Вопрос: Какие требования Положения № 382-П необходимо выполнить кредитной организации и компании-аутсорсеру для обеспечения соответствия требованиям Положения № 382-П, в случае если планируется передача на аутсорсинг создания, модернизации, технического обслуживания и ремонта объектов информационной инфраструктуры?
Ответ: Положение № 382-П устанавливает требования, в соответствии с которыми операторы по переводу денежных средств, операторы платежных систем, операторы услуг платежной инфраструктуры (далее при совместном упоминании – операторы) и банковские платежные агенты (субагенты) обеспечивают защиту информации при осуществлении переводов денежных средств.
Передача создания, модернизации, технического обслуживания и ремонта объектов информационной инфраструктуры операторами на аутсорсинг не запрещена Положением № 382-П. Однако обращаем внимание на то, что такая передача может привести к росту рисков информационной безопасности и нарушению системы управления рисками в целом.
Кроме того, выполнение некоторых требований (к примеру, требования о наличии ответственных за обеспечение защиты информации работников и о наличии службы информационной безопасности) не может быть переложено на компанию-аутсорсера.
Также обращаем внимание на то, что в любом случае ответственность за выполнение требований Положения Банка России № 382-П, связанных с созданием, модернизацией, техническим обслуживанием и ремонтом объектов информационной инфраструктуры оператора по переводу денежных средств, лежит на нем самом.