Размещение информационных систем финансовых организаций в инфраструктуре облачного провайдера, аттестованной по ГОСТ 57580
В процессе подготовки к размещению информационных систем финансовых организаций в инфраструктуре облачных провайдеров нередко возникает необходимость системного разъяснения логики регулятора в части допустимости и условий использования облачных сервисов для обработки банковской информации.
Особую актуальность этот вопрос приобретает в контексте выполнения требований специализированных положений Банка России — 757-П, 851-П, 716-П, 821-П, а также 833-П, регулирующего обеспечение информационной безопасности участников платформы цифрового рубля.
В подобных ситуациях ключевым становится ответ на вопрос: как нормативная база Банка России соотносится с использованием облачной инфраструктуры, если в отдельных положениях отсутствует прямое упоминание облачных сервисов?
Сегодня разберемся: почему использование аттестованной облачной инфраструктуры не только не противоречит требованиям регулятора, но и является логичным следствием фундаментальных стандартов ИБ, а прямое регулирование взаимодействия с облачным провайдером заложено на этом же ключевом уровне нормативной пирамиды.
1. Регуляторный вектор: от отсутствия единых правил к стандартизации через ГОСТ 57580
Долгое время в финансовом секторе отсутствовала единый основополагающий стандарт в области информационной безопасности. Кредитные организации ориентировались преимущественно на приказы ФСТЭК России (Приказ ФСТЭК №21 для ИСПДн, Приказ ФСТЭК №117 для ГИС, Приказ ФСТЭК №239 для объектов КИИ) и ФСБ, которые, безусловно, остаются важными, но регулируют частные случаи и отдельные группы информационных систем.
С введением ГОСТ 57580 «Безопасность финансовых (банковских) операций» регулятор создал единый свод правил, охватывающий все аспекты обеспечения ИБ в финансовых организациях. Стандарт состоит из четырех частей и четко прописывает, какие конкретно меры — организационные и технические — должны быть реализованы в ИТ-инфраструктуре, чтобы данные оставались целостными, доступными и конфиденциальными.
Ключевой принцип: как и в приказах ФСТЭК России, так и в ГОСТ 57580 нет разделения требований в зависимости от типа архитектуры — On‑Premise или поставщик облачных услуг. Фундаментальные правила, обеспечивающие защиту информации, должны быть реализованы независимо от того, где физически размещены компоненты информационной системы.
2. Прямое регулирование облачных провайдеров в ГОСТ 57580.4
Понимая, что поставщик облачных услуг является дополнительным звеном в организации информационной системы, регулятор вынес требования к взаимодействию с ним в отдельную часть стандарта — ГОСТ 57580.4-2022 «Обеспечение операционной надежности. Базовый состав организационных и технических мер».
Приведем конкретные цитаты, которые однозначно свидетельствуют о том, что использование облачных сервисов не только разрешено, но и имеет детальную регламентацию:
Раздел 6. Общие положения:
Пункт 6.4. Привлечением поставщиков услуг (в том числе поставщиков облачных услуг), имеющих более одного центра обработки данных. В случае привлечения поставщиков услуг (в том числе поставщиков облачных услуг) в целях резервирования объектов информатизации инфраструктурного уровня рекомендуется предусмотреть резервирование всех компонентов таких объектов информатизации с учетом возможностей и специфики поставщика услуг.
Раздел 7. Требования к системе обеспечения операционной надежности финансовой организации:
Подраздел 7.2. Процесс 1 «Идентификация критичной архитектуры».
и применяемых мер защиты информации в зависимости от модели предоставления сервиса:
- SaaS (Software as a service) — ПО как услуга;
- PaaS (Platform as a service) — платформа как услуга;
- IaaS (Infrastructure as a service) — инфраструктура как услуга.
Подраздел 7.3. Процесс 2 «Управление изменениями».
УИ.11.3. Обновление данных об используемых сервисах поставщиков облачных услуг и применяемых мерах защиты информации для таких сервисов.
УИ.13. Определение области применения процесса управления изменениями в части управления конфигурациями, включающей определение: состава используемых сервисов поставщиков облачных услуг (в случае наличия возможности определить состав таких сервисов).
К объектам информатизации, включенным в область применения процесса управления изменениями в части управления конфигурациями, следует относить входящие в состав критичной архитектуры объекты информатизации, такие как: объекты информатизации, находящиеся под управлением поставщика облачных услуг (в случае наличия возможности определить состав таких сервисов).
Раздел 8.2. Направление 1 «Планирование процесса системы обеспечения операционной надежности»:
ПОН.8. Распределение ответственности в рамках реализации процесса обеспечения операционной надежности при привлечении поставщиков услуг (в том числе поставщиков облачных услуг).
Представленные пункты четко демонстрируют, что регулятор не только допускает использование облачной инфраструктуры, но и обязывает банки:
- классифицировать модели предоставления облачных сервисов (IaaS, PaaS, SaaS);
- учитывать облачные сервисы в процессах управления конфигурациями и изменениями;
- формализовать распределение ответственности с облачным провайдером.
3. Разделение зон ответственности: требования ГОСТ 57580.4 и СТО БР ИББС-1.4-2018
ГОСТ 57580.4 прописывает не только требования к взаимодействию, но и прямое разделение зон ответственности, а также регламентацию положений об NDA и SLA, указанные вопросы детально раскрыты в пункте 7.5 Процесс 4 «Взаимодействие с поставщиками услуг».
При этом регулятор описывает данный вид взаимодействия не впервые. Ещё в стандарте Банка России СТО БР ИББС-1.4-2018 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Управление риском нарушения информационной безопасности при аутсорсинге» были заложены основополагающие принципы.
Данный стандарт прямо указывает на приоритетность передачи функций, связанных с хранением и обработкой информации, на внешние центры обработки данных и облачные сервисы:
Одними из основных видов бизнес-функций, которые рассматриваются организациями БС РФ в качестве приоритетных для возможной передачи на аутсорсинг, являются: функции, связанные с хранением и обработкой информации, в том числе на внешних центрах обработки данных и облачных сервисах (облачных службах).
Более того, указанный документ жестко регламентирует содержание договора с провайдером: от разделения зон ответственности до требований к SLA и обязанности информирования об инцидентах.
Таким образом, регулятор не просто разрешает использование облачных сервисов, но и формирует полноценную нормативную базу для выстраивания прозрачных, контролируемых отношений между банком и облачным провайдером.
4. Вертикаль регулирования: ГОСТ 57580 как основа для частных положений ЦБ РФ
Стандарт ГОСТ 57580 стал фундаментальным и является основой для целого ряда положений Банка России. Регулятор последовательно выстраивает вертикаль, в которой верхний уровень (ГОСТ 57580) задает универсальные требования, а нижестоящие положения конкретизируют их для отдельных сценариев.
К числу таких положений относятся:
- 757-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации…»;
- 851-П «Об установлении обязательных для кредитных организаций, иностранных банков, осуществляющих деятельность на территории Российской Федерации через свои филиалы, требований к обеспечению защиты информации…»;
- 716-П «Об установлении обязательных для кредитных организаций, иностранных банков, осуществляющих деятельность на территории Российской Федерации через свои филиалы, требований к обеспечению защиты информации»;
- 821-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств…»
а также Положение №833 «О требованиях к обеспечению защиты информации для участников платформы цифрового рубля».
Ключевая логика: Отсутствие в тексте, например, 833-П прямого упоминания слов «облачный провайдер» не означает запрета. Это означает, что требования к информационной безопасности для участников цифрового рубля базируются на фундаменте ГОСТ 57580, который уже содержит в себе необходимую регламентацию взаимодействия с поставщиками облачных услуг.
Именно по этой причине ЦБ РФ не прописывает отдельно для каждого нового акта возможность использования облаков — это уже заложено на фундаментальном уровне и не требует дополнительных уточнений в каждом частном случае.
5. Аттестация инфраструктуры провайдера как инструмент снижения регуляторных рисков банка
ГОСТ 57580 предполагает не только реализацию мер защиты, но и процедуру подтверждения их эффективности. Оценка проводится по двум ключевым частям:
- ГОСТ 57580.1 — требования к защите информации;
- ГОСТ 57580.2 — методика оценки соответствия.
Аттестация на соответствие требованиям ГОСТ 57580 проводится с целью официального подтверждения, что система защиты информации соответствует строгим стандартам ЦБ РФ независимо от функционала самой информационной системы. Наличие аттестата является подтверждением того, что:
- исполнены все требования ЦБ РФ;
- проведена оценка безопасности ИТ-инфраструктуры;
- снижены риски ИБ;
- получена независимая экспертиза.
В отношении нашей инфраструктуры:
Была проведена оценка соответствия защиты информации ООО «РТКлауд» требованиям ГОСТ Р 57580.1 по обеспечению безопасности облачных вычислений в Защищенном контуре для усиленного уровня защиты данных — 1 уровень (Подробнее — Решения для финансов).
Итоговая оценка соответствия защиты информации составила R = 0.95, что соответствует 5-му уровню соответствия, рекомендованному Банком России.
Данный результат официально подтверждает соответствие инфраструктуры провайдера высшему уровню требований регулятора.
В этой связи мы с уверенностью говорим о наличии всех необходимых регуляторных оснований для размещения в аттестованном облачном контуре информационных систем банковской организации с самыми повышенными требованиями к защите информации.
