Аутсорсинг инфраструктуры банковских систем и информационная безопасность: опыт ЦФТ - «Финансы» » Новости Банков
bottom-shape image

Аутсорсинг инфраструктуры банковских систем и информационная безопасность: опыт ЦФТ - «Финансы»

Аутсорсинг инфраструктуры банковских систем и информационная безопасность: опыт ЦФТ - «Финансы»


Пожалуй, самый актуальный и острый вопрос, который встает перед руководством любого банка при планировании перехода на ИТ-аутсорсинг, — обеспечение информационной безопасности. Как решается этот вопрос на практике? Какую роль в ИТ-аутсорсинге играет профессионализм и зрелость процессов компании-аутсорсера?


Cовсем не случайно ЦФТ стал первой российской софтверной компанией, которой удалось успешно реализовать серию проектов по переводу АБС банков на полный или частичный аутсорсинг. Когда в 2010 году в компании было принято стратегическое решение развивать новый ИТ сервис — аутсорсинг core banking system, на тот момент мы уже имели достаточно большой и успешный опыт в направлении процессинга операций по пластиковым картам, процессинга электронных платежей и дистанционного банковского обслуживания.


Еще на этапе подготовки к старту этого сервиса особое внимание было уделено вопросам безопасности. Все мы знаем, что банковская сфера очень консервативна и к соблюдению требований информационной безопасности относится более требовательно, чем любой другой бизнес. Особенности банковской информационной безопасности тесно связаны с составом информации, которая обращается в рамках сервиса, с требованиями, которые предъявляют регуляторы — ФСБ, ФСТЭК, с недавних пор и ЦБ РФ.


На текущий момент восемь российских банков и один банк из республики Казахстан используют в качестве основной АБС систему ЦФТ-Банк на условиях аутсорсинга

В результате — принятый в ЦФТ внутренний свод «правил» информационной безопасности, по сути, включает в себя все многообразие требований из таких стандартов и нормативных документов, как СТО БР, 382П, PCI DSS, ISAE 3402.


На текущий момент восемь российских банков и один банк из республики Казахстан используют в качестве основной АБС систему ЦФТ-Банк на условиях аутсорсинга. По аутсорсинговой модели также работает одна страховая компания. Систему ЦФТ-Банк на условиях аутсорсинга в образовательных целях используют два российских образовательных учреждения: НИУ ВШЭ (Высшая Школа Экономики) и НГУЭиУ (Новосибирский Государственный университет Экономики и Управления)


Для сервиса аутсорсинга core banking system в ЦФТ задействованы мощности более двух ЦОДов и более 30 серверов. Ежедневно в удаленном режиме с системой ЦФТ-Банк на аутсорсинге работают более 2000 пользователей со стороны финансовых организаций.


Из тех функций, которые ЦФТ выполняет как провайдер аутсорсинговых услуг, я бы выделил три блока:



  • Бизнес-функции: автоматизация бизнес-процессов, развитие, модификация и адаптация ИТ-продуктов по требованиям Банка;
  • ИТ-функции: администрирование программно-аппаратного комплекса, сопровождение пользователей системы;
  • Функции безопасности: комплекс мер по обеспечению физической, пожарной и
    информационной безопасности.

Работа специалистов ЦФТ при поддержке пользователей, модификации и развитию ИТ-продуктов
ведется на копиях Рабочих схем АБС с искаженными данными. Установка на реальные Рабочие схемы банка производится с участием и под непосредственным контролем сотрудников финансовой организации.


Опыт показал, что средним и крупным банкам со своими площадками, более интересна модель «out» — когда мы, как провайдер услуги, удаленно подключаемся к площадке банка и обслуживаем ее

На момент запуска сервиса аутсорсинга core banking system мы большей частью планировали работать в так называемой модели «in» — когда банк передает свою ИТ-инфраструктуру в ЦОДы ЦФТ, где мы уже реализуем весь комплекс услуг, осуществляем полное наполнение ЦОДа, включая технические средства защиты. Но опыт показал, что средним и крупным банкам со своими площадками, более интересна модель «out» — когда мы, как провайдер услуги, удаленно подключаемся к площадке банка и обслуживаем ее. Со временем стала появляться так называемая «смешанная модель» — часть ИТ-инфраструктуры передается на обслуживание в ЦФТ, часть остается на площадке банка.


Как я уже отметил ранее, обеспечение безопасности — обязательная составляющая сервиса ИТ-аутсорсинга. В рамках предоставления этого сервиса нашим партнерам мы обеспечиваем базовый уровень информационной безопасности — это неотъемлемая часть предлагаемого сервиса. Также возможно предоставление дополнительных услуг по желанию банка. Наши партнеры могут в любой момент внести в базовый уровень информационной безопасности свои предложения по улучшению этой составляющей. Мы это каждый раз приветствуем, ведь в результате все новые меры положительно сказывается на всех остальных партнерах ЦФТ — мы всегда все нововведения оцениваем с точки зрения применения для всей группы клиентов на аутсорсинге.


Итак, в базовый уровень обеспечения информационной безопасности в рамках аутсорсинговых проектов ЦФТ входят:



  1. Физическая безопасность: охрана и контроль доступа обеспечивается спецподразделением охраны с ГБР, СКУД с использованием персонифицированных карт, система видеонаблюдения внешнего и внутреннего периметра.
  2. Пожарная безопасность: газовое оборудование с использованием безопасного газа.
  3. Обеспечение непрерывности деятельности: Основной и резервный ЦОД (уровень надежности Tier III стандарта TIA-942, каждый подключен минимум к 4 магистральным провайдерам), резервное электропитание (ИБП, дизельгенераторы), резервное копирование.
  4. Информационная безопасность: выполнение работ по внутренним приказам, политикам, регламентам (согласованные с банками), для каждого банка созданы свои периметры безопасности (в каждом несколько сетевых сегментов (с критичными данными, для разработки, для тестирования), использование специализированного ПО для защиты периметра, такие как: FW, IDS/IPS, Сканеры уязвимостей, SIEM, AV, HSM, Oracle AS, Oracle DataVault и т.д., SOC-центр, внутренние и внешние процедуры по безопасности: регулярные внутренние аудиты по озвученным ранее стандартам, сканирования внешнего и внутреннего периметра на наличие уязвимостей, внешние и внутренние пентесты, ежегодный аудит по стандарту ISAE 3402 (аудитор Компания PWC),

Все эти меры — не предел. Очень много идей по внедрению новых инструментов для обеспечения информационной безопасности аутсорсинговых сервисов. Это — и IDM (Internet Download Manager), но только не в стандартной парадигме работы, а в схеме, в которой с одной стороны множество участников, с другой — мы с централизованным управлением. Это — и шифрование критичных данных на ГОСТ-алгоритмах и т.д.


Финансовый рынок готов к смене софтверной парадигмы, сегодня банки гораздо более готовы переходить на ИТ- аутсорсинг

Несмотря на то, что темпы принятия рынком данной услуги, были на старте нами несколько преувеличены, и в реальности нам потребовалось проводить гораздо большую просветительско-пропагандистскую работу среди банков, мы по-прежнему верим в большие перспективы развития сектора ИТ-аутсорсинга. Финансовый рынок готов к смене софтверной парадигмы, сегодня банки гораздо более готовы переходить на ИТ- аутсорсинг. Тем более, что модель ИТ-аутсорсинга приемлема и для банков, и для НФО.


Ну а банкам, выбирающим сейчас аутсорсинговую модель использования программного обеспечения, хочу порекомендовать: обязательно перед стартом проекта четко регламентируйте отношения с ИТ-аутсорсером соглашением об уровне предоставления услуг (SLA). Четко формулируйте обязательства между сторонами и распределяйте зоны ответственности.


Это позволит вам снизить риски за счет более четкой регламентации деятельности по обеспечению безопасности, а также более высокой ответственности аутсорсера, закрепленной в сервисном контракте. Также при выборе компании-аутсорсера оценивайте уровень зрелости управленческих и технологических процессов будущего ИТ-партнера и выбирайте опытную и надежную компанию ИТ-аутсорсера, которая сможет эффективно и безопасно поддерживать ИТ-инфраструктуру вашего банка.


Пожалуй, самый актуальный и острый вопрос, который встает перед руководством любого банка при планировании перехода на ИТ-аутсорсинг, — обеспечение информационной безопасности. Как решается этот вопрос на практике? Какую роль в ИТ-аутсорсинге играет профессионализм и зрелость процессов компании-аутсорсера? Cовсем не случайно ЦФТ стал первой российской софтверной компанией, которой удалось успешно реализовать серию проектов по переводу АБС банков на полный или частичный аутсорсинг. Когда в 2010 году в компании было принято стратегическое решение развивать новый ИТ сервис — аутсорсинг core banking system, на тот момент мы уже имели достаточно большой и успешный опыт в направлении процессинга операций по пластиковым картам, процессинга электронных платежей и дистанционного банковского обслуживания. Еще на этапе подготовки к старту этого сервиса особое внимание было уделено вопросам безопасности. Все мы знаем, что банковская сфера очень консервативна и к соблюдению требований информационной безопасности относится более требовательно, чем любой другой бизнес. Особенности банковской информационной безопасности тесно связаны с составом информации, которая обращается в рамках сервиса, с требованиями, которые предъявляют регуляторы — ФСБ, ФСТЭК, с недавних пор и ЦБ РФ. На текущий момент восемь российских банков и один банк из республики Казахстан используют в качестве основной АБС систему ЦФТ-Банк на условиях аутсорсинга В результате — принятый в ЦФТ внутренний свод «правил» информационной безопасности, по сути, включает в себя все многообразие требований из таких стандартов и нормативных документов, как СТО БР, 382П, PCI DSS, ISAE 3402. На текущий момент восемь российских банков и один банк из республики Казахстан используют в качестве основной АБС систему ЦФТ-Банк на условиях аутсорсинга. По аутсорсинговой модели также работает одна страховая компания. Систему ЦФТ-Банк на условиях аутсорсинга в образовательных целях используют два российских образовательных учреждения: НИУ ВШЭ (Высшая Школа Экономики) и НГУЭиУ (Новосибирский Государственный университет Экономики и Управления) Для сервиса аутсорсинга core banking system в ЦФТ задействованы мощности более двух ЦОДов и более 30 серверов. Ежедневно в удаленном режиме с системой ЦФТ-Банк на аутсорсинге работают более 2000 пользователей со стороны финансовых организаций. Из тех функций, которые ЦФТ выполняет как провайдер аутсорсинговых услуг, я бы выделил три блока: Бизнес-функции: автоматизация бизнес-процессов, развитие, модификация и адаптация ИТ-продуктов по требованиям Банка; ИТ-функции: администрирование программно-аппаратного комплекса, сопровождение пользователей системы; Функции безопасности: комплекс мер по обеспечению физической, пожарной и информационной безопасности. Работа специалистов ЦФТ при поддержке пользователей, модификации и развитию ИТ-продуктов ведется на копиях Рабочих схем АБС с искаженными данными. Установка на реальные Рабочие схемы банка производится с участием и под непосредственным контролем сотрудников финансовой организации. Опыт показал, что средним и крупным банкам со своими площадками, более интересна модель «out» — когда мы, как провайдер услуги, удаленно подключаемся к площадке банка и обслуживаем ее На момент запуска сервиса аутсорсинга core banking system мы большей частью планировали работать в так называемой модели «in» — когда банк передает свою ИТ-инфраструктуру в ЦОДы ЦФТ, где мы уже реализуем весь комплекс услуг, осуществляем полное наполнение ЦОДа, включая технические средства защиты. Но опыт показал, что средним и крупным банкам со своими площадками, более интересна модель «out» — когда мы, как провайдер услуги, удаленно подключаемся к площадке банка и обслуживаем ее. Со временем стала появляться так называемая «смешанная модель» — часть ИТ-инфраструктуры передается на обслуживание в ЦФТ, часть остается на площадке банка. Как я уже отметил ранее, обеспечение безопасности — обязательная составляющая сервиса ИТ-аутсорсинга. В рамках предоставления этого сервиса нашим партнерам мы обеспечиваем базовый уровень информационной безопасности — это неотъемлемая часть предлагаемого сервиса. Также возможно предоставление дополнительных услуг по желанию банка. Наши партнеры могут в любой момент внести в базовый уровень информационной безопасности свои предложения по улучшению этой составляющей. Мы это каждый раз приветствуем, ведь в результате все новые меры положительно сказывается на всех остальных партнерах ЦФТ — мы всегда все нововведения оцениваем с точки зрения применения для всей группы клиентов на аутсорсинге. Итак, в базовый уровень обеспечения информационной безопасности в рамках аутсорсинговых проектов ЦФТ входят: Физическая безопасность: охрана и контроль доступа обеспечивается спецподразделением охраны с ГБР, СКУД с использованием персонифицированных карт, система видеонаблюдения внешнего и внутреннего периметра. Пожарная безопасность: газовое оборудование с использованием безопасного газа. Обеспечение непрерывности деятельности: Основной и резервный ЦОД (уровень надежности Tier III стандарта TIA-942, каждый подключен минимум к 4 магистральным провайдерам), резервное электропитание (ИБП, дизельгенераторы), резервное копирование. Информационная безопасность: выполнение работ по внутренним приказам, политикам, регламентам (согласованные с банками), для каждого банка созданы свои периметры безопасности (в каждом несколько сетевых сегментов (с критичными данными, для разработки, для тестирования), использование специализированного ПО для защиты периметра, такие как: FW, IDS/IPS, Сканеры уязвимостей, SIEM, AV, HSM, Oracle AS, Oracle DataVault и т.д., SOC-центр, внутренние и внешние процедуры по безопасности: регулярные внутренние аудиты по озвученным ранее стандартам, сканирования внешнего и внутреннего периметра на наличие уязвимостей, внешние и внутренние пентесты, ежегодный аудит по стандарту ISAE 3402 (аудитор Компания PWC), Все эти меры — не предел. Очень много идей по внедрению новых инструментов для обеспечения информационной безопасности аутсорсинговых сервисов. Это — и IDM (Internet Download Manager), но только не в стандартной парадигме работы, а в схеме, в которой с одной стороны множество участников, с другой — мы с централизованным управлением. Это — и шифрование критичных данных на ГОСТ-алгоритмах и т.д. Финансовый рынок готов к смене софтверной парадигмы, сегодня банки гораздо более готовы переходить на ИТ- аутсорсинг Несмотря на то, что темпы принятия рынком данной услуги, были на старте нами несколько преувеличены, и в реальности нам потребовалось проводить гораздо большую просветительско-пропагандистскую работу среди банков, мы по-прежнему верим в большие перспективы развития сектора ИТ-аутсорсинга. Финансовый рынок готов к смене софтверной парадигмы, сегодня банки гораздо более готовы переходить на ИТ- аутсорсинг. Тем более, что модель ИТ-аутсорсинга приемлема и для банков, и для НФО. Ну а банкам, выбирающим сейчас аутсорсинговую модель использования программного обеспечения, хочу порекомендовать: обязательно перед стартом проекта четко регламентируйте отношения с ИТ-аутсорсером соглашением об уровне предоставления услуг (SLA). Четко формулируйте обязательства между сторонами и распределяйте зоны ответственности. Это позволит вам снизить риски за счет более четкой регламентации деятельности по обеспечению безопасности, а также более высокой ответственности аутсорсера, закрепленной в сервисном контракте. Также при выборе компании-аутсорсера оценивайте уровень зрелости управленческих и технологических процессов будущего ИТ-партнера и выбирайте опытную и надежную компанию ИТ-аутсорсера, которая сможет эффективно и безопасно поддерживать ИТ-инфраструктуру вашего банка.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.
Лучшие новости сегодня

Вы искали сегодня

Комментарии (0)


Другие новости сегодня

Кабмин решил насытить внутренний рынок низкокачественным бензином под видом К5 - «Финансы»

В том К5, который разрешили выпускать, содержание серы превысит допустимый для К5 норматив в 15 раз. Это совсем не полезно для двигателей и катализаторов. Кроме того, временно снижают норматив обязательных продаж...

ЦБ: вклад роста цен на бензин в июньскую инфляцию, предварительно, составит треть процентного пункта - «Финансы»

Вклад роста цен на бензин в июньскую инфляцию, предварительно, составит треть процентного пункта. Об этом заявил в эфире "РБК Радио" директор департамента денежно-кредитной политики ЦБ РФ Андрей Ганган...

Курс доллара США и Евро на завтра, 03.07.2026 г. - «Финансы»

На завтра, 03.07.2026 г., курс доллара США, официально устанавливаемый Центральным банком РФ, составит 77,9293 руб. Это на 33,6 коп. ниже, чем курс, установленный на предыдущую дату. Официальный курс Евро на завтра составит 88,7069 руб., т.е. снизится на 47 коп. Курсы валют на текущий момент

В Совфеде обсудили меры по выявлению серых схем найма - «Финансы»

В Совете Федерации обсудили новые механизмы борьбы с теневой занятостью. Главной темой стало выявление компаний, которые подменяют реальные трудовые договоры соглашениями с самозанятыми, чтобы оптимизировать...

Минфин планирует привлечь в III квартале от размещения ОФЗ 1,5 трлн рублей - «Финансы»

Минфин России объявил о планах по привлечению ориентировочно 1,5 триллиона рублей в третьем квартале 2026 года. Эти средства будут получены за счет размещения облигаций федерального займа (ОФЗ). Согласно...

Курс доллара США и Евро на завтра, 01.07.2026 г. - «Финансы»

Центробанк России объявил официальный курс доллара США на завтра, 01.07.2026. Курс составит 78,2696 руб. Это на 51,6 коп. выше, чем курс, действующий сегодня. Официальный курс Евро на завтра составит ...


Новости

Последнее из блога

«Наши задачи» - предоставлять самую оперативную, достоверную и подробную информацию по банковскому рынку; - помогать клиентам в выборе самых выгодных банковских продуктов; - способствовать банкам в поиске качественных клиентов; - налаживать общение между банками и их клиентами.

Кабмин решил насытить внутренний рынок низкокачественным бензином под видом К5 - «Финансы»

Кабмин решил насытить внутренний рынок низкокачественным бензином под видом К5 - «Финансы»

В том К5, который разрешили выпускать, содержание серы превысит допустимый для

Подробнее
Курс доллара США и Евро на завтра, 03.07.2026 г. - «Финансы»

Курс доллара США и Евро на завтра, 03.07.2026 г. - «Финансы»

На завтра, 03.07.2026 г., курс доллара США, официально устанавливаемый

Подробнее
В Совфеде обсудили меры по выявлению серых схем найма - «Финансы»

В Совфеде обсудили меры по выявлению серых схем найма - «Финансы»

В Совете Федерации обсудили новые механизмы борьбы с теневой занятостью.

Подробнее
Минфин планирует привлечь в III квартале от размещения ОФЗ 1,5 трлн рублей - «Финансы»

Минфин планирует привлечь в III квартале от размещения ОФЗ 1,5 трлн рублей - «Финансы»

Минфин России объявил о планах по привлечению ориентировочно 1,5 триллиона

Подробнее
Курс доллара США и Евро на завтра, 01.07.2026 г. - «Финансы»

Курс доллара США и Евро на завтра, 01.07.2026 г. - «Финансы»

Центробанк России объявил официальный курс доллара США на завтра, 01.07.2026.

Подробнее
Экономика сегодня

Падение рубля. ЦБ установил официальные курсы валют на 4 сентября - «Тема дня»

Падение рубля. ЦБ установил официальные курсы валют на 4 сентября - «Тема дня»

​ ЦБ установил официальные курсы валют на 4 сентября. Рубль падает ко всем основным зарубежным валютам....

Подробнее
Рубль теряет высоту. Курсы доллара, евро и юаня на 4 сентября - «Тема дня»

Рубль теряет высоту. Курсы доллара, евро и юаня на 4 сентября - «Тема дня»

​ Российская валюта снижается ко всем основным мировым валютам. Официальный курс ...

Подробнее
Финансовый совет на 4 сентября: как вернуть деньги за лишние школьные покупки - «Тема дня»

Финансовый совет на 4 сентября: как вернуть деньги за лишние школьные покупки - «Тема дня»

​ 💸 Ежедневный совет Банки — короткий и полезный совет, который помогает управлять деньгами осознанно. Подготовка к школе всегда...

Подробнее
Россияне стали активно покупать полисы страхования на случай онкозаболеваний - «Тема дня»

Россияне стали активно покупать полисы страхования на случай онкозаболеваний - «Тема дня»

​ Спрос на страховые полисы на случай онкологических заболеваний за год вырос на 40%. Об этом сообщил «Росгосстрах», проанализировав темпы роста продаж полисов данного сегмента. Больше всего спрос увеличился...

Подробнее
Финансовый совет на 30 августа: что сказать, если в банке спрашивают: «Откуда деньги?» - «Тема дня»

Финансовый совет на 30 августа: что сказать, если в банке спрашивают: «Откуда деньги?» - «Тема дня»

​ 💸 Ежедневный совет от Банки — просто о том, как повысить эффективность сбережений. Если вы вносите на счет крупные суммы наличными,...

Подробнее
Рубль дешевеет. Курсы доллара, евро и юаня на 30 августа - «Тема дня»

Рубль дешевеет. Курсы доллара, евро и юаня на 30 августа - «Тема дня»

​ Российская валюта подешевела к доллару, евро и юаню. Официальный курс доллара, установленный Центробанком на 30 августа 2025 года, составляет 80,3316 рубля (прежнее значение — 80,2918 рубля), официальный...

Подробнее

Разделы

Информация


Кабмин решил насытить внутренний рынок низкокачественным бензином под видом К5 - «Финансы»

Кабмин решил насытить внутренний рынок низкокачественным бензином под видом К5 - «Финансы»

В том К5, который разрешили выпускать, содержание серы превысит допустимый для К5 норматив в 15 раз. Это совсем не полезно для двигателей и катализаторов. Кроме того, временно снижают норматив обязательных продаж...

Подробнее

      
Курс валют сегодня