14 декабря, 2018, BIS Journal №4(31)/2018

А был ли мальчик?


Вихорев Сергей

заместитель руководителя направления информационной безопасности (ООО "НТЦ "Вулкан"")

Эссе на тему статьи «Банк, его аутсорсер, их работники и разработка банковского ПО»

Комментарий к статье Федора Дзержинского "Банк, его аутсорсер, их работники и разработка банковского ПО"

Начну, пожалуй, с цитаты профессора В.А.Канашевского, которого вполне можно поставить в один ряд с юристами, упоминаемыми автором в начале статьи: «...В процессе исследования установлено, что Стандарт СТО БР ИББС-1.4-2018 де-факто позволяет передавать на аутсорсинг поставщикам услуг (т.е. третьим лицам) информацию, относящуюся к банковской тайне, что противоречит действующему законодательству».[1]

Позволю себе порассуждать на эту тему, используя дефиниции ряда нормативных документов Банка России.

Проблема в статье поднята широкая, охватывающая все аспекты аутсорсинга. Но автор, в силу академического подхода, сосредотачивается только на одном – разработке заказного банковского ПО. Наверное, идея о заключении «трехстороннего пакта» – правильная и может решить юридическую проблему взаимоотношений разработчика заказного ПО и банка. Но! Давайте разберемся: а есть ли вообще такая проблема?

Следуя определению, изложенному в СТО БР ИББС-1.4-2018 «аутсорсинг» – это передача организацией БС РФ на основании договора на длительный срок сторонней (внешней) организации – поставщику услуг выполнения бизнес-функций организации БС РФ, которые являются необходимыми для ее деятельности и которые в обычных условиях (без привлечения поставщика услуг) осуществлялось бы организацией БС РФ самостоятельно. Как видим, регулятор отходит от канонического определения понятия «аутсорсинг» и вносит некоторые ограничения, сужая область возможного аутсорсинга. На мой взгляд, ключевыми квалификационными признаками аутсорсинга в опрелении регулятора являются:

передача именно бизнес-функций организаций БС РФ;
длительность отношений организации БС РФ и аутсорсера.

Каковы же бизнес-функции организации БС РФ? Ответ на этот вопрос можно найти в ст. 5 Федерального закона «О банках и банковской деятельности». Причем, список разрешенных таким организациям деятельности, приведенный в законе, достаточно обширный, но конечный. Он касается деятельности, связанной с привлечением и размещением денежных средств и различными операциями с ними (наверное, другого и ожидать не стоило). Кроме того, в этой же статье есть прямая императивная норма: кредитной организации запрещается заниматься производственной, торговой и страховой деятельностью, хотя и не возбраняется заключать различные гражданско-правовые договоры. Что из этого следует? Да только то, что разработка ПО не является бизнес-функцией организации БС РФ. И хотя в преамбуле к СТО БР ИББС-1.4-2018, в качестве одного из основных видов бизнес-функций организаций БС РФ, рассматриваемых в качестве приоритетных для возможной передачи на аутсорсинг,  упоминаются функции, связанные с применением информационных технологий и, в частности, с разработкой ПО, тезис этот, именно в части разработки ПО, вызывает сомнения, как противоречащий федеральному закону.

Теперь о втором квалификационном признаке аутсорсинга – о длительности отношений между организацией БС РФ и аутсорсером. Регулятор определяет длительность таких отношений сроком не менее 1 года. В остальных случаях передача таких функций определяется как разовая передача, на которую данный стандарт не распространяется. Но разработка ПО в редких случаях может превышать 1 год. (Может быть, именно поэтому регулятор ввел в преамбуле в понятие основных бизнес-функций разработку ПО с соответвующей оговоркой в дальнейшем?).

Об услуге. Согласно определениям регулятора, поставщик услуг – обслуживающая организация, специализирующаяся на предоставлении услуг, которой организации БС РФ передают выполнение своих бизнес-функций на аутсорсинг. А что такое услуга? Гражданский Кодекс РФ рассматривает услуги как самостоятельный объект гражданских прав[2], поэтому для регулирования взаимоотношений субъектов, возникающих при оказании услуг, должны применяться не только общие положения ГК РФ, но и его специальные разделы, в частности, положения главы 39. Согласно ГК РФ, услуги выполняются на основании договора возмездного оказания услуг, то есть договора, по которому исполнитель обязуется по заданию заказчика оказать услуги (совершить определенные действия или осуществить определенную деятельность), а заказчик обязуется оплатить эти услуги. Особенностью деятельности по оказанию услуг является также то, что заказчик оплачивает не сам результат, а деятельность по его созданию[3]. Некоторые авторы отличительной чертой услуг считают то, что результат деятельности по оказанию услуги невозможно перепродать, в отличие от результатов работ, выполненных по другим формам договоров. Согласно общему словарю под понятием  «услуга» понимается действие, приносящее пользу, помощь другому. Применительно к экономической сфере, под этим понятием понимается работа, выполняемая на заказ и не приводящая к созданию самостоятельного продукта, товара[4].

Договор на услуги в принципе не подходит на рассматриваемую нами роль, поскольку его предметом выступает осуществление определенной деятельности, а не создание ПО и передача на него прав. Услуги по определению реализуются и потребляются в процессе их оказания и не имеют материального выражения. Безусловно, в результате оказания услуг может создаваться в том числе ПО, но такая деятельность является вторичной и, соответственно, права заказчика на такое ПО не защищаются должным образом по договору возмездного оказания услуг.

В отличие от договора на оказание услуг, возможность использования для разработки ПО договора подряда прямо предусмотрена законодательством[5]. Предметом такого договора является выполнение по заданию заказчика определенных работ по созданию конкретного ПО. Результатом работ, в отличие от услуг, всегда выступает определенный материальный объект. В рассматриваемом случае таким результатом является программное обеспечение с необходимыми заказчику характеристиками. Таким образом, договор подряда на создание ПО главным образом направлен на разработку такого ПО в строгом соответствии с требованиями заказчика, изложенными в технической документации, и его последующую передачу заказчику. Здесь исполнитель сориентирован именно на результат, а не осуществление имитации деятельности. Помимо этого, так как договор подряда направлен на передачу разработанного ПО заказчику, одновременно с ним заказчику переходит исключительное право на заказное ПО, как результат интеллектуальной деятельности, если иное не предусмотрено соглашением сторон.

Обратим внимание на то, что существенным условием договора подряда является наличие четкого и полного технического задания (ТЗ), описывающего требования к результату работ (требования к функциональности ПО), а также в некоторых случаях — способы реализации ПО, в частности, языки программирования, архитектура приложений и т. д.  А на что нас нацеливает документ Банка России? «Организации БС РФ следует применять соглашения об уровне предоставления сервиса ИБ (SLA) для контроля качества услуг аутсорсинга ИБ. SLA – это дополнение к соглашению об аутсорсинге между организацией БС РФ и поставщиком услуг, определяющее предоставление сервиса с заданным уровнем качества[6]». То есть, регулятор определяет, что главным является SLA, а не ТЗ. А SLA – это свойственно именно услугам, а не подряду.

Итак, все эти рассуждения приводят к мысли о том, что разработка ПО – это совсем даже не аутсорсинг, а подряд и, следовательно, вряд ли при заключении договора на разработку ПО целесообразно применять положения СТО БР ИББС-1.4-2018.

Ну, а теперь, наверное, главное, что оставили на десерт – это то, что, по мнению уважаемого профессора В.А.Канашевского, стандарт СТО БР ИББС-1.4-2018 де-факто позволяет передавать на аутсорсинг поставщикам услуг (то есть третьим лицам) информацию, относящуюся к банковской тайне. Есть ли такая опасность? В принципе, если следовать букве закона, то – нет. Рассматриваемый нами документ Банка России охватывает только одну специфическую сторону аутсорсинга – проблему установления требований к управлению и контролю риска нарушения информационной безопасности при аутсорсинге. Но ведь есть и другие документы регулятора. Например, Положение Банка России № 382-П однозначно говорит о том, что организации БС РФ обеспечивают реализацию запрета использования защищаемой информации на стадии создания объектов информационной инфраструктуры[7]. А новый ГОСТ Р 57580.1 содержит специальную норму СМЭ.6: «выделение в вычислительных сетях финансовой организации отдельных сегментов (групп сегментов), предназначенных для размещения информационной инфраструктуры, используемой только на этапе создания и (или) модернизации АС, в том числе тестирования ПО и СВТ (далее – сегмент разработки и тестирования)[8]».

Следуя этим действующим нормам регулятора, разработка ПО на «боевой» информации, действительно содержащей сведения, относимые к банковской тайне, в принципе невозможна. Это категорически запрещено. То есть, ситуация, описанная в комментируемой статье – принципиально невозможна, так как противоречит нормативным требованиям. И в подтверждение этому дефиниция из рассматриваемого СТО БР ИББС-1.4-2018: «Политика аутсорсинга должна среди прочего однозначно определять возможность аутсорсинга только в случае соблюдения требований законодательства РФ в области обработки ПДн и информации, составляющей банковскую тайну»[9],

Между тем, рассматриваемая автором статьи ситуация, в принципе не исключается, например, при передаче на аутсорсинг сопровождения и технической поддержки действующего «боевого» ПО. В этом случае опыт и рекомендации автора статьи по заключению «трехстороннего пакта» будут весьма полезны.

В заключение напоминаю, что жанр эссе выражает индивидуальные впечатления и соображения по конкретному поводу или вопросу и заведомо не претендует на определяющую или исчерпывающую трактовку предмета.

 

[1] Канашевский В.А. Банковская тайна и использование банками услуг аутсорсинга информационной безопасности // Lex russica, 2018. N 7. С. 92 - 97.

[2] К объектам гражданских прав относятся вещи, включая деньги и ценные бумаги, иное имущество, в том числе имущественные права, работы и услуги, информация, результаты интеллектуальной деятельности, в том числе исключительные права на них (интеллектуальная собственность), нематериальные блага. ГК РФ, часть 1, ст. 128

[3] К примеру, по договору подряда (согласно которому подрядчик обязуется на свой риск выполнить определенную работу по заданию заказчика, а заказчик обязуется уплатить вознаграждение за выполнение задания) оплачивается только готовый результат  труда, сданный заказчику.

[4] При этом, выделяется отдельная группа услуг: «услуги нематериальные»  – услуги, направленные на удовлетворение потребностей человека как индивидуума и как члена общества. К таким услугам относятся потребности в образовании, медицине, средствах сообщения, информации, духовном развитии, культурном досуге, социальной защите, внешней и внутренней безопасности. Различают нематериальные услуги, оказываемые отдельным лицам (личные или индивидуальные), группам лиц (коллективные) и обществу в целом.

[5]  ГК РФ, ст. 1296

[6] СТО БР ИББС-1.4-2018, п. 12.6

[7] Центральный Банк Российской Федерации. Положение от 09.06.2012 № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств», п. 2.5.5

[8] ГОСТ Р 57580.1. Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер защиты информации. п.7.3. 1.2.

[9] СТО БР ИББС-1.4-2018, п.6.2

 

Смотрите также

А судьи кто?

14 декабря, 2018

В один клик

12 ноября, 2018
Подпишись на новости!
Подписаться