БЕЗОПАСНАЯ РАБОТА И ЗАЩИТА ДАННЫХ ФИНАНСОВОГО УЧРЕЖДЕНИЯ ЗАВИСЯТ ОТ УРОВНЯ ЗРЕЛОСТИ ЕГО ИНФРАСТРУКТУРЫ И ОТКАЗОУСТОЙЧЕВОСТИ КОМПЛЕКСА КИБЕРБЕЗОПАСНОСТИ
Нет никаких сомнений, что в наших реалиях одно из стратегических направлений развития банка – это кибербезопасность. За нее ответственна не только служба ИТ, но и бизнес в целом, ведь защита данных клиентов, их надежное хранение и обработка, конфиденциальность проведения банковских операций зависят от эффективности построенной системы защиты в целом и целого комплекса действий и профессионализма персонала.
Финансовые учреждения, которые заботятся о своей репутации и учитывают риски для бизнеса, тщательно следят за обновлением, возможными угрозами и следуют инструкциям по вопросам безопасности, выдвигаемым международным сообществом и Национальным банком Украины.
В соответствии с постановлением НБУ #95 от 28.09.2017 об утверждении Положения об организации мероприятий по обеспечению информационной безопасности в банковской системе Украины, в частности, речь идет о необходимости фильтрации трафика центров обработки данных, Кредобанк приобрел оборудование и программное обеспечение для построения отказоустойчивого решения для защиты серверов процессинга.
Поскольку ранее банк уже отстроил сетевую инфраструктуру дата-центров на базе архитектуры Cisco ACI, оптимально удовлетворить потребности в вопросах качества и соответствия требованиям безопасности трафика удалось решению Cisco Firepower 4110 NGIPS Appliance.
Система была развернута на двух площадках. Выбранные межсетевые экраны служат сервисными устройствами для фабрики ACI. Основная задача оборудования состоит в инспектировании трафика, перенаправление которого происходит средствами той же фабрики ACI. Сами межсетевые экраны реализованы как отдельные логические устройства в режиме multi-instance на гипервизорах Firepower 4110.
Технология "failover" позволила объединить все межсетевые экраны в одну логическую систему. Интерфейсы управления платформами, межсетевыми экранами и интерфейсы для failover – все подключены к классической сети, а управление этими устройствами осуществляется из существующей системы FMC.
Информационное взаимодействие между компонентами системы на сетевом уровне происходит посредством использования протоколов на базе открытых стандартов, входящих в протокол IP. А информационный обмен между системами происходит через единую информационную среду, используя стандартные протоколы обмена данными с обеспечением необходимого количества оптических каналов связи между устройствами.
В результате разработанные технические решения обеспечивают функционирование системы непрерывно в круглосуточном режиме 365 дней в году. Система обеспечивает высокую степень готовности, спроектированную с отсутствием единых точек отказа для критических, с точки зрения функционирования, элементов.
Отказоустойчивость обеспечивается следующими средствами:
- Использование высоконадежного оборудования
- Дублирование и резервирование линий связи
- Дублирование и резервирование критических для работы системы в целом программных, программно-аппаратных и аппаратных средств.
Для обеспечения информационной безопасности на межсетевых экранах были настроены следующие политики безопасности:
- Политика фильтрации трафика от/до сети процессинга на уровне L4-L7. Эта политика была перенесена из существующего контекста межсетевого экрана ASA для сети процессинга.
- Политика IPS для сети процессинга.
- Политика фильтрации на базе динамически загружаемых списков потенциально опасных FQDN/адресов.
Как результат, Кредобанк получил комплексную систему для защиты серверов процессинга на платформе Cisco Firepower 4110 NGIPS Appliance, в состав которой было включено качественное отказоустойчивое оборудование, программное обеспечение, отвечающее ИТ и бизнес-требованиям учреждения.
Артур Цесляр (Artur Cieslar), заместитель председателя правления Кредобанка: "Кредобанк всегда работает в соответствии с европейскими стандартами и поддерживает на безопасном уровне свои системы и инфраструктуру. Банк уделяет максимальное внимание защите финансовой информации и ведет активную работу как внутри учреждения, развивая собственную инфраструктуру, так и внешнюю, поэтому мы планируем и дальше постоянно работать над внедрением современных технологий, чтобы наш банк отвечал самым высоким стандартам безопасности и качества финансовых услуг".
Дмитрий Жуковский, директор департамента информационных технологий "ИТ-Интегратор": "Наша команда имеет серьезный опыт проектов в направлении внедрения архитектуры Cisco ACI, в том числе, в банковском секторе, а также интеграции продуктов Cisco Security, что позволяет нам демонстрировать высокую производительность и оперировать реальными кейсами из практики. Должны отметить, что такие проекты - всегда новый вызов и толчок к совершенствованию. Кредобанк уже много лет демонстрирует высокопрофессиональный подход к организации ИТ-инфраструктуры и комплексу безопасности. 98% бизнес-процессов банка работают онлайн"
