Законопроект об аутсорсинге облачных услуг для банков завис на рассмотрении во втором чтении

Заместитель председателя правления АО "Альфа-банк" Павел Высоцкий на форуме информационных технологий InfoSpace заявил, что банкам мешает разворачивать приватные облака отсутствие оборудования и центров обработки данных (ЦОДов): "Решением проблемы могли бы стать публичные или гибридные облака. Гибридные - это когда весь бизнес приложения был бы банковским, а оборудование и ЦОДы - от внешнего провайдера аутсорсинга облачных услуг". "Такие провайдеры на российском рынке есть. Но движение в эту сторону ограничено регулятором - Центральным банком, который не позволяет выносить в облако конфиденциальные данные и не регламентирует передачу ответственности за сохранность данных", - заявил Павел Высоцкий. Летом 2023 г. депутаты и сенаторы РФ внесли в Государственную Думу законопроект, который снимает правовые ограничения на аутсорсинг финансовыми организациями облачных услуг. Привлечение подрядчиков с внешнего рынка должно помочь банкам оптимизировать затраты на поддержание информационной инфраструктуры - следует из пояснительной записки к законопроекту. Осенью 2023 г. профильные комитеты Госдумы внесли рекомендации к законопроекту. Комитет по информационной политике, информационным технологиям и связи предложил, например, уси­лить нор­мы по ра­боте с пер­со­наль­ны­ми дан­ны­ми и обязать банки запрашивать у клиентов дополнительное разрешение на передачу их данных в сторонние организации - в изначальной вер­сии за­коноп­роек­та такого требования не было.\[quote\] https://www.comnews.ru/content/230167/2023-11-15/2023-w46/1008/trebovaniya-zaschite-dannykh-k-storonnim-oblachnym-resheniyam-stanut-prozrachnee \[/quote\] В результате Госдума РФ приняла законопроект в первом чтении 30 ноября 2023 г. Срок предоставления поправок ко второму чтению был назначен на 16 февраля 2024 г. Но к апрелю 2024 г. они так и не появились. "Надеемся, что эта работа не остановится. Если закон не будет принят, то нам как банку придется разворачиваться в сторону строительства ЦОДов, закупки оборудования и строительства импортозамещенных приватных облаков. Но такие работы, как проектирование и строительство ЦОДов, производство оборудования, - не банковский бизнес. Это приведет к дополнительным затратам и менее эффективному использованию инвестиций", - добавил Павел Высоцкий. Руководитель отдела консалтинга и аудита "Ангара технолоджиз груп" (системный интегратор, разрабатывающий решения по информационной безопасности Angara Security) Александр Хонин считает, что вся ответственность за безопасность данных должна и будет оставаться на стороне банка, поэтому банк должен предъявлять соответствующие требования по безопасности к облачным провайдерам. "Здесь кроется основная проблема: облачные провайдеры не всегда готовы выполнять все требования по ИБ, которые предъявляются к банкам, а также подтверждать выполнение таких требований", - отметил Александр Хонин. "Существует три типа облачных сервисов: IaaS, PaaS, SaaS. В IaaS для провайдера могут возникнуть сложности с выполнением организационных требований по размещению оборудования, физическому доступу к нему и по сертификации вычислительных мощностей (серверов). Эти требования закрыть нетрудно, но потребует высоких затрат для провайдера сервисов. В PaaS и SaaS к упомянутым сложностям добавляется ряд требований к сегментации, доступам, протоколам взаимодействия. Иными словами, потребуется перестраивать ЦОД в соответствии с требованиями к банкам". Станислав Шилов, директор по развитию продуктов Центра цифровых решений для бизнеса компании BSS оценивает сценарий по использованию публичных или гибридных облаков исключительно положительно. "В условиях усложнения ИТ-систем, увеличения требований к их доступности и к квалификации ИТ-персонала, а также дополнительных требований по информационной безопасности, использование облаков может стать для небольших и даже средних банков единственным экономически возможным вариантом, потому что расходы банков на инфраструктуру становятся болезненными. Это потребует и совершенствования регулирования, и выработки более ответственных и взрослых практик на рынке ИТ-компаний, предлагающих облачные решения, но в целом этот путь выглядит разумным и логически", - считает Станислав Шилов.\[quote\] https://www.comnews.ru/content/232175/2024-03-21/2024-w12/1007/sovet-federacii-predlozhil-obyazat-kompanii-imet-rezerv-dlya-vyplaty-kompensaciy-za-utechki-personalnykh-dannykh-rossiyan \[/quote\] В марте 2024 г. Совет Федерации РФ предложил всем компаниям, обрабатывающим персональные данные, иметь резерв для выплаты компенсаций россиянам в случае утечек. Как считает Александр Хонин, в случае принятия законодательной инициативы, страхование рисков утечек данных из облачных инфраструктур должно оставаться на стороне банка, так как он является основным ответственным за обрабатываемые данные, в том числе за их утечки. Также в мар­те 2024 г. на ин­фраструк­ту­ре MTS Cloud прои­зош­ла ава­рия, ко­торая зат­ро­нула сра­зу три да­та-цен­тра - в Мос­кве, Санкт-Пе­тер­бур­ге и Ка­зах­ста­не. Не­кото­рые ком­па­нии - клиен­ты МТС Cloud ис­пы­тали проб­ле­мы с дос­ту­пом к сер­ви­сам. На вопрос корреспондента ComNews, как могут отреагировать клиенты банков, если похожие инциденты случатся с облачными провайдерами, которые предлагают решения для банков, Станислав Шилов ответил, что клиенту не важно, на чьей инфраструктуре работает сервис банка - главное, чтобы он работал и был доступен. "Инциденты нарушения работоспособности дистанционных сервисов крупных банков происходят регулярно - в среднем раз в две недели - несмотря на использование собственной инфраструктуры. И при этом никакого значимого оттока клиентов или иного негативного экономического эффекта эти банки не испытывают", - заключил он.\[quote\] https://www.comnews.ru/content/232120/2024-03-19/2024-w12/1008/mts-clou… \[/quote\] Ссылка на источник