Сегодня обсудим нюансы работы с критически важными данными финансовых организаций: 

• какие стандарты регулируют применение средств защиты информации;

• как банки могут хранить и передавать данные, минимизируя риски;

• на что обратить внимание, работая с облаком.

Поделимся собственным опытом аттестации средств информационной безопасности по требованиям законодательства и регуляторов.

Банки, микрокредитные компании, fintech-стартапы при работе с информационными системами (ИС) должны следовать нормативным актам Центробанка. Лицензия на ведение банковской деятельности подразумевает, что финансовая организация соблюдает ГОСТ 57580. Этот стандарт устанавливает требования к обеспечению защиты информации. Нарушение ГОСТа влечет штрафные санкции вплоть до отзыва лицензии. 

Конфиденциальная информация должна получить надежную защиту. Поэтому компании, предоставляющие финансовые услуги, с осторожностью рассматривают миграцию в облако. Кажется, что проще контролировать данные, когда они находятся на расстоянии вытянутой руки. Тем не менее в ряде случаев облачная стратегия развития становится приоритетной. Рассмотрим, почему так происходит. 

Варианты построения ИТ-инфраструктуры для банковских и финансовых операций

ИТ-инфраструктуру для обслуживания банковских и финансовых операций можно построить своими силами. Компании потребуется закупить оборудование, поддерживать его, настроить средства ИБ, получить заключение об оценке соответствия требованиям к обеспечению защиты информации. Это не только технический, но и юридический вопрос. 

Информационные системы в банковском секторе накапливают огромные объемы данных. Пропорционально растет спрос на большую вычислительную мощность и хранилища. Финансовые организации, которые используют свои программно-аппаратные решения и платформы, со временем сталкиваются с трудностями и ограничениями.

Одной из основных проблем является стоимость приобретения нового оборудования. Кроме того, поиск физического места для размещения этого оборудования также может оказаться непростой задачей. Многим организациям просто не хватает площадок для развертывания оборудования, а расширение существующей инфраструктуры не всегда возможно.

Строительство новых ЦОДов, серверных комнат потребует капитальных затрат. Однако через некоторое время ресурсы этих объектов также будут исчерпаны из-за постоянного роста объема информации.

Обслуживать серверы должны специалисты инженерной инфраструктуры, которых может быть недостаточно. Найти квалифицированный персонал для эффективного управления оборудованием — непростая задача.

Даже небольшие организации в конечном итоге достигают точки, когда необходимо попробовать виртуальные мощности для решения вопросов долгосрочного хранения и обработки данных. «Осваивать» сервисы провайдера можно поэтапно, начиная с сегмента, который не требует законодательного регулирования.

Крупные банки с большой распределенной ИТ-инфраструктурой часто не имеют возможности полностью мигрировать в облако. Они используют отдельные сегменты: IaaS 152-ФЗ для работы с персональными данными, Managed kubernetes для разработчиков и т. д.  

Сертифицированное облачное пространство также поможет сохранить данные при сбое на локальном сервере или атаке вирусов-шифровальщиков. С этой целью клиенты подключают сервис резервирования и восстановления ИТ-инфраструктуры в облаке (Disaster Recovery).

Как мы прошли оценку соответствия ГОСТ Р 57580.1-2017

Процедура предполагает проверку соответствия инфраструктуры облачного провайдера на соответствие уровню защиты. Сам процесс включает оценку организационных (документация, приказы, процедуры и т. п.) и технических мер (какие есть средства защиты, как они настроены т. д.).

Непосредственно аудит проводит аккредитованный аттестационный центр. Подобный опыт у нас уже был. Ранее наше облако получило Аттестат соответствия для оказания услуг по защите персональных данных в соответствии с 152-ФЗ «О персональных данных». Сервис CloudMTS может размещать ИСПДн любой категории до 1-го уровня защищенности (можно использовать для обработки медицинских и биометрических данных) и 1-го класса защиты, в случае развёртывания и ГИС (возможность работы с государственными информационными системами).

Средства защиты, которые применяются для аттестованного сегмента 152-ФЗ, подходят под требования ГОСТ 57580 и PCI DSS — например, периметровый межсетевой экран с функциями обнаружения и предотвращения вторжений (IPS и IDS) и многое другое.

По ГОСТ 57580 CloudMTS получил 4-й уровень соответствия (усиленный) для 1-го уровня защиты информации. Простыми словами, это означает, что системы защиты информации реализованы в полном объеме на постоянной основе. Компании могут размещать в нашем облаке свои данные финансовых операций.

Как выбирать облачного провайдера для финансовых организаций

С точки зрения клиента провайдер должен не только обеспечить уровень качества, быстродействия и соответствия нужным требованиям по ИБ, но и предоставить гарантии. Законодательство и стандарты вводят понятие финансовой ответственности за несоблюдение требований по ИБ. 

Репутацию подтверждают сертификаты, которые обязательно нужно запрашивать у вашего облачного провайдера. Это необходимое условие для размещения ИС финансовых организаций в облаке. Регулятору (Банку России) достаточно будет показать сертификаты поставщика услуг.

Что касается CloudMTS, у нас выстроена многоуровневая система защиты и получены сертификаты на соответствие следующим стандартам:  

Стандарт надежности ЦОД Tier III — такой уровень надежности получают дата-центры, построенные на охраняемой территории со СКУД и видеонаблюдением, обладающие собственными основными и резервными каналами связи и оборудованием с возможностью проведения технического обслуживания и ремонта без отключения клиентов.

Стандарт безопасности платежных данных PCI DSS — Payment Card Industry Data Security Standard гарантирует безопасную обработку данных держателей платежных карт и транзакций, а также передачу таких данных и их хранение в ИТ-системах других организаций. Если клиент работает с данными платежных карт, ему необходим отдельный сегмент, сертифицированный по PCI DSS.

ГОСТ 57580 — соответствие подтвердила сторонняя компания, имеющая лицензию ФСТЭК. Наши клиенты могут размещать в облаке свои системы и приложения, попадающие под требования ЦБ.

IaaS 152-ФЗ — защищенный сегмент облака аттестован и полностью соответствует требованиям 152-ФЗ «О персональных данных». Безопасность данных обеспечивают системы межсетевого экранирования, защита каналов связи, антивирусная защита, предиктивный анализ угроз и другие средства защиты информации от НСД.

Как правило, наши клиенты приходят не просто за облаком, соответствующим требованиям ГОСТа. Финансовые организации переносят информационные системы вместе с персональными данными. 

Тонкости сертификации: какие преимущества получили клиенты

Оценка соответствия по ГОСТ 57580 распространяется на облачные услуги «Виртуальная инфраструктура», «Аттестованный сегмент по 152-ФЗ» и ряд других дополнительных сервисов, расположенных в дата-центрах Москвы и на площадке в Санкт-Петербурге. 

CloudMTS может размещать в ЦОДах криптомаршрутизаторы и тем самым обеспечить выполнение самых высоких требований регуляторов. При этом клиент может находиться в любом регионе России. Как телекоммуникационная компания с развитой магистральной сетью, мы гарантируем пропускную способность канала. 

Кроме того, мы можем кастомизировать сервис и подстроиться под информационную систему клиента.