Маркетинг. Диссертация обработка клиентских запросов с использованием облачных технологий в банковской сфере
Скачать 1.02 Mb.
|
Сохранностьданных.Шифрование.Шифрование является одним из наиболее эффективных способов защиты данных. Провайдер, который предоставляет доступ к данным, должен шифровать информацию клиента, хранящуюся в Центре обработки данных (ЦОД) – совокупность серверов, размещенных на одной площадке с целью повышения эффективности и защищенности, а также в случае отсутствия необходимости, безвозвратно удалять. Наиболее часто задаваемый вопрос при шифровании данных связан с местом хранения ключей. На облачном сервере хранение ключей невозможно, так как каждый, имеющий доступ к шаблонам или облачным серверам, может получить доступ к ключу, то есть к расшифрованным данным. Поэтому единственно верным способом решения является раздельная эксплуатация облачного сервера и сервера управления ключами (Рисунок 1): если оба размещены у (одного и того же) провайдера облачных сервисов, то вся информация снова оказывается собранной в одном месте. Так же отличным аналогом может быть установка сервера KMS в локальном ЦОД или в качестве внешней услуги у другого сервис-провайдера. Рисунок 1 - Схема взаимодействия пользователя, сервера управления ключами и облачного сервера Защитаданныхприпередаче.Шифруемая передача является обязательным условием для безопасной обработки данных. В публичном облаке в целях защиты данных используют туннель виртуальной частной сети (VPN), который связывает клиента и сервер для получения публичных облачных услуг. С помощью VPN-туннеля появляется возможность использования безопасного соединения и использования единого ими и пароля для доступа к различным облачным ресурсам. В качестве средства передачи данных в публичных облаках VPN соединение использует общедоступные ресурсы, такие как Интернет. Данный процесс основывается на режимах доступа с шифрованием при помощи двух ключей на базе протокола Secure Sockets Layer (SSL). В качестве опции большая часть протоколов SSL и VPN поддерживают использование цифровых сертификатов для аутентификации, за счет которых проверяется идентификационная информация другой стороны, и что самое главное, еще до начала передачи данных. Такие цифровые сертификаты хранятся на виртуальных жестких дисках в зашифрованном виде, и могут использоваться только после того, как сервер управления ключами проверит идентификационную информацию и целостность системы. Поэтому данные будут переданы только тем облачным серверам, которые прошли предварительную проверку. Зашифрованные данные при передаче должны быть доступны только после аутентификации. Благодаря этому данные, даже в случае доступа через ненадежные узлы, не получится прочитать или сделать изменения в них. Такие технологии достаточно известны, а алгоритмы и надежные протоколы AES, TLS, IPsec уже не первый год используются провайдерами облачных технологий. Аутентификация. Аутентификация представляет из себя защиту паролем. В настоящее время для обеспечения более высокой используют токены и сертификаты. Наиболее часто они встречаются в банковской сфере. Ключ ЭЦП формируется лично руководителем организации, срок действия сертификата – 3 года. Данный способ защиты информации считается наиболее надежным, но тем не менее существует ряд проблем. Например, использование данного токена возможно только на операционных системах Windows и Linux. Кроме того, такой способ защиты не всегда соответствует современным требованиям мобильности: подписать платёжное поручение или зайти в систему интернет-банка можно только с компьютера, где установлена программа к данному ключу ЭЦП. Важно, что такой компьютер может быть только один. Наиболее простой, удобный в использовании и достаточно надежный метод аутентификации - это технология одноразовых паролей (One Time password, OTP). Такие пароли могут генерироваться сервисами, с пересылкой пользователю по SMS, специальными программами, дополнительными устройствами. Главное отличие облачной инфраструктуры заключается в более широкой географической распространённости и большой масштабируемости. Центральную роль занимает использование для получения одноразовых паролей мобильных гаджетов, без которых почти невозможно представить жизнь современного человека. В самом простом случае одноразовый пароль будет сгенерирован специальным сервером аутентификации и выслан в виде SMS на мобильный телефон пользователя после ввода правильного статического пароля на страницу доступа к облачному сервису. В банковской сфере данный типа защиты данных стал наиболее востребованным. Для того, чтобы вовремя исполнять свои обязательства перед сотрудниками и клиентами, необходимо проверять данные по счетам в режиме реального времени. Поэтому технология OTP идеально подходит под потребности современных предпринимателей. Изоляция пользователей. Изоляция пользователей может быть достигнута путем использования индивидуальной виртуальной машины и виртуальной сети. Виртуальные сети должны быть развернуты с применением таких технологий, как VPN, VLAN и VPLS. Зачастую облачные провайдеры изолируют данные пользователей за счет изменения кода в единой программной среде. Но в это же время такой подход имеет риски, которые связаны с опасностью найти «слабое место» в нестандартном коде, позволяющем получить доступ к данным. То есть в случае ошибки в коде пользователь может с легкостью получить доступ к информации другого пользователя. Информационные технологии и сервисы во многом зависят от развития облачных технологий. Облака могут предложить пользователю высокую эффективность работы с информацией, оперативность и очевидные преимущества в скорости. Поэтому вопрос безопасности играет очень важную роль, которой специалисты уделяют особое внимание. В целом, вопрос информационной безопасности является важнейшим вопросом всего человечества. Но несмотря на ряд трудностей, преимущества облачных технологий превышают возможные риски, и облака стали широко востребованы на рынке информационных технологий. В наше время данные обрабатываются, хранятся или передаются согласно регулирующим и нормативным требованиям. Если данные попадают под действие нормативных или регулирующих ограничений, то необходимо понимать полностью ли поставщик соответствует этим требованиям, ведь от этого будет зависеть выбор развертывания в облаке. Важно понимать, что в противном случае возникает риск нарушения конфиденциальных, нормативных и иных требований. На сегодняшний день вопросы обеспечения конфиденциальности информации занимают особое место в политике информационной безопасности на предприятиях. Стоит понимать, что обеспечить безопасность можно не только защитой, но и благодаря соответствующим правилам поведения, профессионализмом и высокой квалификацией персонала, надежностью и безотказностью работы техники. Конфиденциальность информации можно представить в виде принципа аудита, заключающегося в том, что необходимо обеспечивать сохранность документов, не передать их оригиналы или копии третьим лицам, разглашать их устно без согласия собственника экономического субъекта. Но существуют ряд исключительных случаев, которые предусмотрены законодательными актами. В финансовой сфере, особенно в банковском секторе, вопросам информационной безопасности уделяется особое внимание. Помимо законодательных требований, здесь присутствуют реальные риски кражи денежных средств, что требует реализации политики информационной безопасности не только на бумаге, но и на практике. Поэтому финансовым организациям необходимо выстраивать системы защиты информации, которые не только соответствуют законодательным требованиям, но и учитывают технический аспект безопасности. Помимо основных регуляторов в области информационной безопасности (ФСТЭК России и ФСБ России), предъявляющие определенные требования, у финансовых организаций есть и свой ведомственный регулятор - Центральный банк Российской Федерации, который также выдвигает ряд требований по обеспечению безопасности. В области защиты информации ЦБ РФ ведется серьезная работа. На протяжении уже многих лет выпускаются различные документы, регламентирующие область информационной безопасности. Часть документов являются обязательными, другая носит рекомендательный характер. Обязательными к исполнению можно отнести различные Положения Банка России, в том числе: положение Банка России №382-П от 09.06.2012 «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств»; положение Банка России №552-П от 24.08.2016 «О требованиях к защите информации в платежной системе Банка России». Кроме того, Банком России разработаны и утверждены стандарты и рекомендации в области информационной безопасности (стандарты СТО БР ИББС и рекомендации РС БР ИББС). Основополагающим документом в этой серии является Стандарт Банка России: «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» (СТО БР ИББС-1.0-2014). Указанные документы носят рекомендательный характер и обязательны к исполнению лишь в случае решения банка о присоединении к данному стандарту. Хотя на сегодняшний день все чаще упоминают о возможном переводе данного стандарта к числу обязательных с лета 2018 года. В соответствии с положениями Стандарта Банка России «Обеспечение Информационной Безопасности Банковской Системы Российской Федерации» основными целями деятельности Банка России являются развитие и укрепление Банковской Системы РФ, а также обеспечение эффективного и бесперебойного функционирования платежной системы РФ и повышение доверия к БС РФ в целом. Важнейшим условием реализации этих целей в Стандарте Банка России названо обеспечение необходимого уровня информационной безопасности всех организаций банковской системы РФ. Банк России с особым вниманием относится к информации, которую финансовые организации размещают в частных облаках. Запрещено хранить в облаке любую информацию, связанную с персональными данными клиента, состоянием счетов. Чаще всего облака в банках используются для архивных данных маркетинговых исследований, внутренних опросов сотрудников, курсов дистанционного обучения. В последнее время финансовые организации стали использовать облака для обработки входящих запросов клиентов через call-центр и официальный сайт банка. Актуальность обеспечения информационной безопасности в целом обуславливается современными условиями ведения бизнеса, которые характеризуются возрастающим уровнем конкуренции, растущей зависимостью бизнес-процессов от информационных технологий, глобализацией экономики, большими объемами информационных потоков, сложностью используемых технологий и большим количеством потенциальных угроз информационной безопасности как случайного, так и преднамеренного характера, реализация которых может приводить к негативным последствиям для организации. Система управления ИБ Банка строится на основе управления рисками ИБ. Таким образом, при построении системы защиты информации банкам необходимо рассматривать сразу несколько документов для выполнения всех необходимых требований по безопасности, что увеличивает нагрузку на службы информационной безопасности. Кроме того, необязательность выполнения стандарта СТО БР ИББС-1.0-2014 привела к ситуации, когда Банк России не может заставить подконтрольные организации выстраивать полноценные системы защиты информации, что приводит к различным инцидентам информационной безопасности. По этим причинам появились планы по переработке стандартов и разработке нового стандарта, в котором необходимо определить конечный перечень мер защиты информации и который можно было бы сделать обязательным для всех финансовых организаций. ОПИСАНИЕ ПРОГРАММНЫХ ПРОДУКТОВ ПРИ ОБРАБОТКЕ ДАННЫХ С ИСПОЛЬЗОВАНИЕМ ОБЛАЧНЫХ ТЕХНОЛОГИЙ Мировой рынок облачных сервисов активно развивается, и Россия не является исключением. Пользователи публичных облаков могут легко получить необходимые ИТ-ресурсы и даже целый виртуальный дата-центр без серьезных затрат, заплатив только за то, чем действительно пользуются. Облачная модель позволяет сэкономить не только на капитальных инвестициях, но и на поддержке, так как на аутсорсинг передаются все непрофильные для бизнеса задачи. Кроме того, облачные решения не требуют традиционных затрат на ИТ- отдел, оборудование и программное обеспечение. Неудивительно, что все больше организаций переносят свои приложения в облака. По данным исследования Oracle, облачные технологии помогают российским компаниям быстрее внедрять инновации (96%), удерживать существующих (80%) и привлекать новых клиентов (92%). Более половины компаний (55%) отмечают, что они достигнут «облачной зрелости» в ближайшие два года. SAP и Национальное агентство финансовых исследований (НАФИ) представили результаты исследования облачных технологий в банковском секторе, согласно которым российские банки и технологически, и экономически готовы к облачному буму. И несмотря на то, что традиционно облачные технологии ассоциируются с такими публичными сервисами как почта, хранилище данных или платформенные инфраструктуры, для почти трети (32%) экспертов облака – это бизнес-приложения. Основными драйверами роста можно считать ухудшающеюся экономическую ситуацию и вызванную ей необходимость экономии, оптимизации затрат на ИТ-инфраструктуру и на лицензирование ПО, высокая стоимость закупки нового оборудования из-за изменения валютных курсов. Бюджеты на ИТ будут сокращаться, поэтому переход в облако станет одним из ключевых факторов экономии. В текущей экономической ситуации в России большинство компаний переходят от долгосрочного планирования к краткосрочному и среднесрочному. Они стремятся к сокращению затрат, но в тоже время к более качественному и эффективному использованию уже имеющихся ресурсов. В этом смысле облачные решения, виртуализация и виртуальные центры обработки данных (VDC) дают возможность наиболее эффективно использовать существующую инфраструктуру. Они позволяют точнее оценить возврат инвестиций и существенно сократить расходы на поддержание ИТ-инфраструктуры. Использование облачных решений в антикризисных целях актуально как для коммерческого сектора – компаний из разных отраслей, так и для государственных организаций. Компетенция заказчиков в отношении облачных услуг за последние год-два существенно выросла: компании хорошо осведомлены о преимуществах облачных сервисов, большинство из них точно знают, что хотят и могут получить за свои деньги, выбирая оптимальное соотношение цены и качества услуг. Для того, чтобы бы начать использование облачных технологий необходимо выбрать провайдера. Но на сегодняшний день найти максимально подходящего облачного провайдера для конкретного приложения становится всё сложнее и сложнее. Конкуренция на рынке облачных провайдеров становится все сильнее, а предложения все разнообразнее - от недорогих стандартизированных, «пакетных» сервисов до высокоуровневых и сложных услуг с дополнительным резервированием, вплоть до обеспечения катастрофоустойчивости. В настоящее время многие компании оптимизируют штат, перекладывая большую часть рутинных задач и операций на аутсорсинговую компанию, поэтому у провайдеров появляется возможность предложить свои услуги вместе с поддержкой бизнес-сервисов. Тем не менее главными требованиями остаются надежность, безопасность, высокая производительность и доступность услуг по цене. При выборе сервис-провайдера облака необходимо обратить внимание на такие факторы как: |