Аутсорсинг инфраструктуры банковских систем и информационная безопасность: опыт цфт

- kbrbank

Аутсорсинг инфраструктуры банковских систем и информационная безопасность: опыт цфт

Пожалуй, самый актуальный и важный вопросы, что поднимается перед управлением любого банка при планировании перехода на ИТ-аутсорсинг,— обеспечение информационной безопасности. Как решается данный вопрос на практике?

Какую роль в ИТ-аутсорсинге играется зрелость и профессионализм процессов компании-аутсорсера?

Cовсем не просто так ЦФТ стал первой российской софтверной компанией, которой удалось удачно реализовать серию проектов по переводу АБС банков на полный либо частичный аутсорсинг. В то время, когда в 2010 году в компании было принято стратегическое ответ развивать новый ИТ-сервис — аутсорсинг core banking system, мы уже имели громадной и успешный опыт в направлении процессинга операций по пластиковым картам, процессинга электронных платежей и дистанционного банковского обслуживания.

Еще на этапе подготовки к старту этого сервиса особенное внимание было уделено вопросам безопасности. Все мы знаем, что банковская сфера весьма консервативна и к соблюдению требований информационной безопасности относится более требовательно, чем каждый бизнес. Особенности банковской информационной безопасности тесно связаны с составом информации, которая обращается в рамках сервиса, с требованиями, каковые предъявляют регуляторы: ФСБ, ФСТЭК, с недавних пор и ЦБ РФ.

Восемь российских банков и один банк из республики Казахстан применяют в качестве главной АБС совокупность ЦФТ-Банк на условиях аутсорсинга

В следствии принятый в ЦФТ внутренний свод «правил» информационной безопасности, по сути, включает в себя все многообразие требований из нормативных документов и таких стандартов, как СТО БР, 382П, PCI DSS, ISAE 3402.

На данный момент восемь российских банков и один банк из республики Казахстан применяют в качестве главной АБС совокупность ЦФТ-Банк на условиях аутсорсинга. По аутсорсинговой модели кроме этого трудится одна страховая компания. Совокупность ЦФТ-Банк на условиях аутсорсинга в образовательных целях применяют два российских образовательных учреждения: НИУ ВШЭ (Верховная школа экономики) и НГУЭиУ (Новосибирский управления и государственный университет экономики).

Для сервиса аутсорсинга core banking system в ЦФТ задействованы мощности более двух ЦОДов и более 30 серверов. Каждый день в удаленном режиме с совокупностью ЦФТ-Банк на аутсорсинге трудятся более 2000 пользователей со стороны денежных организаций.

Из тех функций, каковые ЦФТ делает как провайдер аутсорсинговых одолжений, я бы выделил три блока:

  • бизнес-функции: автоматизация бизнес-процессов, развитие, адаптация и модификация ИТ-продуктов по требованиям банка;
  • ИТ-функции: администрирование программно-аппаратного комплекса, сопровождение пользователей совокупности;
  • функции безопасности: комплекс мер по обеспечению физической, пожарной и информационной безопасности.

Работа экспертов ЦФТ при помощи пользователей, модификации и формированию ИТ-продуктов ведется на копиях Рабочих схем АБС с искаженными данными. Установка на настоящие Рабочие схемы банка производится с участием и под ярким контролем сотрудников денежной организации.

Опыт продемонстрировал, что средним и большим банкам со собственными площадками более увлекательна модель out — в то время, когда мы как провайдер услуги удаленно подключаемся к площадке банка и обслуживаем ее

На момент запуска сервиса аутсорсинга core banking system мы большей частью собирались работать модели in — в то время, когда банк передает собственную ИТ-инфраструктуру в ЦОДы ЦФТ, где мы уже реализуем целый комплекс одолжений, осуществляем полное наполнение ЦОДа, включая технические средства защиты. Но опыт продемонстрировал, что средним и большим банкам со собственными площадками более занимательна модель out — в то время, когда мы как провайдер услуги удаленно подключаемся к площадке банка и обслуживаем ее. Со временем начала появляться «смешанная модель» — часть ИТ-инфраструктуры передается на обслуживание в ЦФТ, часть остается на площадке банка.

Как я уже отметил, обеспечение безопасности — необходимая составляющая сервиса ИТ-аутсорсинга. В рамках предоставления этого сервиса нашим партнерам мы снабжаем базисный уровень информационной безопасности — это обязательный атрибут предлагаемого сервиса. Кроме этого вероятно предоставление дополнительных одолжений по желанию банка.

Наши партнеры смогут в любую секунду внести в базисный уровень информационной безопасности собственные предложения по улучшению данной составляющей. Мы это любой раз приветствуем, поскольку в следствии все новые меры положительно отражается на всех остальных партнерах ЦФТ — мы неизменно все новшества оцениваем с позиций применения для всей группы клиентов на аутсорсинге.

Итак, в базисный уровень обеспечения информационной безопасности в рамках аутсорсинговых проектов ЦФТ входят:

  1. контроль безопасность: доступа и Физическая охрана обеспечивается спецподразделением охраны с ГБР, СКУД с применением персонифицированных карт, совокупность видеонаблюдения внешнего и внутреннего периметра.
  2. Пожарная безопасность: газовое оборудование с применением надёжного газа.
  3. Обеспечение непрерывности деятельности: главной и резервный ЦОДы (уровень надежности Tier III стандарта TIA-942, любой подключен минимум к четырем магистральным провайдерам), резервное электропитание (ИБП, дизельгенераторы), резервное копирование.
  4. Информационная безопасность: исполнение работ по внутренним распоряжениям, политикам, регламентам (согласованные с банками), для каждого банка созданы собственные периметры безопасности (в каждом пара сетевых сегментов (с критичными данными, для разработки, для тестирования), применение специального ПО для защиты периметра, такие как: FW, IDS/IPS, сканеры уязвимостей, SIEM, AV, HSM, Oracle AS, Oracle DataVault и т. д., SOC-центр, внутренние и внешние процедуры по безопасности: регулярные внутренние аудиты по оговоренным ранее стандартам, сканирования внешнего и внутреннего периметра на наличие уязвимостей, внешние и внутренние пентесты, ежегодный аудит по стандарту ISAE 3402 (аудитор компания PWC),

Все эти меры — не предел. Довольно много идей по внедрению новых инструментов для обеспечения информационной безопасности аутсорсинговых сервисов. Это — и IDM (Internet Download Manager), но лишь не в стандартной парадигме работы, а в схеме, в которой с одной стороны множество участников, с другой — мы с централизованным управлением. Это и шифрование критичных данных на ГОСТ-методах и т. д.

Денежный рынок готов к смене софтверной парадигмы, сейчас банки значительно более готовы переходить на ИТ-аутсорсинг

Не обращая внимания на то что темпы принятия рынком данной услуги были на старте нами пара преувеличены и в действительности нам потребовалось проводить значительно громадную просветительско-агитационную работу среди банков, мы так же, как и прежде верим в возможности развития сектора ИТ-аутсорсинга. Денежный рынок готов к смене софтверной парадигмы, сейчас банки значительно более готовы переходить на ИТ-аутсорсинг. Тем более что модель ИТ-аутсорсинга приемлема и для банков, и для НФО.

Ну а банкам, выбирающим на данный момент аутсорсинговую модель применения ПО, желаю порекомендовать: в обязательном порядке перед стартом проекта четко регламентируйте отношения с ИТ-аутсорсером соглашением об уровне предоставления одолжений (SLA). Четко формулируйте обязательства между сторонами и распределяйте территории ответственности.

Это разрешит вам снизить риски за счет более четкой регламентации деятельности по безопасности, и более высокой ответственности аутсорсера, закрепленной в сервисном договоре. Кроме этого при выборе компании-аутсорсера оценивайте уровень зрелости управленческих и технологических процессов будущего ИТ-партнера и выбирайте умелую и надежную компанию ИТ-аутсорсера, которая сможет действенно и безопасно поддерживать ИТ-инфраструктуру вашего банка.

Комплексная защита банк. систем от мошенничества

Интересные записи

Похожие статьи, которые вам, наверника будут интересны: