Cовсем не случайно ЦФТ стал первой российской софтверной компанией, которой удалось успешно реализовать серию проектов по переводу АБС банков на полный или частичный аутсорсинг. Когда в 2010 году в компании было принято стратегическое решение развивать новый ИТ-сервис — аутсорсинг core banking system, мы уже имели большой и успешный опыт в направлении процессинга операций по пластиковым картам, процессинга электронных платежей и дистанционного банковского обслуживания.

Еще на этапе подготовки к старту этого сервиса особое внимание было уделено вопросам безопасности. Все мы знаем, что банковская сфера очень консервативна и к соблюдению требований информационной безопасности относится более требовательно, чем любой другой бизнес. Особенности банковской информационной безопасности тесно связаны с составом  информации, которая обращается в рамках сервиса, с требованиями, которые предъявляют регуляторы: ФСБ, ФСТЭК, с недавних пор и ЦБ РФ.

Восемь российских банков и один банк из республики Казахстан используют в качестве основной АБС систему ЦФТ-Банк на условиях аутсорсинга

В результате принятый в ЦФТ внутренний свод «правил» информационной безопасности, по сути, включает в себя все многообразие требований из таких стандартов и нормативных документов, как  СТО БР, 382П, PCI DSS, ISAE 3402.

На текущий момент восемь российских банков и один банк из республики Казахстан используют в качестве основной АБС систему ЦФТ-Банк на условиях аутсорсинга. По аутсорсинговой модели также работает одна страховая компания. Систему ЦФТ-Банк на условиях аутсорсинга в образовательных целях используют два российских образовательных учреждения: НИУ ВШЭ (Высшая школа экономики) и НГУЭиУ (Новосибирский государственный университет экономики и управления).

Для сервиса аутсорсинга core banking system в ЦФТ задействованы мощности более двух ЦОДов и более 30 серверов. Ежедневно в удаленном режиме с системой ЦФТ-Банк на аутсорсинге работают более 2000 пользователей со стороны финансовых организаций.

Из тех функций, которые ЦФТ выполняет как провайдер аутсорсинговых услуг, я бы выделил три блока:

  • бизнес-функции: автоматизация бизнес-процессов, развитие, модификация и адаптация ИТ-продуктов по требованиям банка;
  • ИТ-функции: администрирование программно-аппаратного комплекса, сопровождение пользователей системы;
  • функции безопасности: комплекс мер по обеспечению физической, пожарной и информационной безопасности.

Работа специалистов ЦФТ при поддержке пользователей, модификации и развитию ИТ-продуктов ведется на копиях Рабочих схем АБС с искаженными данными. Установка на реальные Рабочие схемы банка производится с участием и под непосредственным контролем  сотрудников финансовой организации.

Опыт показал, что средним и крупным банкам со своими площадками более интересна модель out — когда мы как провайдер услуги удаленно подключаемся к площадке банка и обслуживаем ее

На момент запуска сервиса аутсорсинга core banking system мы большей частью планировали работать модели in — когда банк передает свою ИТ-инфраструктуру в ЦОДы ЦФТ, где мы уже реализуем весь комплекс услуг, осуществляем полное наполнение ЦОДа, включая технические средства защиты. Но опыт показал, что средним и крупным банкам со своими площадками более интересна модель out — когда мы как провайдер услуги удаленно подключаемся к площадке банка и обслуживаем ее. Со временем стала появляться «смешанная модель» — часть ИТ-инфраструктуры передается на обслуживание в ЦФТ, часть остается на площадке банка.

Как я уже отметил, обеспечение безопасности — обязательная составляющая сервиса ИТ-аутсорсинга. В рамках предоставления этого сервиса нашим партнерам мы обеспечиваем базовый уровень информационной безопасности — это неотъемлемая часть предлагаемого сервиса. Также возможно предоставление дополнительных услуг по желанию банка. Наши партнеры могут в любой момент внести в базовый уровень информационной безопасности свои предложения по улучшению этой составляющей. Мы это каждый раз приветствуем, ведь в результате все новые меры положительно сказывается на всех остальных партнерах ЦФТ — мы всегда все нововведения оцениваем с точки зрения применения для всей группы клиентов на аутсорсинге.

Итак, в базовый уровень обеспечения информационной безопасности в рамках аутсорсинговых проектов ЦФТ входят:

  1. Физическая безопасность: охрана и контроль доступа обеспечивается спецподразделением охраны с ГБР,  СКУД с использованием персонифицированных карт, система видеонаблюдения внешнего и внутреннего периметра.
  2. Пожарная безопасность: газовое оборудование с использованием безопасного газа.
  3. Обеспечение непрерывности деятельности: основной и резервный ЦОДы (уровень надежности Tier III стандарта TIA-942, каждый подключен минимум к четырем магистральным провайдерам), резервное электропитание (ИБП, дизельгенераторы), резервное копирование.
  4. Информационная безопасность: выполнение работ по внутренним приказам, политикам, регламентам (согласованные с банками), для каждого банка созданы свои периметры безопасности (в каждом несколько сетевых сегментов (с критичными данными, для разработки, для тестирования), использование специализированного ПО для защиты периметра, такие как: FW, IDS/IPS, сканеры уязвимостей, SIEM, AV, HSM, Oracle AS, Oracle DataVault и т. д., SOC-центр, внутренние и внешние процедуры по безопасности: регулярные  внутренние аудиты по оговоренным ранее стандартам, сканирования внешнего и внутреннего периметра на наличие уязвимостей, внешние и внутренние пентесты, ежегодный аудит по стандарту ISAE 3402  (аудитор компания PWC),  

Все эти меры — не предел. Очень много идей по внедрению новых инструментов для обеспечения информационной безопасности аутсорсинговых сервисов. Это — и IDM (Internet Download Manager), но только не в стандартной парадигме работы, а в схеме, в которой с одной стороны множество участников, с другой — мы с централизованным управлением. Это и шифрование критичных данных на ГОСТ-алгоритмах и т. д.

Финансовый рынок готов к смене софтверной парадигмы, сегодня банки гораздо более готовы переходить на ИТ-аутсорсинг

Несмотря на то что темпы принятия рынком данной услуги были на старте нами несколько преувеличены и в реальности нам потребовалось проводить гораздо большую просветительско-пропагандистскую работу среди банков, мы по-прежнему верим в перспективы развития сектора ИТ-аутсорсинга. Финансовый рынок готов к смене софтверной парадигмы, сегодня банки гораздо более готовы переходить на ИТ-аутсорсинг. Тем более что модель ИТ-аутсорсинга приемлема и для банков, и для НФО.

Ну а банкам, выбирающим сейчас аутсорсинговую модель использования программного обеспечения, хочу порекомендовать: обязательно перед стартом проекта четко регламентируйте отношения с ИТ-аутсорсером соглашением об уровне предоставления услуг (SLA). Четко формулируйте обязательства между сторонами  и распределяйте зоны ответственности. 

Это позволит вам снизить риски за счет более четкой регламентации деятельности по обеспечению безопасности, а также более высокой ответственности аутсорсера, закрепленной в сервисном контракте. Также при выборе компании-аутсорсера оценивайте уровень зрелости управленческих и технологических процессов будущего ИТ-партнера и выбирайте опытную и надежную компанию ИТ-аутсорсера, которая сможет эффективно и безопасно поддерживать ИТ-инфраструктуру вашего банка.