Аутсорсинг инфраструктуры банковских систем и информационная безопасность: опыт ЦФТ - «Финансы» » Новости Банков
bottom-shape image

Аутсорсинг инфраструктуры банковских систем и информационная безопасность: опыт ЦФТ - «Финансы»

Аутсорсинг инфраструктуры банковских систем и информационная безопасность: опыт ЦФТ - «Финансы»


Пожалуй, самый актуальный и острый вопрос, который встает перед руководством любого банка при планировании перехода на ИТ-аутсорсинг, — обеспечение информационной безопасности. Как решается этот вопрос на практике? Какую роль в ИТ-аутсорсинге играет профессионализм и зрелость процессов компании-аутсорсера?


Cовсем не случайно ЦФТ стал первой российской софтверной компанией, которой удалось успешно реализовать серию проектов по переводу АБС банков на полный или частичный аутсорсинг. Когда в 2010 году в компании было принято стратегическое решение развивать новый ИТ сервис — аутсорсинг core banking system, на тот момент мы уже имели достаточно большой и успешный опыт в направлении процессинга операций по пластиковым картам, процессинга электронных платежей и дистанционного банковского обслуживания.


Еще на этапе подготовки к старту этого сервиса особое внимание было уделено вопросам безопасности. Все мы знаем, что банковская сфера очень консервативна и к соблюдению требований информационной безопасности относится более требовательно, чем любой другой бизнес. Особенности банковской информационной безопасности тесно связаны с составом информации, которая обращается в рамках сервиса, с требованиями, которые предъявляют регуляторы — ФСБ, ФСТЭК, с недавних пор и ЦБ РФ.


На текущий момент восемь российских банков и один банк из республики Казахстан используют в качестве основной АБС систему ЦФТ-Банк на условиях аутсорсинга

В результате — принятый в ЦФТ внутренний свод «правил» информационной безопасности, по сути, включает в себя все многообразие требований из таких стандартов и нормативных документов, как СТО БР, 382П, PCI DSS, ISAE 3402.


На текущий момент восемь российских банков и один банк из республики Казахстан используют в качестве основной АБС систему ЦФТ-Банк на условиях аутсорсинга. По аутсорсинговой модели также работает одна страховая компания. Систему ЦФТ-Банк на условиях аутсорсинга в образовательных целях используют два российских образовательных учреждения: НИУ ВШЭ (Высшая Школа Экономики) и НГУЭиУ (Новосибирский Государственный университет Экономики и Управления)


Для сервиса аутсорсинга core banking system в ЦФТ задействованы мощности более двух ЦОДов и более 30 серверов. Ежедневно в удаленном режиме с системой ЦФТ-Банк на аутсорсинге работают более 2000 пользователей со стороны финансовых организаций.


Из тех функций, которые ЦФТ выполняет как провайдер аутсорсинговых услуг, я бы выделил три блока:



  • Бизнес-функции: автоматизация бизнес-процессов, развитие, модификация и адаптация ИТ-продуктов по требованиям Банка;
  • ИТ-функции: администрирование программно-аппаратного комплекса, сопровождение пользователей системы;
  • Функции безопасности: комплекс мер по обеспечению физической, пожарной и
    информационной безопасности.

Работа специалистов ЦФТ при поддержке пользователей, модификации и развитию ИТ-продуктов
ведется на копиях Рабочих схем АБС с искаженными данными. Установка на реальные Рабочие схемы банка производится с участием и под непосредственным контролем сотрудников финансовой организации.


Опыт показал, что средним и крупным банкам со своими площадками, более интересна модель «out» — когда мы, как провайдер услуги, удаленно подключаемся к площадке банка и обслуживаем ее

На момент запуска сервиса аутсорсинга core banking system мы большей частью планировали работать в так называемой модели «in» — когда банк передает свою ИТ-инфраструктуру в ЦОДы ЦФТ, где мы уже реализуем весь комплекс услуг, осуществляем полное наполнение ЦОДа, включая технические средства защиты. Но опыт показал, что средним и крупным банкам со своими площадками, более интересна модель «out» — когда мы, как провайдер услуги, удаленно подключаемся к площадке банка и обслуживаем ее. Со временем стала появляться так называемая «смешанная модель» — часть ИТ-инфраструктуры передается на обслуживание в ЦФТ, часть остается на площадке банка.


Как я уже отметил ранее, обеспечение безопасности — обязательная составляющая сервиса ИТ-аутсорсинга. В рамках предоставления этого сервиса нашим партнерам мы обеспечиваем базовый уровень информационной безопасности — это неотъемлемая часть предлагаемого сервиса. Также возможно предоставление дополнительных услуг по желанию банка. Наши партнеры могут в любой момент внести в базовый уровень информационной безопасности свои предложения по улучшению этой составляющей. Мы это каждый раз приветствуем, ведь в результате все новые меры положительно сказывается на всех остальных партнерах ЦФТ — мы всегда все нововведения оцениваем с точки зрения применения для всей группы клиентов на аутсорсинге.


Итак, в базовый уровень обеспечения информационной безопасности в рамках аутсорсинговых проектов ЦФТ входят:



  1. Физическая безопасность: охрана и контроль доступа обеспечивается спецподразделением охраны с ГБР, СКУД с использованием персонифицированных карт, система видеонаблюдения внешнего и внутреннего периметра.
  2. Пожарная безопасность: газовое оборудование с использованием безопасного газа.
  3. Обеспечение непрерывности деятельности: Основной и резервный ЦОД (уровень надежности Tier III стандарта TIA-942, каждый подключен минимум к 4 магистральным провайдерам), резервное электропитание (ИБП, дизельгенераторы), резервное копирование.
  4. Информационная безопасность: выполнение работ по внутренним приказам, политикам, регламентам (согласованные с банками), для каждого банка созданы свои периметры безопасности (в каждом несколько сетевых сегментов (с критичными данными, для разработки, для тестирования), использование специализированного ПО для защиты периметра, такие как: FW, IDS/IPS, Сканеры уязвимостей, SIEM, AV, HSM, Oracle AS, Oracle DataVault и т.д., SOC-центр, внутренние и внешние процедуры по безопасности: регулярные внутренние аудиты по озвученным ранее стандартам, сканирования внешнего и внутреннего периметра на наличие уязвимостей, внешние и внутренние пентесты, ежегодный аудит по стандарту ISAE 3402 (аудитор Компания PWC),

Все эти меры — не предел. Очень много идей по внедрению новых инструментов для обеспечения информационной безопасности аутсорсинговых сервисов. Это — и IDM (Internet Download Manager), но только не в стандартной парадигме работы, а в схеме, в которой с одной стороны множество участников, с другой — мы с централизованным управлением. Это — и шифрование критичных данных на ГОСТ-алгоритмах и т.д.


Финансовый рынок готов к смене софтверной парадигмы, сегодня банки гораздо более готовы переходить на ИТ- аутсорсинг

Несмотря на то, что темпы принятия рынком данной услуги, были на старте нами несколько преувеличены, и в реальности нам потребовалось проводить гораздо большую просветительско-пропагандистскую работу среди банков, мы по-прежнему верим в большие перспективы развития сектора ИТ-аутсорсинга. Финансовый рынок готов к смене софтверной парадигмы, сегодня банки гораздо более готовы переходить на ИТ- аутсорсинг. Тем более, что модель ИТ-аутсорсинга приемлема и для банков, и для НФО.


Ну а банкам, выбирающим сейчас аутсорсинговую модель использования программного обеспечения, хочу порекомендовать: обязательно перед стартом проекта четко регламентируйте отношения с ИТ-аутсорсером соглашением об уровне предоставления услуг (SLA). Четко формулируйте обязательства между сторонами и распределяйте зоны ответственности.


Это позволит вам снизить риски за счет более четкой регламентации деятельности по обеспечению безопасности, а также более высокой ответственности аутсорсера, закрепленной в сервисном контракте. Также при выборе компании-аутсорсера оценивайте уровень зрелости управленческих и технологических процессов будущего ИТ-партнера и выбирайте опытную и надежную компанию ИТ-аутсорсера, которая сможет эффективно и безопасно поддерживать ИТ-инфраструктуру вашего банка.


Пожалуй, самый актуальный и острый вопрос, который встает перед руководством любого банка при планировании перехода на ИТ-аутсорсинг, — обеспечение информационной безопасности. Как решается этот вопрос на практике? Какую роль в ИТ-аутсорсинге играет профессионализм и зрелость процессов компании-аутсорсера? Cовсем не случайно ЦФТ стал первой российской софтверной компанией, которой удалось успешно реализовать серию проектов по переводу АБС банков на полный или частичный аутсорсинг. Когда в 2010 году в компании было принято стратегическое решение развивать новый ИТ сервис — аутсорсинг core banking system, на тот момент мы уже имели достаточно большой и успешный опыт в направлении процессинга операций по пластиковым картам, процессинга электронных платежей и дистанционного банковского обслуживания. Еще на этапе подготовки к старту этого сервиса особое внимание было уделено вопросам безопасности. Все мы знаем, что банковская сфера очень консервативна и к соблюдению требований информационной безопасности относится более требовательно, чем любой другой бизнес. Особенности банковской информационной безопасности тесно связаны с составом информации, которая обращается в рамках сервиса, с требованиями, которые предъявляют регуляторы — ФСБ, ФСТЭК, с недавних пор и ЦБ РФ. На текущий момент восемь российских банков и один банк из республики Казахстан используют в качестве основной АБС систему ЦФТ-Банк на условиях аутсорсинга В результате — принятый в ЦФТ внутренний свод «правил» информационной безопасности, по сути, включает в себя все многообразие требований из таких стандартов и нормативных документов, как СТО БР, 382П, PCI DSS, ISAE 3402. На текущий момент восемь российских банков и один банк из республики Казахстан используют в качестве основной АБС систему ЦФТ-Банк на условиях аутсорсинга. По аутсорсинговой модели также работает одна страховая компания. Систему ЦФТ-Банк на условиях аутсорсинга в образовательных целях используют два российских образовательных учреждения: НИУ ВШЭ (Высшая Школа Экономики) и НГУЭиУ (Новосибирский Государственный университет Экономики и Управления) Для сервиса аутсорсинга core banking system в ЦФТ задействованы мощности более двух ЦОДов и более 30 серверов. Ежедневно в удаленном режиме с системой ЦФТ-Банк на аутсорсинге работают более 2000 пользователей со стороны финансовых организаций. Из тех функций, которые ЦФТ выполняет как провайдер аутсорсинговых услуг, я бы выделил три блока: Бизнес-функции: автоматизация бизнес-процессов, развитие, модификация и адаптация ИТ-продуктов по требованиям Банка; ИТ-функции: администрирование программно-аппаратного комплекса, сопровождение пользователей системы; Функции безопасности: комплекс мер по обеспечению физической, пожарной и информационной безопасности. Работа специалистов ЦФТ при поддержке пользователей, модификации и развитию ИТ-продуктов ведется на копиях Рабочих схем АБС с искаженными данными. Установка на реальные Рабочие схемы банка производится с участием и под непосредственным контролем сотрудников финансовой организации. Опыт показал, что средним и крупным банкам со своими площадками, более интересна модель «out» — когда мы, как провайдер услуги, удаленно подключаемся к площадке банка и обслуживаем ее На момент запуска сервиса аутсорсинга core banking system мы большей частью планировали работать в так называемой модели «in» — когда банк передает свою ИТ-инфраструктуру в ЦОДы ЦФТ, где мы уже реализуем весь комплекс услуг, осуществляем полное наполнение ЦОДа, включая технические средства защиты. Но опыт показал, что средним и крупным банкам со своими площадками, более интересна модель «out» — когда мы, как провайдер услуги, удаленно подключаемся к площадке банка и обслуживаем ее. Со временем стала появляться так называемая «смешанная модель» — часть ИТ-инфраструктуры передается на обслуживание в ЦФТ, часть остается на площадке банка. Как я уже отметил ранее, обеспечение безопасности — обязательная составляющая сервиса ИТ-аутсорсинга. В рамках предоставления этого сервиса нашим партнерам мы обеспечиваем базовый уровень информационной безопасности — это неотъемлемая часть предлагаемого сервиса. Также возможно предоставление дополнительных услуг по желанию банка. Наши партнеры могут в любой момент внести в базовый уровень информационной безопасности свои предложения по улучшению этой составляющей. Мы это каждый раз приветствуем, ведь в результате все новые меры положительно сказывается на всех остальных партнерах ЦФТ — мы всегда все нововведения оцениваем с точки зрения применения для всей группы клиентов на аутсорсинге. Итак, в базовый уровень обеспечения информационной безопасности в рамках аутсорсинговых проектов ЦФТ входят: Физическая безопасность: охрана и контроль доступа обеспечивается спецподразделением охраны с ГБР, СКУД с использованием персонифицированных карт, система видеонаблюдения внешнего и внутреннего периметра. Пожарная безопасность: газовое оборудование с использованием безопасного газа. Обеспечение непрерывности деятельности: Основной и резервный ЦОД (уровень надежности Tier III стандарта TIA-942, каждый подключен минимум к 4 магистральным провайдерам), резервное электропитание (ИБП, дизельгенераторы), резервное копирование. Информационная безопасность: выполнение работ по внутренним приказам, политикам, регламентам (согласованные с банками), для каждого банка созданы свои периметры безопасности (в каждом несколько сетевых сегментов (с критичными данными, для разработки, для тестирования), использование специализированного ПО для защиты периметра, такие как: FW, IDS/IPS, Сканеры уязвимостей, SIEM, AV, HSM, Oracle AS, Oracle DataVault и т.д., SOC-центр, внутренние и внешние процедуры по безопасности: регулярные внутренние аудиты по озвученным ранее стандартам, сканирования внешнего и внутреннего периметра на наличие уязвимостей, внешние и внутренние пентесты, ежегодный аудит по стандарту ISAE 3402 (аудитор Компания PWC), Все эти меры — не предел. Очень много идей по внедрению новых инструментов для обеспечения информационной безопасности аутсорсинговых сервисов. Это — и IDM (Internet Download Manager), но только не в стандартной парадигме работы, а в схеме, в которой с одной стороны множество участников, с другой — мы с централизованным управлением. Это — и шифрование критичных данных на ГОСТ-алгоритмах и т.д. Финансовый рынок готов к смене софтверной парадигмы, сегодня банки гораздо более готовы переходить на ИТ- аутсорсинг Несмотря на то, что темпы принятия рынком данной услуги, были на старте нами несколько преувеличены, и в реальности нам потребовалось проводить гораздо большую просветительско-пропагандистскую работу среди банков, мы по-прежнему верим в большие перспективы развития сектора ИТ-аутсорсинга. Финансовый рынок готов к смене софтверной парадигмы, сегодня банки гораздо более готовы переходить на ИТ- аутсорсинг. Тем более, что модель ИТ-аутсорсинга приемлема и для банков, и для НФО. Ну а банкам, выбирающим сейчас аутсорсинговую модель использования программного обеспечения, хочу порекомендовать: обязательно перед стартом проекта четко регламентируйте отношения с ИТ-аутсорсером соглашением об уровне предоставления услуг (SLA). Четко формулируйте обязательства между сторонами и распределяйте зоны ответственности. Это позволит вам снизить риски за счет более четкой регламентации деятельности по обеспечению безопасности, а также более высокой ответственности аутсорсера, закрепленной в сервисном контракте. Также при выборе компании-аутсорсера оценивайте уровень зрелости управленческих и технологических процессов будущего ИТ-партнера и выбирайте опытную и надежную компанию ИТ-аутсорсера, которая сможет эффективно и безопасно поддерживать ИТ-инфраструктуру вашего банка.

Лучшие новости сегодня

Вы искали сегодня

Комментарии (0)


Другие новости сегодня

Граждан временно освободили от штрафов за неиспользование участков под ИЖС по назначению - «Финансы»

КС принял решение, согласно которому обязанность использовать участки пока что законом не установлена. В этих целях не следует "притягивать за уши" некоторые нормы, которые вообще про другое (как поступили земконтроль...

В России число индивидуальных предпринимателей выросло до 4,2 млн - «Финансы»

Количество индивидуальных предпринимателей в России увеличилось с начала года на 4,7% и составляет по итогам девяти месяцев 4,2 млн. Об этом 7 ноября сообщил «Известиям» генеральный директор Корпорации МСП Александр...

В России программа в тестовом режиме выявила 116 тыс. нарушений земельного права - «Финансы»

Нейросетевой "земельный инспектор", разработанный учеными Самарского университета имени Королева, в ходе пробного сканирования выявил более 116 тыс. нарушений землепользования, за которые можно взыскать...

Halyk в полном объеме вернул госпомощь, полученную Казкоммерцбанком в 2015 году - «Финансы»

Фото: Zakon.kz Системообразующий банк Казахстана – Halyk Bank – досрочно и полностью возвратил государственную поддержку в размере 250 млрд тенге, полученную Казкоммерцбанком в 2015 году, сообщает Zakon.kz. Девять...

Индекс деловой активности в Казахстане снижается второй месяц подряд - «Финансы»

Фото: pixabay Национальный банк РК опубликовал Индекс деловой активности за октябрь 2024 года, касающийся изменений экономических показателей предприятий страны и их ожиданий на ближайший год, сообщает Zakon.kz. Согласно...

В Минфине пояснили насчет выплаты премий государственным служащим - «Финансы»

Фото: Zakon.kz В Министерстве финансов ответили на обращения СМИ, касающиеся премий государственным служащим, сообщает Zakon.kz. В ведомстве сообщили, что на основании постановления правительства от 29 августа...


Новости

Последнее из блога

«Наши задачи» - предоставлять самую оперативную, достоверную и подробную информацию по банковскому рынку; - помогать клиентам в выборе самых выгодных банковских продуктов; - способствовать банкам в поиске качественных клиентов; - налаживать общение между банками и их клиентами.

Проект освоения водных ресурсов профинансирует Исламский банк развития - «Экономика»

Проект освоения водных ресурсов профинансирует Исламский банк развития - «Экономика»

Проект освоения водных ресурсов профинансирует Исламский банк развития. Такое

Подробнее
От приватизации в госбюджет поступило 578,8 млрд тенге - «Экономика»

От приватизации в госбюджет поступило 578,8 млрд тенге - «Экономика»

Анализ результатов Комплексного плана приватизации на 2016-2020 годы провели в

Подробнее
Что покупали казахстанцы на Wildberries в дни распродаж - «Экономика»

Что покупали казахстанцы на Wildberries в дни распродаж - «Экономика»

На Wildberries во время акции Всемирного дня шопинга с 28 октября по 11 ноября

Подробнее
Сейчас Irwin Casino также отличается высоким качеством обслуживания

Сейчас Irwin Casino также отличается высоким качеством обслуживания

Среди русскоязычных игроков прекрасно известен один из самых ярких игровых

Подробнее
Экономика сегодня

Клиенты Модульбанка получили возможность без комиссий выводить выручку с десяти маркетплейсов - «Тема дня»

Клиенты Модульбанка получили возможность без комиссий выводить выручку с десяти маркетплейсов - «Тема дня»

​ Модульбанк расширил список маркетплейсов, партнеры которых имеют возможность подключить специальные условия обслуживания и выводить выручку без комиссии и лимитов. Теперь в этом списке значатся Wildberries, Ozon,...

Подробнее
«Новая нормальность». Аналитики спрогнозировали курс рубля к доллару - «Тема дня»

«Новая нормальность». Аналитики спрогнозировали курс рубля к доллару - «Тема дня»

​ Девальвация рубля в октябре оказалась значительнее, чем ожидалось: российская валюта ослабла к доллару еще на 4%, а к юаню — на 3%. По мнению аналитиков инвестиционного Банка Синара, к началу 2025 года ожидается...

Подробнее
Рубль укрепляется. Курсы доллара и евро на 8 ноября - «Тема дня»

Рубль укрепляется. Курсы доллара и евро на 8 ноября - «Тема дня»

​ Российский рубль опустился к доллару США и укрепился к евро. Официальный курс доллара, установленный Центробанком на 8 ноября 2024 года, составляет 98,0726 рубля (прежнее значение — 98,2236 рубля), официальный...

Подробнее
Рубль уступает основным валютам. Курсы доллара и евро на 29 октября - «Тема дня»

Рубль уступает основным валютам. Курсы доллара и евро на 29 октября - «Тема дня»

​ Российский рубль уступает доллару США и евро. Официальный курс доллара, установленный Центробанком на 29 октября 2024 года, составляет 97,2300 рубля (прежнее значение — 96,6657 рубля), официальный курс евро — 105,2229 рубля (предыдущий показатель — 104,8094 рубля). Прекращение торгов валютами

Подробнее
Рубль продолжает дешеветь. ЦБ установил официальные курсы валют на 30 октября - «Тема дня»

Рубль продолжает дешеветь. ЦБ установил официальные курсы валют на 30 октября - «Тема дня»

​ ЦБ установил официальные курсы валют на 30 октября. Рубль продолжает дешеветь к американской и европейской валютам. Курс доллара вырос на 0,0961 рубля, составив 97,3261 рубля (97,2300 рубля на 29 октября). Курс...

Подробнее
Рубль снова подешевел. Курсы доллара и евро на 30 октября - «Тема дня»

Рубль снова подешевел. Курсы доллара и евро на 30 октября - «Тема дня»

​ Российский рубль уступает доллару США и евро. Официальный курс доллара, установленный Центробанком на 30 октября 2024 года, составляет 97,3261 рубля (прежнее значение — 97,2300 рубля), официальный курс евро — 105,4375 рубля (предыдущий показатель — 105,2229 рубля). Прекращение торгов валютами

Подробнее

Разделы

Информация


Граждан временно освободили от штрафов за неиспользование участков под ИЖС по назначению - «Финансы»

Граждан временно освободили от штрафов за неиспользование участков под ИЖС по назначению - «Финансы»

КС принял решение, согласно которому обязанность использовать участки пока что законом не установлена. В этих целях не следует "притягивать за уши" некоторые нормы, которые вообще про другое (как поступили земконтроль...

Подробнее

      
Курс валют сегодня