Правовые вопросы использования облачных технологий финансовыми организациями

Правовые вопросы использования облачных технологий финансовыми организациями

В данной статье рассматривается правовое регулирование использования облачных технологий финансовыми организациями.

ОБЩИЕ ВОПРОСЫ

Целью любой финансовой организации является создание конкурентоспособного финансового продукта, обеспечение быстрого и качественного оказания услуг клиентам — физическим и юридическим лицам.

Современные (в том числе облачные) технологии позволяют многократно ускорить процессы, связанные с обработкой данных, которые происходят в финансовой организации. При этом единого нормативного акта, регулирующего работу с облачными технологиями и взаимодействие с провайдерами, не существует.

Вот ряд законов, которые регулируют вопросы, касающиеся данной тематики.

ПРАВОВОЕ РЕГУЛИРОВАНИЕ ИСПОЛЬЗОВАНИЯ ОБЛАЧНЫХ ТЕХНОЛОГИЙ

ОРГАН НПА Запрет на использование облачных технологий
Федеральное законодательство 149-ФЗ «Об информации, информационных технологиях и о защите информации» Нет
152-ФЗ «О персональных данных» Нет
242-ФЗ «О внесении изменений в отдельные законодательные акты РФ по вопросам осуществления государственного контроля (надзора) и муниципального контроля» Нет
161-ФЗ «О национальной платежной системе» Нет
Постановление Правительства РФ № 1119 Нет
ЦБ Положение № 382-П Нет
Положение № 552-П по защите информации при обеспечении переводов денежных средств Нет
Положение о порядке создания, ведения и хранения баз данных на электронных носителях, утв. Банком России 21.02.2013 г. № 397-П Нет
Отраслевой стандарт по обеспечению информационной безопасности (СТО БР ИББС) Нет
Рекомендации в области стандартизации (РС БР ИББС-2.2–2009; РС БР ИББС-2.9–2016) Нет
ФСТЭК Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»

(Зарегистрировано в Минюсте России 31.05.2013 № 28608)

Нет
Приказ ФСТЭК России от 11.02.2013 № 17

«Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»

(Зарегистрировано в Минюсте России 14.05.2013 № 28375)

Нет
ФСБ Приказ № 552-П Нет
Методические рекомендации № 149/7/2/6–432 от 31.03.2015 Нет
МЕЖДУНАРОДНЫЕ ПЛАТЕЖНЫЕ СИСИТЕМЫ PSI DSS Нет

Таким образом, запрета на использование облачных технологий в действующем законодательстве нет. Однако есть ряд требований, касающихся безопасности сбора, хранения и передачи данных, основная часть которых содержится в Приказах ФСТЭК № 17 и № 21.

Эти меры необходимо соблюдать. То есть если организация работает с данными, указанными в ФЗ № 152, приказах ФСТЭК, то ей необходимо принимать указанные меры.

Вот список мер по обеспечению безопасности работы с данными из Приказа ФСТЭК России от 11.02.2013 № 17 (подготовлен в соответствии с ФЗ № 152 «О персональных данных»):

  1. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ).
  2. Управление доступом субъектов доступа к объектам доступа (УПД).
  3. Ограничение программной среды (ОПС).
  4. Защита машинных носителей персональных данных (ЗНИ).
  5. Регистрация событий безопасности (РСБ).
  6. Антивирусная защита (АВЗ).
  7. Обнаружение вторжений (СОВ).
  8. Контроль (анализ) защищенности персональных данных (АНЗ).
  9. Обеспечение целостности информационной системы и персональных данных (ОЦЛ).
  10. Обеспечение доступности персональных данных (ОДТ).
  11. Защита среды виртуализации (ЗСВ).
  12. Защита технических средств (ЗТС).
  13. Защита информационной системы, ее средств, систем связи и передачи данных (3ИС).
  14. Выявление инцидентов и реагирование на них (ИНЦ).
  15. Управление конфигурацией информационной системы и системы защиты персональных данных (УКФ).
Компания «ИТ-Град» разработала специальное предложение «Облако ФЗ-152», которое позволит уменьшить усилия и затраты на прохождение аттестации и привести процессы и информационные системы, обрабатывающие персональные данные, в состояние готовности к проверке. Подробнее ознакомиться с предложением можно по ссылке.

РАСХОДЫ НА ОБЕСПЕЧЕНИЕ МЕР БЕЗОПАСНОСТИ ПРИ РАБОТЕ С ДАННЫМИ

Локальная система Облачная система
Юрист (штатный сотрудник выделяет свое время в ущерб выполнению основных задач) — регулярный мониторинг НПА на предмет внесения изменений согласно требованиям, касающимся работы с данными Юридическая служба провайдера специализируется в сфере использования ИТ-технологий, всегда в курсе последних изменений и практики контролирующих органов. Наши юристы имеют узкую специализацию.

Они постоянно сталкиваются с вопросами применения профильных НПА, имеют налаженную практику внедрения новых требований, тесно взаимодействуют с профильными техническими специалистами и разговаривают с ними на одном языке.

В кратчайшие сроки изучают новые НПА, практику контролирующих органов, судебную практику в сфере ИТ-технологий.

В случае работы с облачной системой вы можете быть уверены, что не упустите правовых нововведений в ИТ-сфере.

Наши юристы сообщат о меняющихся требованиях законодательства и предложат наиболее оптимальные способы решения поставленных задач.

Программист, системный администратор — обслуживание сервера и ПО Обслуживаются силами сотрудников провайдера
Оборудованное помещение для сервера — регулярное приведение в соответствие с обновляющимися НПА.
Сервер — ремонт, обновление, электроэнергия, охлаждение.
Обеспечивается силами провайдера
ПО — обновление, настройка Обеспечивается силами провайдера

ОБЛАЧНЫЕ ТЕХНОЛОГИИ И ЦЕНТРОБАНК РФ

ОБЛАЧНЫЕ ТЕХНОЛОГИИ И ЦЕНТРОБАНК РФ 07.02.2018 г. опубликованы «Основные направления развития финансовых технологий на период 2018–2020 гг.» (далее — Основные направления). Центробанком проведены исследования, которые показали, что наиболее перспективными финансовыми технологиями являются, в числе прочих, облачные технологии, особенно облачные кассы. Также по результатам данного исследования, 82 % финансовых организаций ожидают увеличения числа партнерств с финтех-компаниями в ближайшие 3–5 лет. ЦБ РФ в качестве одной из основных задач на 2018–2020 годы определил для себя создание платформы для облачных сервисов (п. 2.2.9 Основных направлений): «Создание платформы для облачных сервисов предполагает обеспечение возможности эффективного и безопасного использования участниками финансового рынка облачных ресурсов внешних провайдеров (например, сетей, систем хранения, приложений и сервисов) и в первую очередь направлено на сокращение затрат, связанных с созданием и использованием ИТ-инфраструктуры, для участников финансового рынка. Планируется подготовка предложений по созданию инфраструктуры облачных сервисов совместно с провайдерами ИТ-услуг, а также разработка рекомендаций по использованию облачных технологий участниками финансового рынка. Платформа для облачных сервисов будет являться инфраструктурным решением, предоставляющим доступ участников финансового рынка к облачным ресурсам внешних провайдеров (например, сети, системы хранения, приложения и сервисы) и позволяющим участникам финансового рынка на их основе размещать собственные прикладные сервисы с обеспечением необходимых требований и условий в отношении информационной безопасности». ЮРИДИЧЕСКАЯ БЕЗОПАСНОСТЬ ПРИ ПЕРЕДАЧЕ ДАННЫХ Итак, принципиальное решение о сотрудничестве с облачным провайдером принято. Тесно связаны два аспекта, обеспечивающие данный процесс: как свои намерения зафиксировать юридически и как они будут обеспечиваться технически. С юридической точки зрения при заключении договора важно максимально подробно описать предмет, а также зоны ответственности сторон. По сложившейся практике, клиент обеспечивает безопасность внутри предоставленных ему виртуальных машин. А провайдер занимается внешними угрозами и защитой виртуальной инфраструктуры. Следующий этап — актуализация внутренних документов финансовой организации, их подготовка к аудитам по СТО БР ИББС, PSI DSS и др. ТЕХНИЧЕСКОЕ ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ДАННЫХ Со стороны провайдера безопасность данных обеспечивается использованием следующих технологий (на примере облачного провайдера «ИТ-ГРАД»): • защита от DDOS-атак; • система обнаружения вторжений; • использование для передачи данных защищенного канала связи VPN (ГОСТ); • сервер антивирусной защиты (сертифицированный); • сервер анализа защищенности; • регистрация и анализ событий ИБ; • мониторинг доступности и производительности Zabbix; • защита от утечек информации DLP; • сертифицированное средство защиты среды виртуализации vSphere. Использование данного комплекса технологий позволяет партнерам провайдера соответствовать всем требованиям законодательства о защите данных, быть уверенными в защите коммерческой информации и экономить на содержании ИТ-инфраструктуры. РЕЗЮМЕ • В законодательстве нет запрета на использование облачных технологий. • Центробанк активно работает над внедрением облачных технологий. А значит, это направление — будущее развития финансового рынка, как мирового, так и российского. • При работе с данными необходимо соблюдать меры информационной безопасности. • При работе с облачными сервисами часть рисков и затрат на основные средства, кадры переходит провайдеру.

07.02.2018 г. опубликованы «Основные направления развития финансовых технологий на период 2018–2020 гг.» (далее — Основные направления).

Центробанком проведены исследования, которые показали, что наиболее перспективными финансовыми технологиями являются, в числе прочих, облачные технологии, особенно облачные кассы.

Также по результатам данного исследования, 82 % финансовых организаций ожидают увеличения числа партнерств с финтех-компаниями в ближайшие 3–5 лет.

ЦБ РФ в качестве одной из основных задач на 2018–2020 годы определил для себя создание платформы для облачных сервисов (п. 2.2.9 Основных направлений):

«Создание платформы для облачных сервисов предполагает обеспечение возможности эффективного и безопасного использования участниками финансового рынка облачных ресурсов внешних провайдеров (например, сетей, систем хранения, приложений и сервисов) и в первую очередь направлено на сокращение затрат, связанных с созданием и использованием ИТ-инфраструктуры, для участников финансового рынка.

Планируется подготовка предложений по созданию инфраструктуры облачных сервисов совместно с провайдерами ИТ-услуг, а также разработка рекомендаций по использованию облачных технологий участниками финансового рынка.

Платформа для облачных сервисов будет являться инфраструктурным решением, предоставляющим доступ участников финансового рынка к облачным ресурсам внешних провайдеров (например, сети, системы хранения, приложения и сервисы) и позволяющим участникам финансового рынка на их основе размещать собственные прикладные сервисы с обеспечением необходимых требований и условий в отношении информационной безопасности».

ЮРИДИЧЕСКАЯ БЕЗОПАСНОСТЬ ПРИ ПЕРЕДАЧЕ ДАННЫХ

Итак, принципиальное решение о сотрудничестве с облачным провайдером принято. Тесно связаны два аспекта, обеспечивающие данный процесс: как свои намерения зафиксировать юридически и как они будут обеспечиваться технически.

С юридической точки зрения при заключении договора важно максимально подробно описать предмет, а также зоны ответственности сторон. По сложившейся практике, клиент обеспечивает безопасность внутри предоставленных ему виртуальных машин. А провайдер занимается внешними угрозами и защитой виртуальной инфраструктуры.

Следующий этап — актуализация внутренних документов финансовой организации, их подготовка к аудитам по СТО БР ИББС, PSI DSS и др.

ТЕХНИЧЕСКОЕ ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ДАННЫХ

Со стороны провайдера безопасность данных обеспечивается использованием следующих технологий (на примере облачного провайдера «ИТ-ГРАД»):

  • защита от DDOS-атак;
  • система обнаружения вторжений;
  • использование для передачи данных защищенного канала связи VPN (ГОСТ);
  • сервер антивирусной защиты (сертифицированный);
  • сервер анализа защищенности;
  • регистрация и анализ событий ИБ;
  • мониторинг доступности и производительности Zabbix;
  • защита от утечек информации DLP;
  • сертифицированное средство защиты среды виртуализации vSphere.

Использование данного комплекса технологий позволяет партнерам провайдера соответствовать всем требованиям законодательства о защите данных, быть уверенными в защите коммерческой информации и экономить на содержании ИТ-инфраструктуры.

РЕЗЮМЕ

  • В законодательстве нет запрета на использование облачных технологий.
  • Центробанк активно работает над внедрением облачных технологий. А значит, это направление — будущее развития финансового рынка, как мирового, так и российского.
  • При работе с данными необходимо соблюдать меры информационной безопасности.
  • При работе с облачными сервисами часть рисков и затрат на основные средства, кадры переходит провайдеру.

1 Звезда2 Звезды3 Звезды4 Звезды5 Звезд (7 оценок, среднее: 5,00 из 5)
Загрузка...