7 марта, воскресенье 10:19
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Облака, аутсорсинг на ресурсы банка и банковские регуляторы.

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Облака, аутсорсинг на ресурсы банка и банковские регуляторы.

    Коллеги, есть задача перенести железо или ПО из регионального банка в Москву. Видится три варианта решения, в каждом из вариантов администрирование будет вестись из Москвы:
    1) разместить железо на площади компании, которая владеет банком, и расположена в Москве
    2) отдать ПО в «частное облако»,
    3)разместить железо банка на территории чужого ЦОД.

    Давайте рассмотрим вопрос комплаенса, не касаясь проблем реальной защищенности. Что может не понравиться регуляторам в каждом из предложенных вариантов?

    Предложу свое решение. Во первых, оставляем ДБО на месте в банке – так как лицензия ФСБ основана на аттестации ДБО и аттестоваться заново не хочется. Во вторых, сертифицированный VPN между банком и площадкой расположения железа с АБС, почтой, телефонией и другим ПО.

    А ваше мнение, что еще необходимо выполнить? В каком из вариантов у регуляторов будет меньше вопросов?
    Может быть стоит оставить в банке еще и АБС?

  • #2
    Добрый день.
    Вариант 1 и вариант 3 чем-то похожи. В любом случае придется обозначать (документально и физически) контролируемую зону и создавать защищенные каналы. Только в первом случае будет меньше проблем с бумагами и согласованием. А на территории чужого ЦОД, если он нормальный, можно свои серваки хоть забором огородить и своих админов посадить. По облакам у регуляторов мнения нет вообще, они просто не понимают, что это такое. Создавать дополнительные риски в этом случае я не вижу смысла. Ну а ДБО да, лучше оставить на месте.

    Комментарий


    • #3
      Сообщение от Maxim Rem Посмотреть сообщение
      Вариант 1 и вариант 3 чем-то похожи. .
      Да, для регуляторов похожи - владелец банка это ведь другое ЮЛ. По идее необходимо заключать между банком и владельцем договор на защиту информации, находящейся в пределах контролируемой зоны, но это уже деятельность требующая лицензии.

      Комментарий


      • #4
        Сообщение от Андрей Ерин Посмотреть сообщение
        Да, для регуляторов похожи - владелец банка это ведь другое ЮЛ. По идее необходимо заключать между банком и владельцем договор на защиту информации, находящейся в пределах контролируемой зоны, но это уже деятельность требующая лицензии.
        Ну можно просто заключить договор с организацией, у которой есть такая лицензия.

        Комментарий


        • #5
          Сообщение от Maxim Rem Посмотреть сообщение
          Ну можно просто заключить договор с организацией, у которой есть такая лицензия.
          И у которой есть ЦОД в Москве. Таких не так много. Думаю, будем делать комплаенс и отдельно работающую и защищенную систему. Других мыслей пока нет.

          Комментарий

          Обработка...
          X