Что в себе таит IT-аутсорсинг: информационная безопасность | Ofisp.org

Что в себе таит IT-аутсорсинг: информационная безопасность

12 октября 201620:12

Многие компании пользуются услугами IT-аутсорсинга, но разработка программного обеспечения на заказ таит в себе определенный уровень опасности по информационной части. Как же быть? И что делают банки, которые просто не могут развиваться без новых разработок ПО, и эти разработки должны быть максимально безопасными?
Банки нашли довольно логичный вывод. Они заказывают разработку программного обеспечения не в полном объеме, как это обычно предлагается аутсорсинговыми компаниями. Они попросту приглашают сторонних высококлассных специалистов для разработки, которая ведется исключительно на территории банка.
В принципе, многие компании, заботящиеся о своей безопасности, могут перенять эту схему, однако, следует понимать, какие траты идут только на одни средства безопасности. Чем выше уровень безопасности, тем выше обходится разработка нового ПО. Банки обязаны действовать по схеме максимальной защиты, но и готовы платить за информационную безопасность.

 

В чем же кроется потенциальная опасность сторонних IT-поставщиков


Само собой разумеется, что перенос разработки новых программных продуктов на территорию банка – это довольно непростой и дорогой процесс. Тем не менее денежные организации смело идут на этот шаг и не доверяют в полной мере разработку своим IT-поставщикам в их офисах. Почему? Есть опасность, что защита данных при разработке не будет налажена в полной мере и возможна утечка информации. То есть банк опасается, что поставщик не сможет организовать должную защиту данных. Разработчик ведь будет иметь доступ к IT системам банка, а также в его руках будут принципы и технологии функционирования этих систем, да и сами разрабатываемые системы чего будут стоить, точнее знание об основах их работы.
И боится банк неспроста: утечка информации страшна не только, как многие думают, взломом. И это не только репутация банка. На банка попросту могут наложить штраф регулирующие органы за халатное отношение к системе безопасности хранения данных. Плюс судебные иски клиентов банка, а это немало.
Возможно в других странах может работать схема дистанционной разработки программного продукта и будет гарантирована его секретность. Но в нашей стране банкиры предпочитают действовать именно по схеме полного контроля за разработкой со своей стороны. Есть конечно варианты, когда разработчик создает специальный отдел по разработке на базе своего офиса, где ведется и разработка, и тестирование программного продукта. Но при этом для этого отдела создается контур безопасности по самым жестким требованиям заказчика. Разумеется, секретные разработки с такой системой безопасности доступны только тем компаниям, которые по роду своей деятельности должны таким образом выполнять предписания федерального законодательства. А также состоятельным организациям, которые полностью отдают себе отчет в колоссальных расходах на разработки такого уровня. Тем не менее любая, даже самая небольшая компания должна позаботится об обеспечении информационной безопасности. все таки на рынке есть уже готовые предложения по данному направлению, которые будут вполне доступны, и дают возможность подобрать уровень защиты под свои нужды.

 

 

При каких условиях банк может перенести разработку программного продукта в подразделение разработчика


Условие одно – информационная безопасность не должна быть слабее ни в коем случае. Таким образом, дистанционная разработка возможна только, если данное подразделение станет по сути частью IT-подразделения самого банка, так как там должны действовать те же правила безопасности, которые действуют в банковском учреждении. Этого достичь можно путем ознакомления аутсорсера с информационной защитой банка. Иногда сам аутсорсер предлагает доступные ему способы защиты информации, которые базируются на мировых стандартах и существующих методиках.
Особенность разработки ПО в таких особых условиях предполагает определенный доступ разработчиков к системам банка. Необходимо обсудить уровень доступа до системы, а также расписание доступа. Что касается тестирования и сдачи разработки, то необходимо будет разделять серверы для самой разработки, далее для тестирования, и уже для развертывания готового продукта в банке, а также для эксплутации. Обычно окончательное внедрение готового ПО проходит с помощью разработчиков.
Поддержка разработки будет осуществляться аутсорсером-разработчиком, поэтому необходимо понимать, что стороннему специалисту нужен будет доступ к определенным системам банка.
Самыми важными для банка являются данные клиентов, сотрудников, данные по финансовым транзакциям и др. Поэтому именно эти данные банк должен максимально защитить. При внедрении ПО-разработок банки обычно не предоставляют аутсорсерам доступ к реальным данным, которые являются для банка критическими. Но уже во время эксплуатации, когда нужна будет поддержка работающей системы, выездной специалист из фирмы-разработчика должен будет, что вполне возможно, иметь доступ к некоторой области, где содержаться эти данные. Следует предусмотреть этот случай. Как правило, инфраструктура банка выстроена таким образом, чтобы разработчики ПО не имели прямой доступ к критически важным данным.
Нужно сказать, что аутсорсер сам заинтересован в максимальной защите данных банка. Ведь при составлении договора банк обязательно добавит в договор пункт о штрафах и ответственности в случае утечки информации, а также при малейшем нарушении правил безопасности.

 

 

Как выглядит система информационной безопасности


Информационная безопасность – это не только идентификация при входе в систему, усложненные пароли и прочее. Это также и физическая безопасность, то есть организация физического контура безопасности, вход по электронным пропускам, установленный регламент работы с системой и пр. Обязательны системы видеонаблюдения, видео с которых должно храниться определенное время. Немалое внимание отводится также пожарной безопасности. Для обеспечения работы системы предусматриваются резервные сервера, создаются автоматические копии всех данных. Разумеется, система бесперебойного питания, которая является основой работы всего оборудования и системы безопасности, должна быть выполнена на высочайшем уровне.
Далее к физической защите также относят антивирусную защиту всех компьютеров и другого аппаратного оборудования, работающего в системе. Не секрет, что в банковским сотрудникам строго запрещено использовать некоторое коммуникационное ПО, использующее для связи небезопасные порты. Также запрещено использовать флеш-карты и флеш-носители, чтобы предотвратить утечку информации. Что касается использования мобильных устройств на территории, то этот вопрос может быть также поставлен очень жестко.
Частью физической безопасности в банках есть система «чистых столов». Это означает, что при отлучении с рабочего места все документы и другие материалы должны быть убраны с рабочего стола в закрывающийся на ключ сейф. Компьютер должен быть заблокирован.
Основа безопасности при любых секретных разработках – это разделение внешней сети интернет от внутренней локальной сети. Применяются системы шифрования. Внутренняя локальная сеть в целях безопасности администрируется только IT отделом банка, то есть заказчика. Более того, иногда применяются методы, когда запуск определенной программы возможен только при наличии USB-ключа.

 

Похожие материалы

28.04.2014
Могут ли появиться компьютеры, целиком состоящие из пластмассы? Благодаря недавнему достижению исследователей такая перспектива стала более реальной. Ученые Университета Айовы и Нью-Йоркского университета исследуют возможность изготовления малоэнергоемких, гибких и недорогих компьютеров из пластмасс. Ток пластмасса не проводит, но экспериментаторам, по их словам, удалось добиться возможности считывания данных пластиковой электроникой с магнитной пленки. Доклад об открытии опубликован в журнале Nature Communications.
10.06.2014
Президент PayPal Дэвид Маркус (David Marcus) перейдет на работу в компанию Facebook, где возглавит бизнес по обмену сообщениями одноименной социальной сети. Об этом говорится в сообщении компании eBay, которой принадлежит PayPal.Маркус приступит к исполнению своих обязанностей в новой компании с 27 июня. Он возглавлял PayPal в течение двух лет. После его ухода обязанности президента будет временно исполнять генеральный директор компании eBay Джон Донахоу.
25.03.2013
Индийский дизайнер Сумит Дагар (Sumit Dagar) анонсировал мобильный телефон с тактильным интерфейсом, предназначенный для незрячих и слабовидящих пользователей, передает The Times of India. В «экране» телефона имеются штырьки, которые могут подниматься и опускаться, образуя символы шрифта Брайля. Из какого материала изготовлен дисплей, не уточняется, но известно, что в «экране» применяется «эффект памяти формы». Помимо текста, передаваемого шрифтом Брайля, телефон умеет показывать осязаемую графику (например, картинки или географические карты) и видео. Судя по изображениям с сайта Сумита Дагара, экран также может содержать объемные кнопки.
29.04.2016
Лучший интернет для просмотра ТВ? Первый ответ напрашивается – быстрый. Действительно, скорость – это наверное единственное условие  для комфортного просмотра телевизионных каналов в интернете. От чего зависит эта скорость и как выбрать интернет с высокой скоростью?
29.05.2013
Компания Jolla, созданная бывшими сотрудниками Nokia, запланировала анонс первого коммерческого смартфона под управлением операционной системы Sailfish на начало мая. Кроме того, те, кто оформит предварительный заказ на аппарат, получат «уникальные и неповторимые устройства, не похожие ни на что другое». По словам Антти Саарнио, главы совета директоров Jolla, внешний вид смартфона отражает современный скандинавский дизайн. Правда, топ-менеджер компании не стал уточнять, что именно подразумевается под этим. Как предполагает ресурс MyNokiaBlog, в разработке внешнего вида аппарата могла принимать участие команда, ответственная за дизайн прошлых мобильников Nokia.

Оборудование:

Общие характеристики Тип: Wi-Fi точка доступа Стандарт беспроводной связи: 802.11n, частота 2.4 ГГц...
→ Оставить отзыв
Для начала давайте определим что такое IPTV и мини-роутер. Мини-роутер (маршрутизатор) – сетевое...
→ Оставить отзыв
Подключение При подключении нового роутера к сети интернет необходимо подключить кабель провайдера...
→ Оставить отзыв
Сначала – посмотрим, что такое Wi-Fi 3G роутер вообще, и чем такие решения лучше «модемов». В...
→ Оставить отзыв