ЦБ разработал законопроект, упрощающий оборот материалов с банковской тайной

Банк России намерен позволить банкам передавать на аутсорс разработку IT-решений и хранение сведений с банковской тайной в облачных сервисах. О работе над законопроектом «для возможности передачи соответствующих видов тайн» рассказал на годовом заседании АРПП «Отечественный софт» консультант отдела методологии контроля и наблюдения департамента информационной безопасности ЦБ Савва Морозов. Представитель ЦБ сообщил «Ведомостям», что документ готов и находится на этапе межведомственного согласования.

Банки нуждаются в IT-подрядчиках для предоставления услуг клиентам, потому как не могут разрабатывать все необходимые решения самостоятельно, рассуждает бизнес-консультант по информационной безопасности Positive Technologies Алексей Лукацкий. При этом использование облачных сервисов среди банков встречается нечасто именно в силу того, что банки опасаются работать с внешними облаками без гарантий безопасности и возможности контролировать эти сервисы, продолжает он. Поэтому принятие закона, предложенного ЦБ, может повысить их популярность у финансовых организаций, добавил эксперт.

Переход разработки и обслуживания на внешних подрядчиков позволит финансовым организациям сократить затраты на внутренние IT-подразделения и сэкономить сотни миллионов рублей в год, прогнозирует генеральный директор компании – разработчика российского веб-сервера Angie Заур Абасмирзоев.

«Законопроект в том числе направлен на снятие правовых ограничений по режиму обработки сведений, составляющих отдельные виды тайн, включая банковскую тайну», – сообщил «Ведомостям» представитель ЦБ в ответ на запрос по выступлению Морозова. Он уточнил, что инициатива обсуждается с Минфином, Минцифры, ФСБ и Росфинмониторингом. «Кроме того, продолжается обсуждение законопроекта с банковским сообществом», – отметил представитель ЦБ.

«В текущих условиях Банк России уделяет особое внимание аутсорсингу в сфере информационных технологий и облачных сервисов. Мы сейчас работаем над тем, чтобы создать правовые условия для аутсорсинга IT и использования облачных услуг финансовыми организациями», – добавили в ЦБ.

Представитель Минфина переадресовал вопросы в Минцифры.

«Минцифры концептуально поддержало этот законопроект. Сейчас готовим ответ на его доработанную версию», – сообщил «Ведомостям» представитель министерства. Как считают в ведомстве, передача IT-услуг на аутсорс может способствовать росту эффективности компаний финансового сектора. «В частности, таким образом оптимизируются затраты на поддержание или создание собственной информационной инфраструктуры», – отметил представитель Минцифры.

Представитель Росфинмониторинга также подтвердил получение законопроекта. По его словам, инициатива предполагает запрет перевода на аутсорсинг хранения и обработки информации о принимаемых мерах противодействия легализации (отмыванию) преступных доходов, финансирования терроризма и финансирования распространения оружия массового уничтожения. «В связи с этим данным законопроектом напрямую не затрагивается компетенция службы», – добавил представитель Росфинмониторинга, подчеркнув, что внедрение предлагаемого механизма «требует особого внимания к вопросам обеспечения финансовой безопасности».

«Ведомости» направили запрос в ФСБ.

Знают об обсуждении законопроекта и в Ассоциации банков России, сообщил «Ведомостям» ее представитель. Но готового законопроекта в ассоциации не видели, добавил он.

12 мая ЦБ опубликовал отчет об итогах обсуждения доклада ЦБ по управлению рисками аутсорсинга на финансовом рынке. «Ряд участников рынка (в том числе системно значимые кредитные организации) в связи с наличием законодательных ограничений по привлечению поставщиков IT-услуг и передачи им на обработку и хранение конфиденциальной информации (включая персональные данные без получения соответствующего согласия субъекта такого вида данных) положительно оценил инициативы Банка России по разработке механизмов, расширяющих возможности такого привлечения поставщиков IT-услуг», – отмечается в документе. По мнению участников рынка, законопроект ЦБ «позволит оптимизировать затраты финансовых организаций в части поддержки и эксплуатации собственной информационной инфраструктуры».

Основные положения по работе финансовых организаций с IT-компаниями на аутсорсинге уже прописывались в 2018 г. в стандарте ЦБ, но тогда этот документ носил рекомендательный характер, напомнил Лукацкий. В этом стандарте, в частности, прописывались все риски безопасности данных, были даны рекомендации по выбору аутсорсинговых партнеров и др. Еще в 2018 г. ЦБ намеревался сделать эти рекомендации обязательными к исполнению, но из-за ковида это, видимо, было отложено, отметил эксперт. «Законодательство о банках и банковской деятельности предусматривает по сути запрет на передачу сведений, содержащих банковскую тайну, организации, у которой нет лицензии на ведение банковской деятельности. Но при этом на практике такие данные нередко поступают таким организациям. Так что формально запрет существует, но он же предусматривает и огромное количество исключений», – продолжил Лукацкий.

«Согласно действующим нормам, банки не могут передавать сведения, составляющие банковскую тайну, третьим лицам, но есть исключения, которые поименованы в ст. 26 закона «О банках и банковской деятельности», – говорит юрист, эксперт Moscow Digital School Мария Телегина. Согласно указанной статье, информация об операциях, счетах и вкладах граждан может передаваться по запросу, например, высшим должностным лицам субъектов РФ или руководителям государственных корпораций в отношении граждан, претендующих на замещение государственных должностей.

«В ходе своей деятельности банки могут передавать сведения, составляющие банковскую тайну, третьим лицам при согласии клиента», – добавила Телегина. А если переданные третьей стороне с согласия клиента данные утекли, то отвечает перед клиентом банк, передавший такие сведения, поскольку именно он является гарантом сохранения таких данных, подчеркнула юрист.

Таким образом, законопроект ЦБ, который сейчас находится в процессе согласования, по сути устраняет все разночтения, устанавливая единый порядок оборота таких данных, считает Лукацкий. В случае принятия он стандартизирует отношения клиент – банк – обработчик данных (например, оператор облачного хранилища), для того чтобы механизмы передачи данных, их хранение и защита, а также ответственность носили понятный и справедливый характер для всех участников процесса, резюмировала Телегина.