Незаоблачные высоты. Как мигрировать в облака, не нарушая требований регуляторов?

26.06.2017
Изображение к статье как мигрировать в облака

Финансовый сектор одним из первых в России начал активно развивать информационные технологии в своем бизнесе. Практически каждый год или два требовал от банкиров полностью пересматривать стратегии по технологическому развитию, чтобы быть в ногу со временем. На смену одним технологиям быстро приходили другие, более сложные и финансово затратные. Со временем росли и регуляторные требования к защите информации, и в современном мире банкиры вынуждены как никогда внимательно следить за всеми новыми инициативами госорганов, которые могут отражаться на их бизнесе.

При отсутствии конкретной терминологии в российской законодательной базе, что же такое «облако», закон «О персональных данных» и, сопутствующие, постоянно дополняющиеся и изменяющиеся, документы серьезно насторожили финансовый сектор, который уже активно работал с big data и публичными облачными технологиями, предоставляемые аутсорсинговые ИТ-компании. Масло в огонь подлили масштабные кибератаки, участившиеся в последние годы.

Каково же отношение регуляторов к использованию банками «облаков» под управлением сторонних провайдеров. Перечислим основные документы.

К требованиям законодательства РФ в области защиты информации относятся Федеральные законы 149-ФЗ («Об информации, информационных технологиях и о защите информации»), 152-ФЗ («О персональных данных»), 242-ФЗ («О внесении изменений в отдельные законодательные акты РФ по вопросам осуществления государственного контроля (надзора) и муниципального контроля»), 161-ФЗ («О национальной платежной системе»).

ФСТЭК России и ФСБ России в этом же вопросе руководствуются приказом ФСТЭК №21 и Приказ ФСБ №378, а также методическими документами и разъяснениями. Помимо этого последние две структуры выставляют требования к лицензиатам по деятельности в области защиты информации. ФСТЭК со своей стороны не предъявляет дополнительных требований по защите информации при использовании публичных облаков, есть только требования по защите среды виртуализации. Приказ №21, непосредственно посвященный обеспечению безопасности ПДн, говорит о необходимости защиты ключевого элемента облачных вычислений - «среды виртуализации» (ч.2, п.8), не запрещая напрямую или косвенно использовать внешние сервисы. Также данный приказ содержит конкретные меры по защите среды виртуализации, которые должны быть реализованы в зависимости от уровня защищенности персональных данных и наличия актуальных угроз (ЗСВ.1 – ЗСВ.10). В документах ФСБ отсутствует упоминание «облаков».

Свои требования в области защиты информации есть и у финансового регулятора Центрального Банка РФ (ЦБ). Это отраслевой стандарт по обеспечению информационной безопасности (СТО БР ИББС) и рекомендации в области стандартизации (РС БР ИББС), Положения ЦБ РФ №382-П и №552-П по защите информации при обеспечении переводов денежных средств, указания ЦБ.

Сам Банк России тестировать облачные технологии начал в 2011 году. Уже тогда возникло понимание, что в «облаке» должны быть защита от вредоносного кода, контроль и разграничение доступа на сетевом уровне, на уровне доступа к различным приложениям и виртуальным машинам. В 2014 году ЦБ стал готовиться к проведению финансовых операций в облачных сервисах, собрав рабочую группу по разработке предложений для внесения необходимых изменений в законодательство, позволяющих более широко использовать электронный документооборот (ЭДО). Как результат в мае 2016 года участники финрынка перешли на обязательный ЭДО с Банком России. А уже летом того же года ЦБ объявил о создании консорциума по внедрению новых технологий в партнерстве с крупнейшими банками и ИТ-компаниями. Сообщество должно изучить, а затем и внедрять технологии распределенных регистров (blockchain), облачных технологий, управления big data и развитие системы упрощенной идентификации.

Облачные технологии для банков под управлением сторонних провайдеров нашли отражение и в «Основных направлениях развития финансового рынка Российской Федерации на период 2016–2018 годов»: Банк России обязался «проработать подходы по предоставлению сервисов для малых поднадзорных финансовых организаций, позволяющих вести учет хоздеятельности без обязанности сдавать отчетность при предоставлении ЦБ права непосредственного использования данных бухучета, в том числе с использованием облачных технологий». Согласно «Основным мероприятиям по развитию финансового рынка Российской Федерации на период 2016–2018 годов», в 2016 году ЦБ определил некий подход (план) работы в этом направлении. Правда, на 2017 и 2018 года иных мероприятий по «облачному» направлению в документе не значится.

Собственно, сам Банк России уже использует облачные продукты в своей деятельности. К примеру, ЦБ намерен приобрести около 45 тыс. лицензии на облачный офисный продукт Office 365. В планах у финансового регулятора и создание с банками, входящими в ассоциацию «Финтех», платформы моментальных платежей (p2p). И понятно, что без облачных технологий здесь не обойтись.

Кстати, свои требования есть и у международных платежных систем по защите информации данных держателей карт (PCI DSS). Требования и взаимоотношения организаций финансового сектора при использовании облачных технологий регулируются п. 12.8 PCI DSS, и уже давно распространена практика использования PCI DSS-хостинга у сторонних сервис-провайдеров.

При этом если не рассматривать информацию, отнесенную к гостайне, то запрета по размещению в публичных облаках любых банковских информационных систем нет. В том числе и на использование информационных систем (ИС), обрабатывающих персональные данные (ПДн). Единственное законодательное ограничение содержится в Федеральном Законе №242-ФЗ и касается физического размещения средств обработки и хранения ПДн на территории РФ при сборе ПДн.

Когда речь идет о размещении банковских ИС на собственной площадке, то здесь вопросов к законодательству нет. Но при использовании ИС в облаке появляются некоторые особенности реализации тех или иных технических и организационных мер защиты. Большая часть вопросов относится к разграничению зон ответственности между провайдером облачных услуг и банком. Это связано с тем, что при размещении решения в облаке управлением системы защиты занимаются как работники банка, так и представители провайдера облачных услуг, что зачастую заявляется как аргумент против передачи банковских ИС в публичное облако, мол, невозможно все эти правила соблюсти.

Возможно. Каких-либо преград или запрета на использование публичных облаков банками, находящихся на территории РФ, в нормативных документах и требованиях для организаций финансовой отрасли нет. Если банк обращается к внешним облачным провайдерам, то последние должны в своем «облаке» реализовывать и выполнять нормативные требования (в рамках своей зоны ответственности) и требования банка по информационной безопасности. В целом, мировая практика показывает, что компании, специализирующиеся на облачных сервисах, создают более качественную инфраструктуру, чем это могут позволить себе большинство не профильных организаций.

Как это выглядит на конкретном примере. При размещении ИС банка в облаке Техносерв Cloud обе стороны составляют полный реестр требований по ИБ, предъявляемых к банку и банком, и разграничивают зоны ответственности. Наша компания отвечает за защиту периметра от внешних угроз (межсетевое экранирование, защита от сетевых этак) и за защиту виртуальной инфраструктуры, а клиент - за обеспечение информационной безопасности внутри предоставленных ему виртуальных машин. При этом провайдер, безусловно, защищает рабочие станции своих администраторов и предоставляет им защищенный доступ к средствам администрирования инфраструктуры Техносерв Cloud.

Следующий этап - подготовка или актуализация внутренних документов банка, необходимых для успешного прохождения аудитов по СТО БР ИББС, положению ЦБ РФ №382-П, стандарту PCI DSS v.3.2 и др. с учетом новой модели потребления инфраструктурных ресурсов. Параллельно идет перенос ИС банка в облачную платформу.

Техносерв Cloud развернута на площадке дата-центра категории Tier III. Платформа состоит из двух физически изолированных частей (VDC и VDC.152; для государственных и финансовых организаций):

- Сегмент «Закрытый» функционирует на решении VMware. Инфраструктура соответствует требованиям приказов №17 и №21 ФСТЭК для обеспечения до 1-го класса защиты ГИС и 1-го уровня защищенности ПДн включительно. Иными словами, «Техносерв» в данном случае не занимается сертификацией ПО, а предоставляет аттестованную по требованиям защиты информации инфраструктуру. Собственно говоря, в том числе и госорганы могут размещать здесь свою ИС с наивысшими требованиями к информационной безопасности.

- Сегмент «Защищенный» подходит для финансовых учреждений, также основан на решении VMware. Инфраструктура соответствует требованиям Положения ЦБ РФ №382-П, сертифицирована на соответствие требованиям стандарта PCI DSS.

Да, если бы в российском законодательстве было точное определение термина «облачные технологии», то следить и соблюдать банкам все нормативы по предоставлению облачных услуг как самостоятельно, так и через провайдеров было бы, наверное, легче. Но зачем усложнять себе жизнь, когда можно обратиться к специализированным провайдерам облачных сервисов, которые одними из первых изучают новые нормативные акты и максимально оперативно приводят свои предложения в полное соответствие с требованиями отечественного законодательства.

Оставайтесь на связи!

Подпишитесь, чтобы получать последние новости об облачных сервисах и трендах облачного рынка от Техносерв Cloud.
Без спама, отменить подписку можно в любое время.

Задать вопрос

У вас есть вопрос, идея, предложение или хотите стать нашим партнером? Просто отправьте нам сообщение в свободной форме, и в течение рабочего дня мы свяжемся с вами.

Имя*
Фамилия*
Компания
Категория вопроса
Телефон*
E-mail*
Вопрос*
Защита от автоматического заполнения
Введите символы с картинки*

* - Поля, обязательные для заполнения

Авторизация

Логин (e-mail)
Пароль
Забыли пароль?

Авторизация доступна заказчикам Техносерв Cloud. Чтобы стать нашим клиентом, свяжитесь с нами. Спасибо!

Восстановление пароля

Логин (e-mail)

На ваш e-mail будет отправлено письмо со ссылкой на страницу смены пароля

Контакты службы поддержки:
+7 (495) 790-79-79
support@technoserv.cloud

Сервис обратного звонка RedConnect