Она отметила, что текущая редакция закона об ИТ-аутсорсинге задает рамки для возможного оказания услуг, но не дает понимания правовых механизмов митигирования рисков, присущих ИТ-аутсорсингу.
Яна Епифанова рассказала об исследовании правовых основ организации и функционирования рынка ИТ-аутсорсинга в банковской сфере, проведенном Ассоциацией банков России и познакомила с результатами опроса, проведенного Ассоциацией, в котором банки и вендоры высказывали свое мнение о подходах к регулированию ИТ-аутсорсинга.
Она поделилась основными моментами, с которыми согласны все опрошенные:
- к аутсорсеру, которому передаются защищаемые данные, должны предъявляться требования обеспечения инфобезопасности, не ниже, чем к банку;
- кредитная организация должна иметь возможность управлять рисками на стороне аутсорсера, например, мониторить и контролировать основные процессы в части инфобезопасности; - все ждут, что для баланса прав и обязанностей сторон регулятор сформулирует подходы к содержанию договора об аутсорсинге.
- наиболее жизнеспособная модель оказания услуг ИТ-аутсорсинга – это модель множественности аутсорсеров, которая обеспечит поддержку и развитие конкуренции.
Говоря о перспективах развития ИТ-аутсорсинга, Яна Епифанова отметила, что для эффективного управления рисками в этой сфере необходимо создавать условия для развития инструмента страхования киберрисков для этого необходимо привлечь к дискуссии страховые организации.
Она также сообщила, что Ассоциация банков России приступает к построению операционной модели функционирования компании-аутсорсера, которая будет включать в себя типовые формы договоров и разработку ковенант для включения в договоры.