Контакты
Подписка
МЕНЮ
Контакты
Подписка

Как банку перейти в частное облако и не подставить под угрозу безопасность клиентских данных?

Антонина Лукашенко, 19/02/2019

Фото_Антонина ЛукашенкоЧетвертая промышленная революция трансформирует финансовый рынок и одним из ключевых направлений внедрения инноваций становится частичный или полный переход в облака. Все больше банков перемещают или планируют разместить свою сложную ИТ-инфраструктуру в частные облачные сервисы.

Обслуживание частного облака ложится на плечи провайдеров. Они обещают не только сократить расходы банков на ИТ-инфраструктуру, но и взять на аутсорсинг все задачи, связанные с содержанием и модернизацией больших серверных ферм.

Однако, использование облачных сервисов сопряжено с рисками и, в первую очередь, с риском утечки данных. Банки работают с критичной для утечек информацией, включая информацию, содержащую персональные данные и банковскую тайну. Несмотря на гарантии со стороны сервис–провайдеров и операторов в части безопасности и конфиденциальности данных, такие риски находятся в зоне ответственности банка.

При переносе инфраструктуры в облако перед банком стоит задача самостоятельно провести анализ рисков и угроз, после чего принять комплексные меры по защите информации.

Для того, чтобы оптимизировать затраты на ИТ-инфраструктуру банк может принять решение о размещении информационных систем в коммерческой облачной инфраструктуре. В таком случае банку предстоит решить три приоритетные задачи по обеспечению информационной безопасности.

  1. Обеспечить защиту конфиденциальной информации в соответствии с требованием закона от 27.07.2006 N 152-ФЗ “О персональных данных”. К конфиденциальной информации относятся персональные данные клиентов и сотрудников банка, финансовые сведения, подлежащие защите, и другая требующая защиты информация.
  2. Обеспечить защиту информационных систем и виртуальной инфраструктуры банка в соответствии с требованием федерального закона от 26.07.2017 N 187-ФЗ “О безопасности критической информационной инфраструктуры Российской Федерации”.
  3. Обеспечить защиту данных от угроз безопасности, которые могут исходить от провайдера облачной инфраструктуры и его персонала.

“В первую очередь мы заботимся о своих клиентах, поэтому при переносе инфраструктуры в коммерческое облако постарались предусмотреть все возможные угрозы для целостности и конфиденциальности персональных данных клиентов в соответствии как с банком данных угроз ФСТЭК России, так и в соответствии с требованиями руководящего документа ГОСТ Р 56938-2016 “Защита информации. Защита информации при использовании технологий виртуализации. Общие положения”. Мы не только тщательно подошли к выбору провайдера, но и усилили свою защиту как от клиентов этого же провайдера, так и от него самого”, – рассказывает руководитель Службы ИТ-безопасности АО КБ“ФорБанк” Павел Первин.

Для решения этих задач банк может обратиться в ИТ-компанию, имеющую компетенции, опыт и все необходимые лицензии на проведение работ в области информационной безопасности.

Первым этапом специалисты проводят аудит текущего состояния, при котором могут быть выявлены уязвимости в корпоративной информационной системе и связанные с ними риски, выполнена оценка соответствия внешним требованиям и лучшим практикам в области информационной безопасности.

По итогам проведения обследований всей системы или выделенных процессов, специалисты в наглядной форме предоставляют информацию о состоянии информационной безопасности, выявляют информационные активы, подлежащие защите, а также разрабатывают рекомендации по повышению уровня состояния системы информационной безопасности. 

На следующем этапе банк получает решение для защиты своих информационных систем, развернутых в облачной инфраструктуре, учитывающее уникальные особенности деятельности конкретного банка.

На рынке существует ряд эффективных решений для финансового сектора, которые обеспечивают надежную защиту виртуальных машин и обрабатываемых на них данных за счет криптографического шифрования данных, их резервных копий и снимков.

Внедрение такого решения позволит банку в полном объеме воспользоваться преимуществами размещения информационных систем в коммерческой облачной инфраструктуре, обеспечив безопасность информации при реализации угроз информационной безопасности, связанными с несанкционированным доступом к виртуальным машинам как со стороны внешних лиц, так и со стороны самого провайдера облачной инфраструктуры. Среди основных преимуществ решения специалисты называют снижение капитальных и операционных расходов на инфраструктуру, скорость развертывания, гибкость и масштабируемость.

Для обеспечения безопасности персональных данных в соответствии с требованиями регулятораИТ–компания осуществляет для банка выбор и поставку средств защиты информации. Это позволяет избежать ответственности за несоблюдение закона и декларировать клиентам и партнерам, что банк рассматривает защиту сведений о своих клиентах как приоритетную задачу и принимает необходимые меры.

 

Темы:важноБанкиОблачные технологииблогHowTo
Комментарии

More...