Главная > О Группе > Информационная безопасность и аутсорсинг

Функции, выполняемые ЦФТ в рамках ИТ-аутсорсинга

  • Бизнес-функции: автоматизация бизнес-процессов по основным направлениям деятельности, задачи по модификации, развитию, адаптации продуктов ИТ под требования Банка
  • ИТ-функции: администрирование аппаратно-программного комплекса, услуги по поддержке пользователей, эксплуатации, сопровождению и развитию
  • Обеспечение безопасности: реализация комплекса мер по физической безопасности, пожарной безопасности, информационной безопасности, и т.д.

Модели аутсорсинга

Модель

Характеристики

Особенности

«In»

Вся ИТ-инфраструктура находится на стороне ЦФТ, на стороне Банка только пользовательские ПК

Аутсорсер отвечает за всю техническую наполненность ЦОДа и доп. средства защиты (FW, IDS/IPS, Сканеры уязвимостей, SIEM, AV, оборудование для построения защищенного канала связи с Банком) и т.д.

«Out»

ИТ-инфраструктура размещается в ЦОДе Банка, на стороне ЦФТ – пользовательские ПК сопровождения и администраторов

  • Данную модель выбирают крупные банки
  • Банк отвечает за всю техническую наполненность ЦОДа и дополнительные средства защиты

Инфраструктура ЦФТ для предоставления услуг аутсорсинга

  • ЦОД 1 – основной
  • ЦОД 2 – резервный
  • ЦОД на аутсорсинге (тестировали на примере с ЦОД Ростелекома)
  • ЦФТ развивает инфраструктуру собственных ЦОД в соответствии с уровнем надежности Tier 3 стандарта TIA-942

Базовый уровень обеспечения безопасности

  1. Физическая безопасность ЦОДов (охрана и контроль доступа обеспечивается спецподразделением охраны);
  2. Система контроля доступа в ЦОД с использованием персонифицированных карт;
  3. Система видеонаблюдения всего периметра снаружи и внутри ЦОДов;
  4. Резервное копирование на защищенные библиотеки;
  5. Дублирующий ЦОД (резервный) для обеспечения непрерывности деятельности;
  6. Собственные ЦОДы ЦФТ созданы по уровням надежности Tier III стандарта TIA-942. К каждой из площадок подключено по 4 магистральных провайдера - РОСТЕЛЕКОМ, ТТК, АВАНТЕЛ, РТКОММ- СИСБИРЬ;
  7. Взаимодействие с Банками строится по защищенным каналам связи (основной и резервный) с использованием сертифицированной в ФСБ криптографии.

Информационная безопасность, задачи ЦФТ

  1. Выполнение работ в соответствии с внутренней нормативной базой – приказы, политики, регламенты
  2. Выделенный сетевой периметр для сервиса аутсорсинга, при этом каждый банк отдельно размещается в своем периметре безопасности. Использование специализированного ПО для защиты периметров, таких как: FW, IDS/IPS, Сканеры уязвимостей, SIEM, AV, HSM
  3. SOC-центр
  4. Регулярные аудиты:
    • внутренние – на соответствие требованиям информационной безопасности
    • внешние – на соответствия требованиям стандарта ISAE 3402 (внешний аудитор Компания PWC) 
  5. Периодические сканирования внутри инфраструктуры на предмет наличия уязвимостей
  6. Периодический пентест на предмет возможности взлома
  7. Использование таких средств, как Oracle AS (шифрование данных в БД), Oracle Data Vault (разграничение прав пользователей, в частности администраторов)
  8. Поддержка пользователей, модификация ведется на копиях Рабочих схем (без доступа к критичным данным). Данные изменены
  9. Ограниченный доступ специалистов ЦФТ к критичным данным на разных уровнях – сетевой, прикладной, с учетом принятой в банке политике

Информационная безопасность, задачи банка

  1. Управление пользователями (либо контроль за данной функцией на стороне аутсорсера)
  2. Собственные аудиты и дополнительные Контроли в соответствие с требованиями регуляторов
  3. Внедрение собственных средств мониторинга и реагирования
  4. Более гибкое управление правами доступа
  5. Анализы защищенности
  6. Анализ кода
  7. И т.д.

Существует дополнительное соглашение, в котором ЦФТ и банк описывают обязательства каждой из сторон в области безопасности.
Информационная безопасность и аутсорсинг