Как подготовиться к аудиту ЦБ?
Новости > Рынок ЦФА > Технологии
Опыт работы с клиентами и подготовка к аудиту ЦБ: что нужно знать компаниям, планирующим запуск платформы цифровых финансовых активов
В процессе работы с клиентами и сопровождения их при прохождении аудита Центрального банка, мы накопили ценный опыт, которым хотим поделиться с компаниями, которые только начинают свой путь получения статуса оператора выпуска цифровых финансовых активов (ЦФА). В этой статье мы расскажем, к чему нужно быть готовым, какие моменты учесть и как минимизировать риски на этапе подготовки и запуска платформы.
Формирование команды: ключевые роли и задачи
Помимо требований, изложенных в Федеральном законе № 259-ФЗ, которые касаются финансовой, юридической и экономической составляющих, для успешного запуска и поддержания работы платформы вам потребуется сформировать профессиональную техническую команду. Вот ключевые роли, которые необходимо запланировать:
1. Специалист по информационной безопасности
Этот эксперт будет отвечать за защиту данных, предотвращение кибератак и соблюдение требований регуляторов. Его задачи включают настройку систем шифрования, мониторинг угроз и проведение аудитов безопасности.
Этот эксперт будет отвечать за защиту данных, предотвращение кибератак и соблюдение требований регуляторов. Его задачи включают настройку систем шифрования, мониторинг угроз и проведение аудитов безопасности.
2. DevOps-инженер
Специалист по эксплуатации и автоматизации процессов обеспечит стабильную работу платформы, развертывание новых версий ПО и настройку инфраструктуры.
Специалист по эксплуатации и автоматизации процессов обеспечит стабильную работу платформы, развертывание новых версий ПО и настройку инфраструктуры.
3. Тестировщик
На этапе внедрения и обновлений платформы потребуется специалист по тестированию. Он будет проводить приёмочное и нагрузочное тестирование, что необходимо как для подготовки к аудиту, так и для безопасной эксплуатации продукта.
На этапе внедрения и обновлений платформы потребуется специалист по тестированию. Он будет проводить приёмочное и нагрузочное тестирование, что необходимо как для подготовки к аудиту, так и для безопасной эксплуатации продукта.
4. Владелец продукта (Product Owner)
Если вы планируете кастомизацию платформы, вам понадобится человек, который будет формулировать требования к доработкам и следить за тем, чтобы продукт соответствовал ожиданиям бизнеса.
Если вы планируете кастомизацию платформы, вам понадобится человек, который будет формулировать требования к доработкам и следить за тем, чтобы продукт соответствовал ожиданиям бизнеса.
Даже при использовании коробочного решения, эти специалисты необходимы для:
-Обслуживания продуктового контура (настройка доступов, развертывание новых версий ПО, написание регламентов).
-Тестирования передаваемого программного обеспечения.
-Формулирования требований к доработкам и кастомизации.
Вопрос независимости экспертов
Часто клиенты спрашивают, можем ли мы взять на себя эти роли. Ответ — нет, и вот почему. Это было бы некорректно, так как независимые эксперты должны стоять на защите ваших интересов. Представьте, что вы доверяете приём ремонтных работ в доме строителям, которые этот ремонт выполняли. Так и здесь — нужны независимые специалисты, которые обеспечат объективность и качество. Мы можем помочь с подбором таких экспертов.
Инфраструктура: что нужно учесть
Для надёжной работы системы в режиме промышленной эксплуатации, рассматривая целевое решение для инсталляции в виде развертывания в кластере Kubernetes, необходимо иметь минимум три узла, развёрнутых в трёх географически распределённых ЦОД. Конечно, это означает определённые издержки, которые можно сократить, используя лишь один узел в одном ЦОД на этапе тестирования системы.
В зависимости от типа инсталляции кластера Kubernetes (Managed / On-Premise) вы можете так или иначе в будущем добавить новые узлы, которые находятся в отличных от текущей зонах доступности.
Однако даже на этапе тестирования, такая экономия ресурсов может приводить к простоям команды, в виду недоступности единственного узла который по той или иной причине вышел из строя, например, из-за технических работ у облачного провайдера если мы рассматриваем Managed решение или сбоя на оборудовании если рассматривать On-Premise.
Также, важно помнить, что для прохождения аудита ЦБ и последующего ввода системы в промышленную эксплуатацию, кроме трёх узлов Kubernetes кластера, вам потребуется ещё одно тестовое окружения для проведения демо ЦБ, проверки интеграции новых версий платформы с новым функционалом или обновлениями безопасности.
Также обращаем ваше внимание на то, что первичное развёртывание платформы, может потребовать существенного времени (многое зависит от целевой инфраструктуры, требований вашей службы ИБ т.д.). Учитывайте это при планировании.
Информационная безопасность: ключевые аспекты
Федеральный закон № 259-ФЗ предъявляет строгие требования к информационной безопасности. Хотя часть задач может быть закрыта платформой и инфраструктурой, значительный объем работ ложится на службу информационной безопасности оператора. Вот основные направления:
1. Защита персональных данных
Оператор обязан обеспечить защиту персональных данных участников платформы в соответствии с Федеральным законом № 152-ФЗ. Это включает шифрование данных при передаче и хранении, а также предотвращение несанкционированного доступа.
Оператор обязан обеспечить защиту персональных данных участников платформы в соответствии с Федеральным законом № 152-ФЗ. Это включает шифрование данных при передаче и хранении, а также предотвращение несанкционированного доступа.
2. Защита от кибератак
Необходимо использовать современные средства защиты, такие как межсетевые экраны, системы обнаружения и предотвращения вторжений (IDS/IPS), антивирусное ПО. Регулярные аудиты безопасности и тестирование на проникновение (penetration testing) обязательны.
Необходимо использовать современные средства защиты, такие как межсетевые экраны, системы обнаружения и предотвращения вторжений (IDS/IPS), антивирусное ПО. Регулярные аудиты безопасности и тестирование на проникновение (penetration testing) обязательны.
3. Резервное копирование и восстановление данных
Оператор должен обеспечить регулярное резервное копирование и возможность быстрого восстановления данных. Копии должны храниться в географически распределённых дата-центрах.
Оператор должен обеспечить регулярное резервное копирование и возможность быстрого восстановления данных. Копии должны храниться в географически распределённых дата-центрах.
4. Идентификация и аутентификация пользователей
Внедрение двухфакторной аутентификации (2FA) и строгих требований к сложности паролей — обязательные меры.
Внедрение двухфакторной аутентификации (2FA) и строгих требований к сложности паролей — обязательные меры.
5. Мониторинг и реагирование на инциденты
Система мониторинга безопасности и план реагирования на инциденты (Incident Response Plan) помогут оперативно выявлять и устранять угрозы.
Система мониторинга безопасности и план реагирования на инциденты (Incident Response Plan) помогут оперативно выявлять и устранять угрозы.
6. Соблюдение требований AML/CFT
Оператор обязан внедрить системы анализа транзакций и процедуры проверки клиентов (KYC).
Оператор обязан внедрить системы анализа транзакций и процедуры проверки клиентов (KYC).
7. Обучение персонала
Регулярное обучение сотрудников по вопросам информационной безопасности — залог успешной защиты данных.
Регулярное обучение сотрудников по вопросам информационной безопасности — залог успешной защиты данных.
8. Отчетность регуляторам
Оператор должен предоставлять отчёты о состоянии информационной безопасности в Банк России и оперативно уведомлять о инцидентах.
Оператор должен предоставлять отчёты о состоянии информационной безопасности в Банк России и оперативно уведомлять о инцидентах.
Запуск платформы цифровых финансовых активов — это сложный, но выполнимый процесс, который требует тщательной подготовки. Формирование профессиональной команды, настройка надёжной инфраструктуры и соблюдение требований информационной безопасности — ключевые шаги на этом пути. Мы готовы помочь вам с подбором экспертов и консультациями, чтобы ваш проект был успешным и соответствовал всем требованиям регуляторов.
Если у вас остались вопросы или нужна помощь, обращайтесь — мы всегда готовы поддержать!
ЦФА.РФ; Февраль 2025