Конкурентная борьба на российском банковском рынке становится острее. Вместе с тем ужесточаются требования к безопасности обработки данных и к обеспечению сохранности информационных систем и ресурсов. Эксперты подчеркивают – финансовые институты сумеют ответить на вызовы времени и своевременно выполнить требования регулятора и законодательной власти.
ЦОД расшифровывается как центр обработки данных, синонимами термина в специализированной литературе являются названия «дата-центр» или «центр хранения и обработки данных» (ЦХОД). В инфраструктуру ЦОД входит множество сложных и резервируемых инженерных систем высокой надежности, основное назначение которых – хранение, обработка, передача и резервирование электронной информации банка, необходимой для выстраивания бизнес-процессов.
В определенном смысле ЦОД для кредитной организации – кладовая, в которой хранится все богатство компании. Эксперты признают, что даже деньги, основной продукт банка, – это, с учетом новых технологий, чаще всего не пачки купюр, а электронная информация, которая представляет собой запись в таблице базы данных. Поэтому наличие дата-центра, по признанию банкиров, сегодня не столько конкурентное преимущество, как пытаются утверждать производители и поставщики соответствующих решений, сколько необходимое условие ведения бизнеса.
Не секрет, что финансовым институтам при выборе решений для ЦОД необходимо убить сразу трех зайцев: выполнить инструкции Центробанка и требования законодательства и оптимизировать издержки.
Специалисты отмечают, что с инструкциями регулятора по обеспечению безопасности обработки и хранения данных кредитные учреждения хорошо знакомы. Их отслеживают и выполняют – в противном случае под вопросом может оказаться самое дорогое для финансовой организации – лицензия на осуществление банковской деятельности. Терять ее из-за проколов в хранении данных никто не хочет, как, впрочем, и в силу других причин.
Второе требование – защита персональных данных. Напомним, что 4 июля 2014 года Государственная дума во втором и третьем чтениях приняла законопроект, вносящий поправки в два федеральных закона – ФЗ № 152 «О персональных данных» и ФЗ № 149 «Об информации, информационных технологиях и о защите информации». Закон «О персональных данных» дополнен статьей: «При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение, извлечение персональных данных граждан Российской Федерации с использованием баз данных, расположенных на территории Российской Федерации». Предполагалось, что новые правила начнут действовать с 1 сентября 2016 года. Однако затем было решено сократить срок и перенести дату вступления закона. В пояснительной записке отмечается, что это изменение будет способствовать более оперативному и эффективному обеспечению прав граждан РФ на сохранность персональных данных и соблюдение тайны переписки в информационно-телекоммуникационных сетях. Законодатели убеждены – нормативный акт положительно скажется на безопасности россиян и государства в целом, снизит активность недружественных России стран, исключит попытки провокаций с их стороны, сможет притормозить развитие информационной войны.
Каждый выбирает для себя
В последний день 2014 года президент РФ Владимир Путин подписал закон, предусматривающий хранение персональных данных россиян на отечественных серверах с 1 сентября 2015 года. Таким образом, после указанной даты хранение любых персональных данных за пределами РФ запрещено. До вступления документа в силу осталось шесть месяцев. Готовы ли кредитные организации выполнить требования законодательства?
По словам директора департамента информационных технологий Банка Интеза Бориса Головатских, детально работать над данным вопросом в кредитной организации начали в IV квартале 2014 года. На текущий момент проработана концепция и сделан первичный анализ. Готовится техническое задание и тендерная документация. Стоит отметить, что Банк Интеза арендует дата-центр.
Как и большинство организаций с иностранным участием, Сетелем Банк использует в своей работе некоторые информационные системы материнской структуры. «В этой связи, как только требования законодательства стали известны, в банке был инициирован проект для приведения используемых информационных систем в соответствие с новыми требованиями. В рамках данной активности ИТ-департамент Сетелем Банка анализирует информационные системы и бизнес-процессы, и в случае необходимости принимается решение о переносе необходимых систем в Россию либо о пересмотре соответствующих бизнес-процессов с целью использования альтернативных разработок. В связи с актуальностью даты вступления в действие требований законодательства проект имеет наивысший приоритет в портфеле планов на 2015 год», – рассказывает заместитель директора департамента информационных технологий Сетелем Банка Лев Сорочкин.
Азиатско-Тихоокеанскому Банку принадлежат два дата-центра, а третий взят в аренду. Первая площадка находится в Благовещенске, где расположен головной офис, вторая – в Белогорске (Амурская область). Вместе они составляют единый катастрофоустойчивый центр. В случае выхода из строя одного из ЦОД подключение автоматически перенаправляется к доступному сервису. Арендуемая площадка находится в Москве, в силу того что в столице нелегко найти место для строительства собственного ЦОД.
«В банке информация всегда хранилась только на собственных серверах. Нововведение нас не коснулось, так как все данные содержатся в АБС (автоматизированная банковская система). Другими сервисами мы не пользуемся», – подчеркивает директор департамента банковских технологий Азиатско-Тихоокеанского Банка Алексей Беляков.
Хранение персональных данных клиентов Банка Оранжевый осуществляется на территории Российской Федерации. «Мы придерживаемся позиции использования и развития собственного дата-центра – как основного, так и резервного. Это связано с законодательными требованиями, запрещающими раскрытие конфиденциальной информации третьим лицам, в первую очередь банковской тайны. Перенос менее критичных для банка сервисов в «облака» не рассматривается в среднесрочной перспективе, ввиду того что рынок внешних дата-центров для кредитных организаций пока еще несет в себе существенные риски, связанные с конфиденциальностью, доступностью и целостностью размещаемых в них данных», – комментирует начальник отдела информационной безопасности Банка Оранжевый Александр Назаров.
ЦОД находятся в собственности и у Абсолют Банка. Директор департамента информационных технологий Абсолют Банка Андрей Горелов отмечает: «Все персональные данные клиентов хранятся на оборудовании, размещенном исключительно на территории Российской Федерации».
По словам заместителя председателя правления Инвестторгбанка Нины Шурминой, кредитная организация не размещает свои вычислительные ресурсы за пределами РФ. В настоящее время в банке развернуты две площадки, основная и резервная. Одна из них использует внешний, арендованный ЦОД.
Финансовая группа Лайф также не видит препятствий для исполнения требований законодательства: все персональные данные клиентов организаций, входящих в состав Группы, хранятся на российской территории. Возможность использовать мощности, размещенные за пределами РФ, в ФГ Лайф рассматривают только для тестовых сред, где нет важной информации.
«Я согласен с тем, что ЦОД – это действительно железное сердце любой современной крупной корпорации. У ФГ Лайф два центра обработки данных. Первый ЦОД – собственный, расположен в здании ФГ Лайф, обслуживается сотрудниками внутренней службы эксплуатации. Он считается основным. Второй, резервный размещен в коммерческом ЦОД BSTelecom. При этом оба дата-центра работают в активном режиме», – комментирует заместитель начальника департамента информационных технологий Пробизнесбанка (ФГ Лайф) Александр Белясников.
Центры обработки данных Уральского банка реконструкции и развития, по словам руководителя дирекции информационных технологий Андрея Обухова, также находятся в собственности банка.
Аналогичная ситуация в Транскапиталбанке. «У нас все данные клиентов хранятся на серверах, расположенных на территории Российской Федерации, поэтому дополнительная подготовка нам не требуется», – рассказывает заместитель председателя правления Транскапиталбанка Евгений Ивановский.
В Первобанке также готовы своевременно исполнить требования законодательства. «ЦОД принадлежат кредитной организации, поэтому риски делить ни с кем не приходится. Доступ в такие помещения есть только у сотрудников, имеющих соответствующие полномочия», – констатирует директор департамента информационных технологий Первобанка Александр Краснов.
Хватит ли на всех хранилищ?
Авторы закона о запрете хранения персональных данных за рубежом утверждают, что Российская Федерация сегодня располагает нужным количеством дата-центров для хранения персональных данных пользователей. В свою очередь, эксперты обращают внимание на то, что строительство и ввод в эксплуатацию нового ЦОД, как правило, занимает от года до двух лет. Здесь, конечно, могут появиться определенные проблемы, например кадровый дефицит дата-специалистов, или же могут начать повышаться цены на аренду (покупку) промышленных зданий для реконструкции под центр обработки данных. Вместе с тем для таких технологичных проектов нужны серьезные инвестиции.
Достаточно ли на данный момент емкости отечественных дата-центров, чтобы обеспечить потребности банковской системы, и можно ли спрогнозировать рост цен на услуги ЦОД?
«На Дальнем Востоке вряд ли. В 2013 году из-за катастрофического наводнения мы искали различные возможности для перемещения ЦОД, но не нашли – ни на Дальнем Востоке, ни в Новосибирске. Может быть, это реально в Москве. ЦОД в Белогорске мы построили с запасом, и теперь сами можем предоставлять услуги: размещать на своих мощностях оборудование и системы других компаний. Рост цен нами не был зафиксирован, основные затраты арендуемого ЦОД – электроэнергия, место под стойки и каналы связи. Так как эти составляющие не подорожали, цена пока не изменилась. Возможно, в этом году будут перемены, ведь оборудование для каналов связи импортное», – анализирует ситуацию Алексей Беляков (Азиатско-Тихоокеанский Банк).
По оценке Александра Краснова (Первобанк), центров обработки данных, соответствующих высоким требованиям непрерывности, надежности и безопасности работы банковской системы, сегодня недостаточно.
Иная точка зрения у Александра Назарова (Банк Оранжевый). «Исходя из того что основная часть банковских систем, содержащих критичные сведения, по умолчанию не может быть переведена на аутсорсинг, емкости российских дата-центров хватит для обеспечения нужд кредитных организаций. Анализируя мировую ситуацию, можно спрогнозировать в 2015 году сокращение издержек практически во всех отраслях и, соответственно, повышение спроса на аутсорсинговые услуги, в том числе на услуги дата-центров. Повышение же спроса всегда влечет за собой увеличение цены», – отмечает специалист. По его словам, еще один довод в пользу увеличения стоимости услуг дата-центров – рост курса доллара, который влечет за собой повышение расходов на оборудование и ПО, поддержку уже используемых продуктов.
Борис Головатских (Банк Интеза) считает, что, несмотря на влияние кризиса, емкости российских ЦОД хватит – рынок предвидел рост спроса и своевременно на это отреагировал. На текущий момент здесь представлено достаточное количество предложений и постоянно появляются новые. То есть дефицита предложений не ощущается. При этом ожидается рост рублевых цен на услуги ЦОД. В части валютных цен, по мнению эксперта, ситуация неоднозначная: существуют факторы, влияющие как на рост объемов рынка (например, увеличение спроса и высокие учетные ставки), так и на его стабилизацию (достаточное количество предложений и рост валютных цен в связи с изменением курса рубля).
Более сдержан в своей оценке Лев Сорочкин (Сетелем Банк). По его словам, емкость российских ЦОД – величина непостоянная, и говорить о достаточности не совсем корректно. «На рынке работает много поставщиков услуг ИТ-инфраструктуры и услуг размещения центров обработки данных. При наличии подтвержденного спроса со стороны клиентов в силу вступают законы рынка и в среднесрочной перспективе, как нам думается, мощности будут наращиваться», – уверен специалист.
Собственное мнение по данному вопросу у Нины Шурминой (Инвестторгбанк). «Количество и мощности ЦОД зависят от потребностей бизнеса. В текущей обстановке строительство собственного дата-центра экономически невыгодно. Расчетные сроки окупаемости при строительстве нового ЦОД составляют от пяти до десяти лет, при этом средний срок эксплуатации некоторых систем составляет три-пять лет, соответственно требуются постоянные инвестиции. Кроме того, при строительстве ЦОД надо понимать, что для него необходимо создавать отдельную службу эксплуатации инженерных систем. Исходя из этого многие банки отказываются от создания собственных ЦОД и арендуют коммерческие», – рассказывает топ-менеджер. Нина Шурмина (Инвестторгбанк) подчеркивает: в связи с тем что существует достаточно большой спрос на услуги коммерческих дата-центров, рынок развивается и в условиях конкуренции просматривается тенденция на снижение цен.
«Если учитывать публичные данные о потенциале развития крупных ЦОД, а также планы развития тех коммерческих дата-центров, с которыми мы взаимодействуем, можно утверждать, что емкости достаточно. Роста цен мы пока не заметили», – комментирует Александр Белясников (Пробизнесбанк, ФГ Лайф).
С коллегой солидарен Андрей Горелов (Абсолют Банк). «Если речь идет о нуждах российской банковской системы, то емкости ЦОД, расположенных на территории нашей страны, хватит на среднесрочную перспективу», – считает эксперт.
Безопасность превыше всего
Финансовая информация стоит огромных денег, неудивительно, что ее хранение и защита обходятся банкам недешево. Специалисты отмечают, что защита данных необходима на всех стадиях жизненного цикла. Связано это с тем, что, во-первых, информация становится необходимым активом бизнеса и приобретает самостоятельную ценность, а во-вторых, современное законодательство предъявляет к субъектам экономики ряд серьезных требований – обязывает компании применять технические и программные меры по ее защите от утечек, несанкционированного доступа и потери. Информационная безопасность ЦОД обеспечивается целым комплексом технических и организационных мер на всех уровнях ИТ-инфраструктуры.
Как решаются данные задачи при аренде ЦОД?
«Основное отличие коммерческого ЦОД в том, что оборудование находится не на вашей территории, значит, физическая безопасность обеспечивается сотрудниками и подрядчиками дата-центра. Тут вы вынуждены доверять оператору ЦОД. Естественно, все четко регламентировано в договорах, оборудование передано на ответственное хранение, но потенциально доступ к нему могут получить неуполномоченные на это лица. Снизить риски можно за счет создания внутри коммерческого ЦОД выделенной зоны с собственной системой контроля доступа и системой видеонаблюдения. ФГ Лайф пошла именно по этому пути», – рассказывает Александр Белясников (Пробизнесбанк, ФГ Лайф).
Аналогичного мнения придерживается начальник управления информационной безопасности банка «Ренессанс Кредит» Дмитрий Стуров. «Мы полагаемся прежде всего на качество работы компаний, владеющих ЦОД. Их задача – обеспечивать физическую безопасность, кондиционирование, пожаротушение и прочую защиту, – рассказывает специалист. – Уровень оказываемого сервиса определяется договорами. Информационная безопасность обеспечивается командой специалистов с учетом всех требований законодательства, нормативно-методических документов ЦБ РФ и иных регуляторов, а также положений стандартов по информационной безопасности».
По словам Андрея Горелова (Абсолют Банк), кредитная организация не пользуется услугами аренды ЦОД. Информационная безопасность в финансовом учреждении обеспечивается как жестким контролем выполнения установленных процедур, так и их регулярным мониторингом и актуализацией.
С точки зрения Александра Назарова (Банк Оранжевый), ввиду того, что ЦОД должен быть масштабируемым, доступным, устойчивым к нагрузкам, подход к обеспечению его безопасности не может быть тривиальным. Он должен быть комплексным, многоуровневым и включать в себя, помимо вопросов информационной безопасности, еще и решения по инженерной защите, организационным и кадровым вопросам безопасности. «Если рассматривать только проблему обеспечения ИТ-безопасности, то в стандартный набор обязательно должны входить поддержка VPN с надежным шифрованием трафика (в том числе шифрование по ГОСТ), межсетевое экранирование, системы выявления и предотвращения вторжений, антивирусный анализ трафика, сегментация зон и элементов ЦОД, защита от DoS-атак, DLP-системы, системы централизованного мониторинга средств обеспечения безопасности, резервные системы хранения и энергообеспечения», – делится опытом эксперт.
Александр Назаров (Банк Оранжевый) отмечает – при использовании дата-центров арендатор передает свои ресурсы поставщику услуги, и банк в данном случае рискует не просто утечкой данных или утратой какого-то сервиса – в некоторых случаях это может вылиться даже в потерю бизнеса.
«На моей памяти был случай, когда компания полностью строила всю ИТ-инфраструктуру в «облаке» и в результате умышленных деструктивных действий обиженного ИТ-персонала она потеряла все данные, размещенные в ЦОД, и, соответственно, не смогла вести бизнес дальше. Считаю, что все вопросы и риски, связанные с обеспечением ИТ-безопасности должны ложиться на поставщика услуги на основе тех требований, которые определит арендатор. А вот риски, связанные с возможностью воздействия легальных пользователей арендатора на размещаемые в ЦОД данные, должны лежать на арендаторе», – предупреждает эксперт.
Для того чтобы обеспечивать надежное хранение и защиту данных, лучше всего, по мнению специалистов, применять комплексный подход, его суть заключается в проведении ряда организационных мер (регламентов, процессов) и в наличии некоторых технических решений.
Алексей Беляков (Азиатско-Тихоокеанский Банк) обращает внимание на то, что для обеспечения информационной безопасности ЦОД все выходы в Интернет должны быть перекрыты межсетевыми экранами. «Оба наших ЦОД защищены собственными файерволами. Дополнительно безопасность обеспечивает, конечно, и сам арендатор. Риски, по моему мнению, должны быть распределены по принципу организации подключения к оборудованию и составления договора. Естественно, в арендуемом ЦОД есть оборудование и наше, и арендатора. Я считаю, что разделение рисков должно быть 50 на 50», – анализирует ситуацию эксперт.
В Инвестторгбанке обеспечение информационной безопасности имеет два важнейших аспекта. Во-первых, это физическая безопасность. Должна быть гарантирована защита всего периметра, должна использоваться система контроля доступа на территорию ЦОД, в машинные помещения и непосредственно к серверным стойкам. Также, как подчеркивают эксперты, должна применяться система видеонаблюдения с обязательным хранением архива записей. Необходимо обеспечить резервирование всех инженерных систем, таких как электропитание, кондиционирование, пожаротушение, и других систем, отказ которых может стать причиной повреждения данных. Во-вторых, это безопасность размещаемой в ЦОД информации.
«Для этого применяются системы идентификации, шифрования, антивирусной защиты и резервного копирования. Оборудование, размещенное в закрытых стойках, не должно иметь возможности прямого неконтролируемого доступа. Кроме того, необходимо обеспечить защиту на сетевом уровне с использованием межсетевых экранов, систем обнаружения вторжений и других систем. Сетевой трафик между основной сетью и сегментом в ЦОД должен передаваться через зашифрованный туннель», – делится своими взглядами на организацию процесса защиты данных Нина Шурмина (Инвестторгбанк). Что же касается разделения рисков между владельцем и арендатором, то это все же юридический аспект. «При заключении договора необходимо четко разграничить зоны ответственности сторон. В любом случае стороны в договорах стараются максимально учесть технические и организационные составляющие, но заказчик обычно понимает, что владелец ЦОД никогда не покроет убытки в случае наступления неблагоприятного события», – предупреждает эксперт.
Один из вариантов минимизации рисков – это страхование, но страхование рисков подобного рода в нашей стране слабо развито», – комментирует Борис Головатских (Банк Интеза). «Обеспечение физической безопасности – зона ответственности владельца с дополнительными требованиями и мерами по защите инфраструктуры со стороны арендатора. Информационная безопасность может обеспечиваться собственными силами либо может быть передана на аутсорсинг компаниям, имеющим необходимые лицензии и сертификаты по модели «Security as a Service», – добавляет специалист.
Выбираем коммерческий ЦОД
В недалеком прошлом банки предпочитали размещать свою ИТ-инфраструктуру исключительно in-house, считая, что это лучший способ обеспечить сохранность данных и информационную безопасность. Однако времена меняются, и финансово-кредитные организации все чаще присматриваются к коммерческим ЦОД в качестве альтернативы.
Сегодня такие дата-центры предлагают финансовому сообществу высокопроизводительные технические решения, позволяющие обеспечить комплексную защиту клиентов от возможных проблем с безопасностью, электропитанием и связью. Оснащенные передовыми технологиями и инфраструктурой высокой степени защищенности, коммерческие дата-центры должны быть в состоянии предложить стабильную физическую среду и, как следствие, не должны допускать никаких перебоев в электроснабжении, в том числе и во время работ по техобслуживанию объекта.
Каковы же главные критерии выбора поставщика услуг ЦОД?
«Всего два существенных критерия. Во-первых, это отказоустойчивость (инфраструктурная, канальная), которая выражается в наличии соответствующих международных сертификатов и аудиторских заключений. Во-вторых, репутация, она определяется по количеству клиентов, мнению экспертного сообщества о качестве поддержки и выполненных проектах. Третий критерий – критерий цены – слишком специфичен, чтобы ставить его во главу угла: большинство поставщиков услуг центров обработки данных ведут очень гибкую ценовую политику, и конечная цена для банка, как правило, зависит от многих факторов», – комментирует Лев Сорочкин (Сетелем Банк).
В данном вопросе Александр Белясников (Пробизнесбанк, ФГ Лайф) опирается на опыт собственной кредитной организации. Эксперт советует обратить внимание на расположение ЦОД: находится ли он в отдельном здании, имеется ли территория с собственными подъездными путями, есть ли возможность у инженеров и подрядчиков банка получить быстрый доступ к оборудованию в любое время суток. Такие аспекты крайне важны для обеспечения высокого уровня доступности сервисов. Для того чтобы оценить реальный уровень надежности ЦОД, специалист рекомендует проводить его осмотр с привлечением экспертов. Необходимо также запрашивать всю техническую и эксплуатационную документацию, схемы энергоснабжения, параметры сервисных контрактов; получить информацию о том, как осуществляется обслуживание инженерного оборудования, подвоз топлива для дизель-генераторных установок (ДГУ) и т.п. Также рекомендуется узнавать, сколько лет эксплуатируется ЦОД на рынке и каким клиентами он гордится. «Специалисты банка должны быть поставлены в известность, позволяют ли возможности дата-центра удовлетворить потребности бизнеса по размещению оборудования, особенно если используется высокоплотное вычислительное оборудование. Есть ли ресурсы для создания при ЦОД резервного офиса для ИТ-специалистов и критически важных служб, обеспечивающих поддержку банковской лицензии», – подчеркивает эксперт Пробизнесбанка.
«В соотношении цены и качества предоставляемых услуг нужно искать золотую середину. Например, в первой двадцатке ЦОД Москвы много достойных компаний, но самое дорогое не всегда самое лучшее с точки зрения описанных выше критериев. Важное значение имеет гибкость дата-центра, возможность предоставить комплексные услуги, а также способность арендодателя услышать потребности заказчика и предложить нужное решение. Если в ЦОД вы бегаете за менеджером, а не наоборот – это не ваш ЦОД», – резюмирует Александр Белясников (Пробизнесбанк, ФГ Лайф).
Александр Назаров (Банк Оранжевый) уверен – в первую очередь, помимо технической оснащенности, необходимо акцентировать внимание на правовых вопросах, которые будут задавать регулирующие банковскую деятельность органы. Это наличие у дата-центра соответствующих лицензий и сертификатов, позволяющих проводить определенные работы, использовать специализированное оборудование и программное обеспечение. Если банки планируют осуществлять в дата-центрах обработку персональных данных, то ЦОД должен быть сертифицирован как ИСПДн (информационная система персональных данных). «Помимо этого стоит обратить внимание на точное определение и документирование существующих рисков, распределение рисков между банком и дата-центром, а также на составление и соблюдение SLA (соглашения об уровне услуг). Помимо условий, связанных с технической оснащенностью, соответствием дата-центра законодательным требованиям и гибкостью аутсорсера в вопросах распределения рисков, я бы выделил максимальное время простоя, масштабируемость предоставляемых мощностей, перспективы технологического развития ЦОД и экономическую составляющую», – поясняет специалист.
С Александром Назаровым согласен Андрей Горелов из Абсолют Банка. «Основные критерии выбора – это обеспечение требуемого уровня доступности и безопасности. Также стоит обращать внимание на надежность владельца, мнение коллег, перечень доступных провайдеров, стоимость услуг, вариативность SLA, наличие дополнительных сервисов и т.д.», – комментирует эксперт.
Алексей Беляков (Азиатско-Тихоокеанский Банк) считает, что в первую очередь нужно обратить внимание на обеспечение мощностей. По мнению специалиста, главное, чтобы ЦОД имел резервирование по электропитанию и по охлаждению – все системы должны быть зарезервированы. Дата-центр должен иметь подключение как минимум к трем операторам связи, его должен обслуживать квалифицированный персонал, а стоимость его аренды должна соответствовать качеству предоставляемых услуг.
В Инвестторгбанке уверены, что соответствие дата-центра международному стандарту по категории Tier 3 гарантирует качество предоставляемых услуг – это означает, что ЦОД обладает необходимыми ресурсами для обеспечения бесперебойной и безопасной работы.
«Если подходить к выбору серьезно, то при аренде ЦОД желательно выбрать поставщика, обладающего сертификатом Uptime Institute с уровнем надежности не ниже Tier 3 или хотя бы с надежностью, соответствующей этому уровню. Важными факторами являются наличие необходимого количества операторов связи; возможность выделения отдельной зоны для размещения стоек с оборудованием; наличие четких регламентов взаимодействия; удаленность и сложности с территориальной доступностью. Кроме того, существуют специфические требования, которые заказчик формулирует исходя из своих потребностей и своего представления о ЦОД», – комментирует Нина Шурмина (Инвестторгбанк).
Борис Головатских (Банк Интеза) также отмечает, что в первую очередь необходимо обратить внимание на выполнение требований сертификации Uptime Institute по уровню не ниже Tier 3+ (официальная сертификация приветствуется). Кроме того, расположение ЦОД должно гарантировать физическую безопасность помещений и обеспечивать защиту от наводнений, пожаров, химических воздействий и других опасных факторов, повышающих риски. Важно хорошее транспортное сообщение, обеспеченность электрическими мощностями, наличие телекоммуникационных и оптических каналов, а также мощностей для расширения.
«Вместе с тем необходимо оценить положение сервис-провайдера на рынке: финансовое состояние компании, опыт работы, компетенции менеджмента и персонала, способность выполнить SLA и отвечать финансово за невыполнение KPIs, возможность заключения многолетних контрактов», – подчеркивает специалист.
Евгений Ивановский (Транскапиталбанк) советует обратить внимание на разумную стоимость услуг и наличие разнообразных каналов связи. По мнению эксперта, цены должны быть зафиксированы в рублях, а не в валюте или условных единицах. «Важно иметь возможность при условии сужения ваших операций оперативно отказаться, например, от аренды одной-двух стоек или, наоборот, быстро арендовать дополнительные мощности при возрастании количества операций», – предупреждает эксперт.
По словам Андрея Обухова (Уральский банк реконструкции и развития), основные критерии выбора поставщика услуг ЦОД – это цена, качество, доступность услуг и информационная и физическая безопасность. Вместе с тем руководитель дирекции информационных технологий подчеркивает, что для банков предпочтительнее иметь собственные ЦОД, это, при всех прочих равных, дешевле и безопаснее.
Резюмируя рекомендации экспертов, можно сказать – независимо от того, идет речь о создании собственного ЦОД или об аренде коммерческого, необходим комплексный подход к решению данной задачи и учет многих факторов. Основными принципами построения систем информационной безопасности являются: системность подхода, комплексность решений, непрерывность защиты, разумная достаточность средств защиты, минимум неудобств для пользователей, минимум накладных расходов на функционирование механизмов защиты. Тот, кто пренебрегает хотя бы одним из
вышеперечисленных пунктов, рискует навлечь и на себя лично (как сотрудника), и на свой банк в целом большие неприятности. Особенно в условиях, когда общая ситуация на рынке является напряженной и любые утечки информации и персональных данных клиентов способны спровоцировать кризис доверия к финансово-кредитной организации.
Начать дискуссию