15 апреля, 2015, BIS Journal №2(17)/2015

Крымский прецедент


Ярцев Игорь

начальник отдела информационной безопасности (Банк РНКБ (ОАО))

Предпосылки и практический опыт использования услуг аутсорсинга подразделениями информационных технологий и информационной безопасности банка

РНКБ (ОАО) первым среди российских банков объявил о начале работы в Крыму после образования Крымского федерального округа в составе РФ. Перед нашим банком была поставлена задача в кратчайшие сроки развернуть на Крымском полуострове масштабную сеть обслуживания клиентов. Выполнение этой задачи во многом зависело и от услуг аутсорсинга. Действовать нужно было не только в соответствии со спецификой обеспечения информационной безопасности банковских процессов, но и с учетом всех требований российской нормативно-правовой базы.

 
ЗАДАЧА − УСПЕТЬ МНОГОЕ

После ухода из Крыма всех украинских банков в марте 2014 года приоритетной задачей стало обеспечение функционирования российской банковской системы на полуострове. Уже 24 марта официальной валютой в Крыму стал российский рубль. РНКБ стал системообразующим банком финансовой системы Крыма. Вместе с Банком России и другими отраслевыми регуляторами, при содействии местных властей удалось в короткие сроки сделать то, что вначале казалось невозможным.

На первоначальном этапе наш банк за четыре дня открыл 21 отделение, потом открывалось до 60 отделений в месяц. В кратчайшие сроки предстояло и восстановить работу утраченной инфраструктуры финансовых сервисов, и обеспечивать ее в дальнейшем.

Стоит отметить, что при Украине финансирование развития IT-инфраструктуры в Крыму, включая банковскую, осуществлялось по остаточному принципу. Потому «наследство» досталось небогатое: обветшавшие и разорённые офисы и производственные площади, устаревшее оборудование с выработанным ресурсом, неустойчивое к вирусам ПО, а иногда специально заражённое вредоносными программами.
 
ВОССТАНОВИТЬ РАБОТУ И ОБЕСПЕЧИТЬ БЕЗОПАСНОСТЬ

Одной из главных задач службы информационной безопасности было обеспечение лицензионного использования СКЗИ для ведения банковской деятельности. Еще одна задача заключалась в создании защищенного канала обмена реестрами вкладчиков для компенсации расходов фонда Государственной корпорации «Агентство по страхованию вкладов» в целях защиты интересов жителей Крыма. Кроме того, к 1 июля 2014 года в Крымском федеральном округе РНКБ должен был создать создать сеть из 250 отделений и ввести в эксплуатацию несколько сотен устройств самообслуживания — банкоматов и терминалов.
 

Задачи развертывания банковской инфраструктуры в условиях цейтнота самостоятельно было решить нельзя: на первоначальном этапе в банке работало всего около 100 сотрудников. В кратчайшие сроки пришлось набрать еще 2 500 человек. Также потребовалось задействовать дополнительные ресурсы по принципу аутсорсинга с привлечением специализированных компаний.

Для достижения оптимального результата мы обратились к компаниям, которые зарекомендовали себя в ходе сотрудничества с ведущими российскими банками. С их помощью был подобран штат специалистов, в том числе проживающих в Крыму. Разумеется, в условиях острого дефицита времени было невозможно уделять пристальное внимание деталям, именно поэтому в первую очередь налаживались основные функции.
 
ПРЕИМУЩЕСТВА И ОГРАНИЧЕНИЯ

Банковская сеть РНКБ разворачивалась не только в кратчайшие сроки, но и в условиях ограничений, связанных с зарубежными санкциями. Без привлечения аутсорсинга решить эту задачу было бы крайне сложно, поэтому нужно было чётко определить условия взаимодействия с банковскими подразделениями IT-технологий и информационной безопасности.

Привлечение аутсорсинга для выполнения поставленных задач отличалось от обычной передачи части функций сторонним исполнителям. Чаще всего привлечение аутсорсинга связано с желанием руководителей бизнеса оптимизировать расходы организации и повысить управляемость бизнес-процессов. С точки зрения эффективности бизнеса затраты на компании и работников, привлеченных по принципу аутсорсинга, представляются намного меньшими, чем на содержание собственных сотрудников. Однако следует учитывать множество других факторов, в том числе регулируемых федеральным законодательством, которые нередко затрудняют использование аутсорсинга в банковской деятельности.

Так, например, серьезными препятствиями на пути использования аутсорсинга для банковской информационной инфраструктуры являются требования федеральных законов № 395-1-ФЗ «О банках и банковской деятельности» от 2 декабря 1990 года, № 98-ФЗ «О коммерческой тайне» от 29 июля 2004 года и № 152-ФЗ «О персональных данных» от 27 июля 2006 года. Также следует учитывать и ведомственные нормативные документы, регулирующие лицензионную деятельность по криптографической защите информации.
 
ВОЗМОЖНОСТИ ПРИМЕНЕНИЯ АУТСОРСИНГА

Тем не менее, использовать услуги аутсорсинга в отдельных сферах деятельности банковской информационной инфраструктуры все-таки возможно. В первую очередь, они могут пригодиться при выполнении большого объёма работ, связанных с развёртыванием сети банкоматов и терминалов; при проверке программного обеспечения на отсутствие вирусов, переоборудовании приёмников денежных купюр с украинских гривен на российские рубли, установке средств охраны, включая камеры видеонаблюдения и др.

Привлечение аутсорсинга позволило банку уложиться в заданные сроки. Вместе с тем, банк взял на себя ответственность за составление плана и графика работ, координацию хода выполнения и оперативное решение возникавших проблем. Некоторые работы, как, например, организация работы центра обработки данных — «сердца» банковской информационной инфраструктуры — выполнялись только силами лучших специалистов самого банка.

Таким образом, обслуживание определённых элементов IT-инфраструктуры можно поручать представителям аутсорсинга, но только представителям проверенных компаний. Кроме того, в перспективе можно рассматривать вариант привлечения на основе аутсорсинга специалистов в статусе системных администраторов. Однако, в соответствии с требованиями российского законодательства о защите банковской и коммерческой тайн, а также персональных данных, такие специалисты должны быть оформлены в качестве совместителей, то есть фактически как работники банка.
 
ОПТИМИЗАЦИЯ И РАЗВИТИЕ IT-ИНФРАСТРУКТУРЫ

После того, как задачи развития и распространения банковской информационной инфраструктуры по всей территории Крыма были решены, встал вопрос о необходимости оптимизации рабочих мест. В рамках улучшения системы обеспечения информационной безопасности нужно было устранять недостатки, с которыми приходилось мириться на этапе создания инфраструктуры.

Задача защиты информационных ресурсов банка осложняется тем, что интерес к ним проявляют не только российские злоумышленники, но и представители недружественных зарубежных структур. В связи с этим пересматривалась и ужесточалась политика информационной безопасности, совершенствовались настройки систем безопасности и оборудования. Работа выстраивалась с помощью лучших современных практик обеспечения информационной безопасности и с учетом требований следующих нормативных документов:

  • Постановления Правительства РФ № 1119 от 1 ноября 2012 года «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
  • приказа ФСТЭК России № 21 от 18 февраля 2013 года «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

Предметный анализ практического опыта аутсорсинга может помочь банку оптимизировать свои расходы и минимизировать бюджет. В ряде случаев банк также может принять решение об увеличении количества сотрудников, в том числе за счёт зачисления в штат тех, кто прежде работал на условиях аутсорсинга.

Грамотное использование возможностей аутсорсинга открывает для банков обширные перспективы оптимизации эффективной системы обеспечения информационной безопасности. Однако необходимым для этого условием является наличие собственного коллектива опытных и активных сотрудников, которые смогут выстроить взаимодействие с работающими на аутсорсинге.
 

Практический опыт Крыма стал новым прецедентом в использовании банком услуг аутсорсинга для развертывания IT-инфраструктуры и обеспечения её информационной безопасности. Привлечение услуг аутсорсинга — это перспективный, экономически выгодный и удобный в организации способ реализации многих банковских бизнес-процессов.
 

 

Смотрите также

Подпишись на новости!
Подписаться