Что в себе таит IT-аутсорсинг: информационная безопасность | Ofisp.org

Что в себе таит IT-аутсорсинг: информационная безопасность

12 октября 201619:12

Многие компании пользуются услугами IT-аутсорсинга, но разработка программного обеспечения на заказ таит в себе определенный уровень опасности по информационной части. Как же быть? И что делают банки, которые просто не могут развиваться без новых разработок ПО, и эти разработки должны быть максимально безопасными?
Банки нашли довольно логичный вывод. Они заказывают разработку программного обеспечения не в полном объеме, как это обычно предлагается аутсорсинговыми компаниями. Они попросту приглашают сторонних высококлассных специалистов для разработки, которая ведется исключительно на территории банка.
В принципе, многие компании, заботящиеся о своей безопасности, могут перенять эту схему, однако, следует понимать, какие траты идут только на одни средства безопасности. Чем выше уровень безопасности, тем выше обходится разработка нового ПО. Банки обязаны действовать по схеме максимальной защиты, но и готовы платить за информационную безопасность.

 

В чем же кроется потенциальная опасность сторонних IT-поставщиков


Само собой разумеется, что перенос разработки новых программных продуктов на территорию банка – это довольно непростой и дорогой процесс. Тем не менее денежные организации смело идут на этот шаг и не доверяют в полной мере разработку своим IT-поставщикам в их офисах. Почему? Есть опасность, что защита данных при разработке не будет налажена в полной мере и возможна утечка информации. То есть банк опасается, что поставщик не сможет организовать должную защиту данных. Разработчик ведь будет иметь доступ к IT системам банка, а также в его руках будут принципы и технологии функционирования этих систем, да и сами разрабатываемые системы чего будут стоить, точнее знание об основах их работы.
И боится банк неспроста: утечка информации страшна не только, как многие думают, взломом. И это не только репутация банка. На банка попросту могут наложить штраф регулирующие органы за халатное отношение к системе безопасности хранения данных. Плюс судебные иски клиентов банка, а это немало.
Возможно в других странах может работать схема дистанционной разработки программного продукта и будет гарантирована его секретность. Но в нашей стране банкиры предпочитают действовать именно по схеме полного контроля за разработкой со своей стороны. Есть конечно варианты, когда разработчик создает специальный отдел по разработке на базе своего офиса, где ведется и разработка, и тестирование программного продукта. Но при этом для этого отдела создается контур безопасности по самым жестким требованиям заказчика. Разумеется, секретные разработки с такой системой безопасности доступны только тем компаниям, которые по роду своей деятельности должны таким образом выполнять предписания федерального законодательства. А также состоятельным организациям, которые полностью отдают себе отчет в колоссальных расходах на разработки такого уровня. Тем не менее любая, даже самая небольшая компания должна позаботится об обеспечении информационной безопасности. все таки на рынке есть уже готовые предложения по данному направлению, которые будут вполне доступны, и дают возможность подобрать уровень защиты под свои нужды.

 

 

При каких условиях банк может перенести разработку программного продукта в подразделение разработчика


Условие одно – информационная безопасность не должна быть слабее ни в коем случае. Таким образом, дистанционная разработка возможна только, если данное подразделение станет по сути частью IT-подразделения самого банка, так как там должны действовать те же правила безопасности, которые действуют в банковском учреждении. Этого достичь можно путем ознакомления аутсорсера с информационной защитой банка. Иногда сам аутсорсер предлагает доступные ему способы защиты информации, которые базируются на мировых стандартах и существующих методиках.
Особенность разработки ПО в таких особых условиях предполагает определенный доступ разработчиков к системам банка. Необходимо обсудить уровень доступа до системы, а также расписание доступа. Что касается тестирования и сдачи разработки, то необходимо будет разделять серверы для самой разработки, далее для тестирования, и уже для развертывания готового продукта в банке, а также для эксплутации. Обычно окончательное внедрение готового ПО проходит с помощью разработчиков.
Поддержка разработки будет осуществляться аутсорсером-разработчиком, поэтому необходимо понимать, что стороннему специалисту нужен будет доступ к определенным системам банка.
Самыми важными для банка являются данные клиентов, сотрудников, данные по финансовым транзакциям и др. Поэтому именно эти данные банк должен максимально защитить. При внедрении ПО-разработок банки обычно не предоставляют аутсорсерам доступ к реальным данным, которые являются для банка критическими. Но уже во время эксплуатации, когда нужна будет поддержка работающей системы, выездной специалист из фирмы-разработчика должен будет, что вполне возможно, иметь доступ к некоторой области, где содержаться эти данные. Следует предусмотреть этот случай. Как правило, инфраструктура банка выстроена таким образом, чтобы разработчики ПО не имели прямой доступ к критически важным данным.
Нужно сказать, что аутсорсер сам заинтересован в максимальной защите данных банка. Ведь при составлении договора банк обязательно добавит в договор пункт о штрафах и ответственности в случае утечки информации, а также при малейшем нарушении правил безопасности.

 

 

Как выглядит система информационной безопасности


Информационная безопасность – это не только идентификация при входе в систему, усложненные пароли и прочее. Это также и физическая безопасность, то есть организация физического контура безопасности, вход по электронным пропускам, установленный регламент работы с системой и пр. Обязательны системы видеонаблюдения, видео с которых должно храниться определенное время. Немалое внимание отводится также пожарной безопасности. Для обеспечения работы системы предусматриваются резервные сервера, создаются автоматические копии всех данных. Разумеется, система бесперебойного питания, которая является основой работы всего оборудования и системы безопасности, должна быть выполнена на высочайшем уровне.
Далее к физической защите также относят антивирусную защиту всех компьютеров и другого аппаратного оборудования, работающего в системе. Не секрет, что в банковским сотрудникам строго запрещено использовать некоторое коммуникационное ПО, использующее для связи небезопасные порты. Также запрещено использовать флеш-карты и флеш-носители, чтобы предотвратить утечку информации. Что касается использования мобильных устройств на территории, то этот вопрос может быть также поставлен очень жестко.
Частью физической безопасности в банках есть система «чистых столов». Это означает, что при отлучении с рабочего места все документы и другие материалы должны быть убраны с рабочего стола в закрывающийся на ключ сейф. Компьютер должен быть заблокирован.
Основа безопасности при любых секретных разработках – это разделение внешней сети интернет от внутренней локальной сети. Применяются системы шифрования. Внутренняя локальная сеть в целях безопасности администрируется только IT отделом банка, то есть заказчика. Более того, иногда применяются методы, когда запуск определенной программы возможен только при наличии USB-ключа.

 

Похожие материалы

19.12.2013
Эксперты «Лаборатории Касперского» обнаружили редкую разновидность трояна, под названием ChewBacca, использующего для связи с командным сервером анонимную сеть Tor. Сеть Tor позволяет анонимно размещать в cети веб-сайты и предоставлять пользователям доступ к ним на условиях анонимности. В числе прочих задач она используется для распространения запрещенного контента. Изначально проект финансировался Научно-исследовательской лабораторией ВМС США. Позже он перешел под покровительство некоммерческой организации.
26.12.2013
Местный регулятор всерьез взялся за производителей планшетов и смартфонов, начав искоренять недобросовестную торговлю.
24.12.2012
Пресс-секретарь Следственного комитета Владимир Маркин заявил, что «некоторые олигархи и зарубежные центры» ведут против России информационные войны в соцсетях и блогах. Такое заявление, как сообщает «Интерфакс», он сделал 15 мая на всероссийском семинаре представителей региональных подразделений СК. «В этой сфере (в блогах и соцсетях – прим. ред.) ведутся информационные войны, направленные на подрыв доверия населения к государству, в том числе и прежде всего к правоохранительным органам», – сказал Маркин.
18.04.2014
Пользователи смартфонов и планшетов на платформе Android теперь могут удаленно зайти на настольный домашний компьютер и получить доступ к расположенным в нем файлам через специальное приложение-клиент Chrome Remote Desktop, говорится в сообщении Google.
17.04.2014
Компания Red Hat анонсировала свободный проект Atomic, в рамках которого развивается концепция похожей на CoreOS минималистской операционной системы, нацеленной на обеспечение запуска изолированных контейнеров, подготовленных и управляемых при помощи инструментария Docker. Экспериментальные сборки Atomic на основе Fedora 20 подготовлены для использования в VirtualBox, QEMU/KVM и OpenStack. На базе Atomic будет сформирована специальная редакция дистрибутива Red Hat Enterprise Linux Atomic Host, которую планируется включить в состав серии продуктов Red Hat Enterprise Linux 7.

Оборудование:

Общие характеристики Тип: Wi-Fi точка доступа Стандарт беспроводной связи: 802.11n, частота 2.4 ГГц...
→ Оставить отзыв
Для начала давайте определим что такое IPTV и мини-роутер. Мини-роутер (маршрутизатор) – сетевое...
→ Оставить отзыв
Подключение При подключении нового роутера к сети интернет необходимо подключить кабель провайдера...
→ Оставить отзыв
Сначала – посмотрим, что такое Wi-Fi 3G роутер вообще, и чем такие решения лучше «модемов». В...
→ Оставить отзыв