Аутсорсинг инфраструктуры банковских систем и информационная безопасность: опыт ЦФТ - «Финансы» » Новости Банков
bottom-shape image

Аутсорсинг инфраструктуры банковских систем и информационная безопасность: опыт ЦФТ - «Финансы»

Аутсорсинг инфраструктуры банковских систем и информационная безопасность: опыт ЦФТ - «Финансы»


Пожалуй, самый актуальный и острый вопрос, который встает перед руководством любого банка при планировании перехода на ИТ-аутсорсинг, — обеспечение информационной безопасности. Как решается этот вопрос на практике? Какую роль в ИТ-аутсорсинге играет профессионализм и зрелость процессов компании-аутсорсера?


Cовсем не случайно ЦФТ стал первой российской софтверной компанией, которой удалось успешно реализовать серию проектов по переводу АБС банков на полный или частичный аутсорсинг. Когда в 2010 году в компании было принято стратегическое решение развивать новый ИТ сервис — аутсорсинг core banking system, на тот момент мы уже имели достаточно большой и успешный опыт в направлении процессинга операций по пластиковым картам, процессинга электронных платежей и дистанционного банковского обслуживания.


Еще на этапе подготовки к старту этого сервиса особое внимание было уделено вопросам безопасности. Все мы знаем, что банковская сфера очень консервативна и к соблюдению требований информационной безопасности относится более требовательно, чем любой другой бизнес. Особенности банковской информационной безопасности тесно связаны с составом информации, которая обращается в рамках сервиса, с требованиями, которые предъявляют регуляторы — ФСБ, ФСТЭК, с недавних пор и ЦБ РФ.


На текущий момент восемь российских банков и один банк из республики Казахстан используют в качестве основной АБС систему ЦФТ-Банк на условиях аутсорсинга

В результате — принятый в ЦФТ внутренний свод «правил» информационной безопасности, по сути, включает в себя все многообразие требований из таких стандартов и нормативных документов, как СТО БР, 382П, PCI DSS, ISAE 3402.


На текущий момент восемь российских банков и один банк из республики Казахстан используют в качестве основной АБС систему ЦФТ-Банк на условиях аутсорсинга. По аутсорсинговой модели также работает одна страховая компания. Систему ЦФТ-Банк на условиях аутсорсинга в образовательных целях используют два российских образовательных учреждения: НИУ ВШЭ (Высшая Школа Экономики) и НГУЭиУ (Новосибирский Государственный университет Экономики и Управления)


Для сервиса аутсорсинга core banking system в ЦФТ задействованы мощности более двух ЦОДов и более 30 серверов. Ежедневно в удаленном режиме с системой ЦФТ-Банк на аутсорсинге работают более 2000 пользователей со стороны финансовых организаций.


Из тех функций, которые ЦФТ выполняет как провайдер аутсорсинговых услуг, я бы выделил три блока:



  • Бизнес-функции: автоматизация бизнес-процессов, развитие, модификация и адаптация ИТ-продуктов по требованиям Банка;
  • ИТ-функции: администрирование программно-аппаратного комплекса, сопровождение пользователей системы;
  • Функции безопасности: комплекс мер по обеспечению физической, пожарной и
    информационной безопасности.

Работа специалистов ЦФТ при поддержке пользователей, модификации и развитию ИТ-продуктов
ведется на копиях Рабочих схем АБС с искаженными данными. Установка на реальные Рабочие схемы банка производится с участием и под непосредственным контролем сотрудников финансовой организации.


Опыт показал, что средним и крупным банкам со своими площадками, более интересна модель «out» — когда мы, как провайдер услуги, удаленно подключаемся к площадке банка и обслуживаем ее

На момент запуска сервиса аутсорсинга core banking system мы большей частью планировали работать в так называемой модели «in» — когда банк передает свою ИТ-инфраструктуру в ЦОДы ЦФТ, где мы уже реализуем весь комплекс услуг, осуществляем полное наполнение ЦОДа, включая технические средства защиты. Но опыт показал, что средним и крупным банкам со своими площадками, более интересна модель «out» — когда мы, как провайдер услуги, удаленно подключаемся к площадке банка и обслуживаем ее. Со временем стала появляться так называемая «смешанная модель» — часть ИТ-инфраструктуры передается на обслуживание в ЦФТ, часть остается на площадке банка.


Как я уже отметил ранее, обеспечение безопасности — обязательная составляющая сервиса ИТ-аутсорсинга. В рамках предоставления этого сервиса нашим партнерам мы обеспечиваем базовый уровень информационной безопасности — это неотъемлемая часть предлагаемого сервиса. Также возможно предоставление дополнительных услуг по желанию банка. Наши партнеры могут в любой момент внести в базовый уровень информационной безопасности свои предложения по улучшению этой составляющей. Мы это каждый раз приветствуем, ведь в результате все новые меры положительно сказывается на всех остальных партнерах ЦФТ — мы всегда все нововведения оцениваем с точки зрения применения для всей группы клиентов на аутсорсинге.


Итак, в базовый уровень обеспечения информационной безопасности в рамках аутсорсинговых проектов ЦФТ входят:



  1. Физическая безопасность: охрана и контроль доступа обеспечивается спецподразделением охраны с ГБР, СКУД с использованием персонифицированных карт, система видеонаблюдения внешнего и внутреннего периметра.
  2. Пожарная безопасность: газовое оборудование с использованием безопасного газа.
  3. Обеспечение непрерывности деятельности: Основной и резервный ЦОД (уровень надежности Tier III стандарта TIA-942, каждый подключен минимум к 4 магистральным провайдерам), резервное электропитание (ИБП, дизельгенераторы), резервное копирование.
  4. Информационная безопасность: выполнение работ по внутренним приказам, политикам, регламентам (согласованные с банками), для каждого банка созданы свои периметры безопасности (в каждом несколько сетевых сегментов (с критичными данными, для разработки, для тестирования), использование специализированного ПО для защиты периметра, такие как: FW, IDS/IPS, Сканеры уязвимостей, SIEM, AV, HSM, Oracle AS, Oracle DataVault и т.д., SOC-центр, внутренние и внешние процедуры по безопасности: регулярные внутренние аудиты по озвученным ранее стандартам, сканирования внешнего и внутреннего периметра на наличие уязвимостей, внешние и внутренние пентесты, ежегодный аудит по стандарту ISAE 3402 (аудитор Компания PWC),

Все эти меры — не предел. Очень много идей по внедрению новых инструментов для обеспечения информационной безопасности аутсорсинговых сервисов. Это — и IDM (Internet Download Manager), но только не в стандартной парадигме работы, а в схеме, в которой с одной стороны множество участников, с другой — мы с централизованным управлением. Это — и шифрование критичных данных на ГОСТ-алгоритмах и т.д.


Финансовый рынок готов к смене софтверной парадигмы, сегодня банки гораздо более готовы переходить на ИТ- аутсорсинг

Несмотря на то, что темпы принятия рынком данной услуги, были на старте нами несколько преувеличены, и в реальности нам потребовалось проводить гораздо большую просветительско-пропагандистскую работу среди банков, мы по-прежнему верим в большие перспективы развития сектора ИТ-аутсорсинга. Финансовый рынок готов к смене софтверной парадигмы, сегодня банки гораздо более готовы переходить на ИТ- аутсорсинг. Тем более, что модель ИТ-аутсорсинга приемлема и для банков, и для НФО.


Ну а банкам, выбирающим сейчас аутсорсинговую модель использования программного обеспечения, хочу порекомендовать: обязательно перед стартом проекта четко регламентируйте отношения с ИТ-аутсорсером соглашением об уровне предоставления услуг (SLA). Четко формулируйте обязательства между сторонами и распределяйте зоны ответственности.


Это позволит вам снизить риски за счет более четкой регламентации деятельности по обеспечению безопасности, а также более высокой ответственности аутсорсера, закрепленной в сервисном контракте. Также при выборе компании-аутсорсера оценивайте уровень зрелости управленческих и технологических процессов будущего ИТ-партнера и выбирайте опытную и надежную компанию ИТ-аутсорсера, которая сможет эффективно и безопасно поддерживать ИТ-инфраструктуру вашего банка.


Пожалуй, самый актуальный и острый вопрос, который встает перед руководством любого банка при планировании перехода на ИТ-аутсорсинг, — обеспечение информационной безопасности. Как решается этот вопрос на практике? Какую роль в ИТ-аутсорсинге играет профессионализм и зрелость процессов компании-аутсорсера? Cовсем не случайно ЦФТ стал первой российской софтверной компанией, которой удалось успешно реализовать серию проектов по переводу АБС банков на полный или частичный аутсорсинг. Когда в 2010 году в компании было принято стратегическое решение развивать новый ИТ сервис — аутсорсинг core banking system, на тот момент мы уже имели достаточно большой и успешный опыт в направлении процессинга операций по пластиковым картам, процессинга электронных платежей и дистанционного банковского обслуживания. Еще на этапе подготовки к старту этого сервиса особое внимание было уделено вопросам безопасности. Все мы знаем, что банковская сфера очень консервативна и к соблюдению требований информационной безопасности относится более требовательно, чем любой другой бизнес. Особенности банковской информационной безопасности тесно связаны с составом информации, которая обращается в рамках сервиса, с требованиями, которые предъявляют регуляторы — ФСБ, ФСТЭК, с недавних пор и ЦБ РФ. На текущий момент восемь российских банков и один банк из республики Казахстан используют в качестве основной АБС систему ЦФТ-Банк на условиях аутсорсинга В результате — принятый в ЦФТ внутренний свод «правил» информационной безопасности, по сути, включает в себя все многообразие требований из таких стандартов и нормативных документов, как СТО БР, 382П, PCI DSS, ISAE 3402. На текущий момент восемь российских банков и один банк из республики Казахстан используют в качестве основной АБС систему ЦФТ-Банк на условиях аутсорсинга. По аутсорсинговой модели также работает одна страховая компания. Систему ЦФТ-Банк на условиях аутсорсинга в образовательных целях используют два российских образовательных учреждения: НИУ ВШЭ (Высшая Школа Экономики) и НГУЭиУ (Новосибирский Государственный университет Экономики и Управления) Для сервиса аутсорсинга core banking system в ЦФТ задействованы мощности более двух ЦОДов и более 30 серверов. Ежедневно в удаленном режиме с системой ЦФТ-Банк на аутсорсинге работают более 2000 пользователей со стороны финансовых организаций. Из тех функций, которые ЦФТ выполняет как провайдер аутсорсинговых услуг, я бы выделил три блока: Бизнес-функции: автоматизация бизнес-процессов, развитие, модификация и адаптация ИТ-продуктов по требованиям Банка; ИТ-функции: администрирование программно-аппаратного комплекса, сопровождение пользователей системы; Функции безопасности: комплекс мер по обеспечению физической, пожарной и информационной безопасности. Работа специалистов ЦФТ при поддержке пользователей, модификации и развитию ИТ-продуктов ведется на копиях Рабочих схем АБС с искаженными данными. Установка на реальные Рабочие схемы банка производится с участием и под непосредственным контролем сотрудников финансовой организации. Опыт показал, что средним и крупным банкам со своими площадками, более интересна модель «out» — когда мы, как провайдер услуги, удаленно подключаемся к площадке банка и обслуживаем ее На момент запуска сервиса аутсорсинга core banking system мы большей частью планировали работать в так называемой модели «in» — когда банк передает свою ИТ-инфраструктуру в ЦОДы ЦФТ, где мы уже реализуем весь комплекс услуг, осуществляем полное наполнение ЦОДа, включая технические средства защиты. Но опыт показал, что средним и крупным банкам со своими площадками, более интересна модель «out» — когда мы, как провайдер услуги, удаленно подключаемся к площадке банка и обслуживаем ее. Со временем стала появляться так называемая «смешанная модель» — часть ИТ-инфраструктуры передается на обслуживание в ЦФТ, часть остается на площадке банка. Как я уже отметил ранее, обеспечение безопасности — обязательная составляющая сервиса ИТ-аутсорсинга. В рамках предоставления этого сервиса нашим партнерам мы обеспечиваем базовый уровень информационной безопасности — это неотъемлемая часть предлагаемого сервиса. Также возможно предоставление дополнительных услуг по желанию банка. Наши партнеры могут в любой момент внести в базовый уровень информационной безопасности свои предложения по улучшению этой составляющей. Мы это каждый раз приветствуем, ведь в результате все новые меры положительно сказывается на всех остальных партнерах ЦФТ — мы всегда все нововведения оцениваем с точки зрения применения для всей группы клиентов на аутсорсинге. Итак, в базовый уровень обеспечения информационной безопасности в рамках аутсорсинговых проектов ЦФТ входят: Физическая безопасность: охрана и контроль доступа обеспечивается спецподразделением охраны с ГБР, СКУД с использованием персонифицированных карт, система видеонаблюдения внешнего и внутреннего периметра. Пожарная безопасность: газовое оборудование с использованием безопасного газа. Обеспечение непрерывности деятельности: Основной и резервный ЦОД (уровень надежности Tier III стандарта TIA-942, каждый подключен минимум к 4 магистральным провайдерам), резервное электропитание (ИБП, дизельгенераторы), резервное копирование. Информационная безопасность: выполнение работ по внутренним приказам, политикам, регламентам (согласованные с банками), для каждого банка созданы свои периметры безопасности (в каждом несколько сетевых сегментов (с критичными данными, для разработки, для тестирования), использование специализированного ПО для защиты периметра, такие как: FW, IDS/IPS, Сканеры уязвимостей, SIEM, AV, HSM, Oracle AS, Oracle DataVault и т.д., SOC-центр, внутренние и внешние процедуры по безопасности: регулярные внутренние аудиты по озвученным ранее стандартам, сканирования внешнего и внутреннего периметра на наличие уязвимостей, внешние и внутренние пентесты, ежегодный аудит по стандарту ISAE 3402 (аудитор Компания PWC), Все эти меры — не предел. Очень много идей по внедрению новых инструментов для обеспечения информационной безопасности аутсорсинговых сервисов. Это — и IDM (Internet Download Manager), но только не в стандартной парадигме работы, а в схеме, в которой с одной стороны множество участников, с другой — мы с централизованным управлением. Это — и шифрование критичных данных на ГОСТ-алгоритмах и т.д. Финансовый рынок готов к смене софтверной парадигмы, сегодня банки гораздо более готовы переходить на ИТ- аутсорсинг Несмотря на то, что темпы принятия рынком данной услуги, были на старте нами несколько преувеличены, и в реальности нам потребовалось проводить гораздо большую просветительско-пропагандистскую работу среди банков, мы по-прежнему верим в большие перспективы развития сектора ИТ-аутсорсинга. Финансовый рынок готов к смене софтверной парадигмы, сегодня банки гораздо более готовы переходить на ИТ- аутсорсинг. Тем более, что модель ИТ-аутсорсинга приемлема и для банков, и для НФО. Ну а банкам, выбирающим сейчас аутсорсинговую модель использования программного обеспечения, хочу порекомендовать: обязательно перед стартом проекта четко регламентируйте отношения с ИТ-аутсорсером соглашением об уровне предоставления услуг (SLA). Четко формулируйте обязательства между сторонами и распределяйте зоны ответственности. Это позволит вам снизить риски за счет более четкой регламентации деятельности по обеспечению безопасности, а также более высокой ответственности аутсорсера, закрепленной в сервисном контракте. Также при выборе компании-аутсорсера оценивайте уровень зрелости управленческих и технологических процессов будущего ИТ-партнера и выбирайте опытную и надежную компанию ИТ-аутсорсера, которая сможет эффективно и безопасно поддерживать ИТ-инфраструктуру вашего банка.
Лучшие новости сегодня

Вы искали сегодня

Комментарии (0)


Другие новости сегодня

Как воспользоваться льготой, не учтенной в налоговом уведомлении, рассказало УФНС по Москве - «Финансы»

Управление напомнило, какие граждане имеют право на льготы на всей территории России и рассказало о льготах в Москве. Московское УФНС указало, что для начала надо проверить, учтена ли льгота в налоговом уведомлении...

В РФ предложили снизить срок владения недвижимостью для продажи без НДФЛ - «Финансы»

Депутаты Госдумы рассмотрят предложение о снижении срока владения недвижимостью для продажи без уплаты НДФЛ с дохода от ее продажи. Об этом сообщает РИА Новости со ссылкой на законопроект. Отмечается, что...

Доллар по 100 рублей: курс Банка России превысил психологически значимую отметку - «Финансы»

Центробанк установил курс доллара к рублю, который вступит в силу с 20 ноября, на уровне 100,0348 рубля. Таким образом, рубль обесценился на 0,09% за сутки. На внебиржевом рынке при этом доллар давно перешел...

Россия, Китай, Узбекистан: в Казахстане усиливается присутствие иностранных компаний - «Финансы»

Фото: pexels Количество иностранных и совместных юридических лиц в Казахстане стремительно увеличивается. Если еще три года назад – в ноябре 2022 года – таких предприятий насчитывалось всего 45 827, то сегодня их...

Курсы валют в обменниках Алматы и Астаны на 19 ноября - «Финансы»

Фото: Zakon.kz Представлены данные о средневзвешенных курсах покупки и продажи валют: доллара, евро и рубля в обменных пунктах Астаны, Алматы и Шымкента, а также о курсах Нацбанка РК на 19 ноября 2024 года (на 11:05...

8 миллионов казахстанцев освободили от обязательного представления деклараций - «Финансы»

Фото: pexels Премьер-министр Олжас Бектенов на заседании правительства 19 ноября 2024 года озвучил решение по всеобщему декларированию казахстанцев, сообщает Zakon.kz. Министр финансов Мади Такиев доложил, что...


Новости

Последнее из блога

«Наши задачи» - предоставлять самую оперативную, достоверную и подробную информацию по банковскому рынку; - помогать клиентам в выборе самых выгодных банковских продуктов; - способствовать банкам в поиске качественных клиентов; - налаживать общение между банками и их клиентами.

В РФ предложили снизить срок владения недвижимостью для продажи без НДФЛ - «Финансы»

В РФ предложили снизить срок владения недвижимостью для продажи без НДФЛ - «Финансы»

Депутаты Госдумы рассмотрят предложение о снижении срока владения недвижимостью

Подробнее
Доллар по 100 рублей: курс Банка России превысил психологически значимую отметку - «Финансы»

Доллар по 100 рублей: курс Банка России превысил психологически значимую отметку - «Финансы»

Центробанк установил курс доллара к рублю, который вступит в силу с 20 ноября,

Подробнее
Курсы валют в обменниках Алматы и Астаны на 19 ноября - «Финансы»

Курсы валют в обменниках Алматы и Астаны на 19 ноября - «Финансы»

Фото: Zakon.kz Представлены данные о средневзвешенных курсах покупки и продажи

Подробнее
Экономика сегодня

Клиенты Модульбанка получили возможность без комиссий выводить выручку с десяти маркетплейсов - «Тема дня»

Клиенты Модульбанка получили возможность без комиссий выводить выручку с десяти маркетплейсов - «Тема дня»

​ Модульбанк расширил список маркетплейсов, партнеры которых имеют возможность подключить специальные условия обслуживания и выводить выручку без комиссии и лимитов. Теперь в этом списке значатся Wildberries, Ozon,...

Подробнее
«Новая нормальность». Аналитики спрогнозировали курс рубля к доллару - «Тема дня»

«Новая нормальность». Аналитики спрогнозировали курс рубля к доллару - «Тема дня»

​ Девальвация рубля в октябре оказалась значительнее, чем ожидалось: российская валюта ослабла к доллару еще на 4%, а к юаню — на 3%. По мнению аналитиков инвестиционного Банка Синара, к началу 2025 года ожидается...

Подробнее
Рубль укрепляется. Курсы доллара и евро на 8 ноября - «Тема дня»

Рубль укрепляется. Курсы доллара и евро на 8 ноября - «Тема дня»

​ Российский рубль опустился к доллару США и укрепился к евро. Официальный курс доллара, установленный Центробанком на 8 ноября 2024 года, составляет 98,0726 рубля (прежнее значение — 98,2236 рубля), официальный...

Подробнее
Рубль уступает основным валютам. Курсы доллара и евро на 29 октября - «Тема дня»

Рубль уступает основным валютам. Курсы доллара и евро на 29 октября - «Тема дня»

​ Российский рубль уступает доллару США и евро. Официальный курс доллара, установленный Центробанком на 29 октября 2024 года, составляет 97,2300 рубля (прежнее значение — 96,6657 рубля), официальный курс евро — 105,2229 рубля (предыдущий показатель — 104,8094 рубля). Прекращение торгов валютами

Подробнее
Рубль продолжает дешеветь. ЦБ установил официальные курсы валют на 30 октября - «Тема дня»

Рубль продолжает дешеветь. ЦБ установил официальные курсы валют на 30 октября - «Тема дня»

​ ЦБ установил официальные курсы валют на 30 октября. Рубль продолжает дешеветь к американской и европейской валютам. Курс доллара вырос на 0,0961 рубля, составив 97,3261 рубля (97,2300 рубля на 29 октября). Курс...

Подробнее
Рубль снова подешевел. Курсы доллара и евро на 30 октября - «Тема дня»

Рубль снова подешевел. Курсы доллара и евро на 30 октября - «Тема дня»

​ Российский рубль уступает доллару США и евро. Официальный курс доллара, установленный Центробанком на 30 октября 2024 года, составляет 97,3261 рубля (прежнее значение — 97,2300 рубля), официальный курс евро — 105,4375 рубля (предыдущий показатель — 105,2229 рубля). Прекращение торгов валютами

Подробнее

Разделы

Информация


Как воспользоваться льготой, не учтенной в налоговом уведомлении, рассказало УФНС по Москве - «Финансы»

Как воспользоваться льготой, не учтенной в налоговом уведомлении, рассказало УФНС по Москве - «Финансы»

Управление напомнило, какие граждане имеют право на льготы на всей территории России и рассказало о льготах в Москве. Московское УФНС указало, что для начала надо проверить, учтена ли льгота в налоговом уведомлении...

Подробнее

      
Курс валют сегодня