Облачный хостинг. Как мигрировать в облака, не нарушая требований регуляторов?

Финансовые услуги — это один из наиболее технологичных сегментов рынка. В РФ он один из наиболее зарегулированных.

Банкиры принимать в расчет вынуждены «гору» требований, потому крайне внимательно относятся к любым новым инициативам государственных органов, которые вполне могут сильно отразиться на их бизнесе.

Вопреки тому, что банковский сектор стал в мире одним из первых применять облачные технологии, в России к ним, из-за принятия ряда законов, финансовые учреждения относятся очень осторожно. Если рынка частных облаков законы не как-то коснулись, то публичных компании все-таки опасаются. Ведь применение внешних сервисов всегда требовало большого внимания к вопросам безопасности информации, все же банковская отрасль.

Вдобавок, за последние годы значительно увеличилось число хакерских атак и киберугроз, и теперь на всех участников финрынка накладываются ужесточенные требования в сфере защиты информации.

Итак, чуть ниже мы разберем отношение официальных регуляторов к применению банками облаков под управлением сторонних поставщиков. А также те нормативные требования по защите данных которые эти поставщики обязаны соблюдать.

Облачный хостинг. Как мигрировать в облака, не нарушая требований регуляторов?

Облачный хостинг и требования регуляторов

Разрушая стереотипы о полной невозможности публичных «облаков»

В случае если не рассматривать ту информацию, которая отнесена к государственной тайне, запрета по размещению в публичных облаках банковских информационных систем сегодня нет. В частности нет запретов на использование ИС (информационных систем), обрабатывающих персональные данные (ПДн). Единственное в настоящее время законодательное ограничение есть в Федеральном Законе No242-ФЗ. Оно касается физического размещения инструментов обработки, хранения персональных данных на территории России при сборе персональных данных.

Документы Центробанка, ФСБ и ФСТЭК предъявляют специальные требования по защите данных в рамках всего жизненного цикла ИС. Требования федерального законодательства и документов, вышеуказанных регуляторов, достаточно понятны. Однако когда речь идет об информационных системах в облаке, то возникают определенные особенности реализации конкретных организационных и технических способов защиты, а вместе с ними и очень много вопросов по реализации отдельных мер.

Большинство вопросов относится к разграничению всех зон ответственности по обеспечению безопасности информации между банком и провайдером облачных услуг. Это связано с тем, что во время размещения системы в облаке управлением системы защиты информации занимаются и работники банка, и представители облачного провайдера.

В итоге, ввиду необходимости применения непростых решений по выполнению определенных требований законодательства и регуляторов, а также из-за необходимости тщательной проработки матрицы зон ответственности по обеспечению ИБ, часто встречаются различные аргументы против передачи банковских информационных систем в публичное облако, мол, их всех невозможно соблюсти. Однако так ли это на самом деле?

Облачный хостинг. Как мигрировать в облака, не нарушая требований регуляторов?

ФСТЭК и ФСБ не против

Реализовать комплекс готовых мер и выполнять все законодательные требования в облаке весьма сложно, но возможно. Выходом для российских банков при переносе собственной инфраструктуры на платформу стороннего хостинг провайдера в таких условиях является решение не просто организационных и технических, но и различных правовых вопросов.

Со своей стороны ФСТЭК не предъявляет каких-то дополнительных требований по информационной защите при применении публичных облаков. Есть специальные требования по защите среды виртуализации, однако конкретно по защите облаков – нет. Новый приказ ФСТЭК No21, посвященный непосредственно обеспечению безопасности персональных данных, говорит о потребности защиты основного компонента облачных вычислений — среды виртуализации, не запрещая косвенно или напрямую использовать внешние сервисы.

Кроме того, этот приказ содержит определенные меры по защите среды виртуализации, которые должны реализованы быть в зависимости от степени защищенности персональной информации и наличия актуальных угроз.

В случае если посмотреть банк этих угроз, пользоваться которым активно призывает ФСТЭК при моделировании угроз, то в этом банке можно найти очень много угроз, реализация которых возможна только в системах в облаках.

ФСБ пока что молчит. В ее документации полностью отсутствует упоминание облаков.

Итак, ФСБ и ФСТЭК допускают применение облачных технологий для обработки защищаемых данных.

Облачный хостинг. Как мигрировать в облака, не нарушая требований регуляторов?

Облачные намерения ЦБ

Свое видение по современным облачным технологиям, кроме указанных выше документов, есть и у официального регулятора финансовой сферы – Центробанка. К тестированию облачных технологий он приступил еще в 2011 году. Уже тогда специалисты ИТ Банка РФ говорили, что в облаке обязательно должны быть защита от любого вредоносного кода, контроль, разграничение доступа на сетевом уровне, на уровне доступа к разным виртуальным машинам и приложениям.

В 2014 году была создана специальная рабочая группа, главной задачей которой стало создание предложений по внесению требуемых изменений в законодательство, позволяющих более широко применять электронный документооборот (ЭДО). Именно тогда ЦБ начал готовиться к проведению разнообразных финансовых операций в облаке. В мае 2016 года участники финансового рынка перешли на обязательный электронный документооборот с Банком России.

Летом минувшего года на Международном финансовом конгрессе зампред Центробанка Ольга Скоробогатова заявила, что крупнейшие ИТ-компании и банки во главе с Банком России создают специальный консорциум по внедрению новых актуальных технологий. Сообщество поставило задачей изучить и потом внедрять технологии так называемых распределенных регистров (или blockchain), современных облачных технологий, управления крупными данными (или big data), а также развитие механизма упрощенной идентификации.

В «Ключевых направлениях развития финрынка РФ на период 2016–2018 годов» сказано, что Банк России планирует «проработать необходимые подходы по предоставлению сервисов для поднадзорных малых финансовых организаций, которые позволят вести учет хоздеятельности без обязанности сдавать всю отчетность при предоставлении Центробанка права непосредственного применения данных бухгалтерского учета, в частности с использованием современных облачных технологий».

В рамках этого в прошлом году был определен подход работы Центробанка по созданию для небольших поднадзорных компаний единой технологии по ведению учета хоздеятельности без обязательства сдавать свою отчетность.

Собственно, сам Центробанк в своей деятельности уже применяет облачные продукты.

Безобидный PCI DSS

Выполнение всех требований PCI DSS-стандарта становятся актуальными для любого банка в случае размещения в публичном облаке систем, выполняющих обработку информации держателей платежных карточек. Взаимоотношения и требования финансовых организаций при применении облачных технологий регулируются п. 12.8 PCI DSS, и уже достаточно давно распространена практика применения PCI DSS-хостинга у сторонних провайдеров.

Итак, каких-то преград, либо запрета на применение публичных облаков банками на территории России нет. В случае применения банком инфраструктуры из публичного облака сторонний поставщик в своем облаке должен реализовать и выполнять все нормативные требования (в рамках собственной зоны ответственности) и требования банка по безопасности информации. Зона ответственности облачного хостинг провайдера должна быть закреплена в договоре между сторонами.

Облачный хостинг. Как мигрировать в облака, не нарушая требований регуляторов?

Страх и технологии

Разумеется, опасения от применения банками публичных облаков никуда не деваются. Хотя облачные провайдеры одними из самых первых изучают разнообразные новые нормативные акты и очень быстро приводят собственные предложения в соответствие с требованиями российского законодательства.

К примеру, в настоящее время при размещении информационных систем банка в облаке Техносерв Cloud обе стороны в обязательном порядке составляют полноценный реестр требований по ИБ, предъявляемых банком и к банку и разграничивают все зоны ответственности.

В основном, облачный провайдер ответственен за надежную защиту периметра от любых внешних угроз (защита от всяческих сетевых атак, межсетевое экранирование) и за защиту всей виртуальной инфраструктуры, в то время как банк ответственен лишь за обеспечение безопасности информации внутри предоставленных ему хостером ВМ (виртуальных машин). При этом, хостинг провайдер обеспечивает надежную защиту рабочих станций своих админов и предоставление им защищенного доступа к инструментам администрирования инфраструктуры облачной площадки.

Затем стартует работа над подготовкой, либо актуализацией внутренней документации банка, которые нужны для удачного прохождения аудитов по стандарту PCI DSS v.3.2, СТО БР ИББС, положению Центробанка Российской Федерации No382-П с учетом новой модели потребления ресурсов инфраструктуры. Параллельно идет перенос информационных систем банка в облачный хостинг в Украине.

В общем, практика показывает, что организации, которые специализируются на современных облачных сервисах, зачастую создают намного более качественную инфраструктуру, нежели это себе могут позволить большинство не профильных компаний. Например, Техносерв Cloud развернута на платформе ЦОДа категории Tier III. Площадка состоит из двух изолированных частей (VDC, VDC.152; для финансовых и государственных организаций).

Часть «Закрытая» реализована с применением решений VMware. Инфраструктура полностью соответствует всем требованиям приказов No17 и No21 ФСТЭК для обеспечения до первого класса защиты ГИС и первого уровня защищенности персональных данных включительно. Решение позволяет, в частности, государственным органам размещать информационные системы с наивысшими требованиями к безопасности данных, что полностью подтверждается наличием официального аттестата соответствия требованиям информационной защиты, установленным ФСТЭК РФ.

Часть «Защищенная» подходит для всех финансовых компаний, реализована с применением решений VMware. Инфраструктура полностью соответствует всем требованиям Положения Центробанка Российской Федерации No382-П, официально сертифицирована на соответствие всем требованиям PCI DSS-стандарта.

Таким образом, не так уж страшно то облако, «как его малюют». Что же до официальных регуляторов, то облачным хостинг провайдерам соблюсти все их требования сегодня вполне реально.


Оставить комментарий



Хостинг с отличным саппортом — HOSTiQ