Статья

Какие банковские системы можно отдавать на аутсорсинг

ИТ в банках Облачные технологии
мобильная версия
, Текст: Наталья Рудычева

Статья является продолжением начатой серии публикаций о возможности передачи информационных систем профессиональному провайдеру облачных сервисов и существующих ограничениях. Сегодня речь пойдет об ограничениях, которые накладывает 161-ФЗ «О национальной платежной системе», в том числе и в области защиты банковской тайны.

Согласно определению 161-ФЗ, Национальная платежная система (НПС) – это совокупность организаций, взаимодействующих по правилам платежной системы в целях осуществления перевода денежных средств, включающая оператора платежной системы, операторов услуг платежной инфраструктуры и участников платежной системы, из которых как минимум три организации являются операторами по переводу денежных средств.

Участники Национальной платежной системы

Как следует из определения, в Национальной платежной системе есть несколько основных участников. Это оператор платежной системы – юридическое лицо, определяющее правила платежной системы в соответствии с требованиями законодательства. Оператором платежной системы может быть не только кредитная организация, но и любое юридическое лицо, отвечающее требованиям, определенным в 161-ФЗ.

Еще один участник – оператор по переводу денежных средств, в роли которого выступают по большей части кредитные организации, которые взаимодействуют с клиентами и должны выполнять требования 161-ФЗ и других подзаконных актов, в том числе положения Банка России 382-П.

Структура Национальной платежной системы


 Источник: НПС, 2015

Также к работе могут привлекаться банковские платежные агенты или субагенты – некредитные организации или индивидуальные предприниматели.

В качестве примера участников НПС можно назвать банки, владельцев терминалов по оплате услуг (Qiwi, «Элекснет», CyberPlat и др.), компании, позволяющие выполнить переводы денежных средств («Юнистрим», «Золотая корона» и др.), компании, оказывающие услуги по созданию инфраструктуры платежных систем («Вестер Юнион» и др.). При этом любой банк является как минимум участником платежной системы Банка России и должен выполнять все требования  законодательства Российской Федерации в области защиты информации при осуществлении переводов денежных средств.

Требования к безопасности НПС

Ключевыми регуляторами в области защиты информации в платежной системе, согласно ст. 27 Федерального закона от 27.06.2011 N 161-ФЗ «О национальной платежной системе», являются Банк России, ФСТЭК России и ФСБ России. ФСБ России и ФСТЭК России осуществляют контроль и надзор за выполнением требований к защите информации о средствах и методах обеспечения информационной безопасности, персональных данных и др. Банк России принимает нормативные акты для регулирования отношений в национальной платежной системе, осуществляет контроль за соблюдением требований к защите информации при осуществлении переводов денежных средств.

161-ФЗ «О Национальной платежной системе» имеет несколько подзаконных актов, большую часть из которых составляют документы Банка России. Среди них постановление правительства Российской Федерации от 13 июня 2012 г. N 584 «Об утверждении Положения о защите информации в платежной системе», которое устанавливает общие требования по обеспечению информационной безопасности в НПС, и положение Банка России № 382-П от 9 июня 2012  г., конкретизирующее их. Также дополнительные требования накладывают правила, установленные оператором платежной системы, к которой присоединяется банк.

Важным пунктом первого документа является предоставление участникам НПС возможности привлекать сторонние организации, обладающие необходимыми лицензиями, для проведения работ по информационной безопасности. Компания IBS DataFort обладает лицензией ФСТЭК на деятельность по технической защите конфиденциальной информации.

Требования по ИБ и сервисы IBS DataFort

Требование Услуги, предоставляемые IBS DataFort для выполнения требований
1.     Распределение ролей и ответственность
Определяет требования к регистрации лиц, обладающих различными правами доступа к защищаемой информации и объектам среды обработки защищаемой информации, требования к контролю и регистрации действий таких лиц • Резервное копирование виртуальных машин и данных
• Шифрование информации при хранении и передаче
• Гарантированное уничтожение информации, в том числе физических носителей
• Мониторинг инфраструктуры
• Мониторинга и регистрации событий ИБ, в том числе сертифицированными средствами
• Контроль и предотвращение утечки конфиденциальной информации (DLP)
2.     Обеспечение информационной безопасности на жизненном цикле автоматизированных систем
Определяет требования к обеспечению защиты информации на стадиях жизненного цикла автоматизированных систем и обеспечению реализации требований по защите информации (разработка ТЗ, разработка ПО, тестирование, эксплуатация, внесение изменений, защита резервных копий, восстановление средств ЗИ в случае сбоев и отказов, снятие с эксплуатации, уничтожение информации). • Резервное копирование виртуальных машин и данных
• Шифрование информации при хранении и передаче
• Гарантированное уничтожение информации, в том числе физических носителей
• Мониторинг инфраструктуры
• Мониторинга и регистрации событий ИБ, в том числе сертифицированными средствами
• Контроль и предотвращение утечки конфиденциальной информации (DLP)
3.     Управление и контроль доступа
Определяет требования к управлению и контролю доступа к защищаемой информации и объектам среды обработки защищаемой информации путем применения комплекса организационных и технологических мероприятий (идентификация, аутентификация, регистрация событий и т.д.). • Внедренные в платформу предоставления вычислительных мощностей сертифицированные средства защиты виртуализации
• Защита информации от несанкционированного доступа (в том числе сертифицированными средствами) с использованием многофакторной авторизации
4.     Антивирусная защита
Определяет требования к защите от вредоносного ПО (в том числе использование технических средств ЗИ от воздействия вредоносного кода различных производителей), а также необходимость принятия мер, направленных на предотвращение распространения вредоносного кода и на устранение последствий воздействия вредоносного кода. Антивирусная защита (в том числе сертифицированными средствами)
5.     Контроль использования сети интернет
Устанавливает организационно технические требования к защите информации при взаимодействии с сетью Интернет (Межсетевое экранирование защита от несанкционированного доступа и т.д.) • Внедренные в платформу предоставления вычислительных мощностей сертифицированные средства защиты виртуализации, в том числе сертифицированный межсетевой экран
• Защита информации от несанкционированного доступа (в том числе сертифицированными средствами)
• Обнаружение и предотвращение вторжений (IPS/IDS)
• Защита от DDoS атак
• Сканирование виртуальных машин, операционных систем и сетевых устройств на уязвимости

Источник: IBS DataFort, 2016

Перейти к полной таблице

Второй документ, положение 382-П, устанавливает требования по защите информации при осуществлении переводов денежных средств. Существенная часть этих требований может быть закрыта услугами из портфеля сервисов информационной безопасности IBS DataFort. Многие из этих требований пересекаются с требованиями ранее рассмотренного стандарта PCI DSS.

Гарантии банковской тайны

161-ФЗ впервые устанавливает, что не только банки, но и все субъекты НПС обязаны гарантировать банковскую тайну и обеспечивать защиту информации о применяемых способах обеспечения информационной безопасности, а также защиту персональных данных и другой определенной законом информации. Требования к защите информации устанавливает правительство РФ.

Ст.26 Федерального закона № 395-1 «О банках и банковской деятельности» определяет банковскую тайну как «тайну об операциях, о счетах и вкладах своих клиентов и корреспондентов». При этом в законе отсутствуют ограничения относительно передачи ИТ-функций по обеспечению этой деятельности сторонним провайдерам ИТ-услуг. Одним из главных факторов, сдерживающих этот процесс, является убежденность представителей организаций финансового сектора в невозможности соответствия требованиям регулирующих органов со стороны провайдера. Существует мнение, что поставщики ИТ-услуг не понимают специфики работы финансовых организаций в части обеспечения информационной безопасности.

Компания IBS DataFort предлагает реализовать все необходимые организационные и технические меры по защите банковской тайны на своей платформе. В их числе управление и контроль доступа с учетом ролевой модели, контроль сетевого трафика (межсетевые экраны, средства обнаружения вторжений, анализ сетевых пакетов, защита от атак), использование средств криптозащиты при передаче и хранении данных, антивирусная защита, резервное копирование, мониторинг событий и управление инцидентами информационной безопасности, а также услуги по созданию нормативной документации и оценке соответствия.

Одно из преимуществ компании IBS DataFort заключается в том, что многие средства защиты уже включены в стоимость предлагаемых услуг по предоставлению вычислительных ресурсов, ресурсов хранения данных и сервисов передачи данных. Таким образом клиенту-финансовой организации не требуется выделять дополнительный бюджет на обеспечение соответствия. Также сроки подключения к услугам и реализации проектов по внедрению информационных систем с учетом требований информационной безопасности сокращаются в 2-3 раза. 

Подтверждением того, что аутсорсинг ИТ-услуг в финансовом секторе возможен, является успешное и долгосрочное сотрудничество IBS DataFort с компаниями финансового сектора. 

Иван Гузев, директор по информационной безопасности IBS DataFort,

Антон Свинцицкий, руководитель отдела консалтинга «ДиалогНаука»