Госдума готовится принять законопроект о передаче банковской тайны на аутсорсинг

Законопроект, который позволит банкам передавать на аутсорсинг разработку IT-решений и допускает хранение данных с банковской тайной в облачных сервисах, может быть принят в первом чтении уже 16 ноября. Об этом «Ведомостям» в кулуарах «SOC-Forum 2023» рассказал директор департамента информационной безопасности (ИБ) Банка России Вадим Уваров.

«Законопроект разрабатывался при участии Банка России, мы работали над ним больше года. Он готовится ко внесению в первом чтении. Я думаю, что в четверг он будет рассмотрен и принят в первом чтении», – сообщил Уваров. 14 ноября законопроект был поддержан комитетом Госдумы по финансовому рынку, сказал «Ведомостям» председатель комитета Анатолий Аксаков.

Представитель ЦБ в мае сообщал «Ведомостям», что разрабатываемый законопроект будет направлен на снятие правовых ограничений по режиму обработки сведений, составляющих отдельные виды тайн, включая банковскую. Он отмечал, что инициатива обсуждается с Минфином, Минцифры, ФСБ, Росфинмониторингом и банковским сообществом.

Представитель Минцифры тогда же заявлял «Ведомостям», что передача IT-услуг на аутсорсинг может способствовать росту эффективности компаний финансового сектора. «В частности, таким образом оптимизируются затраты на поддержание или создание собственной информационной инфраструктуры», – отмечал он. Общий объем затрат российских банков на IТ в целом ежегодно растет на 12–14%, оценивало агентство «ТМТ консалтинг». В 2021 г. этот показатель составил 514 млрд руб., а в 2022 г. – 580 млрд руб.

Представитель Росфинмониторинга, в свою очередь, подчеркивал, что внедрение предлагаемого механизма «требует особого внимания к вопросам обеспечения финансовой безопасности».

«Ведомости» направили запрос в ЦБ, Минцифры, Минфин и Росфинмониторинг.

Сейчас, согласно закону о банковской тайне, банки не могут передавать сведения, составляющие такую тайну, третьим лицам, но есть исключения, указанные в ст. 26 закона «О банках и банковской деятельности». Например, можно передавать информацию об операциях, счетах и вкладах граждан по запросу высших должностных лиц регионов или руководителей госкорпораций в отношении граждан, претендующих на замещение государственных должностей. В случае принятия законопроекта ЦБ регламентирует механизмы передачи данных, порядок их хранения и защиты, а также ответственность в случае киберинцидентов.

По словам независимого эксперта (до ноября 2023 г. возглавлял департамент ИБ Минцифры) Владимира Бенгина, облачные сервисы – это важная часть будущей цифровизации. «Единственный тонкий момент», по его словам, возможна ли при этом «бесконтрольная передача третьим лицам [банковской] тайны». По его словам, для регулирования всех этих вопросов ЦБ должен будет подготовить ряд подзаконных актов, которые обеспечат полную конфиденциальность данных граждан.

Достаточно долгое время переход клиентов в облака блокировался как раз вопросами безопасности, поэтому крупные провайдеры вынуждены «серьезно вкладываться» в обеспечение безопасности данных, говорит директор по клиентской безопасности Selectel Денис Полянский. «Основные лидеры рынка облачных услуг выполняют гораздо более обширный перечень требований и рекомендаций в части информбезопасности, чем сами банки, так как работают с разными сегментами, – поясняет он. – Кроме того, у облачных провайдеров, как правило, есть конкретные SLA (соглашения об уровне услуг) и гарантированные сроки восстановления работоспособности инфраструктуры, что не часто встретишь со стороны собственных IТ-подразделений [компаний]». Даже в публичном облаке безопасность может быть выше, чем в собственном дата-центре (ЦОД) заказчика, подчеркнул Полянский.

Банки нуждаются в IT-подрядчиках для предоставления услуг клиентам, так как не могут разрабатывать все необходимые решения самостоятельно, рассуждает бизнес-консультант по информационной безопасности Positive Technologies Алексей Лукацкий. Использование облачных сервисов в банках встречается не часто именно в силу того, что те опасаются работать с внешними облаками без гарантий безопасности и возможности контролировать эти сервисы, продолжает он. Поэтому принятие закона, предложенного ЦБ, может повысить их популярность у финансовых организаций, добавил эксперт.

Зоны ответственности сервис-провайдера прописываются в договоре, где определяются круг лиц, имеющих доступ к оборудованию заказчика, и способ логирования действий сотрудников ЦОДа, отмечает эксперт. Если у банка жесткие требования к безопасности своего оборудования, он может разместить его в изолированной зоне с круглосуточной охраной и удаленным видеонаблюдением, говорит Полянский. Если же клиент не доверяет обслуживание серверов сторонним специалистам, он может решать эту задачу силами своих инженеров, которые в случае проблем будут приезжать в ЦОД, добавил он.

Границы ответственности достаточно строго регламентируются стандартами по ИБ, отмечает Полянский. По его словам, сейчас для большинства IT-систем финансовых организаций, размещенных в публичных облаках, ответственность в части информбезопасности распределена между облачным провайдером-партнером и финансовой организацией. «Мы видим, что дальше все больше IT-систем будет передаваться на аутсорсинг. Это общая тенденция во всем мире, и в России мы, скорее всего, пойдем таким же путем», – заключил он.

Представители крупных операторов ЦОДов не представили свою позицию. Представитель «Ростелекома» воздержался от комментариев, в «РТК Соларе» не дали комментариев к моменту сдачи материала, в 3data не ответили на запрос «Ведомостей».