Защита информации в банках и финансовых организациях

Для финансовых институтов защита информации — вопрос не только надежности бизнеса, но и соответствия законодательным нормам. Перед банками стоят строгие, противоречивые и меняющиеся требования к срокам хранения данных и соответствующим уровням защиты. Помимо законодательных есть и множество отраслевых регламентов, таких как PCI DSS и пр.

В этой ситуации задача ИТ-департамента осложняется еще и тем, что крупные банки — территориально распределенные организации. Как правило, в удаленных филиалах нет локального ИТ-персонала, зато стоит разнородное оборудование, есть проблемы с каналами связи. Кроме того, внедрение новых сервисов дистанционного банковского обслуживания означает, что банки должны заниматься защитой данных на конечных устройствах пользователей, внедрять новые web-сервисы с круглосуточным режимом работы. Все это порождает повышенные требования к SLA приложений, информационной безопасности, производительности систем хранения данных, скорости восстановления после сбоя и другим ИТ-процессам.

В результате перед ИТ-отделами банков и финансовых организаций встают три основные задачи, связанные с управлением информацией:

— снижение рисков потери данных из-за программных и аппаратных сбоев;

— предотвращение несанкционированного доступа к информации;

— повышение эффективности использования существующих ресурсов хранения.

Задачи снижения рисков и повышения эффективности надо решать единообразно. Закладывать надежный информационный фундамент" и по кирпичикам строить на нем корпоративную ИТ-среду. На практике перечисленные выше задачи решаются разными методами. Где-то с помощью специального ПО, где-то с применением административных мер. Однако целостная концепция управления данными чаще всего отсутствует. Конечно, критичные СУБД защищены хорошо, но это малая часть данных банка. А как быть со вторичными сервисами, где объемы данных могут быть на порядок больше? Как быть с бесконтрольно растущей виртуальной средой, с парком разнородных систем хранения? Данных много, тратятся деньги на их хранение, а все ли эти данные нужны?

Если фундамент сделан качественно, корпоративная ИТ-среда будет гибкой и адаптивной, готовой к любым приложениям, изменениям, росту и развитию. Если он сделан плохо, увеличиваются расходы на содержание, информационные системы требуют постоянного внимания, повышаются риски отказа основных банковских систем.

Сложность любых решений по резервному копированию, архивированию, управлению жизненным циклом информации в том, что эти задачи не могут рассматриваться и решаться в отрыве от бизнес-приложений и от работы других отделов банка. Необходима полная интеграция. Программное обеспечение управления данными глубоко встраивается в приложения, поэтому малейший отказ может привести к остановке сервиса.

Также часто забывают, что угроза несанкционированного доступа к конфиденциальной информации исходит не из ЦОДа, а от конечных устройств: важные данные (почта, ключи доступа и т. п.) могут храниться на утерянном ноутбуке сотрудника банка. Нужно иметь возможность не только делать резервные копии рабочих мест, но и защищать рабочие места от несанкционированного доступа злоумышленников. Не забывая при этом, что соответствующие модули должны вписываться в единую концепцию защиты данных.

Наличие единой схемы управления информацией не только снижает риски и повышает операционную эффективность. Такой подход налаживает ИТ-процессы, превращая ИТ-процедуры в бизнес-задачи с точно определенными уровнями сервиса, сроками выполнения, ресурсами и ожидаемым результатом. Это выводит взаимодействие всех банковских департаментов с ИТ-службой на новый уровень. Если добавить к этому облачный (или по-другому сервисно-ориентированный) подход, то ИТ-департамент по-настоящему превращается из статьи расходов в бизнес-подразделение.

Учитывая непростую экономическую ситуацию и повсеместную оптимизацию расходов, ИТ-отделы могут остаться без привычного уровня финансирования, а текущие планы по закупке оборудования могут быть сокращены. Программные решения в таких условиях предпочтительнее, так как дают возможность работать с любыми серверами и системами хранения данных независимо от производителя.

Итак, в первую очередь необходимо систематизировать бизнес-процессы, расставить приоритеты и определиться с уровнем SLA приложений и данных. Затем нужно выбрать ПО управления информацией и разработать план внедрения и бесшовной миграции. Только в такой последовательности (а не наоборот) нужно строить информационный фундамент.

Ставьте перед ИТ-отделами правильные задачи, советуйтесь и объясняйте причину тех или иных решений, определяйте понятные критерии успеха и реальные сроки. В мире, в котором правит информация, слаженная работа ИТ-команды это — залог успеха.

Автор статьи — технический консультант компании «CommVault Россия».