Контакты

Финансовая выгода vs. информационная безопасность при ИТ-аутсорсинге: как найти баланс?

"Банковское дело" - 15 декабря 2011

Аутсорсинг разработки и тестирования программного обеспечения входит в практику многих российских банков. Однако в большинстве случаев его используют лишь наполовину: для участия в создании ИТ-систем привлекаются внешние специалисты, при этом работают они исключительно на территории банка. Почему банки не доверяют в полной мере своим ИТ-поставщикам и насколько оправданны их опасения?

Отдать нельзя оставить

Формат с размещением внешних специалистов в банке, безусловно, позволяет воспользоваться преимуществами аутсорсинга. Рядом дополнительная команда, численность которой относительно легко увеличивается или сокращается в зависимости от текущих потребностей. Нет необходимости в существенных затратах на привлечение и удержание ИТ-разработчиков в штате или в выплате компенсаций при их увольнении. Можно в полной мере использовать методики и знания, накопленные и проверенные партнером при работе для других клиентов, а это – ключ к снижению проектных рисков.

Но в этом случае аутсорсинг не дает в полной мере той финансовой выгоды, которую он мог бы принести. Например, заказчику – московскому банку приходится оплачивать выполнение работ по весьма высоким московским ставкам, нести расходы на обустройство рабочих мест специалистов в столичном офисе и т.д. Напротив, размещение привлеченной команды в одном из региональных отделений компании-аутсорсера (или как вариант – в региональном офисе банка) дало бы возможность сократить затраты на разработку программного обеспечения (ПО) по ряду факторов: более низкие зарплаты и арендная плата, большая лояльность сотрудников. Услуги региональных ИТ-специалистов на 20–30% дешевле, чем их столичных коллег (при одинаковом уровне квалификации и опыте). К тому же производительность и эффективность труда, готовность постоянно работать на одного заказчика (а значит, накапливать экспертизу в специфике его бизнеса и сводить к минимуму количество ошибок в работе) в регионах выше, чем в Москве или Санкт-Петербурге. Все это приводит к получению дополнительного преимущества от аутсорсинга – экономии средств на уровне 30–50%, например, за счет уменьшения количества недоработок и времени на их устранение

Почему же банки предпочитают отказываться от более привлекательного с финансовой точки зрения варианта аутсорсинга – переноса процессов разработки в региональный офис партнера?

Одна из ключевых причин – опасение, что поставщик услуг не сможет гарантировать полную защиту данных об ИТ-системах банка, о принципах и технологиях его функционирования, новых разрабатываемых решениях и т.д. Утечка данной информации может повлиять на репутацию и положение банка на рынке, вызвать наложение штрафов со стороны регулирующих органов или судебные иски клиентов, задержки с запуском новых продуктов. Когда программный код создается или тестируется за сотни километров в сторонней компании, задача контроля информационной безопасности кажется весьма сложной. Даже опыт глобальных банков, работающих с еще более удаленными по расположению, часовому поясу, ментальности и языку компаниями Индии или Китая, не всегда убеждает – некоторые банкиры считают, что в нашей стране такая практика не приживется.

В России встречаются примеры, когда команда подрядчика располагается в одном из региональных отделений банка. Разработка и тестирование программного обеспечения в этом случае ведется удаленно, но тем не менее находится под контролем соответствующих служб банка.

Есть и успешные примеры, когда, в частности, на базе регионального офиса компании-партнера для заказчика формируется специальная структура – выделенный центр разработки. Ему передается значительная часть функций по разработке и тестированию ПО. По своей защищенности эти центры полностью соответствуют самым жестким требованиям заказчиков, поскольку строятся по критериям и политике обеспечения контура безопасности.

На основе анализа таких проектов можно выделить основные этапы, выполнение которых позволит банку перенести процессы создания ИТ-систем в региональный центр разработки и при этом не ослабить информационную безопасность.

Разработка и согласование политики безопасности

Региональный центр разработки, по сути, является расширением ИТ-подразделения банка. На него должны распространяться те же правила в области информационной безопасности, которые действуют в банке. Для их выполнения заказчику необходимо подробно ознакомить поставщика услуг со своей политикой в области защиты данных. При этом аутсорсер может предложить свои варианты создания защищенной инфраструктуры, основываясь на мировых методиках и опыте предыдущих проектов. Такой обмен знаниями, происходит, как правило, в формате регулярных встреч между командами заказчика и исполнителя на одном из первых этапов создания центра.

Главная задача здесь – проговорить и зафиксировать все нюансы будущего сотрудничества, которые связаны с защитой данных. Регламент и объем доступа специалистов центра к системам банка при оказании услуг поддержки и сопровождения, проведение приемосдаточных испытаний и процедуры развертывания готового решения в банке, разделение серверов для разработки, тестирования и эксплуатации систем и т.д. – чем полнее и детальнее будет список вопросов для обсуждения, тем меньше вероятность появления проблем в будущем.

Особое внимание нужно уделить защите персональных данных сотрудников и клиентов банка, финансовых транзакций и других критически важных для банка сведений, которые хранятся или обрабатываются в информационных системах. Чаще всего аутсорсер не работает с реальными данными клиентов. Однако важно предусмотреть ситуации, когда специалисту центра придется работать с действующей системой (например, на этапе поддержки), и заранее выстроить инфраструктуру и процессы таким образом, чтобы и в этих случаях исключить прямой доступ к персональным сведениям. Один из вариантов – использование специальных алгоритмов для обработки данных, тогда к разработчику они попадут в искаженном виде (случайным и необратимым образом преобразованные фамилии и имена, суммы на счетах и др.). Это позволит исключить любую возможность использования личных данных неправомерным способом выполнить требования федерального законодательства.

Отдельно обсуждаются вопросы разграничения ответственности между банком и аутсорсером, а также санкции и штрафы, которые будут наложены на поставщика услуг за нарушение правил безопасности. Разработанная политика детально фиксируется в документах, которые являются неотъемлемой частью договора между сторонами.

Физическая безопасность

Реализацию на практике политики безопасности аутсорсер начинает с вопросов ограничения физического доступа к информации и обеспечения физической безопасности данных. Для этого в центре внедряется ряд технических средств, в частности, системы контроля доступа (электронные пропуска) и видеонаблюдения. Дополнительно подробно регламентируется порядок их применения: например, доступ сотрудников в центр разработки в рабочее и нерабочее время, разграничение прав на вход в те или иные помещения внутри центра, срок хранения видеозаписей с камер наблюдений и т.д. Кроме того, разрабатывается комплекс мер по поддержке пожарной безопасности. Для непрерывной работы центра используются системы резервного копирования данных, запасные сервера, средства поддержки бесперебойного питания и др.

Помимо этого, решаются вопросы, связанные с физической защитой ноутбуков, персональных компьютеров и другого аппаратного обеспечения, на котором ведется работа над проектами заказчика. Нередко сотрудникам запрещается использовать флеш-карты и другие носители, на которых информация может быть вынесена за пределы центра. Под запрет может попасть использование на территории центров мобильных устройств.

Еще один важный вопрос – соблюдение правил работы с бумажными документами и компьютерами. Распространенной практикой является внедрение политики чистых столов (Clean Desk Policy): если специалист покидает свое рабочее место даже на небольшое время, все документы должны быть заперты в ящик. Прописывается также порядок автоматического блокирования компьютеров в случае неактивности в течение определенного периода.

Реализация этих простых мер безопасности позволит значительно снизить риск физической утечки информации и попадания ее в чужие руки.

ИТ- и сетевая безопасность

Еще один важный элемент информационной безопасности – контроль над использованием программных средств. Все ИТ-решения и каналы связи (электронная почта, обычная и интернет-телефония и др.) должны быть надежно защищены от несанкционированного доступа. Для этого применяется широкий арсенал средств – от сетевых экранов (решения для разграничения доступа к локальной или глобальной сети) до систем шифрования. Кроме того, возможен вариант, когда локальная сеть полностью изолирована от внешней среды и управляется системными администраторами заказчика. В некоторых случаях используются USB-средства, без которых нельзя запустить программу.

Дополнительно разрабатывается система хранения файлов: как и где они хранятся, кто и в каких объемах имеет к ним доступ. Подробно описываются процедуры использования антивирусов, обновления программного обеспечения и использования средств идентификации и авторизации пользователей на их компьютерах.

Производственная безопасность

Использование технических средств защиты информации может оказаться бесполезным, если специалисты центра не будут знать свои обязанности, права и ограничения, которые накладываются на их работу. Все, что прописано в правилах безопасности, здесь фиксируется относительно каждого сотрудника: что лично специалист должен делать для обеспечения безопасности и т.д. Каждому сотруднику подробно разъясняется, какие элементы в его работе (программные средства, аппаратное обеспечение, информация, файлы и т.д.) принадлежат его компании, его заказчику или ему лично.

Вопросы, имеющие отношение к информационной безопасности, обязательно фиксируются в должностных инструкциях и в документах, которые подписывают специалисты центра (например, Non-disclosure agreement, NDA – соглашение о неразглашении). Иногда запрещается обсуждение вне центра любой информации, относящейся к банку, даже если она не касается разработки ПО. Дополнительно обозначается административная или иная ответственность, которую сотрудник понесет за нарушение правил безопасности.

Не меньшее значение имеет разработка процедуры быстрого оповещения о фактах нарушения безопасности, например, если сотрудник обнаружил, что его рабочий компьютер был включен во время его отсутствия. Кроме того, всему персоналу должны быть выданы идентификационные карточки (или пропуска), по которым службы охраны смогут однозначно установить их личность.

Кадровая политика и безопасность

Для обеспечения безопасности при создании центра разработки обговариваются и вопросы, связанные с управлением персоналом. Команда центра подвергается проверке со стороны службы безопасности банка. Кроме того, поставщик несет юридические обязательства, что среди его специалистов нет людей, к примеру, привлекавшихся к уголовной ответственности.

Аутсорсер предоставляет гарантии, что ИТ-специалисты центра не будут участвовать в проектах для других клиентов без специального разрешения от заказчика. Банк может составить список таких компаний (своих конкурентов) или даже областей бизнеса (к примеру, специалистам центра нельзя заниматься проектами по разработке интернет-порталов в любых банках). Этот запрет действует не только на время сотрудничества, но и в течение определенного времени после его завершения (обычно от 1 года до 3 лет). За этот период и бизнес заказчика, и технологии уйдут вперед, так что ущерба от использования специалистом полученной ранее информации уже не будет.

Управление рисками и страхование

Обязательным условием информационной безопасности является четкий подход к управлению рисками. Оценка возможных ИТ-рисков и разработка планов по их минимизации производятся в процессе создания центра и затем периодически пересматриваются. Элементом управления рисками является регулярное проведение аудита и при необходимости пересмотр и модернизация средств и процедур обеспечения безопасности.

При долгосрочном характере сотрудничества с заказчиком некоторые аутсорсеры предлагают страхование своей ответственности. В страховой договор закладываются объемы компенсаций банку из-за нарушения информационной безопасности. Перед заключением договора страховая компания тщательно изучает процессы и инфраструктуру центра разработки – это своего рода независимый аудит системы информационной безопасности. При сомнениях в способности аутсорсера обеспечить требуемый уровень защиты данных страховка не будет оформлена. Так что для банка, помимо возможности компенсировать потери, страховка дает и дополнительную уверенность в надежности центра.

В результате за счет подобного комплексного подхода и внимания даже к очевидным, на первый взгляд, вопросам удается создать центр разработки, защищенный от рисков утечки информации. Для банка это означает возможность в полной мере использовать преимущества аутсорсинга при разработке программного обеспечения, причем информационная безопасность будет не меньше, чем если бы ИТ-специалисты находились в его офисе.

Оригинал публикации