ОБЩИЕ ВОПРОСЫ
Целью любой финансовой организации является создание конкурентоспособного финансового продукта, обеспечение быстрого и качественного оказания услуг клиентам — физическим и юридическим лицам.
Современные (в том числе облачные) технологии позволяют многократно ускорить процессы, связанные с обработкой данных, которые происходят в финансовой организации. При этом единого нормативного акта, регулирующего работу с облачными технологиями и взаимодействие с провайдерами, не существует. Вот ряд законов, которые регулируют вопросы, касающиеся данной тематики.
ПРАВОВОЕ РЕГУЛИРОВАНИЕ ИСПОЛЬЗОВАНИЯ ОБЛАЧНЫХ ТЕХНОЛОГИЙ
| ОРГАН | НПА | Запрет на использование облачных технологий |
| е законодательство | 149-ФЗ «Об информации, информационных технологиях и о защите информации» | Нет |
| 152-ФЗ «О персональных данных» | Нет | |
| 242-ФЗ «О внесении изменений в отдельные законодательные акты РФ по вопросам осуществления государственного контроля (надзора) и муниципального контроля» | Нет | |
| 161-ФЗ «О национальной платежной системе» | Нет | |
| Постановление Правительства РФ № 1119 | Нет | |
| ЦБ | Положение № 382-П | Нет |
| Положение № 552-П по защите информации при обеспечении переводов денежных средств | Нет | |
| Положение о порядке создания, ведения и хранения баз данных на электронных носителях, утв. Банком России 21.02.2013 г. № 397-П | Нет | |
| Отраслевой стандарт по обеспечению информационной безопасности (СТО БР ИББС) | Нет | |
| Рекомендации в области стандартизации (РС БР ИББС-2.2–2009; РС БР ИББС-2.9–2016) | Нет | |
| ФСТЭК | Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» (Зарегистрировано в Минюсте России 31.05.2013 № 28608) | Нет |
| Приказ ФСТЭК России от 11.02.2013 № 17 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (Зарегистрировано в Минюсте России 14.05.2013 № 28375) | Нет | |
| ФСБ | Приказ № 552-П | Нет |
| Методические рекомендации № 149/7/2/6–432 от 31.03.2015 | Нет | |
| МЕЖДУНАРОДНЫЕ ПЛАТЕЖНЫЕ СИСИТЕМЫ | PSI DSS | Нет |
Таким образом, запрета на использование облачных технологий в действующем законодательстве нет. Однако есть ряд требований, касающихся безопасности сбора, хранения и передачи данных, основная часть которых содержится в Приказах ФСТЭК № 17 и № 21.
Вот список мер по обеспечению безопасности работы с данными из Приказа ФСТЭК России от 11.02.2013 № 17 (подготовлен в соответствии с ФЗ № 152 «О персональных данных»):
- Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ).
- Управление доступом субъектов доступа к объектам доступа (УПД).
- Ограничение программной среды (ОПС).
- Защита машинных носителей персональных данных (ЗНИ).
- Регистрация событий безопасности (РСБ).
- Антивирусная защита (АВЗ).
- Обнаружение вторжений (СОВ).
- Контроль (анализ) защищенности персональных данных (АНЗ).
- Обеспечение целостности информационной системы и персональных данных (ОЦЛ).
- Обеспечение доступности персональных данных (ОДТ).
- Защита среды виртуализации (ЗСВ).
- Защита технических средств (ЗТС).
- Защита информационной системы, ее средств, систем связи и передачи данных (3ИС).
- Выявление инцидентов и реагирование на них (ИНЦ).
- Управление конфигурацией информационной системы и системы защиты персональных данных (УКФ).
РАСХОДЫ НА ОБЕСПЕЧЕНИЕ МЕР БЕЗОПАСНОСТИ ПРИ РАБОТЕ С ДАННЫМИ
| Локальная система | Облачная система |
| Юрист (штатный сотрудник выделяет свое время в ущерб выполнению основных задач) — регулярный мониторинг НПА на предмет внесения изменений согласно требованиям, касающимся работы с данными | Юридическая служба провайдера специализируется в сфере использования ИТ-технологий, всегда в курсе последних изменений и практики контролирующих органов. Наши юристы имеют узкую специализацию. Они постоянно сталкиваются с вопросами применения профильных НПА, имеют налаженную практику внедрения новых требований, тесно взаимодействуют с профильными техническими специалистами и разговаривают с ними на одном языке. В кратчайшие сроки изучают новые НПА, практику контролирующих органов, судебную практику в сфере ИТ-технологий. В случае работы с облачной системой вы можете быть уверены, что не упустите правовых нововведений в ИТ-сфере. Наши юристы сообщат о меняющихся требованиях законодательства и предложат наиболее оптимальные способы решения поставленных задач. |
| Программист, системный администратор — обслуживание сервера и ПО | Обслуживаются силами сотрудников провайдера |
| Оборудованное помещение для сервера — регулярное приведение в соответствие с обновляющимися НПА. Сервер — ремонт, обновление, электроэнергия, охлаждение. | Обеспечивается силами провайдера |
| ПО — обновление, настройка | Обеспечивается силами провайдера |
ОБЛАЧНЫЕ ТЕХНОЛОГИИ И ЦЕНТРОБАНК РФ
07.02.2018 г. опубликованы «Основные направления развития финансовых технологий на период 2018–2020 гг.» (далее — Основные направления).
Центробанком проведены исследования, которые показали, что наиболее перспективными финансовыми технологиями являются, в числе прочих, облачные технологии, особенно облачные кассы.
Также по результатам данного исследования, 82 % финансовых организаций ожидают увеличения числа партнерств с финтех-компаниями в ближайшие 3–5 лет.
ЦБ РФ в качестве одной из основных задач на 2018–2020 годы определил для себя создание платформы для облачных сервисов (п. 2.2.9 Основных направлений):
«Создание платформы для облачных сервисов предполагает обеспечение возможности эффективного и безопасного использования участниками финансового рынка облачных ресурсов внешних провайдеров (например, сетей, систем хранения, приложений и сервисов) и в первую очередь направлено на сокращение затрат, связанных с созданием и использованием ИТ-инфраструктуры, для участников финансового рынка.
Планируется подготовка предложений по созданию инфраструктуры облачных сервисов совместно с провайдерами ИТ-услуг, а также разработка рекомендаций по использованию облачных технологий участниками финансового рынка.
Платформа для облачных сервисов будет являться инфраструктурным решением, предоставляющим доступ участников финансового рынка к облачным ресурсам внешних провайдеров (например, сети, системы хранения, приложения и сервисы) и позволяющим участникам финансового рынка на их основе размещать собственные прикладные сервисы с обеспечением необходимых требований и условий в отношении информационной безопасности».
ЮРИДИЧЕСКАЯ БЕЗОПАСНОСТЬ ПРИ ПЕРЕДАЧЕ ДАННЫХ
Итак, принципиальное решение о сотрудничестве с облачным провайдером принято. Тесно связаны два аспекта, обеспечивающие данный процесс: как свои намерения зафиксировать юридически и как они будут обеспечиваться технически.
С юридической точки зрения при заключении договора важно максимально подробно описать предмет, а также зоны ответственности сторон. По сложившейся практике, клиент обеспечивает безопасность внутри предоставленных ему виртуальных машин. А провайдер занимается внешними угрозами и защитой виртуальной инфраструктуры.
Следующий этап — актуализация внутренних документов финансовой организации, их подготовка к аудитам по СТО БР ИББС, PSI DSS и др.
ТЕХНИЧЕСКОЕ ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ДАННЫХ
Со стороны провайдера безопасность данных обеспечивается использованием следующих технологий (на примере облачного провайдера «ИТ-ГРАД»):
- защита от DDOS-атак;
- система обнаружения вторжений;
- использование для передачи данных защищенного канала связи VPN (ГОСТ);
- сервер антивирусной защиты (сертифицированный);
- сервер анализа защищенности;
- регистрация и анализ событий ИБ;
- мониторинг доступности и производительности Zabbix;
- защита от утечек информации DLP;
- сертифицированное средство защиты среды виртуализации vSphere.
Использование данного комплекса технологий позволяет партнерам провайдера соответствовать всем требованиям законодательства о защите данных, быть уверенными в защите коммерческой информации и экономить на содержании ИТ-инфраструктуры.
РЕЗЮМЕ
- В законодательстве нет запрета на использование облачных технологий.
- Центробанк активно работает над внедрением облачных технологий. А значит, это направление — будущее развития финансового рынка, как мирового, так и российского.
- При работе с данными необходимо соблюдать меры информационной безопасности.
- При работе с облачными сервисами часть рисков и затрат на основные средства, кадры переходит провайдеру.
