Финансовый сектор одним из первых в России начал активно развивать информационные технологии в своем бизнесе. Практически каждый год или два требовал от банкиров полностью пересматривать стратегии по технологическому развитию, чтобы быть в ногу со временем. На смену одним технологиям быстро приходили другие, более сложные и финансово затратные. Со временем росли и регуляторные требования к защите информации, и в современном мире банкиры вынуждены как никогда внимательно следить за всеми новыми инициативами госорганов, которые могут отражаться на их бизнесе.
При отсутствии конкретной терминологии в российской законодательной базе, что же такое «облако», закон «О персональных данных» и, сопутствующие, постоянно дополняющиеся и изменяющиеся, документы серьезно насторожили финансовый сектор, который уже активно работал с big data и публичными облачными технологиями, предоставляемые аутсорсинговые ИТ-компании. Масло в огонь подлили масштабные кибератаки, участившиеся в последние годы.
Каково же отношение регуляторов к использованию банками «облаков» под управлением сторонних провайдеров. Перечислим основные документы.
К требованиям законодательства РФ в области защиты информации относятся Федеральные законы 149-ФЗ («Об информации, информационных технологиях и о защите информации»), 152-ФЗ («О персональных данных»), 242-ФЗ («О внесении изменений в отдельные законодательные акты РФ по вопросам осуществления государственного контроля (надзора) и муниципального контроля»), 161-ФЗ («О национальной платежной системе»).
ФСТЭК России и ФСБ России в этом же вопросе руководствуются приказом ФСТЭК №21 и Приказ ФСБ №378, а также методическими документами и разъяснениями. Помимо этого последние две структуры выставляют требования к лицензиатам по деятельности в области защиты информации. ФСТЭК со своей стороны не предъявляет дополнительных требований по защите информации при использовании публичных облаков, есть только требования по защите среды виртуализации. Приказ №21, непосредственно посвященный обеспечению безопасности ПДн, говорит о необходимости защиты ключевого элемента облачных вычислений - «среды виртуализации» (ч.2, п.8), не запрещая напрямую или косвенно использовать внешние сервисы. Также данный приказ содержит конкретные меры по защите среды виртуализации, которые должны быть реализованы в зависимости от уровня защищенности персональных данных и наличия актуальных угроз (ЗСВ.1 – ЗСВ.10). В документах ФСБ отсутствует упоминание «облаков».
Свои требования в области защиты информации есть и у финансового регулятора. Это отраслевой стандарт по обеспечению информационной безопасности (СТО БР ИББС) и рекомендации в области стандартизации (РС БР ИББС), Положения ЦБ РФ №382-П и №552-П по защите информации при обеспечении переводов денежных средств, указания ЦБ.
Сам регулятор тестировать облачные технологии в 2011 году. Уже тогда возникло понимание, что в «облаке» должны быть защита от вредоносного кода, контроль и разграничение доступа на сетевом уровне, на уровне доступа к различным приложениям и виртуальным машинам. В 2014 году ЦБ стал готовиться к проведению финансовых операций в облачных сервисах, собрав рабочую группу по разработке предложений для внесения необходимых изменений в законодательство, позволяющих более широко использовать электронный документооборот (ЭДО). Как результат в мае 2016 года участники финрынка перешли на обязательный ЭДО с регулятором. А уже летом того же года ЦБ объявил о создании консорциума по внедрению новых технологий в партнерстве с крупнейшими банками и ИТ-компаниями. Сообщество должно изучить, а затем и внедрять технологии распределенных регистров (blockchain), облачных технологий, управления big data и развитие системы упрощенной идентификации.
Облачные технологии для банков под управлением сторонних провайдеров нашли отражение и в «Основных направлениях развития финансового рынка Российской Федерации на период 2016–2018 годов»: Регулятор обязался «проработать подходы по предоставлению сервисов для малых поднадзорных финансовых организаций, позволяющих вести учет хоздеятельности без обязанности сдавать отчетность при предоставлении ЦБ права непосредственного использования данных бухучета, в том числе с использованием облачных технологий». Согласно «Основным мероприятиям по развитию финансового рынка Российской Федерации на период 2016–2018 годов», в 2016 году ЦБ определил некий подход (план) работы в этом направлении. Правда, на 2017 и 2018 года иных мероприятий по «облачному» направлению в документе не значится.
Собственно, сам регулятор уже использует облачные продукты в своей деятельности. К примеру, ЦБ намерен приобрести около 45 тыс. лицензии на облачный офисный продукт Office 365. В планах у финансового регулятора и с банками, входящими в ассоциацию «Финтех», платформы моментальных платежей (p2p). И понятно, что без облачных технологий здесь не обойтись.
Кстати, свои требования есть и у международных платежных систем по защите информации данных держателей карт (PCI DSS). Требования и взаимоотношения организаций финансового сектора при использовании облачных технологий регулируются п. 12.8 PCI DSS, и уже давно распространена практика использования PCI DSS-хостинга у сторонних сервис-провайдеров.
При этом если не рассматривать информацию, отнесенную к гостайне, то запрета по размещению в публичных облаках любых банковских информационных систем нет. В том числе и на использование информационных систем (ИС), обрабатывающих персональные данные (ПДн). Единственное законодательное ограничение содержится в Федеральном Законе №242-ФЗ и касается физического размещения средств обработки и хранения ПДн на территории РФ при сборе ПДн.
Когда речь идет о размещении банковских ИС на собственной площадке, то здесь вопросов к законодательству нет. Но при использовании ИС в облаке появляются некоторые особенности реализации тех или иных технических и организационных мер защиты. Большая часть вопросов относится к разграничению зон ответственности между провайдером облачных услуг и банком. Это связано с тем, что при размещении решения в облаке управлением системы защиты занимаются как работники банка, так и представители провайдера облачных услуг, что зачастую заявляется как аргумент против передачи банковских ИС в публичное облако, мол, невозможно все эти правила соблюсти.
Возможно. Каких-либо преград или запрета на использование публичных облаков банками, находящихся на территории РФ, в нормативных документах и требованиях для организаций финансовой отрасли нет. Если банк обращается к внешним облачным провайдерам, то последние должны в своем «облаке» реализовывать и выполнять нормативные требования (в рамках своей зоны ответственности) и требования банка по информационной безопасности. В целом, мировая практика показывает, что компании, специализирующиеся на облачных сервисах, создают более качественную инфраструктуру, чем это могут позволить себе большинство не профильных организаций.
Как это выглядит на конкретном примере. При размещении ИС банка в облаке T1 Cloud обе стороны составляют полный реестр требований по ИБ, предъявляемых к банку и банком, и разграничивают зоны ответственности. Наша компания отвечает за защиту периметра от внешних угроз (межсетевое экранирование, защита от сетевых этак) и за защиту виртуальной инфраструктуры, а клиент - за обеспечение информационной безопасности внутри предоставленных ему виртуальных машин. При этом провайдер, безусловно, защищает рабочие станции своих администраторов и предоставляет им защищенный доступ к средствам администрирования инфраструктуры T1 Cloud.
Следующий этап - подготовка или актуализация внутренних документов банка, необходимых для успешного прохождения аудитов по СТО БР ИББС, положению ЦБ РФ №382-П, стандарту PCI DSS v.3.2 и др. с учетом новой модели потребления инфраструктурных ресурсов. Параллельно идет перенос ИС банка в облачную платформу.
T1 Cloud развернута на площадке дата-центра категории Tier III. Платформа состоит из двух физически изолированных частей (VDC и VDC.152; для государственных и финансовых организаций):
- Сегмент «Закрытый» функционирует на решении VMware. Инфраструктура соответствует требованиям приказов №17 и №21 ФСТЭК для обеспечения до 1-го класса защиты ГИС и 1-го уровня защищенности ПДн включительно. Иными словами, «Техносерв» в данном случае не занимается сертификацией ПО, а предоставляет аттестованную по требованиям защиты информации инфраструктуру. Собственно говоря, в том числе и госорганы могут размещать здесь свою ИС с наивысшими требованиями к информационной безопасности.
- Сегмент «Защищенный» подходит для финансовых учреждений, также основан на решении VMware. Инфраструктура соответствует требованиям Положения ЦБ РФ №382-П, сертифицирована на соответствие требованиям стандарта PCI DSS.
Да, если бы в российском законодательстве было точное определение термина «облачные технологии», то следить и соблюдать банкам все нормативы по предоставлению облачных услуг как самостоятельно, так и через провайдеров было бы, наверное, легче. Но зачем усложнять себе жизнь, когда можно обратиться к специализированным провайдерам облачных сервисов, которые одними из первых изучают новые нормативные акты и максимально оперативно приводят свои предложения в полное соответствие с требованиями отечественного законодательства.
Для того чтобы понять к какому уровню защиты должны относиться персональные данные ваших клиентов и правильно подобрать инфраструктуру для соблюдения требования регуляторов вы можете отправить письмо с вопросом к нам на почту team@ts-cloud.ru. Специалист свяжется с вами и проведет совместный Conf Call с архитектором платформы и инженером по безопасности информационных систем, которые смогут ответить на все интересующие вас вопросы.
