Маркетинг. Диссертация обработка клиентских запросов с использованием облачных технологий в банковской сфере
Скачать 1.02 Mb.
|
Надежностьцентраобработкиданных(ЦОД):При выборе внешнего поставщика услуг решающим фактором для компаний является обеспечение максимального уровня надежности. Особенно важный показатель - надёжность всего ЦОД, площадки для размещения облачной платформы, так как именно он определяет доступность облачных сервисов. Наличие сертификатов Uptime Institute говорит о надежности дата-центра сервис-провайдера. Большим преимуществом является факт того, что компания владеет не одним ЦОД, а сетью дата-центров, построенных в соответствии с требованиями международных стандартов TIA-942 (TIER III). Помимо уровня TIER стоит ориентироваться и на опыт бесперебойной работы провайдера: не было ли серьезных аварий или сколько времени его ЦОД работает без сбоев. Аппаратнуюплатформу:От выбора ИТ-системы, используемой провайдером, во многом зависят производительность и надежность облачной платформы. Немаловажно, на каком оборудовании построено облако сервис- провайдера (серверы, СХД, сетевое оборудование). Из-за использования облачным провайдером низкобюджетных серверов увеличивается вероятность их выхода из строя, снижается надежность и непрерывность сервиса. Благодаря использованию современного ИТ-оборудования дата-центр будет работать без сбоев. Обычно чем выше класс оборудования, тем функциональнее и производительнее облачная платформа провайдера. Надежность в нем увеличена за счет дублирования, резервирования и отсутствия единой точки отказа. Тоже самое можно сказать и про системы хранения. Все сетевое оборудование также должно дублироваться. Для бесперебойной работы необходимо и резервирование всех инженерных систем, мониторинг и обслуживание всех систем жизнеобеспечения в режиме 24×7×365. В результате чего, выход из строя одного элемента никак не повлияет на работоспособность комплекса в целом. ПОвиртуализацииигипервизор:Важно обратить внимание на партнерские статусы провайдера: если его деятельность осуществляется в тесном сотрудничестве с мировыми лидерами ИТ-отрасли – это положительная тенденция. Наличие высокого статуса (например, VMware) говорит о том, насколько опытен сервис-провайдер в данной области. Повышение надежности, безопасности и стабильности работы облака можно добиться за счет использования облачным провайдером лидирующих в отрасли решений виртуализации. Если компания уже использует виртуализацию и хочет вынести свои приложения в облако, важно, чтобы используемый облачным провайдером гипервизор был таким же, как уже применяемый в компании, поскольку это упростит процесс миграции, облегчит построение гибридного облака, а также позволит максимально использовать функциональные возможности интеграции собственных серверных мощностей с мощностями, арендуемыми в облаке. Производительность:производительность облака – это совокупность таких факторов как скорость вычислений, быстродействие ввода-вывода при доступе к системам хранения, полоса пропускания каналов связи при доступе к сервисам, параметры задержки и многое другое. Кроме тгго, производительность также зависит от нагрузки, создаваемой другими пользователями облака. В оптимальном случае облачный провайдер гарантирует показатели производительности ввода-вывода (IOPS и параметры задержки). Обеспечение катастрофоустойчивости: Следует понимать, что в любых технически сложных системах аварии, к сожалению, неизбежны. Однако можно сделать так, что они не были критичными для бизнеса. Для предотвращения таких ситуаций создаются катастрофоустойчивые системы, то есть на территориально удаленной площадке развертываются резервные мощности. Таким образом выполняется важнейшая бизнес-задача: повышается качество сервиса за счет отказоустойчивости облачных решений. Наличие резервной площадки, возможность «растянуть» облако на два ЦОД позволяет провайдеру не только предоставлять сервис защиты от катастроф и аварийного восстановления (Disaster Recovery as a Service, DRaaS), но и даже целый комплекс услуг проектирования и создания резервной площадки для основного ЦОД заказчика. В качестве основного дата-центра заказчика может выступать как физическая инфраструктура, размещенная на площадке заказчика, так и виртуальная ИТ-инфраструктура. DRaaS подразумевает резервирование на нескольких площадках, которые объединены оптическими каналами. В случае аварийной ситуации и выхода из строя отдельных единиц оборудования начинается автоматический перезапуск систем на исправных серверах, в результате чего, системы заказчиков в облаке продолжают работать в штатном режиме. Сервисную службу и SLA: Высокая доступность облачного провайдера может быть обеспечена только при четко организованных и формализованных процессах сопровождения и обслуживания своей облачной инфраструктуры, включая управление запросами на обслуживание, инцидентами и изменениями. Тем самым удастся свести к минимуму влияние инцидентов на бизнес клиента и время восстановления. Важно, что служба поддержки должна предусматривать постоянную доступность в режиме 24×7×365, прием обращений по разным каналам, контроль и соблюдение ключевых метрик, максимальное время решения инцидента и решения типового запроса. Провайдер также должен быть готов помочь в решении проблем, выходящих за рамки договора. Согласованный уровень сервиса фиксируется в SLA - соглашении об уровне обслуживания. В случаях нарушения параметров SLA облачный провайдер несет финансовую ответственность. Кроме того, провайдер должен быть готов обсуждать параметры качества. На площадке дата-центра должны дежурить специалисты, которые всегда готовы провести работы по обслуживанию, настройке и конфигурированию систем заказчика. Также обязательно наличие круглосуточно доступного инженера поддержки по облаку. Типовые запросы на обслуживание обычно прописываются в описании услуги, а целевые параметры времени решения фиксируются в SLA. Для нетиповых запросов также определяется плановое время решения. Порталсамообслуживания,тарификацияибиллинг:Надежная инфраструктура провайдера должна предусматривать возможность быстрого развертывания облака, гибкую тарификацию и управление сервисами. Таким образом, обязательно наличие портала самообслуживания (личного кабинета), отлаженного и сертифицированного биллинга, гибкость тарифных планов и возможность оперативно наращивать или уменьшать объем пула ИТ-ресурсов. Облачные сервисы позволят компаниям динамично развиваться, адаптировать услуги в соответствии с потребностями и возможностями своей организации, повышать продуктивность, выбрать оптимальный тарифный план и набор дополнительных опций при правильном подходе к формированию линейки сервисов, их дополнении важными для заказчика услугами, обеспечении необходимого уровня безопасности и надежности при приемлемой ценовой политике. Опытирепутацияпровайдера:Российский рынок облачных услуг стремительно развивается, но провайдеров, отвечающим всем выше заявленным критериям еще не так много. Поэтому для начала рекомендуется определить тех провайдеров, которые смогут с большей эффективностью и меньшим риском для бизнеса решить задачи клиента. Существуют облачные провайдеры, которые работают на рынке более десяти лет и смогли успешно сформировать команду клиентоориентированных специалистов, а также предоставляют все необходимые ИТ-ресурсы для решения бизнес-задач любой сложности и направленности. В настоящее время лидирующие позиции на зарубежном рынке облачных провайдеров занимают: Amazon, Rackspace, Salesforce, Google, Microsoft, Joyent, GoGrid, Terremark, Savvis, Verizon, NewServers. На российском рынке лучшими облачными провайдерами признаны ПАО «Ростелеком» и Яндекс. ПАО «Ростелеком» предлагает своим клиентом для начала воспользоваться бесплатным тестовым периодом в 30 дней, выбрать привычные пользователю платформы, ежесуточную тарификацию, быстрое масштабирование, круглосуточную техподдержку и многое другое. Правильный выбор облачного провайдера позволит полностью реализовать заложенный в облачной системе потенциал эффективности: появится возможность не только сократить затраты на ведение бизнеса, но и дать ему толчок для стремительного развития. В первой главе был проведен обзор облачных технологий, характерных при развитии цифровой экономики, а также вопросы безопасности их применения в банковской сфере. Кроме того были рассмотрены крупнейшие провайдеры и способы подбора лучшего из них для каждого конкретного предприятия. МЕТОДОЛОГИЯ ВНЕДРЕНИЯ ОБЛАЧНЫХ ТЕХНОЛОГИЙ ПРИ ОБРАБОТКЕ ВНЕШНИХ ЗАПРОСОВ КЛИЕНТОВ В последние 5 лет тема облачных технологий стала актуальна не только среди специалистов в области ИТ, но в сфере бизнеса, причем не только корпоративного, а в том числе малого и среднего. В связи с этим на российском рынке облачные услуги стали занимать одну из ведущих ролей. На сегодняшний день российский рынок облачных технологий составляет миллиарды рублей. При этом значительным изменениям подверглись российские банки, которые не только активно обсуждают перспективность облачных сервисов, но и постепенно внедряют их в свои бизнес-процессы. Однако развитие облачных технологий на российском рынке имеет свои нюансы, затормаживающие их развитие и распространение. Основные проблемы связаны с законодательством, аппаратно-программными средствами, несовершенными технологиями доступа в Интернет, а также с ограничениями в финансовых возможностях. Для мирового рынка облачные сервисы становятся все более привычными, о чем говорят данные исследований Information Week. В современном мире большое количество банков при ведении своего бизнеса активно использует облачные сервисы для хранения данных, создания бизнес-приложений, тестирования программного обеспечения (рисунок 2). Рисунок 2 - Распределение облачных сервисов в мире по видам использования в финансовых институтах Но, к сожалению, российским банкам предстоит еще долгий путь развития для достижения мировых показателей внедрения облачных технологий в бизнес- процессы. В России существует целый ряд объективных и субъективных причин, которые ограничивают распространение облачных технологий в банковском секторе. Во-первых, на банки накладывается ряд ограничений, связанных с требованиями государственных регуляторов в области работы с государственной тайной и персональными данными, а также условия внешних регуляторов, таких как международные платежные системы. Совокупность этих факторов значительно замедляет переход к облачным технологиям, особенно к публичным и гибридным облакам. Во-вторых, развитие публичных облачных технологий сдерживается необходимостью требований по сохранению данных. Безопасность данных в публичных сервисах не всегда может быть обеспечена на должном уровне, поэтому публичные и гибридные облака запрещены к использованию в финансовой сфере. В-третьих, на развертывании облачных сервисов сказывается негативное отношение, так как отсутствует возможность самостоятельного администрирования в облаках. В-четвертых, как уже было указано выше, переход на облачные сервисы требует крупных затрат, что на данный момент затруднительно. По результатам исследования, проведенного Symantec среди российских банков, почти три четверти респондентов обсуждают возможность перехода на облачные технологии, но большинство из них пока воздерживается от практических действий. А ожидания решившихся на применение облачных сервисов ради резкого повышения гибкости ИТ-инфраструктуры не оправдались для 43 % опрошенных. Кроме того, зря надеялись на повышение эффективности ИТ-систем 48 % респондентов на снижение операционных расходов — 46 % и на повышение уровня безопасности — 35 %. Такие результаты свидетельствуют о том, что главная проблема заключается не в самих облачных технологиях, а в дисбалансе между ожиданиями банковских структур и реальными возможностями этих технологий. На сегодняшний день из-за стремительного развития потребительских предпочтений прослеживаются серьезные изменения в использовании финансовых продуктов. Особенно это выражено в потребности клиентов использовать системы удаленного доступа с гарантией удобства, высокой скорости и надежности. В это же время, появление на рынке традиционных банковских услуг новых финансовых посредников ведет к росту конкуренции внутри банковского сектора и необходимости поиска банками новых путей оказания услуг своим клиентам. Банки являются одними из самых активных пользователей облачных решений, даже несмотря на открытый вопрос в области информационной безопасности. Несмотря на множество препятствий на пути использования облаков в банках, можно выделить ряд проектов, где облачные технологии повысили эффективность работы банковских сотрудников. К одному из наиболее серьезных проектов относится «пилот», проект, связанный с развертыванием частного облака в Центральном банке России (подрядчиком является компания «ИнфосистемыДжет»). Была создана полноценная IaaS-платформа с порталом самообслуживания и использованы средства, минимизирующие основные информационные банковские риски в облачной среде. В результате проекта заметно уменьшилась нагрузка на администрирование системы и возросла скорость обработки запросов пользователей. Крупнейшие финансовые организации могут предоставлять сервисы своим подразделениям по всему миру благодаря использованию облачных технологий. Например, ЦОД ПАО «Ситибанка», расположенный во Франкфурте, может предоставлять сервисы не только по европейским филиалам банка, но и в российские подразделения. ПАО «Сбербанк России» сегодня также уделяет огромное внимание централизации бэк-офисных систем территориальных банков и внедряет следующее поколение трехуровневых систем. В дальнейшем финансовая организация предполагает их перевод в облачную модель, и уже с 2013 г. банк работает на единой централизованной платформе. Облачными проектами сегодня занимаются ОАО «Газпромбанк» и ОАО «Ак Барс банк» (подрядчик — компания «ICL-КПО»). Положительно рассматривает для себя перспективы построения частного «облака» и ОАО «Райффайзенбанк». Задача, которую он планирует решить таким образом, — эффективное предоставление вычислительных мощностей для решения конкретных задач. ОАО «Банк Интеза» пока только осваивает основные приемы работы с IaaS-облаком и пробует его использовать в качестве резервного центра хранения данных. Партнером выступает компания «Крок». Если облачная технология действительно позволит значительно экономить ресурсы и при этом будет обеспечена безопасность информации, облака будут рассматриваться банком в качестве одного из основных направлений развития ИТ-инфраструктуры. В прошлом году в России даже появился проект по переводу в облака автоматизированной банковской системы (АБС). Проект ведет в банке ОАО АКБ «Московский финансовый клуб» «Группа компаний ЦФТ». Вначале банк перешел на использование основных банковских приложений с применением облачных технологий. Далее «Группа компаний ЦФТ» предоставила банку ОАО АКБ «Московский финансовый клуб» как сервис внешнюю ИТ-инфраструктуру для АБС, в составе которой не только виртуальные вычислительные мощности, но и элементы инфраструктуры безопасности, контроля доступа, аутентификации, средства обеспечения отказо- и катастрофоустойчивости. Ожидается, что проект позволит банку сократить затраты на оборудование и его обслуживание. На сегодняшний день используют три основных метода предоставления облачных сервисов: infrastructure as a service (инфраструктура как сервис, Iaas). Сервис предоставляет «пустой» виртуальный сервер с уникальным IP-адресом или совокупностью интернет-адресов и часть системы хранилища информации; software as a service (программное обеспечение как сервис). Концепция SaaS обеспечивает возможность пользоваться программным приложением как услугой удаленно через Интернет; platform as a service (платформа как сервис, PaaS). В данном сервисе пользователю предоставляется в распоряжение виртуальная платформа, состоящая из одного или нескольких виртуальных серверов с установленными заранее операционными системами и специализированными приложениями. В настоящее время наиболее востребованным в нашей стране является тип услуг IaaS, годовой рост которых составляет около 40 %. Такой высокий спрос обусловлен тем, что большинство клиентов желают самостоятельно администрировать собственные системы также считая, что данный метод является более безопасным с точки зрения информационной безопасности. В настоящее время рынок IaaS представляют одиннадцать компаний: ActiveCloud, Clodo, Cloud One, КРОК, Parking.ru (Группа Inoventica), Selectel, «Ай-Теко», «Оверсан», «Скалакси», Cloud4Y, Dataline. На рисунке 3 представлены наиболее крупные поставщики IaaS в России. Рисунок 3 - Крупные поставщики IaaS в России Следует отметить основные тренды по внедрению облачных сервисов в банковской системе: банки с осторожностью относятся к применению облачных технологий, что в первую очередь связано с политикой информационной безопасности; внедрение облачных технологий обычно происходит только в достаточно крупных финансовых институтах, ведь данных переход требует немалых затрат на переконфигурирование ИТ-инфраструктуры банка; лидирующую позицию будут занимать частные облака, так как именно они обладают возможностью самостоятельно конфигурировать системой и обеспечивают высокий уровень информационной безопасности. Но стоит подчеркнуть, что развитие гибридных и даже публичных облаков со временем тоже станет возможным: туда будут перенесены второстепенные операции; в ближайшее время в российских банках будут развиваться IaaS-модели в качестве облачных технологий, которые обеспечивают необходимую инфраструктуру банку. К сожалению, перспективы развития SaaS- и PaaS- моделей в финансовых институтах маловероятны, причиной тому является специфика банковского программного обеспечения; в качестве применения облачных технологий в российских банках следует отметить использование cloud-computing в области хранения данных, центров обработки данных, виртуализации рабочих мест. Под информационной безопасностью организации банковской системы РФ понимается состояние защищенности интересов (целей) организации банковской системы РФ в условиях угроз в информационной сфере. Данное требование является актуальным для АО "ВУЗ-банк" – кредитной организации, являющейся частью банковской системы РФ. Система управления информационной безопасностью Банка строится на основе управления рисками информационной безопасности. Основными целями Банка в области обеспечения информационной безопасности являются: защита информации во всех формах ее представления – обеспечение конфиденциальности, целостности и доступности; обеспечение функционирования информационной системы в соответствии с установленными требованиями; соответствие требованиям законодательных и нормативных документов; отсутствие неприемлемого ущерба; обеспечение неотказуемости, отслеживаемости, аутентичности при работе с информацией. Основными задачами Банка в области обеспечения информационной безопасности являются: предупреждение реализации угроз информационной безопасности; снижение ущерба для организации при возможной реализации угроз ИБ (возникновении инцидентов информационной безопасности); обеспечение доверия (предоставление обоснованных гарантий достижения целей обеспечения информационной безопасности); оптимизация затрат на обеспечение информационной безопасности. Выполнение этих задач базируется на использовании процесса управления рисками информационной безопасности. Эффективное решение задач обеспечения информационной безопасности строится на основе подхода, предусматривающего создание системы управления информационной безопасностью (СУИБ). Организация СУИБ основывается на следующих принципах: комплексность – одновременное применение административных, физических и технических мер; системность – создание системы обеспечения информационной безопасности, включающей совокупность защитных мер и персонал, участвующий в обеспечении информационной безопасности; управление рисками – оценка рисков возможных инцидентов информационной безопасности и принятие решений по их обработке на основании установленных критериев риска; мониторинг – оперативное обнаружение инцидентов информационной безопасности и реагирование на них; совершенствование – оценка эффективности функционирования СУИБ с целью принятия корректирующих и предупреждающих действий и определения возможных улучшений; адекватность защитных мер – эффективность защитных мер и их стоимость должна быть адекватной имеющимся рискам. Функционирование СУИБ строится на основе применения PDCA-модели и предполагает использование активного и проактивного управления. Основной задачей активного управления является принятие соответствующих корректирующих и предупреждающих мер по результатам инцидентов ИБ и устранение выявленных несоответствий СУИБ установленным требованиям. Проактивное управление строится на основе управления рисками и направлено на устранение неприемлемых рисков, связанных с возможными инцидентами ИБ. Требуемый уровень ИБ определяется критерием приемлемости рисков. Реализация СУИБ использует принципы, изложенные в стандарте ISO 27001, а именно: организация при безусловной поддержке руководства должна создать, внедрить, эксплуатировать, постоянно контролировать, анализировать, поддерживать в рабочем состоянии и улучшать СУИБ в контексте целостной деловой деятельности организации и рисков, с которыми она сталкивается. Руководство организации должно выделять необходимые ресурсы для поддержания СУИБ в рабочем состоянии. Данный процесс основан на модели PDCA; организация через запланированные интервалы времени должна проводить аудит и самооценку СУИБ; руководство организации через запланированные интервалы времени должно анализировать состояние СУИБ. Такой анализ должен включать в себя оценивание возможностей для улучшения и потребности в изменениях СУИБ; организация должна постоянно улучшать СУИБ. Законодательную основу обеспечения информационной безопасности Банка составляют следующие документы: федеральный закон от 28.12.2010 № 390-ФЗ "О безопасности"; федеральный закон от 21.07.1993 №5485-1 "О государственной тайне"; федеральный закон от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и защите информации"; федеральный закон от 04.05.2011 №99-ФЗ "О лицензировании отдельных видов деятельности"; федеральный закон от 06.04.2011 №63-ФЗ "Об электронной подписи"; федеральный закон от 02.12.1990 №395-1 "О банках и банковской деятельности"; федеральный закон от 10.07.2002 № 86-ФЗ "О Центральном банке Российской Федерации (Банке России)"; стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской федерации. Общие положения». СТО БР ИББС – 1.0 – 2010; требования и рекомендации ЦБ РФ. Основные понятия модели обеспечения информационной безопасности включают активы, угрозы, уязвимости, ущерб, защитные меры и риски. К активам относятся: бизнес-процессы; информация и сервисы; компоненты и ресурсы информационной системы; персонал. Активы являются сущностями, важными для организации. Случаи воздействия на активы инцидентов информационной безопасности приводят к негативным последствиям для организации, характеризуемым ущербом. Защита активов является одной из важнейших задач обеспечения информационной безопасности банка. Защита активов может быть реализована путем применения защитных мер, направленных на предотвращение угроз, уменьшение вероятности их реализации или снижение ущерба при их реализации. Под угрозой информационной безопасности принято понимать потенциальню возможность возникновения инцидента информационной безопасности. Реализация угрозы означает возникновение нежелательного инцидента, который, воздействуя на активы, может путем нарушения их ценных свойств причинить ущерб организации. В свою очередь, угрозы могут происходить от различных источников и могут быть случайными или намеренно созданными. Источники угроз делятся на внутренние и внешние, естественные и связанные с людьми и т.д. Для своей реализации угроза требует наличия уязвимости. Рассматриваются следующие категории инцидентов информационной безопасности: утечка информации; модификация; недоступность; уничтожение. Каждая из категорий детализируется для более точного определения негативных последствий и ущерба в таблице 1. Таблица 1 - Классификация инцидентов ИБ
|