Что в себе таит IT-аутсорсинг: информационная безопасность | Ofisp.org

Что в себе таит IT-аутсорсинг: информационная безопасность

12 октября 201620:12

Многие компании пользуются услугами IT-аутсорсинга, но разработка программного обеспечения на заказ таит в себе определенный уровень опасности по информационной части. Как же быть? И что делают банки, которые просто не могут развиваться без новых разработок ПО, и эти разработки должны быть максимально безопасными?
Банки нашли довольно логичный вывод. Они заказывают разработку программного обеспечения не в полном объеме, как это обычно предлагается аутсорсинговыми компаниями. Они попросту приглашают сторонних высококлассных специалистов для разработки, которая ведется исключительно на территории банка.
В принципе, многие компании, заботящиеся о своей безопасности, могут перенять эту схему, однако, следует понимать, какие траты идут только на одни средства безопасности. Чем выше уровень безопасности, тем выше обходится разработка нового ПО. Банки обязаны действовать по схеме максимальной защиты, но и готовы платить за информационную безопасность.

 

В чем же кроется потенциальная опасность сторонних IT-поставщиков


Само собой разумеется, что перенос разработки новых программных продуктов на территорию банка – это довольно непростой и дорогой процесс. Тем не менее денежные организации смело идут на этот шаг и не доверяют в полной мере разработку своим IT-поставщикам в их офисах. Почему? Есть опасность, что защита данных при разработке не будет налажена в полной мере и возможна утечка информации. То есть банк опасается, что поставщик не сможет организовать должную защиту данных. Разработчик ведь будет иметь доступ к IT системам банка, а также в его руках будут принципы и технологии функционирования этих систем, да и сами разрабатываемые системы чего будут стоить, точнее знание об основах их работы.
И боится банк неспроста: утечка информации страшна не только, как многие думают, взломом. И это не только репутация банка. На банка попросту могут наложить штраф регулирующие органы за халатное отношение к системе безопасности хранения данных. Плюс судебные иски клиентов банка, а это немало.
Возможно в других странах может работать схема дистанционной разработки программного продукта и будет гарантирована его секретность. Но в нашей стране банкиры предпочитают действовать именно по схеме полного контроля за разработкой со своей стороны. Есть конечно варианты, когда разработчик создает специальный отдел по разработке на базе своего офиса, где ведется и разработка, и тестирование программного продукта. Но при этом для этого отдела создается контур безопасности по самым жестким требованиям заказчика. Разумеется, секретные разработки с такой системой безопасности доступны только тем компаниям, которые по роду своей деятельности должны таким образом выполнять предписания федерального законодательства. А также состоятельным организациям, которые полностью отдают себе отчет в колоссальных расходах на разработки такого уровня. Тем не менее любая, даже самая небольшая компания должна позаботится об обеспечении информационной безопасности. все таки на рынке есть уже готовые предложения по данному направлению, которые будут вполне доступны, и дают возможность подобрать уровень защиты под свои нужды.

 

 

При каких условиях банк может перенести разработку программного продукта в подразделение разработчика


Условие одно – информационная безопасность не должна быть слабее ни в коем случае. Таким образом, дистанционная разработка возможна только, если данное подразделение станет по сути частью IT-подразделения самого банка, так как там должны действовать те же правила безопасности, которые действуют в банковском учреждении. Этого достичь можно путем ознакомления аутсорсера с информационной защитой банка. Иногда сам аутсорсер предлагает доступные ему способы защиты информации, которые базируются на мировых стандартах и существующих методиках.
Особенность разработки ПО в таких особых условиях предполагает определенный доступ разработчиков к системам банка. Необходимо обсудить уровень доступа до системы, а также расписание доступа. Что касается тестирования и сдачи разработки, то необходимо будет разделять серверы для самой разработки, далее для тестирования, и уже для развертывания готового продукта в банке, а также для эксплутации. Обычно окончательное внедрение готового ПО проходит с помощью разработчиков.
Поддержка разработки будет осуществляться аутсорсером-разработчиком, поэтому необходимо понимать, что стороннему специалисту нужен будет доступ к определенным системам банка.
Самыми важными для банка являются данные клиентов, сотрудников, данные по финансовым транзакциям и др. Поэтому именно эти данные банк должен максимально защитить. При внедрении ПО-разработок банки обычно не предоставляют аутсорсерам доступ к реальным данным, которые являются для банка критическими. Но уже во время эксплуатации, когда нужна будет поддержка работающей системы, выездной специалист из фирмы-разработчика должен будет, что вполне возможно, иметь доступ к некоторой области, где содержаться эти данные. Следует предусмотреть этот случай. Как правило, инфраструктура банка выстроена таким образом, чтобы разработчики ПО не имели прямой доступ к критически важным данным.
Нужно сказать, что аутсорсер сам заинтересован в максимальной защите данных банка. Ведь при составлении договора банк обязательно добавит в договор пункт о штрафах и ответственности в случае утечки информации, а также при малейшем нарушении правил безопасности.

 

 

Как выглядит система информационной безопасности


Информационная безопасность – это не только идентификация при входе в систему, усложненные пароли и прочее. Это также и физическая безопасность, то есть организация физического контура безопасности, вход по электронным пропускам, установленный регламент работы с системой и пр. Обязательны системы видеонаблюдения, видео с которых должно храниться определенное время. Немалое внимание отводится также пожарной безопасности. Для обеспечения работы системы предусматриваются резервные сервера, создаются автоматические копии всех данных. Разумеется, система бесперебойного питания, которая является основой работы всего оборудования и системы безопасности, должна быть выполнена на высочайшем уровне.
Далее к физической защите также относят антивирусную защиту всех компьютеров и другого аппаратного оборудования, работающего в системе. Не секрет, что в банковским сотрудникам строго запрещено использовать некоторое коммуникационное ПО, использующее для связи небезопасные порты. Также запрещено использовать флеш-карты и флеш-носители, чтобы предотвратить утечку информации. Что касается использования мобильных устройств на территории, то этот вопрос может быть также поставлен очень жестко.
Частью физической безопасности в банках есть система «чистых столов». Это означает, что при отлучении с рабочего места все документы и другие материалы должны быть убраны с рабочего стола в закрывающийся на ключ сейф. Компьютер должен быть заблокирован.
Основа безопасности при любых секретных разработках – это разделение внешней сети интернет от внутренней локальной сети. Применяются системы шифрования. Внутренняя локальная сеть в целях безопасности администрируется только IT отделом банка, то есть заказчика. Более того, иногда применяются методы, когда запуск определенной программы возможен только при наличии USB-ключа.

 

Похожие материалы

14.04.2014
В Kickstarter начат сбор средств на претворение в жизнь проекта оригинального печатающего устройства, названного Mini Mobile Robotic Printer. Представленный на изображениях гаджет создан компанией Zuta Labs. В отличие от обычных принтеров, которые пропускают бумажный носитель через себя, Mini Mobile Robotic Printer сам перемещается по бумаге, оставляя за собой чернильный след. Такая конструкция позволила сделать устройство очень компактным. Его размеры — 10 см в высоту и 11,5 см в поперечнике, а весит новинка 300 г.
18.12.2012
Американская компания TrackingPoint начала продажи «умной» винтовки, которая позволяет неподготовленному человеку вести прицельный огонь на расстоянии в полкилометра, прошедшему подготовку – чуть более километра. Оружие можно подключить к iPad для вывода изображения, получаемого через прицел, а также его записи и передачи в Интернет. Как рассказывают создатели винтовки, на ее разработку команда из 70 человек потратила около трех лет. Президент TrackingPoint подчеркнул, что даже у военных нет аналогов этого устройства. Однако данное оружие будет доступно для гражданских лиц, готовых выложить до $22 тыс.
18.09.2014
Недавно компания Google попросила у государственных структур США разрешение на испытания своих беспилотников. Эти дроны будут доставлять интернет в недоступные места планеты.
26.10.2013
Сайт – визитная карточка любого предприятия и компании. Его продвижение и развитие в поисковых системах – это достаточно сложный процесс, который занимают очень много времени и сил. Естественно на раскрутку сайта нужно отдать достаточно приличный финансовый ресурс, поэтому  много фирм задаются вопросом, будут ли рентабельными данные капиталовложения, и действительно ли им нужен данный контент? Также заказчики часто задаются вопросом, когда будут видны первые результаты и насколько увеличатся их объёмы продаж товаров и услуг?
30.11.2012
Член думского комитета по информационной политике, информационным технологиям и связи Роберт Шлегель сообщил о том, что в пятницу, 17 мая, в Госдуме был создан профильный подкомитет по вопросам интернета и развития электронной демократии. По словам Шлегеля, подкомитет будет заниматься вопросами, связанными с Интернетом и развитием электронной демократии. «Вопросов достаточно много, и они носят достаточно специфический характер на стыке различных областей. Комитет у нас затрагивает очень большое количество различных тем, я занимаюсь тематикой, связанной с Интернетом, и посчитал возможным вынести это в отдельный подкомитет. Так было и в прошлом созыве», – заявил член комитета.

Оборудование:

Общие характеристики Тип: Wi-Fi точка доступа Стандарт беспроводной связи: 802.11n, частота 2.4 ГГц...
→ Оставить отзыв
Для начала давайте определим что такое IPTV и мини-роутер. Мини-роутер (маршрутизатор) – сетевое...
→ Оставить отзыв
Подключение При подключении нового роутера к сети интернет необходимо подключить кабель провайдера...
→ Оставить отзыв
Сначала – посмотрим, что такое Wi-Fi 3G роутер вообще, и чем такие решения лучше «модемов». В...
→ Оставить отзыв