Авторская оговорка: Мысли и мнения мои собственные, и они могут не отражать точку зрения моего работодателя.
С момент закрытия на прошлой неделе организованного Денежно-кредитным управлением Сингапура Фестиваля финансовых технологий (MAS Fintech Festival) – первого подобного мероприятия в Азии – было много дискуссий и интереса к веб-сервисам Amazon Web Services (AWS), связанных, в частности, с тем, как использовать облачные вычисления в соответствии с руководствами MAS по аутсорсингу ( http://www.mas.gov.sg/~/media/MAS/Regulations%20and%20Financial%20Stability/Regulatory%20and%20Supervisory%20Framework/Risk%20Management/Outsourcing%20Guidelines_Jul%202016.pdf ) и по управлению связанными с технологиями рисками (Technology Risk Management, TRM, http://www.mas.gov.sg/~/media/MAS/Regulations%20and%20Financial%20Stability/Regulatory%20and%20Supervisory%20Framework/Risk%20Management/TRM%20Guidelines%20%2021%20June%202013.pdf ).
Для тех, кто не в курсе, скажу, что в июле 2016 года MAS обновил своё «Руководство по аутсорсингу», включив в него новый раздел, в котором излагается позиция MAS относительно использования облачных вычислений. Говоря коротко, MAS отметил, что облачные сервисы способны обеспечить множество преимуществ, включая следующие:
- Удешевление за счет массовости и масштаба, и, соответственно, сокращение расходов;
- Возможность воспользоваться преимуществами качественного администрирования систем;
- Функционирование в соответствии с едиными стандартами безопасности и наилучшей практики;
- Обеспечение для организаций гибкости и маневренности в плане быстрого расширения или сокращения объёмов использования вычислительных ресурсов по мере изменения потребностей;
- Повышение живучести системы в случае локальных катастроф или сбоев.
«Прежде кое-кто считал, что MAS не одобряет Облако. Чтобы не оставалось никаких сомнений, позвольте мне повторить: у MAS не имеется никаких возражений против использования облачных вычислений кредитно-финансовыми организациями».
Выступает управляющий директор Денежно-кредитного управления Сингапура Рави Менон. За его спиной надпись: «Использование облачных вычислений кредитно-финансовыми организациями – у MAS нет никаких возражений»
В то же время MAS ожидает от подконтрольных ему организаций проявления необходимой должной осмотрительности и здравого управления рисками, с целью реагирования на потенциальные риски и уязвимости. Раздел 5.4.3 руководства MAS по аутсорсингу перечисляет вопросы, которые необходимо проанализировать в рамках проявления кредитно-финансовыми организациями должной осмотрительности по отношению к внешним поставщикам услуг. В разделе 6.7 перечисляются потенциальные области риска, которые необходимо принять во внимание при внедрении облачных услуг, в число которых входят доступ к данным, обеспечение конфиденциальности и целостности, вопрос суверенитета, восстановление после сбоев и катастроф, соблюдение нормативных требований и вопросы аудита.
Даже после проявления должной осмотрительности при выборе поставщика, от подконтрольных организаций по-прежнему ожидается здравое управление связанными с технологиями рисками, и эта задача может решаться путем оценки соответствия руководству MAS TRM. При оценке на соответствия TRM (или любой иной оценки по безопасности) важно помнить, что при использовании веб-сервисов компании AWS Вы принимаете модель коллективной ответственности за безопасность (shared security model, см. http://aws.amazon.com/compliance/shared-responsibility-model/ ).
Кредитно-финансовые организации должны ясно осознавать, что поставщик – компания AWS несет ответственность за «безопасность инфраструктуры облака» (security of the cloud'), в то время, как клиенты, в свою очередь, отвечают за «безопасное использование облака» (security in the cloud), охватывающей пользовательский контент, управление доступом, приложения, защиту персональных данных и т.д.
В целях дальнейшего укрепления позиций Сингапура в качестве финансового центра благодаря четкому плану внедрения облачных вычислений, Ассоциация банков Сингапура (Association of Banks in Singapore, ABS) недавно опубликовала своё руководство по внедрению облачных вычислений ( http://abs.org.sg/docs/library/abs-cloud-computing-implementation-guide.pdf ). Данное руководство содержит рекомендации и советы для входящих в Ассоциацию банков, касающиеся заключения соглашений об аутсорсинге в облако, включающие проявление должной осмотрительности и описывающие ключевые меры и средства контроля и управления. Ассоциация особо отметила следующие важнейшие меры:
- Шифрование и токенизация;
- Использование специфических возможностей «частного облака»;
- Управление изменениями и управление доступом привилегированных пользователей (Privileged User Access Management, PUAM);
- Обеспечение безопасности среды виртуализации;
- Управление доступом пользователей и разделение обязанностей;
- Коллективное тестирование готовности к восстановлению деловой деятельности после катастроф;
- Мониторинг событий безопасности и управление инцидентами безопасности;
- Испытания на возможность проникновения в систему и управление уязвимостями; м
- Административный удаленный доступ;
- Жизненный цикл разработки безопасного программного обеспечения, проведение анализа кода;
- Защита журналов аудита и резервных копий.
В заключение хочу отметить, что я ожидаю в 2017 году быстрый рост объёмов внедрения облачных вычислений кредитно-финансовыми организациями, опирающийся на тот импульс, который дали этому процессу MAS и ABS. Я хотел бы призвать подконтрольные MAS кредитно-финансовые организации, который желают начать свое путешествие в облако, обратиться за дополнительной информации к персоналу компании AWS, управляющему их учетной записью в облачной системе.
Майлз Хосфорд (Myles Hosford)
Источник: социальная сеть LinkedIn
https://www.linkedin.com/pulse/cloud-gets-green-light-mas-regulated-fsis-myles-hosford
Комментариев нет:
Отправить комментарий