Центробанк вместе с другими ведомствами готовит ко второму чтению законопроект об IT-аутсорсинге на финансовом рынке. Документ, внесённый в Госдуму ещё в июле 2023 года, должен снять правовые барьеры для передачи банками на внешний подряд разработки IT-систем и хранения данных, включая банковскую тайну, в облачных сервисах.
Однако продвижение закона затормозилось из-за возражений силовых структур. ФСБ настаивает на ужесточении требований к компаниям-поставщикам, а Росфинмониторинг хочет ограничить объём данных, которые можно передавать на аутсорс. Сейчас согласовываются дополнительные поправки: повышаются стандарты для подрядчиков и прорабатываются условия для организаций, которые будут проводить их аудит.
Ожидается, что силовые ведомства потребуют обязательного использования сертифицированных средств шифрования, ограничения доступа персонала провайдера к данным и размещения инфраструктуры только в российской юрисдикции. Также, вероятно, появится право на внеплановые проверки IT-систем поставщиков услуг. Регулятор пока не определился, пропишет ли он требования в собственном стандарте или через выполнение норм ФСТЭК.
Банки давно ждут этот закон. Сейчас формально передавать на аутсорсинг системы, которые работают с банковской тайной, практически невозможно. В результате кредитные организации вынуждены либо держать IT-инфраструктуру внутри, либо искать обходные пути. Новый закон должен легализовать аутсорсинг, но с высокими требованиями к безопасности. Это компромисс: банки получат гибкость и смогут экономить, а регуляторы и силовики — контроль. Вопрос в том, насколько жёсткими окажутся требования и не сделают ли они аутсорсинг экономически невыгодным. Но сам факт, что закон сдвинулся с мёртвой точки, уже прогресс.
Источник: frankmedia.ru
Однако продвижение закона затормозилось из-за возражений силовых структур. ФСБ настаивает на ужесточении требований к компаниям-поставщикам, а Росфинмониторинг хочет ограничить объём данных, которые можно передавать на аутсорс. Сейчас согласовываются дополнительные поправки: повышаются стандарты для подрядчиков и прорабатываются условия для организаций, которые будут проводить их аудит.
Ожидается, что силовые ведомства потребуют обязательного использования сертифицированных средств шифрования, ограничения доступа персонала провайдера к данным и размещения инфраструктуры только в российской юрисдикции. Также, вероятно, появится право на внеплановые проверки IT-систем поставщиков услуг. Регулятор пока не определился, пропишет ли он требования в собственном стандарте или через выполнение норм ФСТЭК.
Банки давно ждут этот закон. Сейчас формально передавать на аутсорсинг системы, которые работают с банковской тайной, практически невозможно. В результате кредитные организации вынуждены либо держать IT-инфраструктуру внутри, либо искать обходные пути. Новый закон должен легализовать аутсорсинг, но с высокими требованиями к безопасности. Это компромисс: банки получат гибкость и смогут экономить, а регуляторы и силовики — контроль. Вопрос в том, насколько жёсткими окажутся требования и не сделают ли они аутсорсинг экономически невыгодным. Но сам факт, что закон сдвинулся с мёртвой точки, уже прогресс.
Источник: frankmedia.ru
