3.4. Аутсорсинг информационных технологий и использование облачных сервисов

Использование услуг поставщиков аутсорсинга информационных технологий и облачных сервисов требует от организаций кредитно-финансовой сферы отдельного внимания к передаваемым бизнес-процессам и функциям, подпадающим под регулирование в области защиты информации и операционной надежности со стороны Банка России. При этом поставщики услуг аутсорсинга информационных технологий и облачных сервисов должны в полной мере соблюдать требования законодательства в отношении выполнения бизнес-процессов и функций, переданных на аутсорсинг. Такой подход соответствует международной практике.

В рамках данной задачи планируется реализовать следующие мероприятия:

- совершенствование института аутсорсинга информационных технологий и облачных сервисов для финансовых организаций с учетом киберрисков;

- мониторинг рисков аутсорсинга информационных технологий и облачных сервисов;

- развитие механизмов применения облачных сервисов в кредитно-финансовой сфере. Для совершенствования института аутсорсинга информационных технологий и облачных услуг информационных систем и их компонентов, в частности облачных и файловых хранилищ, серверов, иных устройств и систем сбора, хранения и обработки информации, Банк России совместно с уполномоченными федеральными органами исполнительной власти планирует создать правовые условия для размещения, хранения и иной обработки сведений, получаемых в рамках деятельности организаций кредитно-финансовой сферы. При этом предусмотрено использование принадлежащих поставщикам услуг аутсорсинга информационных систем и их компонентов, а также определение правового статуса поставщика услуг аутсорсинга информационных технологий и облачных услуг с распространением на него требований по обеспечению защиты банковской тайны и иных охраняемых законом видов тайн.

В развитие норм, формирующих условия использования услуг аутсорсинга, Банк России планирует определить порядок взаимодействия при аутсорсинге информационных технологий и облачных услуг, а также разработать требования к управлению риском при аутсорсинге.

Для обеспечения надлежащего выполнения требований к защите информации и операционной надежности Банк России продолжит совершенствовать набор надзорных инструментов и практик по анализу рисков, связанных с использованием услуг аутсорсинга, в том числе развивать инструменты определения порогового значения уровня концентрации поставщиков услуг аутсорсинга, свидетельствующего о наличии системных рисков.