Регулирование IT-аутсорсинга
О поддержке финансовых компаний, имеющих IT-аккредитацию и о том, что нужно сделать банкам для получения субсидий по программе поддержки цифровизации, рассказал Алексей Войлуков, вице-президент АБР
— Алексей, в реестр аккредитованных IT-компаний вошло несколько дочерних компаний Тинькофф Банка. Как будет осуществляться их регулирование?
— Сейчас банки испытывают нагрузку на свои ИБ-подразделения, связанную в том числе с возросшей киберагрессией из-за рубежа, а также с повышением стоимости софта и аппаратных комплексов, уходом зарубежных вендоров с рынка, форсированным импортозамещением, прекращением техподдержки и подписных сервисов, дефицитом кадров. Все эти факторы требуют мер поддержки не только для служб ИБ, но и для всего IT-направления банков.
Наиболее эффективный способ, по мнению членов Ассоциации, — распространение мер поддержки IT-отрасли и IT-специалистов, предусмотренных Указом Президента Российской Федерации № 83, на финансовые организации, осуществляющие деятельность в области IT. Такая инициатива уже направлена в Госдуму и Правительство. Минцифры по итогам ее рассмотрения сообщило, что для получения мер поддержки и льгот, предусмотренных для аккредитованных IT-компаний, финансовым организациям предлагается провести реорганизацию и выделить отдельное юридическое лицо, осуществляющее деятельность в сфере IT.
Также кредитным организациям нужна помощь по выделению собственных служб IT и ИБ в отдельное юридическое лицо с последующим оказанием им услуг банкам на основании аутсорсинга. В частности, появляются следующие вопросы:
- юридическое оформление аутсорсинга услуг IT и ИБ и правомерность полной ликвидации подразделений IT и ИБ в кредитной организации;
- возможность передачи создаваемому юридическому лицу программных продуктов и IT-оборудования, принадлежащих кредитной организации;
- разграничение ответственности между кредитной организацией и юридическим лицом, оказывающим услуги IT и/или ИБ;
- правомерность передачи информации из информационных систем кредитных организаций, в том числе представляющих банковскую тайну, стороннему юридическому лицу;
- возможность исполнения требований Банка России и национальных стандартов в области ИБ, в том числе Положений № 716-П и № 683-П, при реализации всех необходимых мер не в кредитной организации, а на стороне выделенного юридического лица;
- необходимые изменения в системе управления операционным риском кредитной организации при передаче функций IT и ИБ в отдельное юридическое лицо;
- возможность выделения служб IT и ИБ нескольких кредитных организаций в одно юридическое лицо и оказания ими соответствующих услуг нескольким заказчикам.
Без решения этих вопросов и без получения разъяснений от регулятора кредитные организации не смогут быстро реализовать предложенный Минцифры подход по получению мер поддержки для своего IT-функционала.
Поэтому АБР направила в Банк России запросы о возможности разработки рекомендаций для кредитных организаций c учетом проблемных моментов, связанных с выделением IT-функционала в отдельное юридическое лицо, содержащих пошаговое описание процесса такой реорганизации, требуемого перестроения IT-инфраструктуры, а также учитывающих лучшие практики рынка аутсорсинга IT-услуг.
Контролировать создаваемые банками дочерние IT-компании Банк России будет в рамках консолидированного надзора.
— Кто может быть допущен к субсидиям в рамках программы поддержки цифровизации? Какова роль АБР в продвижении этой инициативы?
— Минцифры оказывает поддержку организациям через уполномоченные банки субсидированными кредитами на реализацию проектов по цифровой трансформации, реализуемых на основе российских решений в сфере информационных технологий в соответствии с Постановлением Правительства № 1598 (далее — Постановление). Субсидии смогут получить юридические лица, имеющие право осуществлять банковские операции и предоставлять кредиты, прошедшие отбор и заключившие соглашения о предоставлении субсидии.
В рамках поддержки аккредитованных системообразующих организаций Минцифры проводит их отбор для предоставления субсидий из федерального бюджета на возмещение недополученных ими доходов по кредитам, выданным в соответствии с Правилами, утвержденными Постановлением Правительства РФ № 754.
К программе субсидирования допущены банки, имеющие кредитный рейтинг не ниже уровня ВВВ-(RU) по национальной рейтинговой шкале от кредитного рейтингового агентства АКРА и (или) кредитный рейтинг не ниже уровня ruBBB- по национальной рейтинговой шкале кредитного рейтингового агентства «Эксперт РА». Принятие Постановления и разработка критериев допуска кредитных организаций к этой программе происходили по инициативе и участии АБР.
Также мы продолжаем работу по повышению эффективности государственных программ субсидирования льготных процентных ставок. В планах — направить обращение в Правительство чтобы установить единый для всех федеральных органов исполнительной власти заявительный порядок участия банков в программах государственной поддержки, предусматривающих компенсацию части банковской процентной ставки.
— На рабочей встрече АБР рассматривались возможности использования кредитными организациями IT-инфраструктуры на условиях аутсорсинга, а также требования к операторам такой целевой инфраструктуры. Расскажите об этих инициативах. Что будет в дорожной карте по реализации единого инфраструктурного решения на основе облачного аутсорсинга?
— Основной задачей остается проработка правового регулирования оказания услуг IT-аутсорсинга. В Госдуме находится на рассмотрении проект Федерального закона «О внесении изменений в отдельные законодательные акты Российской Федерации», регламентирующий использование финансовыми организациями услуг аутсорсинга IT и облачных услуг.
Согласно законопроекту, требования к порядку привлечения поставщиков услуг аутсорсинга, в том числе по защите информации и операционной надежности, будут устанавливаться актами Банка России. Законопроект в целом не противоречит целям кредитных организаций по использованию IT-аутсорсинга, но потребуется проработка подзаконных актов Банка России для достижения максимального эффекта от применения услуги.
— Какие направления развития инфраструктурных сервисов Банка России ожидают ускорение и модернизация: ЕБС, СБП, KYC?
— Практика внедрения ЕБС показала, что первоначальный замысел добровольной регистрации банков в этой системе был более правильным, чем обязательное участие в ней банков, закрепленное законодательно. Все еще не решены вопросы внедрения облачных решений для ЕБС. Сложности подтверждаются переносами срока внедрения системы теперь на 1 сентября 2022 года. Экономическая эффективность работы банков с этой системой неоднозначна из-за крупных инвестиционных затрат на ее внедрение и сопровождение в части платежей оператору ЕБС — Ростелекому.
Что касается СБП, то мы ожидаем развития и совершенствования системы, в том числе за счет подключения к ней банков из дружественных стран.
С платформой KYC ситуация следующая: на текущем этапе платформа может быть дополнительным элементом в работе банков по ПОД/ФТ/ФРОМУ. Ассоциация ожидает, что в ближайшее время Банк России приступит к пилотным проектам с участием платформы по анализу платежей физических лиц, а также государственных органов и органов местного самоуправления, причем некоторые недобропорядочные сотрудники этих организаций могут быть причастны к проведению махинаций. Потребуется совместная работа, позволяющая сохранить баланс между прозрачностью физических транзакций для банков и государства и сложившейся практикой объемов и количества безналичных платежей.
— Достаточно ли усилий только Ассоциации разработчиков программных продуктов «Отечественный софт» или необходимо расширить полномочия других структур в импортозамещении IT и ИБ? Какие еще болевые точки в области ИБ можно выделить в свете Указа Президента «О дополнительных мерах по обеспечению информационной безопасности»?
— Основные сложности возникают при импортозамещении вычислительных систем и сетевого оборудования. Отечественных аналогов, применяемых для банковских систем, сейчас нет.
Актуален вопрос создания межсетевых экранов экспертного уровня (NGFW). Российские разработки межсетевых экранов формально закрывают базовые требования к функционалу, но реализовать с их помощью привычных для банковского сектора комплексных задач не представляется возможным.
Сейчас необходим общий аудит всех российских программных продуктов и их функционала. Важно понять, какие зарубежные IT-решения имеют в России аналоги по классу и конкретному функционалу, какие находятся в разработке, а чего вообще нет на отечественном рынке. Необходим единый центр, который обладал бы всей информацией и смог бы устанавливать приоритеты развития, а при необходимости даже направлять государственные ресурсы на создание самых востребованных IT-продуктов.
Основная проблема в исполнении требований указа № 250 лежит в плоскости предоставления удаленного доступа ФСБ для мониторинга информационных систем кредитных организаций. Необходимо совместно с ФСБ и Банком России разработать параметры такого доступа, регламентировать технические процессы и подготовить требуемую правовую базу. Ассоциация планирует инициировать такую работу в ближайшее время.