СМИ о фонде

Критически важно контролировать удаленных разработчиков
10.11.2022

Негосударственные пенсионные фонды (НПФ), как и все учреждения финансовой отрасли, в последние годы столкнулись с новыми вызовами в сфере кибербезопасности. О том, как отвечает на них НПФ «БУДУЩЕЕ» и что помогает сохранить IT-инфраструктуру Фонда устойчивой, рассказал директор департамента информационной безопасности Эдуард Донцов

— Эдуард, с какими вызовами с точки зрения ИБ сталкивались НПФ в последние годы?

— Впервые с серьезными задачами по защите удаленного доступа к внутренним системам Фонда мы столкнулись в марте 2020 года, с началом пандемии и вводимых в тот период ограничений. НПФ были определены как компании, которые обязаны обеспечивать непрерывность своей деятельности, так как пенсии должны выплачиваться получателям в полном объеме точно в срок. Таким образом, нам требовалось построение эффективной системы защиты удаленного доступа к конфиденциальной информации, в том числе финансовой, и к персональным данным наших клиентов.

Также для нас были важны возможность сегментирования доступов для разных групп сотрудников и создание внешних контуров для работы подрядчиков. В текущем году к этим вызовам добавилось требование импортозамещения, чтобы оперативно нивелировать последствия ухода с рынка ряда иностранных производителей ПО, в том числе средств защиты информации и комплектующих к серверному оборудованию, на которых эти системы размещаются.

—Удается ли решать вопрос импортозамещения? Как вы оцениваете отечественные решения в сфере ИБ?

— Вызовы импортозамещения средств защиты информации были в особом приоритете на всех уровнях и во многих критических отраслях. Ни для кого не секрет, что большинство некредитных финансовых организаций на рынке использовали решения европейских и американских производителей, которые иногда даже были лучше, эффективнее и дешевле отечественных средств защиты.

На базе нашей отраслевой СРО была сформирована рабочая группа, где все фонды смогли обменяться текущим статусом, представить свои идеи и концепции импортозамещения. Были проведены встречи с представителями Банка России для согласования общей позиции. В настоящий момент составлены планы, и мы двигаемся в соответствии с утвержденными вехами. На рынке есть системы защиты информации, которые надежны и давно работают, они прошли сертификацию регулятора, что подтверждает их высокое качество. СКДПУ НТ — одна из таких систем.

Мы проводили встречи с представителями крупнейших российских компаний, разработчиками ПО и систем. При построении эффективных бизнес-процессов, отвечающих всем вызовам и требованиям информационной безопасности, используются решения отечественных поставщиков — Positive Technologies, Group-IB, UserGate и «АйТи Бастион».

— Расскажите про реализацию проекта — сроки, особенности?

— Исходя из нашего опыта реализации мы рекомендуем уделить особое внимание подготовительному процессу: проработке экономического обоснования, привлечению всех заинтересованных сторон с первых этапов, проведению установочных встреч с подрядчиком. На этом этапе важна совместная работа специалистов по информационной безопасности и IT для выявления возможных уязвимостей — достаточны ли серверные мощности, квалификация и штат персонала и многие другие важные аспекты. В крупных компаниях это позволит сделать последующую реализацию более эффективной, понятной и комфортной.

Продукт компании «АйТи Бастион» мы используем с 2020 года, в 2022-м обновили его до версии 7.0. Внедрение решения для удаленного доступа было интенсивным, сроки были сжатыми, а требования — высокими, практически 90% сотрудников работали одновременно в удаленном режиме. Кроме обеспечения безопасного удаленного доступа СКДПУ НТ позволяет защитить сессии удаленного доступа к тестовым системам. Это помогло нам не остановить процессы взаимодействия с подрядными организациями и продолжить развитие внутри автоматизированных систем Фонда. Это очень важно, так как в период пандемии Фонд наращивал внедрение дистанционных клиентских сервисов, что реализовывалось в тесной связке с внешними подрядчиками. Данный продукт позволяет контролировать все действия таких «чувствительных» сотрудников, как администраторы IT, специалисты, которые вручную пишут коды.

Система очень информативна, в режиме онлайн видно все, что происходит в инфраструктуре. СКДПУ НТ собирает информацию и передает ее в собственный SOC, где она представляется в виде настраиваемых графиков. Дежурная смена состоит из двух специалистов, которые в формате 24/7 видят данные, могут принимать решения в режиме реального времени и быстро реагировать на инциденты как в части IT, так и в информационной безопасности.

Внедрение этого продукта позволило нам уменьшить затраты на поддержку и развитие автоматизированных систем, потому что тренд на удаленную работу разработчиков не меняется, значит, критически важно контролировать их действия с помощью специализированных решений. Продукт компании «АйТи Бастион» создавался с 2014 года, и в период внедрения он уже был на достойном уровне, а сейчас отвечает всем нашим задачам, сохраняя при этом хорошее соотношение цена/качество. Таким образом, мы получили решение, которое обеспечивает устойчивость информационной системы и непрерывность работы негосударственных пенсионных фондов в целом.

Личный кабинет

Держите руку на пульсе — контролируйте ваши пенсионные накопления.

АО «НПФ «БУДУЩЕЕ» – негосударственный пенсионный фонд России, который входит в систему гарантирования прав застрахованных лиц и осуществляет деятельность по обязательному пенсионному страхованию и негосударственному пенсионному обеспечению. Фонд «БУДУЩЕЕ» был образован на основе ведущих негосударственных фондов — НПФ «БЛАГОСОСТОЯНИЕ ОПС» и НПФ «СтальФонд». В декабре 2016 года завершилось присоединение ещё двух крупных негосударственных пенсионных фондов — НПФ «Наше Будущее» и «НПФ УРАЛСИБ».