CC BY
36
предприятия малого бизнеса.
Список использованной литературы:
1. Васильева А. С., Власова О. А. Информационное обеспечение управления малым предприятием // Решетневские чтения : материалы XXI Междунар. науч.-практ. конф. / Красноярск, СибГУ им. М. Ф. Решетнева, 2017. Ч. 2. С. 315-316.
2. Специализированная информационная система для машиностроительного предприятия [Электронный ресурс]. URL: https://sapr.ru/article/14853.
3. Автоматизация делопроизводства и документооборота на предприятии. Особенности национального делопроизводства [Электронный ресурс]. - URL: http://www.directum.ru/339091.aspx.
4. Обзор: системы электронного документооборота [Электронный ресурс]. - URL: https://zhazhda.biz/lifestyle/obzor-sistemy-elektronnogo-dokumentooborota.
© Васильева А.С., 2019
УДК 004 (004.031.6?)
Заболотный Е.Ю.
магистрант РУТ (МИИТ) РОАТ г. Москва, РФ E-Mail: zabolotniyevgeniy@yandex.ru Научный руководитель: Иконников С.Е. канд. техн. наук, доцент РУТ (МИИТ) РОАТ
г. Москва, РФ
ПЕРСПЕКТИВЫ РАЗВИТИЯ СРЕДСТВ АУТЕНТИФИКАЦИИ В БАНКОВСКОЙ СФЕРЕ
Аннотация
Специфика банковской сферы наделяет используемые ее участниками информационные системы особенными свойствами, среди которых - интенсивное эволюционное развитие средств аутентификации, представляющее собой процесс взаимного влияния игроков рынка друг на друга в борьбе за построение решения, не только эффективно противостоящего меняющимся вызовам в сфере информационной безопасности, но и представляющего собой наиболее гармоничное соотношение стоимости своего жизненного цикла с надежностью и удобством для конечного пользователя-плательщика.
Ключевые слова
Банк, безопасность, идентификация, аутентификация, развитие, регулирование
Говоря о развитии средств аутентификации в банковской сфере, имеет смысл определить три основных группы характеристик аутентифицируемого субъекта, называемые факторами, с помощью которых осуществляется эта процедура.
Фактор знания - чертой действительного пользователя является известная лишь ему и центру аутентификации информация: речь может идти как о пароле, так и о деталях какого-либо факта из жизни пользователя, обычно неизвестных другим (метод контрольных вопросов). Фактор владения является общим принципом для методов, использующих в качестве аутентификатора некий предмет, владеть которым должен только действительный пользователь - например, смарт-карта или токен. Фактор свойства объединяет в себе методы аутентификации по биометрическим характеристикам субъекта - от отпечатков пальцев до особенностей рукописного почерка.[1][2]
Также стоит отделить процедуру аутентификации - подтверждения действительности субъекта - от идентификации, то есть декларирования обращающегося лица в качестве субъекта.
Устоявшимся фактом является то, что банковские информационные системы относятся к высокорисковым ИС. Естественным следствием этого является использование многофакторных систем аутентификации, в том числе с усложненными схемами их организации. Системы эти эволюционируют по мере развития технологий аутентификации, и российские банки здесь либо идут вровень со своими зарубежными коллегами, либо незначительно отстают.[3]
В качестве примера можно привести код подтверждения транзакции (mTAN), представляющий собой фактически частный случай сеансового пароля. SMS-сообщения, на протяжении длительного времени (с момента начала использования мобильного телефона клиента в качестве доверенной точки доставки информации) использовавшиеся для передачи таких кодов, предполагали их отправку в открытом виде - и считались надежным способом передачи до того момента, как была доказана возможность их перехвата технически и экономически состоятельным способом.[4] Согласно выпущенной в 2016 году рекомендации Национального института стандартов и технологий Министерства торговли США (NIST USDoC), передача сеансовых паролей в SMS-сообщениях более не является безопасным способом коммуникации для целей аутентификации.[5]
Альтернативой SMS стали решения, разрабатываемые банками в составе своих клиентских приложений, использующих сквозное шифрование для получения выводящихся на экран PUSH-уведомлений с кодом подтверждения транзакции. Здесь наиболее активный этап перехода для банков Северной Америки и Евросоюза пришелся на вторую половину 2016 и 2017 год, банки на территории Российской Федерации пришли к этому основной частью к концу 2017 - первой половине 2018 годов.
Основное же направление развития аутентификационных средств в банковской сфере - все-таки биометрические решения. Еще совсем недавно мало представленные в сфере реального розничного бизнеса, биометрические идентификация и аутентификация становятся все ближе к клиенту физическому лицу. В собственно банковской среде внимание финансовых организаций распределяется несколько иначе, нежели в общей статистике по практике применения биометрической аутентификации: наиболее популярны оказываются решения, работающие на распознавании отпечатков пальцев, геометрии лица и сопоставлении голоса, что можно объяснить определенным соотношением цены внедрения и эксплуатации подсистемы к ее статистическим показателям надежности - мультифакторность банковской аутентификации позволяет использовать методы с несколько меньшей надежностью, но значительно более дешевые на практике. Появление возможности сканирования отпечатка пальца пользователя с помощью его смартфона сделала соответствующую аутентификацию доступной в том числе и при использовании приложений категории «мобильный банк».
Впрочем, решения, описываемые различными банками, весьма разнятся: где-то говорят о «дополнительных мерах безопасности», то есть биометрия внедряется именно в целях аутентификации, другие же говорят о «беспарольном доступе к услугам», описывая анализ биометрических особенностей обращающегося к системе лица как элемент процедуры идентификации.
Стоит заметить, что использование физиологических особенностей пользователя самостоятельно, без иных идентифицирующих и аутентифицирующих его средств и инструментов, практикуемое банками при совершении удаленных операций, действительно логически смазывает границу между идентификацией и аутентификацией субъекта. В таких случаях готовность пользователя предъявить для распознавания орган-носитель биометрической особенности можно назвать идентификацией (то есть логически он заявляет о себе как о держателе счета, когда предлагает, к примеру, сканировать отпечаток пальца), а аутентификацией - непосредственно предоставление и сличение требуемого показателя с имеющимся у банка эталоном.
К примеру, Сбербанком и сетью супермаркетов Азбука Вкуса во второй половине 2016 года был запущен в режиме тестирования дополнительный сервис, предполагающий возможность совершения оплаты покупок без предъявления самой карты - по отпечатку пальца для тех клиентов, кто заранее предоставили необходимые данные банку.[6] Аналогичным образом устроен его же, Сбербанка, сервис
«Ладошки», разработанный для организации дополнительного питания школьников без необходимости каких-либо расчетов со стороны детей, у которых устраняется необходимость в ношении при себе каких-либо платежных средств, будь то наличные деньги или банковская карта.[7] Основывающаяся на распознавании рисунка капилляров ладони система привязывает соответствующий биометрический профиль ребенка к банковскому счету кого-либо из его родителей. Кроме положительного влияния на собственно безопасность ребенка, когда он избавлен от рисков отъема наличных денег или принуждения к совершению нежелательной транзакции по имеющейся у него карте, сервис предоставляет родителям дополнительную возможность контроля за регулярностью и полноценностью его питания, а также возможность его ограничения путем выставления лимитов на сумму совершаемых посредством сервиса операций. Остается риск отъема у школьника приобретенного таким образом питания, но это все еще вопрос сферы педагогического контроля.
Значительным драйвером в развитии биометрических систем в банковском бизнесе послужило создание 1 июля прошедшего года Единой биометрической системы (ЕБС) и связанной с ней Единой системой идентификации и аутентификации (ЕСИА).[8] Предполагается, что с помощью этой связки банки получат возможность проводить удаленную идентификацию и аутентификацию обращающихся к ним граждан. Оператором, обслуживающим системы, обеспечивающим сбор, обработку, хранение биометрических данных россиян, а также их сверку с предъявляемыми при обращении в банки показателями, стал Ростелеком. Определено, что в общую базу будут собираться эталоны голосового профиля и фотоизображения.[9] Дополнительные данные банки смогут собирать самостоятельно, исходя из достигнутых соглашений со своими клиентами, но обязательства по работе с ними делегировать ЕБС/ЕСИА уже не удастся. За каждое результативное обращение банка к выстраиваемой государственной структуре установлен сбор в размере 200 рублей, распределяемый между оператором, его подрядчиками-вендорами и банком, ранее зарегистрировавшим информацию, в отношении которой поступало обращение. Впрочем, наполнение ЕБС пока отстает от требуемых ЦБ показателей, уже хотя бы по доле отделений банков, где клиент может предоставить эталонные показатели (по ранее озвученным требованиям, доля таких офисов должна была составлять 20% по состоянию на 1 января наступившего года).[10]
Несмотря на сумбурность представителей некоторых банков в описании решений, которые только подходят к этапу практического применения (часто это касается разделения между собой этапов идентификации и аутентификации, о чем уже упоминалось выше), наблюдается курс на возрастание их вариативности, при этом общемировой тренд дополняется государственным стимулированием развития биометрических систем.
Список использованной литературы
1. Ричард Э. Смит. Аутентификация: от паролей до открытых ключей. М.: Вильямс, 2002. 549 с.
2. Аутентификация. Теория и практика обеспечения доступа к информационным ресурсам. / А. А. Афанасьев [и др.]. М.: Горячая линия - Телеком, 2009. 552 с.
3. Шакер И.Е. Использование биометрической аутентификации и перспективы ее применения в банковской системе России // Экономика и управление. 2016. №5. с. 83-89
4. Курбатов Д., Пузанков С. Уязвимости сетей мобильной связи на основе SS7. Positive technologies, 2014. URL: https://www.ptsecurity.com/upload/corporate/ru-ru/analytics/PT-SS7-security-2014-rus.pdf
5. National Institute of Standards and Technology, US Department of Commerce. Special Publication 800-63 (SP 800-63B) URL: https://pages.nist.gov/800-63-3/sp800-63b.html
6. Петров М. В России запущен пилотный проект по оплате с помощью отпечатка пальца // Новости Интернета вещей. 28 сентября 2016
URL: https://iot.ru/riteyl/biometricheskie-tekhnologii-dlya-rossiyskikh-bankov
7. Петров М. Биометрический сервис крупнейшего банка России выходит за пределы школ // Новости Интернета вещей. 28 ноября 2016
URL: https://iot.ru/riteyl/biometricheskiy-servis-krupneyshego-banka-rossii-vykhodit-za-predely-shkol
8. "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма": Федеральный закон от 07.08.2001 N 115-ФЗ (ред. от 23.04.2018, с изм. и доп., вступ. в силу с 23.07.2018)
9. "Об определении состава сведений, размещаемых в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации, включая вид биометрических персональных данных, а также о внесении изменений в некоторые акты Правительства Российской Федерации": Постановление Правительства РФ от 30.06.2018 N 772
10. Горячева В. ЦБ берет пробу биометрии. // Коммерсантъ. №207 от 12.11.2018. с. 8
© Заболотный Е Ю., 2019
УДК 656
А. В. Капустина
магистр 2-го курса, РГАУ-МСХА г. Москва, РФ ktonka@bk.ru
4 ВАЖНЫХ KPI-ПОКАЗАТЕЛЯ СКЛАДСКОЙ ЛОГИСТИКИ
Аннотация
В статье приводится описание 4 важных KPI-показателей для складской логистики. Рассматриваются способы улучшения KPI и их отслеживание с помощью TMS.
Ключевые слова: KPI, складская логистика, своевременность, точность, TMS
Несмотря на стремительное развитие технологий и автоматизации, управление складом - одна из наиболее нелегких и комплексных задач в логистике. Невозможно с уверенностью утверждать, эффективно ли работает склад, без контроля разных показателей его работы.
На помощь приходят ключевые показатели эффективности - KPI складской логистики. В этой статье мы расскажем, какие показатели помогают компаниям сектора FMCG, работающим с SPL-операторами, отслеживать эффективность склада, а также как эти показатели улучшить.
Своевременность отгрузки (on-time shipping или OTS) - один из наиболее важных KPI складской логистики. Он показывает процент транспортных средств (далее ТС), отгруженных своевременно за расчетный период.
Отгрузка считается своевременной, если сотрудники склада уложились в определенное временное окно. От компании к компании оно варьируется, чаще всего от одного (например, для кросс-докинга) до шести часов с момента планового времени прибытия. Иногда нормативы могут различаться в зависимости от типа транспорта - к примеру, 4 часа для грузового автомобиля и 6 часов для вагона. За это время нужно успеть поставить транспорт на ворота, проверить груз, загрузить ТС, оформить документы и отправить груз в рейс. Также нормативы отличаются от типа загрузки - паллетная загрузка или покоробочная.
Елена Каменева, менеджер по складским операциям крупной международной компании-производителя спиртных напитков, отмечает, что ТС, прибывшие на отгрузку не вовремя (например, по вине водителя или транспортной компании), не участвуют в расчете KPI, так как подобные опоздания не связаны с качеством работы склада. Опоздавшие ТС отгружаются в ближайшее свободное окно в порядке
