12 декабря, 2018, BIS Journal №4(31)/2018

Банк, его аутсорсер, их работники и разработка банковского ПО


Дзержинский Фёдор

Главный эксперт - координатор системной экспертизы (ООО "ТехноСофт", CSDP)

Об основаниях и способах оформления кредитной организацией допуска работников внешнего поставщика услуг (исполнителя, аутсорсера) к работам с ее автоматизированными системами и программным обеспечением

В связи с изданием стандарта Банка России СТО БР ИББС-1.4-2018 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Управление риском нарушения информационной безопасности при аутсорсинге" [1], рядом юристов отмечено наличие проблемы, суть которой сводится к следующему.

Для некоторых видов работ, передаваемых банком для исполнения стороннему исполнителю при аутсорсинге, трудно полностью исключить возможность доступа персонала внешнего исполнителя работ к защищаемой информации банка, включая сведения, составляющие банковскую тайну. Но при этом законодательство РФ не предусматривает никаких возможностей для передачи банком данной категории сведений внешнему исполнителю. Решение проблемы предлагается искать на пути изменения российских законов [2].

Цель настоящей статьи - рассказать о поисках не требующего изменения законов подхода к решению отмеченной выше проблемы, которыми автору довелось заниматься в начале 2015 г. - задолго до появления стандарта [1]. Эти поиски выполнялись в порядке "теоретической" проработки вопроса применительно к специфическому классу ситуаций - аутсорсингу внутренних функций и процессов банка в области разработки ПО. Этот класс ситуаций пояснен ниже.

Суть подхода состояла в предложении оформлять отношения между банком, организацией-аутсорсером и ее работником, допускаемым к работам с системами банка, подписываемым всеми ими "трехсторонним протоколом", положения которого, насколько возможно, позволяли бы соблюсти в отношении работника аутсорсера все те требования, которые действующее законодательство РФ и Банк России предъявляют к служащим кредитной организации.

В качестве желаемого итога такого оформления отношений рассматривалось принятие на себя работником обязательств равнозначных обязательствам служащего банка. В идеале - создание оснований для того, чтобы банк имел возможность рассматривать такого "чужого" работника, после прохождения им необходимых проверок и допуска к работам, в качестве "внештатного служащего" банка.

Три года назад предложенный подход и набросок положений такого протокола в течение какого-то времени активно обсуждались, в том числе с юристами, представителями иных банковских служб и подразделений, претерпели ряд доработок, но так и не получили практического использования. В тот момент это казалось полной неудачей предпринятых усилий.

Однако позднее, с учетом ряда новых обстоятельств, в том числе растущего внимания к упомянутой выше проблеме и другим, подобным ей, есть вероятность, что рассматриваемый опыт все-таки окажется кому-то полезен. По крайней мере, как повод для размышлений и дискуссии.

 

         Аутсорсинг разработки банковского ПО

Представим себе некий банк, имеющий "по историческим причинам" серьезные внутренние ресурсы разработчиков банковского прикладного программного обеспечения (ПО). Эти ресурсы обеспечивают создание, сопровождение и развитие ряда применяемых банком автоматизированных систем (АС), в том числе, возможно, критически важных для бизнеса банка.

В какой-то момент банк принимает "стратегическое" решение о том, чтобы вывести целиком соответствующие подразделения разработчиков ПО "на аутсорсинг" путем перевода всего персонала этих подразделений в специально созданную, внешнюю, но аффилированную с банком коммерческую организацию. И возложить на эту организацию (аутсорсера) осуществление тех же самых функций, которые раньше выполняли внутренние разработчики ПО в банке. Но теперь эти функции должны выполняться по договору между этой организацией, как исполнителем, и банком, как заказчиком. (Есть очень много возможных оснований как для вывода из банка ресурсов по разработке ПО на аутсорсинг в отдельное юридическое лицо, так и для сохранения их внутри банка или даже для их возвращения снова в банк. Интересное рассмотрение этого вопроса содержится в [3]. Для целей настоящей статьи важно лишь наличие решения об аутсорсинге, а не причины его принятия).

Возникает вопрос, как банку в этой ситуации правомерно, безопасно и экономично предоставить допуск работникам организации аутсорсера ко всей той информации, которая им необходима для выполнения своих функций без существенного снижения эффективности этой работы по сравнению с периодом, когда они выполняли соответствующие функции, будучи работниками банка? При том, что эти функции в банке могли включать, например,  анализ требований реальных бизнес-процессов, отладку и тестирование приложений на реалистичных и даже реальных исходных данных, выполнение заявок от бизнеса на устранение проблем, связанных с конкретными производственными ситуациями и т. д., подразумевать нахождение в помещениях банка, использование его инфраструктуры, постоянное общение со многими его работниками.

Можно указать три подхода к организации работ в подобной ситуации, допускающие применение в том или ином сочетании:

Первый подход - "совместительство" - состоит в том, чтобы банку принять в свой штат по совместительству (на ту или иную "долю ставки") тех работников аутсорсера, которым по роду их обязанностей наиболее необходим доступ к защищаемой информации банка.

Второй подход - "работа по правилам" - для всех или некоторых переведенных из банка в организацию-аутсорсер работников технически и организационно исключить доступ ко всей той части защищаемой информации банка, к которой доступ могут иметь лишь служащие банка. Несмотря на то, что это повлечет нарушение сложившейся организации работ, процессов разработки ПО, их существенное удорожание и замедление, риски для бизнеса банка.

Третий подход - "принятие рисков" - действия в порядке исключения исходя из конкретных обстоятельств, индивидуальные меры по минимизации рисков и принятие рисков.

Первый из перечисленных подходов наиболее надежен в плане решения проблемы, упомянутой в начале данной статьи. Тем не менее, все они в той или иной степени обременительны для банка и для аутсорсера.

 

         О статусе служащего банка

Чем отличается статус "служащего" кредитной организации от статуса работников ее организации-аутсорсера?

Начнем с того, что в первом абзаце Статьи 26 "Банковская тайна" Федерального закона РФ "О банках и банковской деятельности" сказано: "... Все служащие кредитной организации обязаны хранить тайну об операциях, о счетах и вкладах ее клиентов и корреспондентов, а также об иных сведениях, устанавливаемых кредитной организацией, если это не противоречит федеральному закону." Помимо собственно банковской тайны, эта формулировка позволяет банку устанавливать в качестве охраняемой законом тайны также иную "внутреннюю информацию" - например, о методах защиты информации.

Все работники банка проходят процедуру проверки и допуска к информации и документам, состоят в банке на кадровом учете, обязаны выполнять требования внутренних документов банка, регулярно проходят ознакомление с внутренними документами банка, нередко под роспись.

Работники сторонней организации-подрядчика, не являющиеся "служащими" банка, формально не несут ни такой же обязанности хранить тайну, ни обязанности соблюдать все требования внутренних документов банка. И при этом содержательно о них банку "известно" гораздо меньше, чем о работниках банка. Допуская первых к исполнению служебных ролей, фактически эквивалентных ролям своих штатных работников, банк рискует допустить нарушение установленного для рынка финансовых услуг принципа "знать своего работника" (см. [4], п. 6.10).

Это создает одно из принципиальных, формальных препятствий для аутсорсинга функций и процессов применения информационных технологий (ИТ), которые способны влиять на информационную безопасность банка, т. е., практически в любой существенной области применения ИТ в банке.

Далее, основная, если не большая часть требований, предъявляемых к банку касающимися информационной безопасности и защиты информации нормативными документами Банка России, применимыми стандартами в данной сфере, так или иначе сводится к необходимости издания некоторых внутренних документов банка, назначения ответственных лиц или подразделений банка и строгого, контролируемого соблюдения этих документов.

Если будет осуществляться аутсорсинг, и фактические исполнители работ (не работники банка) не будут обязаны соблюдать все требования внутренних документов именно банка, а не только аутсорсера, то это будет равнозначно отсутствию пригодных для применения документов банка и невыполнению банком соответствующих требований Банка России (возможности передать сторонней организации ответственность за их соблюдение банк не имеет).

Наконец, есть две структуры банка - служба внутреннего контроля (СВК) и служба информационной безопасности (СИБ), которые в соответствии с требованиями  закона и документов Банка России должны иметь "особые" полномочия и обязанности в отношении осуществляемых в банке функций и процессов в сфере ИТ (в том числе по получению доступа на рабочие места, в помещения, к информации, материалам, документам, техническим средствам, получению разъяснений от работников и руководителей подразделений). Если в отношении каких-либо существенных аспектов этих функций и процессов, переданных на аутсорсинг, возможности СВК и СИБ будут ограничены, то это фактически будет означать нарушение требований закона и(или) требований Банка России.

 

         О Трехстороннем протоколе

С учетом всего отмеченного выше и была предпринята попытка разработать "четвертый" подход, основанный на использовании некоторой формы соглашения (трехстороннего протокола) между банком, аутсорсером и работниками аутсорсера, а также внутренних документов банка, которые позволили бы:

(1) насколько возможно, юридически приравнять допускаемых к работам в рамках аутсорсинга работников сторонней организации к "внештатным служащим" банка, предусмотрев присвоение им банком статуса "допустимый участник работ" (его получение подразумевает подписание протокола, проверку, согласование и допуск к работам банком каждой кандидатуры);

(2) обеспечить обязательность для всех допущенных к работе работников всех внутренних документов банка,

(3) обеспечить беспрепятственное осуществление полномочий СВК и СИБ в отношении всех допущенных к участию в работах работников сторонней организации.

Набросок основных положений "трехстороннего протокола" представлен в Приложении настоящей статьи. При его использовании необходимо учитывать, что он представляет собой не юридический документ, а материал организационно-технического характера, рассчитанный на критическое рассмотрение и существенную переработку квалифицированными юристами - работниками юридического подразделения банка, вместе с СИБ и подразделениями ИТ.

 

Литература

  [1] Cтандарт Банка Рссии СТО БР ИББС-1.4-2018 Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Управление риском нарушения информационной безопасности при аутсорсинге. - Москва, 2018

  [2] Канашевский В.А. Банковская тайна и использование банками услуг аутсорсинга информационной безопасности // Lex russica, 2018. N 7. С. 92 - 97. -

http://lexrussica.ru/articles/article_104479.html?issue=lexrussica-7-2018

 [3] Philip G. Armour, "Business of Software: Owning and Using"//Communications of the ACM, June 2014, Vol. 57, No. 6, pp. 29-30.

[4] ГОСТ Р 57580.1-2017 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. - Москва, Стандартинформ, 2017.   


Приложение

Протокол

об условиях допуска к участию в выполнении

работ с АБС и ПО банка

 

... далее именуемое Банк, в лице ..., действующего на основании ...,

... далее именуемое Контрагент, в лице ..., действующего на основании ...,

и ..., далее именуемый Гражданин, являющийся работником Контрагента, чьи трудовые обязанности могут включать участие в выполнении в соответствии с договором или договорами, которые заключены или могут быть заключены в будущем, между Банком, как "Заказчиком", и Контрагентом, как "Исполнителем", работ по созданию, модернизации и (или) техническому обслуживанию применяемых Банком автоматизированных банковских систем (АБС) и программного обеспечения (ПО),

далее совместно именуемые Стороны, настоящим подтверждают нижеследующее:

         `1. Основные понятия

         Для целей настоящего Протокола следующие понятия используются в соответствии с приводимыми ниже определениями.

         `1.1. Работы по созданию, модернизации и (или) техническому обслуживанию применяемых Банком АБС и ПО (далее для краткости - "Работы с АБС и ПО Банка") - работы и мероприятия технического и научно-технического характера по разработке (в т. ч. в рамках определения, проектирования, создания, развития, сопровождения, модернизации, адаптации), исследованию (анализу, отладке, тестированию, техническому контролю, оптимизации характеристик), оформлению, документированию, внедрению, техническому обслуживанию при эксплуатации и плановому выводу из эксплуатации АБС и ПО, применяемых или планируемых к применению в рамках бизнес процессов, платежных технологических процессов, информационных технологических процессов и (или) реализации информационных потоков Банка.

         `1.2. Банковская информация ограниченного доступа (ИОД) - создаваемая и обрабатываемая в рамках деятельности Банка, как кредитной организации, информация, в отношении которой в соответствии с действующим законодательством РФ установлено требование об обеспечении ее конфиденциальности и сохранении тайны о ней, в том числе информация, не подлежащая передаче или раскрытию Банком и всеми его служащими третьим лицам, включая Контрагента. Для целей настоящего Протокола выделяются нижеследующие категории ИОД (пп. `1.2.1 - `1.2.5).

         `1.2.1. Банковская тайна - тайна об операциях, о счетах и вкладах клиентов и корреспондентов Банка (ст. 26 "Банковская тайна" Федерального закона РФ "О банках и банковской деятельности"), тайна банковского счета и банковского вклада, операций по счету и сведений о клиенте (ст. 857 ГК РФ).

         `1.2.2. Внутренняя информация Банка - иная, чем сведения, составляющие банковскую тайну (п. `1.2.1) или персональные данные (п. `1.2.3), информация, установленная Банком на основании абзаца первого ст. 26 "Банковская тайна" Федерального закона РФ "О банках и банковской деятельности", тайну о которой обязаны хранить все служащие Банка (в том числе, сведения, раскрытие или ненадлежащее использование которых может повлиять на защиту информации, в т. ч. банковской тайны, обеспечение информационной безопасности Банка и др.).

         `1.2.3. Персональные данные - персональные данные тех или иных субъектов (Федеральный закон РФ "О персональных данных").

         `1.2.4. Коммерческая тайна - сведения о принадлежащих Банку или третьим лицам секретах производства (ноу-хау) или иные, в отношении которых Банком приняты меры для соблюдения их конфиденциальности, в том числе путем введения режима коммерческой тайны.

         `1.2.5. Прочая ИОД - иные, чем перечисленные в пп. `1.2.1 - `1.2.4, категории банковской информации ограниченного доступа (например, инсайдерская информация и др.).

         Примечание. В отдельных из внутренних документов Банка для упоминания ИОД по историческим причинам могут использоваться условные термины "банковская и коммерческая тайна" или иные.

         `2. Общие положения

         `2.1. Банк, Контрагент и Гражданин понимают и признают нижеследующее.

         `2.1.1. В связи с участием Гражданина, в рамках трудовых обязанностей по отношению к Контрагенту, в выполнении Работ с АБС и ПО Банка, может быть необходим и фактически осуществляться доступ Гражданина к отдельным элементам ИОД Банка, а именно, к Внутренней информации Банка, необходимой для посещения Гражданином охраняемых помещений Банка, взаимодействия с работниками Банка, с системами электронного документооборота Банка и для решения поставленных задач в рамках выполняемых Работ.

         `2.1.2. Кроме того, не может быть полностью исключен риск того, что в силу случайных, чрезвычайных или особых обстоятельств, в том числе ошибки, недосмотра или ненадлежащих действий персонала (например, вследствие ошибочной адресации электронного сообщения), сбоя, отказа и реализации уязвимости программно-технических средств, нештатной ситуации и др., Гражданин фактически получит доступ или возможность доступа к каким-либо сведениям, составляющим иную, чем Внутренняя информация, категорию ИОД. 

         `2.3. В связи с отмеченным, обязательным условием допуска Гражданина в качестве работника Контрагента к участию в Работах с АБС и ПО Банка, вытекающим из действующего законодательства и требований Банка России, Банк считает принятие на себя Гражданином обязательств по соблюдению конфиденциальности ИОД Банка и по выполнению требований внутренних документов Банка в области информационной безопасности наравне со штатными служащими Банка, работающими в Банке по трудовому договору, и присвоение Банком Гражданину, по результатам проведенной в отношении него Банком процедуры предоставления допуска к участию в Работах, статуса Допустимого исполнителя Работ с АБС и ПО Банка (сокращенно - Допустимый исполнитель работ, ДИР), на основании заверений и обязательств Гражданина и Контрагента, изложенных в последующих разделах настоящего Протокола.

         `3. Заверения и обязательства Гражданина

         `3.1.  Гражданин настоящим ходатайствует перед Банком о допуске его Банком к участию в Работах с АБС и ПО Банка в статусе Допустимого исполнителя работ и добровольно принимает на себя в связи с этим обязательство выполнять все требования по неразглашению ИОД Банка и по обеспечению информационной безопасности Банка, установленные в соответствии с действующим законодательством РФ, нормативными актами Банка России и внутренними нормативными актами Банка для служащих  Банка и нести ответственность за последствия нарушения указанных требований наравне со штатными служащими (работниками) Банка.

         `3.2. Гражданин настоящим подтверждает свое согласие на обработку Банком персональных данных Гражданина в целях выполнения проверок в рамках процедур предоставления доступа к работам, в составе и способами, аналогичными предусмотренным в отношении штатных служащих (работников) Банка (за исключением данных, связанных исключительно с трудовыми отношениями между Банком и его работниками, таких как данные для расчетов по оплате труда и для медицинского страхования), включая согласие на запрос Банком данных о Гражданине у третьих лиц, а также в целях ведения Банком персонального учета Гражданина в качестве Допустимого исполнителя Работ с АБС и ПО Банка, при соблюдении предусмотренных законодательством РФ требований по защите персональных данных.

         `3.3. Гражданин настоящим подтверждает свое согласие на передачу Контрагентом Банку и Банком Контрагенту персональных данных Гражданина в целях осуществления проверок и кадрового учета, указанных в п. `3.2, при соблюдении предусмотренных законодательством РФ требований по защите персональных данных.

         `3.4. Гражданин настоящим обязуется строго выполнять требования предоставляемых уполномоченными работниками Банка Гражданину для ознакомления внутренних документов Банка, касающиеся обращения с ИОД и обеспечения информационной безопасности Банка, обязательные для штатных служащих (работников) Банка. Гражданин обязуется своевременно, в установленный срок знакомиться с новыми документами и их измененными версиями, в том числе, если предусмотрено - под роспись.

         `3.5. Гражданин настоящим обязуется при участии в Работах с АБС и ПО Банка выполнять правомерные требования уполномоченных работников профильных подразделений Банка в сфере внутреннего контроля, безопасности и информационной безопасности.

         `3.6. Гражданин настоящим заверяет Банк в том, что во всех случаях получения доступа, в том числе случайно к любой информации (устной, материалам, документам и др.) в помещениях Банка, с помощью технических средств Банка, от штатных служащих (работников) Банка или от других Допустимых исполнителей Работ с АБС и ПО Банка лично, по телефону или по электронным каналам, Гражданин будет считать, что полученная информация может содержать ИОД Банка, и обращаться с информацией в соответствии с требованиями по обращению с ИОД Банка, если только Гражданину достоверно не известно обратное.

         `3.7. Гражданин подтверждает, что ему известно о том, что любая ИОД Банка, не переданная официально Банком Контрагенту, которая может стать известна Гражданину и иным работникам Контрагента, допущенным к участию в Работах с АБС и ПО Банка в статусе Допустимых исполнителей работ, должна рассматриваться в качестве полученной ими как Допустимыми исполнителями Работ с АБС и ПО Банка, а не как представителями Контрагента. Такая ИОД Банка не является переданной и не подлежит передаче Контрагенту, а также каким-либо его работникам, не являющимся служащими Банка или Допустимыми исполнителями Работ с АБС и ПО Банка.

         `3.8. Гражданин подтверждает, что ему известно о том, что как Банк, так и Контрагент вправе в любое время приостановить или прекратить действие предоставленного Гражданину статуса Допустимого исполнителя Работ с АБС и ПО Банка в случае нарушения Гражданином требований внутренних документов Банка в области ИОД и информационной безопасности, а также по иным основаниям, и что в этом случае дальнейшее участие Гражданина в Работах с АБС и ПО Банка будет невозможно.

         В случае прекращения трудовых отношений между Контрагентом, как работодателем и Гражданином, как работником, действие предоставленного Гражданину статуса Допустимого исполнителя Работ с АБС и ПО Банка прекращается немедленно или в сроки, согласованные Сторонами.

         `3.9. Гражданин подтверждает, что в случае приостановления или прекращения по любым основаниям действия предоставленного Гражданину статуса Допустимого исполнителя Работ с АБС и ПО Банка все обязательства Гражданина о неразглашении ИОД Банка продолжают действовать и действуют бессрочно.

         `4. Заверения и обязательства Контрагента

         `4.1. Контрагент настоящим подтверждает, что Гражданин действительно является работником Контрагента, и что Гражданину предполагается поручить участие в осуществлении  Работ с АБС и ПО Банка.

         `4.3. Контрагент настоящим обязуется в течение всего срока действия предоставленного Банком Гражданину статуса Допустимого исполнителя Работ с АБС и ПО Банка обмениваться с Банком информацией об изменениях персональных данных Гражданина в целях обеспечения достоверности и актуальности данных персонального учета Гражданина в качестве Допустимого исполнителя Работ с АБС и ПО Банка.

         `4.2. Контрагент настоящим обязуется незамедлительно уведомить Банк о предстоящем прекращении трудовых отношений между Контрагентом, как работодателем и Гражданином, как работником, а также о приостановлении или прекращении, по инициативе Контрагента, действия предоставленного Гражданину статуса Допустимого исполнителя Работ с АБС и ПО Банка.

         `4.3. Контрагенту известно, что Банк вправе в любое время в одностороннем порядке приостановить или прекратить действие предоставленного Гражданину статуса Допустимого исполнителя Работ с АБС и ПО Банка, и что в этом случае дальнейшее участие Гражданина в Работах с АБС и ПО Банка будет невозможно.

         `4.4. Контрагенту известно, что любая ИОД Банка, не переданная официально Банком Контрагенту, которая может стать извества Гражданину в связи с участием в Работах с АБС и ПО Банка, известна ему как Допустимому исполнителю Работ с АБС и ПО Банка, а не как представителю Контрагента, и что эта ИОД Банка не передана и не подлежит передаче Контрагенту. Контрагент обязуется не требовать от Гражданина отражения такой ИОД Банка в каких-либо документах и материалах Контрагента, а также предоставления Гражданином такой ИОД Банка какому-либо работнику Контрагента, не являющемуся служащим Банка или Допустимым исполнителем Работ с АБС и ПО Банка или являющемуся одним из них, но не обладающему правом доступа к соответствующей ИОД.

         В случае противоречия данного пункта настоящего Протокола каким-либо положениям трудового договора или иных договоров меджду Контрагентом и Гражданином, данный пункт настоящего Протокола имеет преимущетвенную силу.

         `5. Заверения и обязательства Банка

         `5.1. Банк настоящим подтверждает, что по результатам проведенной проверки Гражданину предоставлен статус Допустимого исполнителя Работ с АБС и ПО Банка, и что Гражданин может быть направлен Контрагентом и допущен Банком к участию в Работах с АБС и ПО Банка.

         `5.2. Банк обязуется своевременно предоставлять Гражданину для ознакомления подлежащие соблюдению Гражданином, как Допустимым исполнителем Работ с АБС и ПО Банка, внутренние номативные документы Банка в области ИОД и информационной безопасности.

         `5.3. Банк обязуется обеспечивать, со своей стороны, необходимые условия для выполнения Гражданином требований по обращению с ИОД и обеспечению информационной безопасности Банка, в соответствии порядком, установленным для штатных служащих (работников) Банка, и с учетом особенностей, обусловленных отсутствием трудовых отношений между Гражданином и Банком.

         `5.4. Банк обязуется незамедлительно уведомить Контрагента о приостановлении или прекращении, по инициативе Банка, действия предоставленного Гражданину статуса Допустимого исполнителя Работ с АБС и ПО Банка.

         `6. Заключительные положения

         `7. Реквизиты и подписи Сторон

 

         Примечания:    

         1. В тексте "Протокола" использовано условное обозначение. Перед всеми номерами разделов, пунктов и всеми ссылками на них добавлен не используемый иначе в тексте символ "`" (обратный апостроф, на клавиатуре - слева от цифр), чтобы сделать текст не подверженным влиянию несовместимостей и сбоев автоматической нумерации в различных версиях текстовых процессоров.

         2. Настоящий "Протокол" - © Федор Дзержинский, 2018. Разрешено безвозмездное, свободное использование, без ограничений по сроку и территории, при условии соблюдения общепринятых норм научно-технической и деловой этики.

 

Смотрите также

В один клик

12 ноября, 2018
Подпишись на новости!
Подписаться