Требования по защите данных к сторонним облачным решениям станут прозрачнее

15.11.2023 |

Источник: ComNews.ru

Комитет Госдумы по информационной политике, информационным технологиям и связи предложил усилить нормы по работе с персональными данными пользователей банковских услуг в случае, если их будут хранить сторонние облачные решения. Текущая версия законопроекта предусматривает передачу данных без прямого согласия пользователей.

На заседании комитета Госдумы по информационной политике, информационным технологиям и связи, которое прошло 14 ноября, депутат Госдумы Антон Немкин высказал несколько замечаний комитета к законопроекту №404786-8 об аутсорсинге информационных технологий и использовании облачных услуг финансовыми организациями: "В текущей версии законопроекта субъекты правоотношений (финансовые организации - прим. ComNews) имеют право поручать поставщикам услуг аутсорсинга размещение, хранение и иную обработку информации, которую они собирают, без получения согласия лиц, к которым эти сведения относятся. Обработку персональных данных граждан во всех случаях организации должны осуществлять с согласия субъекта в соответствии с федеральным законом о персональных данных".

Андрей Саломатин, советник председателя правления ООО "Бланк Банк", бывший вице-президент и технический директор "Ренессанс Банка", считает, что это логичное, хотя и формальное замечание: "Разумеется, гражданин должен давать согласие и на обработку персональных данных (ПДн) аутсорсинговыми компаниями, например, потому, что может это согласие отозвать. В противном случае возникает коллизия, когда у финансовой организации согласие отозвано, а подрядчик по-прежнему может ПДн обрабатывать".

Адвокат коллегии "Пэн энд Пэйпер" (Pen & Paper) Виктор Рыков объяснил, что банковские организации обязаны исполнять ограничения в рамках закона о персональных данных и обеспечивать согласие субъекта персональных данных (или использовать иные основания по закону), если необходимо передать доступ к данным третьим лицам.

"Учитывая, что обработке могут подлежать персональные данные россиян, необходимо предусмотреть в законопроекте, что поставщиками услуг могут быть только лица, находящиеся под контролем российских субъектов. В проекте законопроекта также отсутствует механизм отбора поставщиков услуг аутсорсинга информационных технологий и нет конкретных ограничений участия иностранных государств и территорий, совершающих в отношении РФ недружественные действия. В законопроекте не предусмотрен приоритет отечественных поставщиков услуг аутсорсинга. Предполагаем, что им должна быть имеющая государственную аккредитацию российская организация, осуществляющая деятельность в области информационных технологий", - добавил Антон Немкин.

Андрей Саломатин считает, что, поскольку аккредитация ИТ-компаний связана с соблюдением требований по выручке от ИТ-услуг, уровнем средней оплаты труда или наличием продуктов в реестре российского ПО, этот пункт станет дополнительным элементом минимальной защиты от недобросовестных поставщиков аутсорсинговых услуг.

Как отмечает Антон Немкин, текущая версия законопроекта указывает, что условия о наличии у поставщика лицензии на осуществление деятельности по технической защите конфиденциальной информации может не применяться в случае, если указанный поставщик входит в банковскую группу финансовой организации, заказавшей такую услугу у поставщика. "Полагаем, указанные положения необоснованны, предлагаем исключить их из законопроекта", - заявил он.

По мнению Андрея Саломатина, это изменение логичное. "Непонятно, почему в первоначальном тексте для организаций, входящих в группу, делалось исключение. Независимый аутсорсинг такую лицензию иметь должен. Требования должны быть одинаковые, независимо от формы владения", - считает он.

По части регулирования деятельности организаций в текущей версии законопроекта предусмотрено, что контролирующим органом выступает Центральный банк. Однако, как отмечают депутаты из комитета по информполитике, законопроект не предусматривает механизм государственного контроля и надзора со стороны уполномоченных федеральных органов исполнительной власти за исполнением законодательства поставщиками услуг аутсорсинга и облачных услуг.

Егор Бигун, директор по информационной безопасности beeline cloud ПАО "ВымпелКом", сообщил корреспонденту ComNews: "Мы положительно оцениваем законодательную инициативу о требованиях к аутсорсингу информационных технологий на финансовом рынке. Существуют очевидные сложности при взаимодействии между провайдерами ИТ-услуг и компаниями финансового сектора. Во-первых, кредитно-финансовые организации опасаются, что поставщик услуг прямо или косвенно получит доступ к охраняемой законом информации. Во-вторых, до сих пор не решен вопрос по разграничению ответственности за невыполнение требований нормативов ЦБ РФ - например, ГОСТ Р 57580.1-2017. Рассчитываем, что новый законопроект создаст единые правила игры в этой отрасли и позволит заказчикам с финансового рынка не бояться обращаться к сервис-провайдерам".

Законопроект об аутсорсинге ИТ-услуг для финансовых организаций внесли депутаты Госдумы Анатолий Аксаков, Аркадий Свистунов, Олег Савченко и др. летом 2023 г. Он направлен на снятие ограничений использования аутсорсинга ИТ-функций и облачных услуг финансовыми организациями. Профильным комитетом является комитет Госдумы по финансовому рынку. Комитет Госдумы по информполитике является соисполнителем. Первое слушание законопроекта состоится в осеннюю сессию 2023 г.

Юлия Тихонова