|
Совершенствование инфокоммуникационного сопровождения банковской деятельности
Можно выделить следующие проблемы, с которыми могут
сталкиваться российские банки, внедряя тот или иной продукт банковской
инфокоммуникации.
Во-первых, неспособность кредитных учреждений продать и даже
просто объяснить продуктовый ряд.
Во-вторых, сложность управления множеством продуктов и услуг,
предоставляемых через разные каналы круглосуточно 7 дней в неделю.
В-третьих, сегодня банки во многом усугубляют свои проблемы,
создавая или поддерживая традиционные системы дистрибуции для поддержки каждого
нового канала. Это значительно увеличивает сложность системной среды и
усложняет модификацию продуктов и услуг и их взаимодействие. Каждый канал
повышает сложность системы, приводит к росту количества устройств, которые
нуждаются в управлении и интеграции. Эти каналы нужно синхронизировать:
данные банкомата должны в точности совпадать с данными, которые заказчик получает
по телефону, через Интернет и в отделении банка.
В-четвертых, по мере появления все новых нетрадиционных
банковских продуктов становится все труднее собирать их в существующую традиционную
инфраструктуру дистрибуции банка. В результате клиент вынужден отдельно общаться
с разными системами, используя, например, Интернет или оператора из центра
обработки вызовов. Сегодня оператору приходится эмулировать десятки разных
терминалов, чтобы обрабатывать обращения заказчиков.
Центры телефонного обслуживания постепенно уходят от
децентрализованной модели, сконцентрированной на продуктах, и переходят к
работе прежде всего с клиентами, опираясь при этом на весь портфель корпоративных
продуктов и услуг. В результате создается совершенно новая глобальная инфраструктура
поддержки заказчиков.
Можно высказать гипотезу, что в течение 5 будущих лет
ведущие банки, значительно сократят оперативные расходы и повысят
удовлетворенность клиентов за счет внедрения веб-архитектуры во всех каналах
распределения продуктов. Банки объединят традиционные системы отделений и
операторов, банкоматов и Интернет-банкинга в единую инфраструктуру с доступом
через браузер. В результате значительно повысится удовлетворенность клиентов.
Другим, но не менее важным аспектом многоканальной стратегии
банков (помимо интеграции каналов общения) является лучшее знание своего
клиента. Практика показала, что банки, предлагающие розничные услуги, получают
основную прибыль от 20 % клиентов. Это значит, что большинство клиентов банка
не приносят ему никакой прибыли. Кроме того, следует учитывать, что стоимость
продажи нового продукта существующему клиенту составляет всего 10 % от стоимости
продажи продукта новому клиенту. Ключевые предпосылки успеха в области развития
информационных услуг банка представлены на рис. 1.4.
Рис. 1.4 - Предпосылки развития информационных услуг
банка
Чтобы добиться успеха, банки должны сконцентрировать усилия
на удержании наиболее прибыльных клиентов (причем прибыльность должна
оцениваться на протяжении всего жизненного цикла) и на привлечении в банк как
можно большей доли их средств. В рамках
стимулирования со стороны государственных органов дальнейшего развития
Интернет-банкинга в России, нецелесообразно принятие специального закона о
банковской деятельности в сети Интернет. Целесообразнее внесение соответствующих
поправок в Закон «О банках и банковской деятельности», а возможность оказания
банком услуг Интернет-банкинга должна быть указана в лицензии на право осуществления
банковских операций, выдаваемой Банком России.
Для решения поставленных перед ним задач Банку
России, необходимо постоянно осуществлять меры в целях адекватного контроля
Интернет-банкинга и мониторинга степени вовлеченности российских банков в
процесс Интернет-банкинга (табл. 1.4).
Таблица 1.4 - Меры применяемые Банком России, с
целью правового регулирования Интернет-банкинга.
|
Точки зрения
|
Меры применяемые Банком России
|
С точки зрения осуществления мониторинга
степени вовлеченности российских банков в процесс Интернет-банкинга
|
1. введение для банков уведомительного
порядка открытия информационного, коммуникационного или операционного сайта в
сети Интернет и регулярное раскрытие Банком России этой информации для всех
заинтересованных лиц;
2. отслеживание ряда параметров, таких,
как: доля счетов, предназначенных для проведения операций с использованием
сети Интернет, в общем количестве открытых счетов; количество клиентов,
являющихся пользователями сети Интернет; объемы операций и др.
|
С точки зрения адекватного контроля
Интернет-банкинга
|
1. установление для кредитных организаций,
оказывающих услуги Интернет-банкинга, дополнительных требовании по
организации системы внутреннего контроля;
2. оказание содействия образованию саморегулируемых
организаций из числа кредитных организаций-участников Интернет-банкинга;
3. коррекция правил расчета обязательных
экономических нормативов с целью учета новых техногенных рисков;
4. изучение вопросов влияния
Интернет-банкинга на системный риск банковской системы и механизмы
проведения денежно-кредитной политики;
5. расширение сотрудничества с
регулирующими и контролирующими органами других стран, так как надзор за
Интернет-банкингом в силу его природы должен носить международный характер;
6. расширение использования
информационных технологий в своей внутренней деятельности, активизация
работы по формированию внутренней информационной сети.
|
Можно ожидать, что, несмотря на связанные с
Интернет-банкингом риски, кредитные организации продолжат активно внедрять новейшие
информационные технологии с целью максимального удовлетворения потребностей
клиентов. Интернет-банкинг как одно из направлений банковского дела имеет
большой потенциал для дальнейшего развития, и регулирующие органы должны
обеспечить последовательное развитие Интернет-банкинга в России и построение
системы пруденциального банковского надзора, адекватной принятым банками
технологическим рискам [19].
Таким образом, можно отметить, что история возникновения
удаленного банковского обслуживания началась еще в 1980-х гг.
На Западе
использование банками глобальной мировой сети Интернет для обслуживания
клиентов явилось логическим развитием технологии home banking.
Удаленный банковский сервис на дому начинался в 1980-х гг. с телефонного
банковского обслуживания. Затем появились услуги удаленного обслуживания с
использованием персонального компьютера и прямого подключения к банковским
серверам (PC-banking).
В течение последних нескольких лет банковское
обслуживание через компьютерные системы связи стало наиболее быстро
развивающимся направлением деятельности российских кредитных организаций.
Подтверждением быстрых темпов внедрения в банковском секторе Интернет-технологий
является то, что если 3 года назад web-сайты имели немногим более трети российских кредитных
организаций, то на сегодня в сети имеют представительства около 70 % этих
учреждений. Кроме того, если тогда операционные услуги через Интернет
предоставляли около 50 банков, то сегодня таких организаций около 300 [24].
На сегодняшний день большинство банков предлагают
свои услуги через собственные отделения, банкоматы, телефоны, по почте (bank-by-mail), через отделения,
принадлежащие партнерам или агентам, через Интернет. В будущем банковские
услуги наверняка будут предоставляться и по беспроводным каналам.
Рассмотрев возникновение услуг, осуществляемых посредством
инфокоммуникаций можно приступить к описанию порядок обеспечения защиты и
безопасности банковской информации.
1.3.
Порядок обеспечения защиты и безопасности банковской информации
Информационная
безопасность банка - это защищенность информации, которой располагает банк
(банковской тайны, тайны вкладов, банковских операций и пр.) от
несанкционированного доступа, разрушения, модификации, раскрытия третьим лицам
и задержек при поступлении [37].
Другими словами,
безопасность информации (данных) банка – это техническая, программная и
физическая защита информации (данных) от внутренней и внешней опасности. Защита
информации (данных) банка – это деятельность по обеспечению безопасности
информации (данных) [46].
Защите подлежит
информация, содержащаяся в объектах защиты и относящаяся к одной из
категорий конфиденциальности информации. Объектами защиты в платежной системе
являются: документированная информация; информационные ресурсы, технологии и
системы; права пользователей на получение безопасных информационных услуг.
Исходными
условиями создания полноценной системы банковской безопасности должны быть
четкие представления о ее сущности, структуре целей обеспечения безопасности, о
вытекающих из этих целей практических задачах, о видах банковских угроз и их
источниках, а также о мерах противодействия [27].
Проблема безопасности для банка распадается на три компонента:
предотвращение, обнаружение и реагирование (рис. 1.5).
Рис. 1.5 – Компоненты проблем безопасности в банковской сфере
Для предотвращения хакерских атак на веб-сайтах используются
проверенные технологии: безопасные соединения, технологии шифрования и
виртуальные частные сети. Кроме того, рассматривается возможность более
активного применения биометрических технологий, использующих уникальные характеристики
человеческого организма, включая отпечатки пальцев, радужную оболочку глаза и
фонетические особенности голоса. Предотвращение атак на компьютерную сеть
предусматривает их имитацию для поиска уязвимых мест и проверки средств защиты.
Обнаружение их включает постоянный мониторинг систем, причем
иногда для этого привлекаются внешние фирмы. Для реагирования на проблемы
безопасности банки создают силы быстрого реагирования, которые оценивают
чрезвычайные происшествия и обеспечивают скоординированную реакцию.
Вопросы безопасности в данной сфере усложняются
тем, что банк не может существовать в вакууме. Он может иметь несколько сетей
банкоматов, ряд старых сетей и систем, сеть для связи между отделениями и
офисами, волоконно-оптические каналы для связи с удаленными центрами, веб-сайт,
а также системы, соединяющие все это воедино. Любая из перечисленных систем
может быть уязвима. Дополнительные риски создают неадекватные правила защиты,
к тому же нельзя забывать и о человеческом факторе (известно, что большинство
проблем в области безопасности создают именно сотрудники компании) [13].
Организация
информационной безопасности начинается с политики информационной безопасности –
внутреннего документа, содержащего в себе основные принципы такой безопасности
банка, используемые защитные механизмы и правила их эксплуатации.
Наиболее
эффективной схемой создания политики информационной безопасности является
последовательная разработка ее составляющих с привлечением специалистов
различных областей. Возможный порядок работ приведен на рис. 1.6.
Результатом этих
работ становится рабочая система информационной безопасности, регламентируемая
документом «Политика информационной безопасности» [18].
Рис. 1.6 – Схема организации информационной
безопасности
Вообще
для обеспечения и совершенствования информационной безопасности целесообразно
разработать единую концепцию обеспечения защиты и безопасности информации,
которая должна базироваться на комплексной реализации определенных мер
(приложение 4) [33].
Система
обеспечения защиты и безопасности банковской информации состоит из трех
основных направлений, они представлены на рис. 1.7.
Рис. 1.7 -
Направления системы обеспечения защиты и безопасности банковской информации
Следует отметить, что в каждой пользовательской точке
участвуют как методы защиты от несанкционированного доступа, так и контроль.
Хранение информации должно осуществляться на отдельно стоящих
специализированных серверах, разграниченных по функциональному назначению и
изолированных от доступа к ним всех пользователей.
Доступ
в помещение, где находятся серверы банка, коммуникационная аппаратура для
связи, оптический кроссы, специализированное отдельно стоящее оборудование,
выделенные каналы связи, ограничивается кодовым замком, что позволит исключить
возможность проникновения посторонних лиц и перекроет доступ к физическим
носителям, сетевым коммуникациям.
С целью предотвращения несанкционированного проникновения
внутрь системных блоков, все корпуса рабочих станций закрываются и
опечатываются специальными маркерами.
Для идентификации пользователя необходимо использовать
парольную защиту, предоставляющую персональные права на доступ к информации
банка. Каждому пользователю оформляется карта доступа - минимум возможностей и
прав для работы в АБС.
Для защиты от вирусных атак, преднамеренного заражения
компьютеров различного рода вирусами, банк обеспечивается антивирусными
программами с постоянно обновляемой базой. Доступ в Интернет должен постоянно
контролироваться на программном уровне при помощи специализированных программ.
Защита баз данных от технических сбоев осуществляется путем ежедневного
резервного копирования информации Банка на специальном сервере, с последующим
архивированием необходимой информации.
Для
обмена информации банк обеспечивается различными каналами связи с соответствующими
степенями защиты, шифрования информации.
Системы связи должны состоять из офисной мини-АТС, телефонных
коммуникаций и соответствовать следующим требованиям: находиться в защищенном
от посторонних лиц месте, программирование и настройка соединений должны
производиться с соблюдением норм конфиденциальности, протоколы переговоров
постоянно должны контролироваться на предмет несанкционированных телефонных
контактов.
Инструкции
по информационной безопасности: о резервном копировании информации, по организации
парольной защиты, о порядке действий в нештатных ситуациях, по организации
антивирусной защиты, об администраторах информационной безопасности (АИБ)
разрабатываются и утверждаются единым пакетом в форме отдельных
внутрибанковских документов [51].
Основу
соблюдения режима доступа к банковской информации составляют следующие способы
обеспечения защищенности банковской информации от несанкционированного доступа
и неправомерного использования: разграничение и контроль прав доступа к
информации; учет входящей и исходящей информации; криптографирование входящих и
исходящих потоков информации. Система разграничения доступа предназначена для
предоставления каждому сотруднику и должностному лицу банка только тех данных и
прав, которые ему необходимы для работы и ограждения информации от
несанкционированного доступа.
Для
защиты информации от несанкционированного доступа применяется система паролей и
разграничения доступа к автоматизированной банковской системе на основе
средств, заложенных в используемые операционные системы и аппаратные средства.
Сотрудник или
должностное лицо банка получает доступ к информации после регистрации в системе
и ввода пароля. Регистрация делается с помощью стандартных средств операционной
системы и базы данных, что обеспечивает достаточную надежность за счет
шифрования паролей и их централизованной проверки.
После регистрации
в системе сотрудник или должностное лицо Банка работают с помощью
специализированного программного обеспечения, позволяющего им выполнять только
допустимый набор действий.
Учет входящей и
исходящей документированной информации, позволяет разграничивать
конфиденциальную информацию от иной банковской информации. Информация,
заявленная отправителем или получателем как конфиденциальная, учитывается
отдельно от иной банковской информации.
Криптографирование
входящих и исходящих потоков информации является дополнительным способом
обеспечения защищенности информации от несанкционированного доступа [51].
Преступные
посягательства на порядок функционирования банка включены в гл. 23 УК РФ
«Преступления против службы в коммерческих и иных организациях». Статьей 183
«Незаконные получение и разглашение сведений, составляющих коммерческую,
налоговую или банковскую тайну» УК РФ № 63-ФЗ от 13 .06.1996 года (в
ред. ФЗ от 07.08.2001 № 121-ФЗ) установлены штрафные санкции при нарушениях
связанных с собиранием, разглашением, похищением информации содержащую
банковскую тайну. Собирание такой информации, путем похищения документов,
подкупа или угроз, и другим незаконным способом наказывается штрафом в размере
до 80 тысяч рублей или в размере заработной платы или иного дохода осужденного
за период от 1 до 6 месяцев либо лишением свободы на срок до 2 лет [2].
Информационные ресурсы банка формируются путем создания, сбора
и приобретения документированной информации о фактах, событиях и
обстоятельствах, имеющих отношение к кредитно-финансовой сфере. В целях
создания оптимальных условий для удовлетворения информационных потребностей
своих структурных подразделений, клиентов и корреспондентов, а также органов
государственной власти банк приобретает и использует информационные системы,
или организационно упорядоченные массивы документов, информационные технологии
и средства их обеспечения, или средства вычислительной техники и связи, обеспечивающие
обработку, хранение и передачу информации.
В соответствии с ФЗ «Об информации, информатизации и защите
информации» № 24-ФЗ от 20.02.1995 г. (в ред. ФЗ от 10.01.2003 № 15-ФЗ)
документы банка, его информационные системы, а также средства обеспечения их
деятельности являются составной частью имущества банка и объектом его права
собственности. Этот Федеральный закон регулирует отношения, возникающие при:
формировании и использовании информационных ресурсов на основе создания, сбора,
обработки, накопления, хранения, поиска, распространения и предоставления
потребителю документированной информации; создании и использовании
информационных технологий и средств их обеспечения; защите информации, прав
субъектов, участвующих в информационных процессах и информатизации [4].
Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15
|
|