пятница, 2 декабря 2016 г.

Сингапур: Регулятор дает «зеленый свет» использованию облачных вычислений кредитно-финансовыми организациями


Заметка архитектора защищённых решений из азиатско-тихоокеанского отделения компании Amazon Web Services (AWS) Майлза Хосфорда (Myles Hosford – на фото) была опубликована 20 ноября 2016 года в социальной сети LinkedIn. Меня она заинтересовала в первую очередь как рассказ о позиции известного своей строгостью сингапурского финансового регулятора - Денежно-кредитного управления Сингапура (Monetary Authority of Singapore, MAS – по сути, центрального банка этого города-государства) к использованию облачных вычислений подконтрольными ему организациями.

Авторская оговорка: Мысли и мнения мои собственные, и они могут не отражать точку зрения моего работодателя.


С момент закрытия на прошлой неделе организованного Денежно-кредитным управлением Сингапура Фестиваля финансовых технологий (MAS Fintech Festival) – первого подобного мероприятия в Азии – было много дискуссий и интереса к веб-сервисам Amazon Web Services (AWS), связанных, в частности, с тем, как использовать облачные вычисления в соответствии с руководствами MAS по аутсорсингу ( http://www.mas.gov.sg/~/media/MAS/Regulations%20and%20Financial%20Stability/Regulatory%20and%20Supervisory%20Framework/Risk%20Management/Outsourcing%20Guidelines_Jul%202016.pdf ) и по управлению связанными с технологиями рисками (Technology Risk Management, TRM,  http://www.mas.gov.sg/~/media/MAS/Regulations%20and%20Financial%20Stability/Regulatory%20and%20Supervisory%20Framework/Risk%20Management/TRM%20Guidelines%20%2021%20June%202013.pdf ).

Для тех, кто не в курсе, скажу, что в июле 2016 года MAS обновил своё «Руководство по аутсорсингу», включив в него новый раздел, в котором излагается позиция MAS относительно использования облачных вычислений. Говоря коротко, MAS отметил, что облачные сервисы способны обеспечить множество преимуществ, включая следующие:
  • Удешевление за счет массовости и масштаба, и, соответственно, сокращение расходов;

  • Возможность воспользоваться преимуществами качественного администрирования систем;

  • Функционирование в соответствии с едиными стандартами безопасности и наилучшей практики;

  • Обеспечение для организаций гибкости и маневренности в плане быстрого расширения или сокращения объёмов использования вычислительных ресурсов по мере изменения потребностей;

  • Повышение живучести системы в случае локальных катастроф или сбоев.
Эта позиция получила дополнительное подтверждение в течение недели фестиваля, в ходе которого управляющий директор MAS Рави Менон (Ravi Menon) специально подчеркнул:
«Прежде кое-кто считал, что MAS не одобряет Облако. Чтобы не оставалось никаких сомнений, позвольте мне повторить: у MAS не имеется никаких возражений против использования облачных вычислений кредитно-финансовыми организациями».
Выступает управляющий директор Денежно-кредитного управления Сингапура Рави Менон. За его спиной надпись: «Использование облачных вычислений кредитно-финансовыми организациями – у MAS нет никаких возражений»

В то же время MAS ожидает от подконтрольных ему организаций проявления необходимой должной осмотрительности и здравого управления рисками, с целью реагирования на потенциальные риски и уязвимости. Раздел 5.4.3 руководства MAS по аутсорсингу перечисляет вопросы, которые необходимо проанализировать в рамках проявления кредитно-финансовыми организациями должной осмотрительности по отношению к внешним поставщикам услуг. В разделе 6.7 перечисляются потенциальные области риска, которые необходимо принять во внимание при внедрении облачных услуг, в число которых входят доступ к данным, обеспечение конфиденциальности и целостности, вопрос суверенитета, восстановление после сбоев и катастроф, соблюдение нормативных требований и вопросы аудита.

Даже после проявления должной осмотрительности при выборе поставщика, от подконтрольных организаций по-прежнему ожидается здравое управление связанными с технологиями рисками, и эта задача может решаться путем оценки соответствия руководству MAS TRM. При оценке на соответствия TRM (или любой иной оценки по безопасности) важно помнить, что при использовании веб-сервисов компании AWS Вы принимаете модель коллективной ответственности за безопасность  (shared security model, см. http://aws.amazon.com/compliance/shared-responsibility-model/ ).

Кредитно-финансовые организации должны ясно осознавать, что поставщик – компания AWS несет ответственность за «безопасность инфраструктуры облака» (security of the cloud'), в то время, как клиенты, в свою очередь, отвечают за «безопасное использование облака» (security in the cloud), охватывающей пользовательский контент, управление доступом, приложения, защиту персональных данных и т.д.

В целях дальнейшего укрепления позиций Сингапура в качестве финансового центра благодаря четкому плану внедрения облачных вычислений, Ассоциация банков Сингапура (Association of Banks in Singapore, ABS) недавно опубликовала своё руководство по внедрению облачных вычислений ( http://abs.org.sg/docs/library/abs-cloud-computing-implementation-guide.pdf ). Данное руководство содержит рекомендации и советы для входящих в Ассоциацию банков, касающиеся заключения соглашений об аутсорсинге в облако, включающие проявление должной осмотрительности и описывающие ключевые меры и средства контроля и управления. Ассоциация особо отметила следующие важнейшие меры:
  • Шифрование и токенизация;

  • Использование специфических возможностей «частного облака»;

  • Управление изменениями и управление доступом привилегированных пользователей  (Privileged User Access Management, PUAM);

  • Обеспечение безопасности среды виртуализации;

  • Управление доступом пользователей и разделение обязанностей;

  • Коллективное тестирование готовности к восстановлению деловой деятельности после катастроф;

  • Мониторинг событий безопасности и управление инцидентами безопасности;

  • Испытания на возможность проникновения в систему и управление уязвимостями;
  • м
  • Административный удаленный доступ;

  • Жизненный цикл разработки безопасного программного обеспечения, проведение анализа кода;

  • Защита журналов аудита и резервных копий.
Кредитно-финансовым учреждениям следует определиться с тем, кто несёт ответственность за реализацию перечисленных важнейших мер - поставщики облачных услуг, они сами, или же компания-интегратор. Например, AWS предлагает ряд сервисов, которые позволяют обеспечить защиту резервных копий и журналов аудита с помощью шифрования, однако соответствующий выбор должна сделать группа по архитектуре организации или же системный интегратор.

В заключение хочу отметить, что я ожидаю в 2017 году быстрый рост объёмов внедрения облачных вычислений кредитно-финансовыми организациями, опирающийся на тот импульс, который дали этому процессу MAS и ABS. Я хотел бы призвать подконтрольные MAS кредитно-финансовые организации, который желают начать свое путешествие в облако, обратиться за дополнительной информации к персоналу компании AWS, управляющему их учетной записью в облачной системе.

Майлз Хосфорд (Myles Hosford)

Источник: социальная сеть LinkedIn
https://www.linkedin.com/pulse/cloud-gets-green-light-mas-regulated-fsis-myles-hosford

Комментариев нет:

Отправить комментарий