В России по данным Центробанка на ноябрь 2014 г. зарегистрировано 38 регистраторов. Их число, вероятно, продолжит сокращаться в рамках тренда укрупнения на данном рынке. В то же время эта тенденция способствует усилению конкуренции и повышению качества услуг. Для сохранения доверия своих клиентов большинство регистраторов предпринимает серьезные меры по обеспечению ИТ-безопасности реестров и других клиентских данных, и на это необходимо обращать внимание при выборе регистраторов.
Для чего нужна защита
Важность регистраторов определяется большим массивом обрабатываемых критических данных и особенностями процедур по ведению реестров, выплате дивидендов и другой деятельности, требующих четкой, конфиденциальной и своевременной работы. Кроме того, необходимо поддерживать непрерывность бизнеса вне зависимости от внешних обстоятельств. Нарушение этого, а также утечка данных или внезапное приостановление обслуживания могут привести как к прямым денежным потерям, так и к репутационным сложностям. И, конечно, в целом помешают взаимодействию компании-эмитента с акционерами, между регистратором и компаниями и, безусловно, приведут к сложностям внутри самих компаний. В связи с этим, вопросы ИТ-безопасности данных и программ, используемых для ведения реестра и сделок с ценными бумагами, приобретают все большее значение для предприятий.
Как обеспечить безопасность
Существуют два аспекта поддержания безопасности и непрерывности деятельности – документарный и технический. Документарные меры подразумевают разработку и исполнение комплексных документов в области информационной безопасности (например, политика информационной безопасности, правила и процедуры). В частности, в регистраторском бизнесе особое внимание уделяется защите от копирования данных, контролю и управлению изменениями, а также бизнес-контролю.
Защита от копирования и утечек обеспечивается путем жесткого регулирования выхода в интернет, доступа к сторонним приложениям и свободным ИТ-ресурсам (включая социальные сети, мессенджеры, аккаунты Google), использования USB-накопителей и иных электронных носителей. Все копирование осуществляется уполномоченными лицами - ИТ-департаментом, службой безопасности после раунда согласований. Управление изменениями направлено на сохранение стабильности ИТ-инфраструктуры и на поддержание сохранности данных. В частности, устанавливаются ограничения на установку новых версий программного обеспечения и любых модификаций информационных систем (путем использования системы заявок и предварительной авторизации). Наконец, бизнес-контроль представляет собой постоянное и выборочное проведение аудита деятельности и мониторинга прав доступа, когда внутрикорпоративные или внешние специалисты проверяют правильность и обоснованность обработки и использования данных и программ сотрудниками регистраторов.
Технические меры – это применение специального программного обеспечения для защиты информации и топология ИТ-инфраструктуры. Согласно правилам, используется специальное программное обеспечение для централизованного контроля доступа к портам и накопителям. Имеется два основных режима – наблюдение и блокировка. В формате наблюдения внешние порты открыты. Для предотвращения утечек применяется мониторинг поиска по словам и тому подобное, в формате блокировки, который применяется в компаниях группы Computershare в России, порты закрыты изначально.
Кроме того, имеются системы фильтрации электронной почты и веб-трафика, в соответствии с которыми, в частности, запрещается отправка электронных сообщений, содержащих определенные слова и иные признаки конфиденциальной информации, не допускается использование файлообменников. Все эти меры не отменяют традиционной защиты от атак извне – межсетевых экранов и других средств. Все приложения обычно выстроены в централизованную архитектуру, связывающую филиалы и центральный офис с ЦОДом и резервным ЦОДом (при наличии). Причем постоянно происходит репликация информации и резервное копирование.
Можно также отметить физические меры защиты серверов - видеонаблюдение, охрана, система пожаротушения. У некоторых компаний, включая Computershare, кроме резервного ЦОДа (активация которого требует около 30 минут) имеется резервный офис – для поддержания непрерывности бизнеса клиентов на случай, если основной офис будет недоступен.
Не менее важны вопросы, связанные с безопасностью данных от действий иностранных государств или представительств иностранных компаний, что волнует некоторых должностных лиц в отношении зарубежных участников рынка. Практика показывает, что из-за различий в законодательстве и регулировании в разных странах регистраторский бизнес имеет локальный характер. В России деятельность регистраторов жестко регулируется, и выполнение всех нормативных требований к регистраторской деятельности означает, что информация из реестров акционеров хранится и обрабатывается только на территории Российской Федерации.
Регистраторы, действующие в России, располагают обособленной программно-технической инфраструктурой, в частности, отдельными серверами для хранения данных реестров акционеров и не осуществляют трансграничную передачу данных. Таким образом, несмотря на риски, связанные с ведением реестров, хранением и обработкой конфиденциальной информации компаниями-регистраторами, участники данного рынка в последнее время совершили значительный прогресс в обеспечении информационной безопасности своей деятельности и успешно защищают данные реестров от утечек или воздействия извне.