Что в себе таит IT-аутсорсинг: информационная безопасность | Ofisp.org

Что в себе таит IT-аутсорсинг: информационная безопасность

12 октября 201619:12

Многие компании пользуются услугами IT-аутсорсинга, но разработка программного обеспечения на заказ таит в себе определенный уровень опасности по информационной части. Как же быть? И что делают банки, которые просто не могут развиваться без новых разработок ПО, и эти разработки должны быть максимально безопасными?
Банки нашли довольно логичный вывод. Они заказывают разработку программного обеспечения не в полном объеме, как это обычно предлагается аутсорсинговыми компаниями. Они попросту приглашают сторонних высококлассных специалистов для разработки, которая ведется исключительно на территории банка.
В принципе, многие компании, заботящиеся о своей безопасности, могут перенять эту схему, однако, следует понимать, какие траты идут только на одни средства безопасности. Чем выше уровень безопасности, тем выше обходится разработка нового ПО. Банки обязаны действовать по схеме максимальной защиты, но и готовы платить за информационную безопасность.

 

В чем же кроется потенциальная опасность сторонних IT-поставщиков


Само собой разумеется, что перенос разработки новых программных продуктов на территорию банка – это довольно непростой и дорогой процесс. Тем не менее денежные организации смело идут на этот шаг и не доверяют в полной мере разработку своим IT-поставщикам в их офисах. Почему? Есть опасность, что защита данных при разработке не будет налажена в полной мере и возможна утечка информации. То есть банк опасается, что поставщик не сможет организовать должную защиту данных. Разработчик ведь будет иметь доступ к IT системам банка, а также в его руках будут принципы и технологии функционирования этих систем, да и сами разрабатываемые системы чего будут стоить, точнее знание об основах их работы.
И боится банк неспроста: утечка информации страшна не только, как многие думают, взломом. И это не только репутация банка. На банка попросту могут наложить штраф регулирующие органы за халатное отношение к системе безопасности хранения данных. Плюс судебные иски клиентов банка, а это немало.
Возможно в других странах может работать схема дистанционной разработки программного продукта и будет гарантирована его секретность. Но в нашей стране банкиры предпочитают действовать именно по схеме полного контроля за разработкой со своей стороны. Есть конечно варианты, когда разработчик создает специальный отдел по разработке на базе своего офиса, где ведется и разработка, и тестирование программного продукта. Но при этом для этого отдела создается контур безопасности по самым жестким требованиям заказчика. Разумеется, секретные разработки с такой системой безопасности доступны только тем компаниям, которые по роду своей деятельности должны таким образом выполнять предписания федерального законодательства. А также состоятельным организациям, которые полностью отдают себе отчет в колоссальных расходах на разработки такого уровня. Тем не менее любая, даже самая небольшая компания должна позаботится об обеспечении информационной безопасности. все таки на рынке есть уже готовые предложения по данному направлению, которые будут вполне доступны, и дают возможность подобрать уровень защиты под свои нужды.

 

 

При каких условиях банк может перенести разработку программного продукта в подразделение разработчика


Условие одно – информационная безопасность не должна быть слабее ни в коем случае. Таким образом, дистанционная разработка возможна только, если данное подразделение станет по сути частью IT-подразделения самого банка, так как там должны действовать те же правила безопасности, которые действуют в банковском учреждении. Этого достичь можно путем ознакомления аутсорсера с информационной защитой банка. Иногда сам аутсорсер предлагает доступные ему способы защиты информации, которые базируются на мировых стандартах и существующих методиках.
Особенность разработки ПО в таких особых условиях предполагает определенный доступ разработчиков к системам банка. Необходимо обсудить уровень доступа до системы, а также расписание доступа. Что касается тестирования и сдачи разработки, то необходимо будет разделять серверы для самой разработки, далее для тестирования, и уже для развертывания готового продукта в банке, а также для эксплутации. Обычно окончательное внедрение готового ПО проходит с помощью разработчиков.
Поддержка разработки будет осуществляться аутсорсером-разработчиком, поэтому необходимо понимать, что стороннему специалисту нужен будет доступ к определенным системам банка.
Самыми важными для банка являются данные клиентов, сотрудников, данные по финансовым транзакциям и др. Поэтому именно эти данные банк должен максимально защитить. При внедрении ПО-разработок банки обычно не предоставляют аутсорсерам доступ к реальным данным, которые являются для банка критическими. Но уже во время эксплуатации, когда нужна будет поддержка работающей системы, выездной специалист из фирмы-разработчика должен будет, что вполне возможно, иметь доступ к некоторой области, где содержаться эти данные. Следует предусмотреть этот случай. Как правило, инфраструктура банка выстроена таким образом, чтобы разработчики ПО не имели прямой доступ к критически важным данным.
Нужно сказать, что аутсорсер сам заинтересован в максимальной защите данных банка. Ведь при составлении договора банк обязательно добавит в договор пункт о штрафах и ответственности в случае утечки информации, а также при малейшем нарушении правил безопасности.

 

 

Как выглядит система информационной безопасности


Информационная безопасность – это не только идентификация при входе в систему, усложненные пароли и прочее. Это также и физическая безопасность, то есть организация физического контура безопасности, вход по электронным пропускам, установленный регламент работы с системой и пр. Обязательны системы видеонаблюдения, видео с которых должно храниться определенное время. Немалое внимание отводится также пожарной безопасности. Для обеспечения работы системы предусматриваются резервные сервера, создаются автоматические копии всех данных. Разумеется, система бесперебойного питания, которая является основой работы всего оборудования и системы безопасности, должна быть выполнена на высочайшем уровне.
Далее к физической защите также относят антивирусную защиту всех компьютеров и другого аппаратного оборудования, работающего в системе. Не секрет, что в банковским сотрудникам строго запрещено использовать некоторое коммуникационное ПО, использующее для связи небезопасные порты. Также запрещено использовать флеш-карты и флеш-носители, чтобы предотвратить утечку информации. Что касается использования мобильных устройств на территории, то этот вопрос может быть также поставлен очень жестко.
Частью физической безопасности в банках есть система «чистых столов». Это означает, что при отлучении с рабочего места все документы и другие материалы должны быть убраны с рабочего стола в закрывающийся на ключ сейф. Компьютер должен быть заблокирован.
Основа безопасности при любых секретных разработках – это разделение внешней сети интернет от внутренней локальной сети. Применяются системы шифрования. Внутренняя локальная сеть в целях безопасности администрируется только IT отделом банка, то есть заказчика. Более того, иногда применяются методы, когда запуск определенной программы возможен только при наличии USB-ключа.

 

Похожие материалы

15.04.2014
Прежде, чем купить новый ноутбук, планшет, фотоаппарат или смартфон, рекомендуется посетить специализированные интернет-порталы обзоров техники и прочитать подробную информацию о плюсах и минусах выбранной вами модели.
23.04.2014
Производитель систем защиты данных группа компаний InfoWatch объявила результаты своей деятельности в 2013 году. Группа заработала за прошедший год 498 млн руб., что на 36% больше, чем годом ранее. Правда, это статистика всего по двум компаниям — InfoWatch и EgoSecure, в которых группа владеет больше чем 50% акций. При этом головная компания, InfoWatch, на рынке DLP (Data Leak Protection — «защита от утечек данных») заработала 407 млн руб. (рост 35%), а EgoSecure — 91 млн руб. (рост 44%).
15.02.2013
Известный программист смог получить корневой доступ к Android на очках Google Glass, однако пока не ясно, что это может дать. Возможности устройства ограничены. Основатель проекта Cydia Джей Фримэн (Jay Freeman) сообщил в своем блоге об успешном получении корневого доступа к системе Android, установленной на очки дополненной реальности Google Glass. По словам Фримэна, он воспользовался известной уязвимостью в версии операционной системы Android 4.0.
02.06.2014
Мультимедийный холдинг РБК намерен продать входящее в него интернет-издание IT-тематики CNews. Об этом «Ленте.ру» сообщили два источника на рынке, знакомые с планами РБК.
11.03.2014
Видеохостинг YouTube оказался заблокирован санкт-петербургским провайдером InterZet из-за размещенных на нем экстремистских материалов. Об этом «Ленте.ру» 10 марта сообщили в службе поддержки компании.

Оборудование:

Общие характеристики Тип: Wi-Fi точка доступа Стандарт беспроводной связи: 802.11n, частота 2.4 ГГц...
→ Оставить отзыв
Для начала давайте определим что такое IPTV и мини-роутер. Мини-роутер (маршрутизатор) – сетевое...
→ Оставить отзыв
Подключение При подключении нового роутера к сети интернет необходимо подключить кабель провайдера...
→ Оставить отзыв
Сначала – посмотрим, что такое Wi-Fi 3G роутер вообще, и чем такие решения лучше «модемов». В...
→ Оставить отзыв