Что в себе таит IT-аутсорсинг: информационная безопасность | Ofisp.org

Что в себе таит IT-аутсорсинг: информационная безопасность

12 октября 201620:12

Многие компании пользуются услугами IT-аутсорсинга, но разработка программного обеспечения на заказ таит в себе определенный уровень опасности по информационной части. Как же быть? И что делают банки, которые просто не могут развиваться без новых разработок ПО, и эти разработки должны быть максимально безопасными?
Банки нашли довольно логичный вывод. Они заказывают разработку программного обеспечения не в полном объеме, как это обычно предлагается аутсорсинговыми компаниями. Они попросту приглашают сторонних высококлассных специалистов для разработки, которая ведется исключительно на территории банка.
В принципе, многие компании, заботящиеся о своей безопасности, могут перенять эту схему, однако, следует понимать, какие траты идут только на одни средства безопасности. Чем выше уровень безопасности, тем выше обходится разработка нового ПО. Банки обязаны действовать по схеме максимальной защиты, но и готовы платить за информационную безопасность.

 

В чем же кроется потенциальная опасность сторонних IT-поставщиков


Само собой разумеется, что перенос разработки новых программных продуктов на территорию банка – это довольно непростой и дорогой процесс. Тем не менее денежные организации смело идут на этот шаг и не доверяют в полной мере разработку своим IT-поставщикам в их офисах. Почему? Есть опасность, что защита данных при разработке не будет налажена в полной мере и возможна утечка информации. То есть банк опасается, что поставщик не сможет организовать должную защиту данных. Разработчик ведь будет иметь доступ к IT системам банка, а также в его руках будут принципы и технологии функционирования этих систем, да и сами разрабатываемые системы чего будут стоить, точнее знание об основах их работы.
И боится банк неспроста: утечка информации страшна не только, как многие думают, взломом. И это не только репутация банка. На банка попросту могут наложить штраф регулирующие органы за халатное отношение к системе безопасности хранения данных. Плюс судебные иски клиентов банка, а это немало.
Возможно в других странах может работать схема дистанционной разработки программного продукта и будет гарантирована его секретность. Но в нашей стране банкиры предпочитают действовать именно по схеме полного контроля за разработкой со своей стороны. Есть конечно варианты, когда разработчик создает специальный отдел по разработке на базе своего офиса, где ведется и разработка, и тестирование программного продукта. Но при этом для этого отдела создается контур безопасности по самым жестким требованиям заказчика. Разумеется, секретные разработки с такой системой безопасности доступны только тем компаниям, которые по роду своей деятельности должны таким образом выполнять предписания федерального законодательства. А также состоятельным организациям, которые полностью отдают себе отчет в колоссальных расходах на разработки такого уровня. Тем не менее любая, даже самая небольшая компания должна позаботится об обеспечении информационной безопасности. все таки на рынке есть уже готовые предложения по данному направлению, которые будут вполне доступны, и дают возможность подобрать уровень защиты под свои нужды.

 

 

При каких условиях банк может перенести разработку программного продукта в подразделение разработчика


Условие одно – информационная безопасность не должна быть слабее ни в коем случае. Таким образом, дистанционная разработка возможна только, если данное подразделение станет по сути частью IT-подразделения самого банка, так как там должны действовать те же правила безопасности, которые действуют в банковском учреждении. Этого достичь можно путем ознакомления аутсорсера с информационной защитой банка. Иногда сам аутсорсер предлагает доступные ему способы защиты информации, которые базируются на мировых стандартах и существующих методиках.
Особенность разработки ПО в таких особых условиях предполагает определенный доступ разработчиков к системам банка. Необходимо обсудить уровень доступа до системы, а также расписание доступа. Что касается тестирования и сдачи разработки, то необходимо будет разделять серверы для самой разработки, далее для тестирования, и уже для развертывания готового продукта в банке, а также для эксплутации. Обычно окончательное внедрение готового ПО проходит с помощью разработчиков.
Поддержка разработки будет осуществляться аутсорсером-разработчиком, поэтому необходимо понимать, что стороннему специалисту нужен будет доступ к определенным системам банка.
Самыми важными для банка являются данные клиентов, сотрудников, данные по финансовым транзакциям и др. Поэтому именно эти данные банк должен максимально защитить. При внедрении ПО-разработок банки обычно не предоставляют аутсорсерам доступ к реальным данным, которые являются для банка критическими. Но уже во время эксплуатации, когда нужна будет поддержка работающей системы, выездной специалист из фирмы-разработчика должен будет, что вполне возможно, иметь доступ к некоторой области, где содержаться эти данные. Следует предусмотреть этот случай. Как правило, инфраструктура банка выстроена таким образом, чтобы разработчики ПО не имели прямой доступ к критически важным данным.
Нужно сказать, что аутсорсер сам заинтересован в максимальной защите данных банка. Ведь при составлении договора банк обязательно добавит в договор пункт о штрафах и ответственности в случае утечки информации, а также при малейшем нарушении правил безопасности.

 

 

Как выглядит система информационной безопасности


Информационная безопасность – это не только идентификация при входе в систему, усложненные пароли и прочее. Это также и физическая безопасность, то есть организация физического контура безопасности, вход по электронным пропускам, установленный регламент работы с системой и пр. Обязательны системы видеонаблюдения, видео с которых должно храниться определенное время. Немалое внимание отводится также пожарной безопасности. Для обеспечения работы системы предусматриваются резервные сервера, создаются автоматические копии всех данных. Разумеется, система бесперебойного питания, которая является основой работы всего оборудования и системы безопасности, должна быть выполнена на высочайшем уровне.
Далее к физической защите также относят антивирусную защиту всех компьютеров и другого аппаратного оборудования, работающего в системе. Не секрет, что в банковским сотрудникам строго запрещено использовать некоторое коммуникационное ПО, использующее для связи небезопасные порты. Также запрещено использовать флеш-карты и флеш-носители, чтобы предотвратить утечку информации. Что касается использования мобильных устройств на территории, то этот вопрос может быть также поставлен очень жестко.
Частью физической безопасности в банках есть система «чистых столов». Это означает, что при отлучении с рабочего места все документы и другие материалы должны быть убраны с рабочего стола в закрывающийся на ключ сейф. Компьютер должен быть заблокирован.
Основа безопасности при любых секретных разработках – это разделение внешней сети интернет от внутренней локальной сети. Применяются системы шифрования. Внутренняя локальная сеть в целях безопасности администрируется только IT отделом банка, то есть заказчика. Более того, иногда применяются методы, когда запуск определенной программы возможен только при наличии USB-ключа.

 

Похожие материалы

08.04.2014
В свете прекращения выпуска обновлений Windows XP, Районные советы (London Borough Council) нескольких округов Лондона проводят работу по замене нескольких тысяч рабочих станций своих сотрудников с Windows XP на системы на базе открытой операционной системы Chrome OS. Переход на Chromebook начался ещё в середине прошлого года, полностью миграцию планируется завершить до 8 апреля (день прекращения поддержки Windows XP).
27.02.2015
Нынче находится множество людей, которые пожелали бы узнать, кто заходит к ним на профиль в фейсбуке. В связи с чем такой ажиотаж? Скорее всего, все привыкли к данной возможности в соцсети Одноклассники и логично возник вопрос: «А почему я не могу видеть своих гостей в фейсбуке?». В этой статье попробуем разобраться, есть ли такой функционал в этой соцсети или в приложениях.
11.04.2014
Российский доменный регистратор и хостинг-провайдер REG.RU открыл регистрацию крымских доменов третьего уровня в российской кириллической зоне .рф, сообщила компания.
21.05.2014
В ближайшее время Intel начнет поставки второго поколения компьютера с открытым кодом Galileo. Корпорация намерена привлечь к нему внимание более широкого круга энтузиастов и любителей делать все своими руками. Galileo представляет собой бескорпусной компьютер, который будет продаваться примерно за 70 долл. Компьютер, поставки которого начались в конце прошлого года, предназначен для разработки роботов, носимых устройств и компактной электроники.
22.11.2013
Программное обеспечение, в общем, это набор специальных команд, которые способны управлять работой компьютера. Как известно, без ПО операционная система не может самостоятельно выполнять адресованные ей функции и задачи, поэтому лицензионное обеспечение - это необходимый элемент в функционировании компьютера. Выделяют прикладное, аппаратное и системное обеспечение программ, которые соответственно разнятся по своей специфике выполняемых задач.

Оборудование:

Общие характеристики Тип: Wi-Fi точка доступа Стандарт беспроводной связи: 802.11n, частота 2.4 ГГц...
→ Оставить отзыв
Для начала давайте определим что такое IPTV и мини-роутер. Мини-роутер (маршрутизатор) – сетевое...
→ Оставить отзыв
Подключение При подключении нового роутера к сети интернет необходимо подключить кабель провайдера...
→ Оставить отзыв
Сначала – посмотрим, что такое Wi-Fi 3G роутер вообще, и чем такие решения лучше «модемов». В...
→ Оставить отзыв