BIS Journal №2(33)/2019

10 июня, 2019

BIS-КОММЕНТАРИЙ: Требуется консорциум

С проблематикой, поднятой автором в статье "Путь регулятора… в облаках", происходят совершенно необыкновенные вещи. Уже много лет подряд различные авторы стараются раскрыть эту тему в печатных изданиях и в выступлениях на конференциях и семинарах. Различные коммерческие фирмы включая крупные корпорации предлагают решения по облачной обработке и хранению данных банкам и банковским ассоциациям. Но вопрос пока не продвигается с места и не находит своего разрешения. Поэтому, то что вопрос был поднят и обсуждался на столь представительной сессии Уральского Форума есть очень хороший знак. От души хочется пожелать успехов в решении этой задачи.

Проработка показывает, что переход на облачные технологии действительно потенциально позволит существенно повысить эффективность регуляторных и надзорных технологий, снизить издержки малых и средних банков на обеспечение информационной безопасности и поддержку IT, в целом поднимет эффективность работы клиентов сервиса и повысит уровень безопасности. Об этом уже много и убедительно сказано.

Следует отметить, что проблема носит многоплановый системный характер. Выделяются две стороны вопроса. С одной      стороны, существует заинтересованность регулятора в создании универсальной платформы для реализации регуляторных и надзорных технологий, а с другой стороны, заинтересованность финансовых организаций в снижении своих издержек и получении современных сервисов и услуг, позволяющих улучшить конкурентоспособность и снизить издержки на непрофильную деятельность, под которой в общем случае следует понимать содержание информационной инфраструктуры и обслуживающей ее системы безопасности. Очевидно, что обе эти задачи связаны, представляют собой две неразрывные стороны одного целого и не могут быть эффективно решены по отдельности. Но к сожалению, мы не видим даже первых практических шагов в этом направлении. Вернее, видим то, что кредитные организации с удовольствием арендуют серверные мощности в различных ЦОД, но далее аренды серверов дело заходит редко. Есть правда тенденция развертывания небольших частных «облаков» в интересах одного собственника или владельца. Пока в направлении создания крупных облачных сервисов продвинулись только крупнейшие банки страны и прежде всего, Банк России со своим «частным облаком Банка России ЧОБР». При этом создаваемое ЧОБР не является публичным и насколько мы знаем, ЦБ РФ предоставлять облачные сервисы кому-либо не предполагает. О развертывании облачных технологий на ЦОДах, созданных Сбербанком, известно меньше, но и там, похоже, аналогичная картина.

Таким образом, банковское сообщество в условиях отсутствия ясной линии действий, включая «сигналы» регулятора, предпочитает пока оставаться в понятных для него рамках поведения, которые не выходят пока за рамки аренды мощностей. Или, вдруг, отдельные банки решаются на вынос некоторой функциональности в зарубежные облака, не имеющие никаких гарантий доверия. И то и другое плохо.

Напрашивается вывод, что есть некоторые убедительные причины, приводящие к торможению процесса. На мой взгляд, к ним следует отнести несколько разноплановых, но взаимно связанных факторов.

Отсутствие доверия к облачным сервисам (ключевой вопрос), понимаемого как наличие у предлагаемого сервиса:

а. Таких свойств безопасности, которые позволяют собственнику ресурса получить уверенность в том, что данные, обрабатываемые с использованием данного сервиса защищены от киберугроз и, прежде всего, от несанкционированного доступа со стороны:

других кредитных организаций;
атак внешних и внутренних нарушителей;
персонала ЦОД;
регулятора (ов).

b. Прозрачности деятельности и подотчетности оператора сервисов (облака), по обеспечению эксплуатации систем и оборудования ЦОД, а также обеспечению требований информационно безопасности, позволяющей убедится в том, что деятельность по обеспечению защиты информации и эксплуатации осуществляется в соответствии с установленными требованиями и регламентами.

c. Гарантий компенсации возможных убытков при реализации кибератак или нарушении непрерывности предоставления услуг.

Очевидно, что доверие к сервисам должно быть обеспечено на бизнес-уровне (по аналогии – на последнем, седьмом уровне модели взаимодействия открытых систем (OSI). Такой уровень доверия не обеспечивается автоматически требованиями технического характера по защите информации в облачных средах, разработанными для использования на более низких уровнях модели и не гарантируется наличием соответствующих сертификатов и аттестатов, хотя они в обязательном порядке должны быть.

Отсутствие стандартных услуг, сервисов и моделей обработки и хранения данных в облачных сервисах в виртуальном пространстве.

Отсутствие принципов и регламентов осуществления регуляторных и надзорных действий, включая аудит информационной безопасности, что диктует необходимость создания Банком России отечественной платформы для регуляторных и надзорных технологий для работы в централизованных защищенных облачных средах.

Отсутствие необходимого уровня гарантии непрерывности предоставления услуг.

Отсутствие внятных предложений по стоимости предоставляемых сервисов с учетом того, что облачные сервисы должны быть дешевле локальных кастомизированных решений.

Высокая и до конца не оцененная стоимость решения для потенциального оператора данного сервиса, не ясные финансовые параметры проекта, что не позволяет подготовить ясный бизнес-план и обосновать затраты на создание системы и оценить потенциальную прибыль.

Все это приводит к выводу, что данная тема представляет собой крупный системный проект. Размерность этого проекта такова, что его реализация требует создания консорциума заинтересованных организаций из числа кредитных и некредитных финансовых организаций, поставщиков облачных услуг и сервисов, собственников ЦОД, провайдеров телекоммуникационных услуг, возможно инвесторов. При этом, немаловажным фактором является равноудаленность консорциума как от каждого из участников, так и от государственных регуляторов[1]. При этом, в обязательном порядке вопрос требует нормативного регулирования со стороны государственных регуляторов, прежде всего, со стороны Банка России. Более того, если такого регулирования не будет, вопрос так и продолжит оставаться в нынешнем положении. Подобный опыт создания крупных независимых систем для предоставления финансовых услуг и сервисов есть (например, опыт создания НСПК). Но в отличие от НСПК, ожидаемым участием Банка России в данном процессе представляется выполнение роли регулятора и потребителя специфических сервисов, что предполагает:

нормативное регулирование вопроса, включая разработку необходимых стандартов (как бизнес-уровня, так и технических);
создание платформы для реализации регуляторных и надзорных технологий, разрабатываемых Регулятором в интересах повышения качества осуществляемой им деятельности и предназначенной для работы в создаваемой специализированной защищенной облачной среде, предоставляющей услуги кредитным и некредитным финансовым организациям.

Представляется, что инициатором процесса в рамках приведенных параметров может выступить ассоциация банков России, в полной мере владеющая нюансами вопроса.

[1] По типу организационной структуры и юридической формы системы SWIFT.

 
 
Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

29.09.2022
Штрафы за утечку ПДн могут пойти не в бюджет, а на компенсацию пострадавшим от утечек
28.09.2022
Появился сервис для подачи заявлений на освобождение айтишников от мобилизации
28.09.2022
Турецкие госбанки прекращают сотрудничество с «Миром»
28.09.2022
Минцифры — о типичных ошибках при подаче заявлений на ИТ-отсрочку от мобилизации
28.09.2022
The Wall Street Journal выяснил, что готовят США и ЕС против России
28.09.2022
На фоне темы мобилизации активизировались мошенники
27.09.2022
Минцифры рассказало, какие специалисты получат право на отсрочку от мобилизации
27.09.2022
Из App Store пропали приложения VK
27.09.2022
BIS Summit 2022: «Адаптация к новой реальности. Новые стратегические горизонты ИБ»
27.09.2022
СберВсё. Банк готовит к релизу SberDocs — систему электронного документооборота

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных