Законопроект об аутсорсинге облачных услуг для банков завис на рассмотрении во втором чтении

Заместитель председателя правления АО "Альфа-банк" Павел Высоцкий на форуме информационных технологий InfoSpace заявил, что банкам мешает разворачивать приватные облака отсутствие оборудования и центров обработки данных (ЦОДов): "Решением проблемы могли бы стать публичные или гибридные облака. Гибридные - это когда весь бизнес приложений был бы банковским, а оборудование и ЦОДы - от внешнего провайдера аутсорсинга облачных услуг".

"Такие провайдеры на российском рынке есть. Но движение в эту сторону ограничено регулятором - Центральным банком, который не позволяет выносить в облако конфиденциальные данные и не регламентирует передачу ответственности за сохранность данных", - заявил Павел Высоцкий.

Летом 2023 г. депутаты и сенаторы РФ внесли в Государственную Думу законопроект, который снимает правовые ограничения на аутсорсинг финансовыми организациями облачных услуг. Привлечение подрядчиков с внешнего рынка должно помочь банкам оптимизировать затраты на поддержание информационной инфраструктуры - следует из пояснительной записки к законопроекту.

Осенью 2023 г. профильные комитеты Госдумы внесли рекомендации к законопроекту. Комитет по информационной политике, информационным технологиям и связи предложил, например, уси­лить нор­мы по ра­боте с пер­со­наль­ны­ми дан­ны­ми и обязать банки запрашивать у клиентов дополнительное разрешение на передачу их данных в сторонние организации - в изначальной вер­сии за­коноп­роек­та такого требования не было.

https://www.comnews.ru/content/230167/2023-11-15/2023-w46/1008/trebovaniya-zaschite-dannykh-k-storonnim-oblachnym-resheniyam-stanut-prozrachnee

В результате Госдума РФ приняла законопроект в первом чтении 30 ноября 2023 г. Срок предоставления поправок ко второму чтению был назначен на 16 февраля 2024 г. Но к апрелю 2024 г. они так и не появились.

"Надеемся, что эта работа не остановится. Если закон не будет принят, то нам как банку придется разворачиваться в сторону строительства ЦОДов, закупки оборудования и строительства импортозамещенных приватных облаков. Но такие работы, как проектирование и строительство ЦОДов, производство оборудования, - не банковский бизнес. Это приведет к дополнительным затратам и менее эффективному использованию инвестиций", - добавил Павел Высоцкий.

Руководитель отдела консалтинга и аудита "Ангара технолоджиз груп" (системный интегратор, разрабатывающий решения по информационной безопасности Angara Security) Александр Хонин считает, что вся ответственность за безопасность данных должна и будет оставаться на стороне банка, поэтому банк должен предъявлять соответствующие требования по безопасности к облачным провайдерам.

"Здесь кроется основная проблема: облачные провайдеры не всегда готовы выполнять все требования по ИБ, которые предъявляются к банкам, а также подтверждать выполнение таких требований", - отметил Александр Хонин.

"Существует три типа облачных сервисов: IaaS, PaaS, SaaS. В IaaS для провайдера могут возникнуть сложности с выполнением организационных требований по размещению оборудования, физическому доступу к нему и по сертификации вычислительных мощностей (серверов). Эти требования закрыть нетрудно, но потребует высоких затрат для провайдера сервисов. В PaaS и SaaS к упомянутым сложностям добавляется ряд требований к сегментации, доступам, протоколам взаимодействия. Иными словами, потребуется перестраивать ЦОД в соответствии с требованиями к банкам".

Станислав Шилов, директор по развитию продуктов Центра цифровых решений для бизнеса компании BSS, оценивает сценарий по использованию публичных или гибридных облаков исключительно положительно.

"В условиях усложнения ИТ-систем, увеличения требований к их доступности и к квалификации ИТ-персонала, а также дополнительных требований по информационной безопасности, использование облаков может стать для небольших и даже средних банков единственным экономически возможным вариантом, потому что расходы банков на инфраструктуру становятся болезненными. Это потребует и совершенствования регулирования, и выработки более ответственных и взрослых практик на рынке ИТ-компаний, предлагающих облачные решения, но в целом этот путь выглядит разумным и логическим", - считает Станислав Шилов.

https://www.comnews.ru/content/232175/2024-03-21/2024-w12/1007/sovet-federacii-predlozhil-obyazat-kompanii-imet-rezerv-dlya-vyplaty-kompensaciy-za-utechki-personalnykh-dannykh-rossiyan

В марте 2024 г. Совет Федерации РФ предложил всем компаниям, обрабатывающим персональные данные, иметь резерв для выплаты компенсаций россиянам в случае утечек.

Как считает Александр Хонин, в случае принятия законодательной инициативы страхование рисков утечек данных из облачных инфраструктур должно оставаться на стороне банка, так как он является основным ответственным за обрабатываемые данные, в том числе за их утечки.

Также в мар­те 2024 г. на ин­фраструк­ту­ре MTS Cloud прои­зош­ла ава­рия, ко­торая зат­ро­нула сра­зу три да­та-цен­тра - в Мос­кве, Санкт-Пе­тер­бур­ге и Ка­зах­ста­не. Не­кото­рые ком­па­нии - клиен­ты МТС Cloud ис­пы­тали проб­ле­мы с дос­ту­пом к сер­ви­сам.

На вопрос корреспондента ComNews, как могут отреагировать клиенты банков, если похожие инциденты случатся с облачными провайдерами, которые предлагают решения для банков, Станислав Шилов ответил, что клиенту не важно, на чьей инфраструктуре работает сервис банка, - главное, чтобы он работал и был доступен.

"Инциденты нарушения работоспособности дистанционных сервисов крупных банков происходят регулярно - в среднем раз в две недели, - несмотря на использование собственной инфраструктуры. И при этом никакого значимого оттока клиентов или иного негативного экономического эффекта эти банки не испытывают", - заключил он.

https://www.comnews.ru/content/232120/2024-03-19/2024-w12/1008/mts-clou…