета мнения всех заинтересованных сторон", - добавил он.
Аналитик ФГ "Финам" Леонид Делицын отмечает, что ИТ-аутсорсинг проникает в финансовый сектор в первую очередь в связи с распространением облачных услуг. "При этом провайдеры облачной инфраструктуры, платформ и управляемых сервисов (MSP) фактически принимают участие в оказании услуг, ответственность за которые перед конечным потребителем несет пока что финансовая организация. Риски ущерба для клиентов существенны и иногда реализуются - утечки данных, кража информации, взломы, - они порождают угрозы и для бизнеса самих финансовых организаций, то есть попадают в поле, которое регулирует ЦБ. Соответственно, нужны механизмы и стандартные процедуры управления этими рисками. Пока такие процедуры складываются стихийно, у одних организаций они уже формализованы, а у других их нет", - говорит аналитик. По его мнению, опубликованный доклад ЦБ далек от окончательного решения проблем, ведь там, например, пока лишь предлагается определить, что такое аутсорсинг (предлагается вариант), каковы должны быть критерии аутсорсинга.
Генеральный директор компании Intelsy Николай Фетюхин считает, что из доклада непонятно, что и как конкретно будет регулировать ЦБ, будет ли лицензироваться эта деятельность или будут выбраны другие инструменты в виде дополнительных требований к ИТ-компаниям. "Нужно понимать, что любые дополнительные требования создают барьеры для развития частного бизнеса. Чем менее рыночными будут механизмы, тем меньше в эту сферу будет идти бизнес. Мотивы таких шагов понятны - минимизация рисков. На данный момент мы ждем конкретных решений и регулирующих документов, поскольку активно работаем в финтехе. В целом мнение однозначное - это решение усложнит развитие рынка аутсорсинговых услуг. И если эти решения приведут к дополнительным расходам аутсорсинговых компаний, одним из вариантов развития событий может стать то, что часть компаний уйдут с российского рынка", - уверен Николай Фетюхин. По его словам, "закручивание гаек" со стороны ЦБ может привести к новой волне релокации ИТ-компаний.
Заведующий кафедрой мировых финансовых рынков и финтеха РЭУ им. Г.В. Плеханова Денис Перепелица считает, что регулирование в сфере ИТ-аутсорсинга, во всем, что касается взаиморасчетов, необходимо, так как возлагает часть ответственности на Центральный банк в случае нештатных ситуаций, мошенничества в цифровой сфере и никак не повлияет на ИТ- рынок. "Просто несколько компаний получат стабильный доход от прямого взаимодействия с государством. На финансовом рынке должно отразиться позитивно, повысит доверие участников рынка к таким цифровым операциям в финансовой сфере. Все риски учесть невозможно, но основные риски Центральным банком несомненно учтены, так как проводятся общественные консультации, как раз для этих целей", - отметил Денис Перепелица.
Заместитель директора департамента сервисных услуг и технической поддержки ГК Softline Дмитрий Павлюк считает, что попытка ограничить использование заемных ресурсов может усугубить проблему. "Так как использование собственных ресурсов часто становится более дорогостоящим вариантом. Также в попытках оптимизировать бюджет может пострадать качество персонала, что в свою очередь увеличит процент аварий в инфраструктуре финансовых организаций. Основные моменты в документе обозначены, они носят скорее теоретический характер", - отмечает Дмитрий Павлюк. По его мнению, ИТ-рынок перестроится, мелкие игроки не смогут конкурировать с крупными сервисными компаниями. "Это вызовет рост стоимости услуг и скажется на бюджетах финансовых организаций", - считает он.
По мнению CEO агентства "Осьминожка" Михаила Шрайбмана, если говорить об аутсорсе в ИТ-разработке, то регулирование оправданно, поскольку в большей степени регуляция в подобном объеме производилась финансовым сектором и до данного решения. "Для крупных компаний это плюс, поскольку конкуренция снизится. Будет проще участвовать в тендерах. А вот компаниям поменьше будет сложнее. Если брать во внимание бюрократию и юридические моменты, то все останется на прежнем уровне, ведь сейчас произошло узаконивание того, что и было до этого. Для финансового рынка ситуация пойдет только в плюс, ибо произойдет автоматизация тендерного отдела, нагрузка снизится. Уровень безопасности увеличится.
Считаю, что документ в полной мере полон", - сказал он.
Ведущий консультант по ИБ Aktiv.consulting (компания "Актив") Александр Моисеев отмечает, что в документе приведено верхнеуровневое описание, которое в дальнейшем будет необходимо детализировать в разрезе доменов бизнес-процессов, данных, приложений, серверного и сетевого оборудования. "Однозначно это шаг к повышению операционной надежности финансовых организаций и всей финансовой системы в целом. Для ИТ это прежде всего закрепление обязательств в юридической плоскости, а также долгосрочные и стабильные контрактные отношения с заказчиками из финансовой отрасли, а следовательно - возможность смелее инвестировать в персонал, обеспечивающий аутсорсинговые услуги, программы их обучения, методологию, регламенты и точное планирование параметров SLA. Для финансового рынка плюс заключается прежде всего в том, что перестают остро стоять вопросы найма в штат высококвалифицированного ИТ-персонала, обеспечение его загрузкой, мотивация и удержание. Один инженер вполне может обслуживать ИТ-системы нескольких финансовых организаций", - уверен Александр Моисеев.