аутсорсинг It систем леонов-finopolis2016_14окт
- 1. Аутсорсинг инфраструктуры банковских систем с точки зрения информационной безопасности: опыт ЦФТ Алексей ЛЕОНОВ, руководитель дирекции информационной безопасности ГК ЦФ
- 2. ЦФТ НА РЫНКЕ ОБЛАЧНЫХ РЕШЕНИЙ ДЛЯ ФИНАНСОВОГО СЕКТОРА • ИT-аутсорсинг – одна из ведущих компетенций компании • ЦФТ развивает услуги ИТ-аутсорсинга по следующим направлениям: ЦФТ - ПЕРВАЯ РОССИЙСКАЯ СОФТВЕРНАЯ КОМПАНИЯ, УСПЕШНО РЕАЛИЗОВАВШАЯ СЕРИЮ ПРОЕКТОВ ПО ПРЕДОСТАВЛЕНИЮ ПАРТНЕРАМ CORE BANKING SYSTEM НА УСЛОВИЯХ АУТСОРСИНГА старт реализации проектов Сore banking system на условиях аутсорсинга 2010 год CORE BANKING ИНТЕРНЕТ-СЕРВИСЫ КАРТОЧНЫЕ ПРОДУКТЫ
- 3. ЦФТ НА РЫНКЕ ОБЛАЧНЫХ РЕШЕНИЙ ДЛЯ ФИНАНСОВОГО СЕКТОРА Банки РФ: • Банк «МФК» • ЭКСПОБАНК • СКС БАНК • Банк «Взаимодействие» • КОРЕА ЭКСЧЕНДЖ БАНК РУС • Банк «ВЕСТА» • ВЕГА-БАНК • АИЖК Банки СНГ: • «Банк ЭкспоКредит» (Казахстан) АУТСОРСИНГОВЫЕ ПРОЕКТЫ ЦФТ:* * по состоянию на 01.10.2016 г. КАРТОЧНЫЕ ПРОДУКТЫСтраховые Компании: • «Д2 Страхование» Система для обучения студентов (АБС): • НИУ ВШЭ (Высшая Школа Экономики) • НГУЭиУ (Новосибирский Государственный университет Экономики и Управления) ЦОДов: >2 СТАТИСТИКА ПРОЕКТОВ: Серверов: >200 (>30 аутсориснг) Пользователей: >2000
- 4. ФУНКЦИИ, ВЫПОЛНЯЕМЫЕ ЦФТ В РАМКАХ ИТ-АУТСОРСИНГА • БИЗНЕС-ФУНКЦИИ: автоматизация бизнес-процессов по основным направлениям деятельности, задачи по модификации, развитию, адаптации продуктов ИТ под требования Банка • ИТ-ФУНКЦИИ: администрирование аппаратно-программного комплекса, услуги по поддержке пользователей, эксплуатации, сопровождению и развитию • ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ: реализация комплекса мер по физической безопасности, пожарной безопасности, информационной безопасности, и т.д.
- 5. МОДЕЛИ АУТСОРСИНГА: In, Out, Without МОДЕЛЬ ХАРАКТЕРИСТИКИ ОСОБЕННОСТИ «In» Вся ИТ-инфраструктура находится на стороне ЦФТ, на стороне Банка только пользовательские ПК Аутсорсер отвечает за всю техническую наполненность ЦОДа и доп. средства защиты (FW, IDS/IPS, Сканеры уязвимостей, SIEM, AV, оборудование для построения защищенного канала связи с Банком) и т.д. «Out» ИТ-инфраструктура размещается в ЦОДе Банка, на стороне ЦФТ – пользовательские ПК сопровождения и администраторов • Данную модель выбирают крупные банки • Банк отвечает за всю техническую наполненность ЦОДа и дополнительные средства защиты
- 6. БЕЗОПАСНОСТЬ ПРЕВЫШЕ ВСЕГО ФАКТОРЫ ПРИСТАЛЬНОГО ВНИМАНИЯ К ВОПРОСАМ БЕЗОПАСНОСТИ: • Требования законодательства (Банковская тайна, Персональные данные) • Требования регуляторов • Требования международных стандартов (PCI DSS, PA DSS) • Рыночные тренды + Best practice До начала проекта аутсорсинга достаточно много консультировались с регуляторами, с консультантами и аудиторами из компаний «большой четверки» (в частности именно по вопросам защиты информации)
- 7. • ЦОД 1 – основной • ЦОД 2 – резервный • ЦОД на аутсорсинге (тестировали на примере с ЦОД Ростелекома) ЦФТ развивает инфраструктуру собственных ЦОД в соответствии с уровнем надежности Tier 3 стандарта TIA-942 ИНФРАСТРУКТУРА ЦФТ ДЛЯ ПРЕДОСТАВЛЕНИЯ УСЛУГ АУТСОРСИНГА
- 8. 1. Физическая безопасность ЦОДов (охрана и контроль доступа обеспечивается спецподразделением охраны) 2. Система контроля доступа в ЦОД с использованием персонифицированных карт 3. Система видеонаблюдения всего периметра снаружи и внутри ЦОДов 4. Резервное копирование на защищенные библиотеки 5. Дублирующий ЦОД (резервный) для обеспечения непрерывности деятельности. 6. Собственные ЦОДы ЦФТ созданы по уровням надежности Tier III стандарта TIA-942. К каждой из площадок подключено по 4 магистральных провайдера - РОСТЕЛЕКОМ, ТТК, АВАНТЕЛ, РТКОММ- СИСБИРЬ 7. Взаимодействие с Банками строится по защищенным каналам связи (основной и резервный) с использованием сертифицированной в ФСБ криптографии ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ – ОБЯЗАТЕЛЬНАЯ СОСТАВЛЯЮЩАЯ СЕРВИСА ИТ-АУТСОРСИНГА • Базовый уровень обеспечения безопасности – обязательный • Все, что свыше Базового уровня – по индивидуальному согласованию с банком ОБЩИЙ БАЗОВЫЙ УРОВЕНЬ:
- 9. 1. Выполнение работ в соответствии с внутренней нормативной базой – приказы, политики, регламенты 2. Выделенный сетевой периметр для сервиса аутсорсинга, при этом каждый банк отдельно размещается в своем периметре безопасности. Использование специализированного ПО для защиты периметров, таких как: FW, IDS/IPS, Сканеры уязвимостей, SIEM, AV, HSM 3. SOC-центр 4. Регулярные аудиты: • внутренние – на соответствие требованиям информационной безопасности • внешние – на соответствия требованиям стандарта ISAE 3402 (внешний аудитор Компания PWC) ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ: ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ – ОБЯЗАТЕЛЬНАЯ СОСТАВЛЯЮЩАЯ СЕРВИСА ИТ-АУТСОРСИНГА
- 10. 5. Периодические сканирования внутри инфраструктуры на предмет наличия уязвимостей 6. Периодический пентест на предмет возможности взлома 7. Использование таких средств, как Oracle AS (шифрование данных в БД), Oracle Data Vault (разграничение прав пользователей, в частности администраторов) 8. Поддержка пользователей, модификация ведется на копиях Рабочих схем (без доступа к критичным данным). Данные изменены 9. Ограниченный доступ специалистов ЦФТ к критичным данным на разных уровнях – сетевой, прикладной, с учетом принятой в банке политике ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ: ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ – ОБЯЗАТЕЛЬНАЯ СОСТАВЛЯЮЩАЯ СЕРВИСА ИТ-АУТСОРСИНГА
- 11. ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ. ЗАДАЧИ БАНКА: • Управление пользователями (либо контроль за данной функцией на стороне аутсорсера) • Собственные аудиты и дополнительные Контроли в соответствие с требованиями регуляторов • Внедрение собственных средств мониторинга и реагирования • Более гибкое управление правами доступа • Анализы защищенности • Анализ кода • И т.д. СУЩЕСТВУЕТ ДОПОЛНИТЕЛЬНОЕ СОГЛАШЕНИЕ, В КОТОРОМ ЦФТ И БАНК ОПИСЫВАЮТ ОБЯЗАТЕЛЬСТВА КАЖДОЙ ИЗ СТОРОН В ОБЛАСТИ БЕЗОПАСНОСТИ ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ – ОБЯЗАТЕЛЬНАЯ СОСТАВЛЯЮЩАЯ СЕРВИСА ИТ-АУТСОРСИНГА
- 12. ВОПРОСЫ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. ПРОБЛЕМЫ. ПЛАНЫ НА БУДУЩЕЕ СЛОЖНОСТИ В РЕАЛИЗАЦИИ: • Ранее мы брали на вооружение все новые возможности из ИБ, но при их внедрении в промышленную эксплуатацию реальность не всегда оправдывала ожидания: • Шифрование данных. Oracle AS и Oracle DV • Мониторинг всех действий пользователей через единую точку доступа ЧТО ЕЩЕ МОЖНО РЕАЛИЗОВАТЬ? • ISO 27001 • Шифрование БД на ГОСТ-алгоритмах • IDM СХЕМА ИТ-АУТСОРСИНГА ВЫГОДНА ДЛЯ БАНКОВ С ТОЧКИ ЗРЕНИЯ БЕЗОПАСНОСТИ – ПРОЕКТ МОЖНО РЕАЛИЗОВАТЬ СОВМЕСТНО С АУТСОРСЕРОМ С УСЛОВИЕМ РАСПРЕДЕЛЕНИЯ ЗАДАЧ «50х50»
- 13. ВЫВОДЫ • Банки готовы к смене софтверной парадигмы. Модель ИТ-аутсорсинга для core banking system уже выбрали банки, также ведем переговоры с МФО. Финансовые организации доверяют высокому уровню надежности и безопасности ЦОДов ЦФТ. • Важно четко сформулировать обязательства и распределить зоны ответственности • Планируемый к выходу стандарт по безопасности для Банков должен повысить уровень сервиса и положительно скажется на рынке ОПЫТ И ПРАКТИКА ГК ЦФТ ПОКАЗЫВАЮТ:
- 14. www.cft.ru www.group.cft.ru СПАСИБО ЗА ВНИМАНИЕ! Алексей ЛЕОНОВ, руководитель дирекции информационной безопасности ГК ЦФ