Сегодня уже никто не утверждает, что банку достаточно собственных серверных. И никто не оспаривает роль ЦОДа в инфраструктуре современной финансовой организации. Но вот каким должен быть этот ЦОД — собственным или арендованным — до сих пор спорная тема. Постараемся раскрыть ее с позиции экономической целесообразности и стандартов информационной безопасности.
Экономическая целесообразность
Собственные ЦОДы есть у большинства крупных банков. Первыми вспоминаются «Сбербанк» и ВТБ24. Понятно, что у них достаточно возможностей для строительства, эксплуатации и развития собственных дата-центров. Однако даже они часть оборудования и процессов все равно передают на аутсорс. Почему? Во-первых, дело в развитии технологий. ЦОДы, построенные банками 6-10 лет назад, отвечают технологиями того времени. От современных дата-центров они отличаются, как «Звёздные войны: эпизод — Новая надежда» 1977 г отличается от звёздных войн «Повстанцы» 2018 г. По техническим и функциональным характеристикам это совершенно разные поколения, что не всегда позволяет банку быстро и адекватно наращивать вычислительные мощности.
Во-вторых, ряд процессов, например тестирование функциональности, дешевле отдавать на аутсорс. В ситуации, когда банку необходимо задействовать под краткосрочные задачи некую ёмкость, ему нет необходимости нести капитальные затраты и докупать оборудование. Он берет у стороннего ЦОДа эту ёмкость в аренду на 4-6 месяцев и обкатывает новый функционал до тех пор, пока не решит задачу.
Резервные площадки также выгодно разворачивать в коммерческих дата-центрах. В силу роста цен на недвижимость, нести капитальные затраты по возведению резервной площади могут и готовы далеко не все.
Илл 1. ЦОД GreenBushDC, один из крупнейших коммерческих дата-центров
Тем более, что ряд крупных коммерческих ЦОДов предлагают надежные и недорогие решения для дублирующих IT-систем. GreenBushDC, например, обеспечивает уровень отказоустойчивости Tier III, предлагает изолированные машинные залы, надежные каналы связи, полный спектр технических/организационных мер безопасности и широкий набор дополнительных сервисов. Кроме того, масштабы крупного коммерческого ЦОДа позволяют быстро развернуть синхронизированную с основным дата-центром IT-инфраструктуру и использовать ее не только для аварийного восстановления, но и для стабилизации пиковых нагрузок.
Информационная безопасность
Стандарты информационной безопасности — основной фактор, ограничивающий перенос IT-процессов банка в ЦОД. На самом деле здесь много стереотипов. В ЦОД с Tier III реализована многоуровневая система безопасности, которая есть не у каждого банка. В том же GreenBushDC до входа в машинный зал посетитель преодолевает три защитных периметра. Плюс действия персонала и посетителей записывают видеокамеры, а для компаний, чья деятельностью подпадает под требования ГОСТ Р 57580.1-2017, PCI DSS и 21 приказа ФСТЭК, предлагаются отдельные машзалы и выделенные зоны с дополнительной СКУД и вспомогательными средствами идентификации.
Илл 2. Система контроля доступа
Что касается сетевой безопасности и организационных мер защиты, то банк, как правило, приходит в ЦОД с собственными стандартами ИБ и работу с программным средствам на своих серверах контролирует самостоятельно. В любом случае, эта тема ближе к юридической плоскости и должна детально прорабатываться еще на стадии знакомства с ЦОД.
В заключение хотим сказать, что в вопросах строительства или аренды ЦОДа для банка нет единственно правильного решения. Правильным будет только решение, соответствующее модели бизнеса, перспективам его развития и оправданной стоимости владения.