ЦБ решил регулировать наем банками айтишников на аутсорсе
Он видит риски для банковской тайны, особенно при использовании иностранных решений
Банк России намерен регулировать аутсоринг финансовыми организациями сторонних IT-компаний, так как их сотрудники могут получать для обработки данные, составляющие банковскую тайну. Об этом рассказал директор департамента информационной безопасности ЦБ Вадим Уваров журналистам в кулуарах форума Antifraud Russia 2022. Инициатива также содержится в очередном обзоре регулятора о финансовой стабильности.
«Нам необходимо предпринять все меры, чтобы та информация, с которой работают потенциальные IT-компании, была защищена», – отметил Уваров, не раскрыв других подробностей. Сейчас ЦБ обсуждает идею с Минфином, Минцифры, Росфинмониторингом и ФСБ. «Ведомости» направили запросы в эти ведомства.
Вопрос сохранения банковской тайны при передаче данных сторонней компании обсуждался и с участниками рынка, отметил Уваров. Консультации продолжатся, чтобы выработать единый рабочий механизм с точки зрения регуляторики.
В финансовом секторе широко распространена практика аутсорсинга – привлечения банками сторонних поставщиков, отмечается в обзоре ЦБ. В основном организации запрашивают IT-услуги и облачные сервисы для резервного копирования, обработки и хранения данных, разработки и сопровождения ПО, технического обслуживания программно-аппаратных средств и сопровождения сетевой инфраструктуры.
Аутсорсинг IT-решений потенциально повышает эффективность деятельности финансовой организации, в том числе при отсутствии или нехватке собственных ресурсов и компетенций. Но такая практика включает и риски, пишет ЦБ. Особенно если банки нанимают иностранных поставщиков (из недружественных государств тоже) или российские компании, которые, в свою очередь, также передают выполнение отдельных функций иностранцам или зависят от зарубежных технологических и программных решений.
ЦБ советует финансовым институтам обеспечить надлежащий учет и управление рисками при работе со сторонними компаниями. В частности, стоит предусмотреть подходы к стресс-тестированию операционного риска в случае сбоев в работе поставщиков и порядку восстановления деятельности после таких событий. Также надо учитывать страновой аспект риска и заменять иностранных недружественных поставщиков на компании из России и дружественных стран.