За последние три года российский банковский сектор прошел через самые масштабные изменения в работе с ИТ-поставщиками с момента введения первых требований по информационной безопасности за последние 20 лет. Если раньше отношения банка и вендора строились вокруг функциональности, скорости внедрения и цены, то сегодня на первый план вышли регуляторная устойчивость, прозрачность цепочки поставок и способность поставщика не создавать для банка новых рисков. Банк России, ФСТЭК и Роскомнадзор контролируют теперь не только саму финансовую организацию, но и всю экосистему, в которой она работает.
Регуляторный контекст: расширение периметра
Главным катализатором изменений стало ужесточение требований Банка России к управлению операционной надежностью и кибербезопасностью, закрепленное в Положениях № 716-П и № 850-П, а также в стандартах ГОСТ Р 57580. Если раньше регулятор оценивал риски исключительно внутри периметра финансовой организации, то теперь область оценки охватывает всю цепочку поставок. Любое стороннее ПО, облачный сервис или подрядчик по технической поддержке рассматриваются как потенциальный источник системного риска для критически важных процессов банка.
Параллельно существенно возросли требования по импортозамещению и технологической независимости. Переход на отечественный стек общесистемного ПО из декларируемого курса превратился в обязательную практику. Нормативные акты Минцифры и Банка России обязали финансовые организации ускорить вывод из эксплуатации зарубежных решений — особенно на объектах критической информационной инфраструктуры. Прикладные продукты ИТ-поставщиков теперь должны быть полностью совместимы с российскими дистрибутивами на базе Linux и сертифицированными отечественными СУБД.
Отдельного внимания заслуживают требования к безопасной разработке и сертификации ПО. Внедрение ГОСТ Р 56939 и требования ФСТЭК России обязали вендоров пересмотреть весь жизненный цикл создания программных продуктов. Банки теперь при заключении договоров требуют от поставщиков отчетов о статическом и динамическом анализе исходного кода, а также результатов регулярных проверок на наличие известных уязвимостей. Таким образом, логика регулятора изменилась принципиально: ИТ-поставщик больше не может быть просто разработчиком некоего изолированного софта — он обязан интегрироваться в ИБ- и ИТ-контуры банка, подтверждать свою финансовую и операционную устойчивость и проходить регулярные внешние аудиты.
Практика: от скоринга до сопровождения
Разрыв между формальным соблюдением регуляторных требований и их реальным исполнением по-прежнему остается большим. Банки, прошедшие серьезные проверки, выработали собственные процедуры — и начинаются они еще на этапе допуска поставщика к тендеру. Крупные банки внедрили обязательный скоринг: проверка лицензий ФСТЭК, присутствие в реестре Минцифры, наличие сертификатов совместимости. Финансовая отчетность и банковские гарантии тоже стали обязательным атрибутом. Для критичных систем практикуется аудит исходного кода, и даже когда поставщики ссылаются на коммерческую тайну, банки настаивают на нем.
Контрактная модель также претерпела изменения: типовой договор поставки здесь больше не работает. Первое обязательное условие, на котором теперь настаивают банки и финансовые организации, — защита от потери доступа к продукту. Для этого поставщик обязан передать исходный код своей системы на хранение в независимый депозитарий. Пока вендор работает в штатном режиме, код остается там и никому не доступен. Но если поставщик обанкротится, уйдет с рынка или регулятор потребует предоставить банку доступ к коду в рамках проверки, то банк доступ к нему получит и сможет передать систему на поддержку другим специалистам. Этот механизм называется escrow исходного кода.
Второе условие — право банка расторгнуть договор без штрафов при введении санкций против поставщика.
Штрафы за инциденты информационной безопасности — еще один болезненный вопрос. Банки привязывают их к конкретным обязательствам поставщика по реагированию, например, если он не предоставил журналы событий безопасности (логи) в установленный срок — штраф, не выпустил вовремя патч — другой штраф. При этом требование об уведомлении регулятора об инциденте в течение нескольких часов закреплено нормативно в Положении ЦБ от 30.01.2025 № 851-П.
Поставщики нередко пытаются включить в договор возможное изменение законодательства в качестве обстоятельства непреодолимой силы, препятствующего исполнению ими своих обязательств. Банки с этим категорически не соглашаются, ведь работа в финансовом секторе предполагает, что регуляторные изменения — это обычный предпринимательский риск, которым поставщик обязан уметь управлять.
Еще одна зона повышенного внимания — субподрядчики и облачные сервисы. Банки требуют полного раскрытия всех цепочек субподрядчиков и проверяют их по тем же стандартам, что и основного поставщика. В итоге работа с ИТ-поставщиками сегодня — это управление регуляторными рисками на всех этапах от скоринга до сопровождения. Банки, выстроившие эти процессы, тратят на первичную проверку в три-четыре раза больше времени, зато практически не получают регуляторных предписаний из-за проблем на стороне поставщиков.
Тренды: что меняется у нас на глазах
Отказ от модели «черного ящика» в пользу верифицируемости кода
Это самый заметный тренд последних двух лет — банки больше не готовы приобретать продукт, внутреннее устройство которого им неизвестно. По оценкам участников рынка, в 2023–2024 годах число случаев принудительного аудита исходного кода по требованию банков существенно выросло. Рынок уже отреагировал: вендоры, не готовые предоставлять свой код на аудит хотя бы в ограниченном объеме, начали терять контракты.
Расширение применения искусственного интеллекта
Банки активно внедряют ИИ для кредитного скоринга, фрод-мониторинга и оценки заемщиков. Банк России разработал стандарт по использованию ИИ, и ключевое требование в нем — объяснимость решений: банк должен быть способен обосновать, почему модель отказала клиенту в кредите или пометила транзакцию как подозрительную. Этот документ — «Кодекс этики в сфере разработки и применения искусственного интеллекта на финансовом рынке» — уже опубликован и доступен на сайте ЦБ.
Ужесточение требований в сфере противодействия отмыванию денег и финансированию терроризма (ПОД/ФТ)
Изменения в 115-ФЗ обязывают банки передавать данные в Росфинмониторинг с минимальной задержкой, фактически в режиме реального времени. Поставщик решений, не обеспечивающий обработку транзакций в пределах часа, создает для банка непосредственный комплаенс-риск. Еще более принципиальный сдвиг — обсуждение регуляторами возможности введения ответственности поставщика за пропуск подозрительной транзакции. Это означает, что вендор перестает быть просто «продавцом инструмента» и становится участником комплаенс-процесса, подразумевающего его ответственность, в том числе финансовую.
Прогнозы: что нас ждет в ближайшие два-три года
Главное ожидание рынка — переход на гибридную модель разработки. Финансовые организации все чаще отказываются как от полного инсорсинга, так и от тотального аутсорсинга. Вместо этого формируются смешанные команды: ядро критических систем и архитектурные решения остаются за внутренними специалистами, а под узкие задачи, требующие быстрого масштабирования или редкой экспертизы, привлекаются внешние подрядчики. На практике это создает новые вызовы с точки зрения комплаенса, поскольку внешние разработчики должны будут работать в том же регуляторном поле, что и штатные сотрудники. В договорах с аутсорсерами теперь прописываются положения, приравнивающие их сотрудников к персоналу банка в части ответственности за разглашение информации и соблюдение требований Банка России.
Также нас ждет стандартизация API под давлением регуляторов. Банки традиционно выстраивали собственные интеграционные интерфейсы, что при обмене данными создавало проблемы. Банк России последовательно внедряет единые стандарты открытых интерфейсов для унифицированного безопасного обмена информацией о клиентах, транзакционными сведениями и потоками данных для противодействия отмыванию средств. Для ИТ-поставщиков это означает обязательную поддержку стандартных API. Продукт, поддерживающий все обязательные интерфейсы без дополнительной доработки, получает очевидное конкурентное преимущество.
И третье — возможно, самое важное, — мы ожидаем консолидации рынка ИТ-поставщиков. Небольшие и средние вендоры, не располагающие достаточными ресурсами для обеспечения комплаенса, получения и продления сертификатов ФСТЭК, прохождения аудитов и страхования ответственности, постепенно будут уходить из банковской ИТ-сферы. Их место займут крупные ИТ-холдинги, способные гарантировать финансовую стабильность и регуляторную чистоту. Для банков, конечно, предпочтительнее и безопаснее работать с одним крупным поставщиком, несущим солидарную ответственность за весь портфель своих продуктов, чем координировать дюжину мелких разработчиков.
Стартапы и технологии
