Антонина Лукашенко, 19/02/2019
/%D0%BB%D0%B8%D1%86%D0%B0/%D0%A4%D0%BE%D1%82%D0%BE_%D0%90%D0%BD%D1%82%D0%BE%D0%BD%D0%B8%D0%BD%D0%B0%20%D0%9B%D1%83%D0%BA%D0%B0%D1%88%D0%B5%D0%BD%D0%BA%D0%BE.jpg?width=168&name=%D0%A4%D0%BE%D1%82%D0%BE_%D0%90%D0%BD%D1%82%D0%BE%D0%BD%D0%B8%D0%BD%D0%B0%20%D0%9B%D1%83%D0%BA%D0%B0%D1%88%D0%B5%D0%BD%D0%BA%D0%BE.jpg)
Четвертая промышленная революция трансформирует финансовый рынок и одним из ключевых направлений внедрения инноваций становится частичный или полный переход в облака. Все больше банков перемещают или планируют разместить свою сложную ИТ-инфраструктуру в частные облачные сервисы.
Обслуживание частного облака ложится на плечи провайдеров. Они обещают не только сократить расходы банков на ИТ-инфраструктуру, но и взять на аутсорсинг все задачи, связанные с содержанием и модернизацией больших серверных ферм.
Однако, использование облачных сервисов сопряжено с рисками и, в первую очередь, с риском утечки данных. Банки работают с критичной для утечек информацией, включая информацию, содержащую персональные данные и банковскую тайну. Несмотря на гарантии со стороны сервис–провайдеров и операторов в части безопасности и конфиденциальности данных, такие риски находятся в зоне ответственности банка.
При переносе инфраструктуры в облако перед банком стоит задача самостоятельно провести анализ рисков и угроз, после чего принять комплексные меры по защите информации.
Для того, чтобы оптимизировать затраты на ИТ-инфраструктуру банк может принять решение о размещении информационных систем в коммерческой облачной инфраструктуре. В таком случае банку предстоит решить три приоритетные задачи по обеспечению информационной безопасности.
- Обеспечить защиту конфиденциальной информации в соответствии с требованием закона от 27.07.2006 N 152-ФЗ “О персональных данных”. К конфиденциальной информации относятся персональные данные клиентов и сотрудников банка, финансовые сведения, подлежащие защите, и другая требующая защиты информация.
- Обеспечить защиту информационных систем и виртуальной инфраструктуры банка в соответствии с требованием федерального закона от 26.07.2017 N 187-ФЗ “О безопасности критической информационной инфраструктуры Российской Федерации”.
- Обеспечить защиту данных от угроз безопасности, которые могут исходить от провайдера облачной инфраструктуры и его персонала.
“В первую очередь мы заботимся о своих клиентах, поэтому при переносе инфраструктуры в коммерческое облако постарались предусмотреть все возможные угрозы для целостности и конфиденциальности персональных данных клиентов в соответствии как с банком данных угроз ФСТЭК России, так и в соответствии с требованиями руководящего документа ГОСТ Р 56938-2016 “Защита информации. Защита информации при использовании технологий виртуализации. Общие положения”. Мы не только тщательно подошли к выбору провайдера, но и усилили свою защиту как от клиентов этого же провайдера, так и от него самого”, – рассказывает руководитель Службы ИТ-безопасности АО КБ“ФорБанк” Павел Первин.
Для решения этих задач банк может обратиться в ИТ-компанию, имеющую компетенции, опыт и все необходимые лицензии на проведение работ в области информационной безопасности.
Первым этапом специалисты проводят аудит текущего состояния, при котором могут быть выявлены уязвимости в корпоративной информационной системе и связанные с ними риски, выполнена оценка соответствия внешним требованиям и лучшим практикам в области информационной безопасности.
По итогам проведения обследований всей системы или выделенных процессов, специалисты в наглядной форме предоставляют информацию о состоянии информационной безопасности, выявляют информационные активы, подлежащие защите, а также разрабатывают рекомендации по повышению уровня состояния системы информационной безопасности.
На следующем этапе банк получает решение для защиты своих информационных систем, развернутых в облачной инфраструктуре, учитывающее уникальные особенности деятельности конкретного банка.
На рынке существует ряд эффективных решений для финансового сектора, которые обеспечивают надежную защиту виртуальных машин и обрабатываемых на них данных за счет криптографического шифрования данных, их резервных копий и снимков.
Внедрение такого решения позволит банку в полном объеме воспользоваться преимуществами размещения информационных систем в коммерческой облачной инфраструктуре, обеспечив безопасность информации при реализации угроз информационной безопасности, связанными с несанкционированным доступом к виртуальным машинам как со стороны внешних лиц, так и со стороны самого провайдера облачной инфраструктуры. Среди основных преимуществ решения специалисты называют снижение капитальных и операционных расходов на инфраструктуру, скорость развертывания, гибкость и масштабируемость.
Для обеспечения безопасности персональных данных в соответствии с требованиями регулятораИТ–компания осуществляет для банка выбор и поставку средств защиты информации. Это позволяет избежать ответственности за несоблюдение закона и декларировать клиентам и партнерам, что банк рассматривает защиту сведений о своих клиентах как приоритетную задачу и принимает необходимые меры.
