УДК 336.71.078.3, 006.78.013
РАЗВИТИЕ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ: НЕОБХОДИМОСТЬ УСИЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ БАНКОВСКОГО СЕКТОРА
Т.Г. Бондаренко, А.А. Клочкова
Рассмотрены условия предоставления банковских продуктов в целях обеспечения информационной безопасности, проанализированы затраты на информационную безопасность в финансовых структурах, выделены основные этапы внедрения и поддержки системы информационной безопасности.
Ключевые слова: деятельность кредитных организаций, информационная безопасность, банковские информационные технологии, автоматизация.
В настоящее время технические и технологические аспекты деятельности кредитных организаций связаны, прежде всего, с информационными технологиями, которые позволяют максимально удовлетворить требования клиентов банка с минимальными рисками. Таким образом, функционирование любого банковского продукта/ услуги неразрывно связано с техническими возможностями банка и с материальными и временными затратами банка на их исполнение, а именно с его информационным бизнесом.
Информационные системы для кредитных организаций прошли достаточно долгий путь развития от простых, разработанных на персональных системах управления базами данных СУБД (например, Clipper, dBase, Foxpro), до современных на основе клиент/серверных решений промышленных СУБД (Oracle, Informix, Sybase, MS SQL Server), которые позволяют автоматизировать весь спектр банковских бизнес-процессов: управление ликвидностью, кадрами, банковскими рисками и т.д. [1]
При обращении в кредитную организацию за любым набором продуктов/ услуг (расчетно-кассовое обслуживание, валютно-обменные операции, кредитование, размещение денежных средств в депозиты) клиенты (как физические, так и юридические лица) интересуются технической оснащенностью продуктов, возможностью настройки интересующих данных из набора, платформой, на базе которой данные услуги будут поддержаны и реализованы, уровнем защищенности информационных и сервисных каналов.
Этим требованиям в настоящее время удовлетворяют большинство систем для финансовых организаций, представленных на рынке программных продуктов. [1]
Для противостояния угрозам со стороны внешних пользователей и обеспечения эффективности мероприятий по ликвидации неблагоприятных последствий инцидентов информационной безопасности в организациях банковской системы РФ следует обеспечить и сохранить достаточный ее уровень.
Деятельность, относящаяся к обеспечению информационной безопасности, должна контролироваться. Исходя из этого разработан Стандарт "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" СТО БР ИББС-1.0 (далее - Стандарт).
Основными целями внедрения Стандарта являются:
- повышение доверия к банковской системе Российской Федерации;
- повышение стабильности функционирования организаций банковской системы Российской Федерации и на этой основе — стабильности функционирования банковской системы Российской Федерации в целом;
- достижение адекватности мер по защите от реальных угроз информационной безопасности;
- предотвращение и(или) снижение ущерба от инцидентов информационной безопасности. [2]
Таким образом, вышеуказанный стандарт позволяет установить и использовать систему единых требований по обеспечению информационной безопасности организаций банковской системы Российской Федерации, чтобы в долгосрочной перспективе повысить эффективность мероприятий по обеспечению и поддержанию информационной безопасности организаций банковской системы Российской Федерации.
Большинство банков движется в направлении стандарта Банка России по информационной безопасности. 41,7% банков уже внедрили некоторые положения стандарта, а еще 40,8% приняли решение об их реализации в ближайшем будущем. [3]
Например, согласно исследованию «Global Security Survey», в ходе которого компания Deloitte опросила 169 международных финансовых компаний, 1-3% от ИТ-бюджета на информационную безопасность тратят 44% компаний, а 4-6% - 36% организаций. Опрос показал, что банки готовы не только вкладывать деньги в информационную безопасность, но и говорить о ней публично. Из комментариев респондентов, в частности, следует, что безопасность стала неотъемлемой частью риск-менеджмента организации. ш
Доля расходов на безопасность в банках традиционно оказалась достаточно высокой. Согласно данным CNews Analytics, по доле расходов на информационную безопасность банковский сектор делит первое место в России вместе с вертикальным рынком телекоммуникаций. По сведениям того же аналитического агентства, доля расходов на информационную безопасность во всех секторах российской экономики редко превышает 1,5% от всех ИТ-затрат. [3]
На данный момент финансовые и кредитные организации продолжают деятельность по созданию консолидированного центра обработки данных, непрерывному повышению надежности ИТ -инфраструктуры и реализации проектов создания единого информационного пространства организации с учетом требований для перехода на централизованную обработку данных.
Стратегия развития информационных систем для кредитных организаций включает план построения и развития центров обработки данных, серверных мощностей, коммуникационных каналов как для обеспечения соответствующих объемам операций мощностей, так и для поддержки территориальной распределенности бизнеса. Развитие этих направлений призвано преодолеть излишнюю громоздкость и сложность бизнес-процессов, недостаточный уровень специализации и разделения труда, позволит унифицировать процессы в масштабах всей организации. Максимальная централизация выполнения операций и функций поддержки, обеспечиваемая консолидацией вычислительных мощностей и дистанционных систем обслуживания, создаст условия для роста эффективности банковского бизнеса и качества предоставляемых клиентам услуг вне зависимости от территории получения услуги клиентом.
Таким требованиям отвечает, например, технология «прозрачной ЭП», обеспечивающая гарантированную безопасность операций клиентов-юриди-ческих лиц, использующих для управления своими счетами систему дистанционного банковского обслуживания ПТК «Интернет-Банк». Новый уровень безопасности работы со всеми сервисами ПТК «Интернет-Банк» обеспечивается многоуровневой аутентификацией. Кроме логина и пароля каждому клиенту Банка выдается уникальный защищенный носитель - еТокеп ГОСТ. ЕТокеп ГОСТ - это высоконадежное и технологичное устройство, позволяющие защитить хранящиеся на нем данные от несанкционированного доступа как на программном уровне, так и на физическом уровне, позволяющий обеспечить требования нормативных правовых документов Российской Федерации по информационной безопасности: №63-Ф3 «Об электронной подписи», СТР-К, СТО БР ИББС-1.0-2010, сертификат ФСБ России СФ/124-1671.
Организации, входящие в банковскую систему РФ, активно совершенствуют систему информационной безопасности и развивают в эксплуатацию следующие подсистемы:
• Система автоматизированного контроля выдачи кредитов на основе модуля ведения кредитных решений с целью исключения ошибок и злоупотреблений при оформлении кредитных договоров. Является частью работы по созданию единой Системы автоматизированного контроля кредитных операций.
• Модуль для обеспечения централизованной оценки и корректировки открытой валютной позиции (ОВП) с учетом планируемых валютных операций подразделений.
• Системы «АРМ Руководителя 2.0», позволяющей в удобном и простом интерфейсе получать необходимую информацию о деятельности подразделения с необходимой детализацией, вплоть до первичных документов. Информация предоставляется как в табличной, так и в графической форме.
• Многофилиальной версии системы контроля операционной деятельности, которая проводит регулярный анализ различных информационных систем и выдает рекомендации по выполнению набора операций в целях соблюдения регламента и оперативного исправления обнаруженных ошибок. Применение
автоматизированного контроля позволяет снизить роль человеческого фактора в своевременности и корректности выполнения операций с одновременным снижением нагрузки на сотрудников, осуществляющих контроль.
Для того, чтобы существенно повысить уровень информационной безопасности в кредитных организациях вводятся следующие нормативные требования:
• Стандарт Банка России - Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения (СТО БР ИББС -1.0-2010);
• Стандарт международных платежных систем Payment Card Industry Data Security Standard версии 2.0 (PCI DSS v. 2.0). На данный момент сертификация PCI DSS v.2.0 является наивысшей версией и предъявляет усиленные требования по информационной безопасности.
Подобная работа банков по информационной безопасности организована в соответствии с вышеуказанными документами и требует разработки и внедрения более 40 нормативных документов, регламентирующих деятельность самой кредитной организации по информационной безопасности. Кроме того, на постоянной основе банкам необходимо проводить мероприятия:
• по обработке инцидентов информационной безопасности;
• обучению и повышению осведомленности работников в области информационной безопасности
• приведению информационной безопасности филиалов (структурных подразделений банков) в соответствие требованиям руководящих документов.
В настоящее время система обеспечения информационной безопасности организаций, входящих в банковскую систему РФ основана на передовых технологиях, которые являются основой для обеспечения надежной защиты информационных ресурсов, что подтверждается многолетней практикой ее эксплуатации.
Список литературы
1. Информационный портал Банки • деньги • инвестиции. Банки и инвестиционные компании. Частная инвестиционная деятельность. / Банковские информационные технологии // А.В.Тютюн [Электронный ресурс]. Электрон. дан. [М], 2013. Режим доступа: http://www.bankmib.ru
2. Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения: Стандарт Банка России СТО БР ИББС-1.0-2010 от 21.06.2010 [Электронный ресурс]. Электрон. дан. [М], 2013. Режим доступа: http://www.cbr.ru
3. Исследование: Информационная безопасность в банках общий взгляд [Электронный ресурс]. Электрон. дан. [М], 2013. Режим доступа: http://perimetrix.com
Бондаренко Татьяна Григорьевна, канд. экон. наук, tgbondarenko@qip. ru, Россия, Москва, Московский государственный университет экономики, статистики и информатики,
Клочкова Анастасия Андреевна, [email protected], Россия, Тула, Тульский государственный университет
DEVELOPMENT OF INFORMATION TECHNOLOGIES: THE NEED TO STRENGTHEN INFORMATION SECURITY IN BANKING SECTOR
T.G. Bondarenko, A.A. Klochkova
Conditions of banking products in order to ensure information security are considered, the costs of the information security in financial structures are analyzed, the basic stages of implementation and support of information security systems are made .
Keywords: activities of credit organizations, information safety, banking information technologies, automation.
Bondarenko Tatiana Grigorievna, candidate of economic science, [email protected], Russia, Moscow, Moscow State University of Economics, Statistics and Informatics,
Klochkova Anastasia Andreevna, aak111@mail. ru, Russia, Tula, Tula State University
УДК 336.71.078.3
ИСПОЛЬЗОВАНИЕ МОДЕЛИ ФАКТОРНОГО АНАЛИЗА ДЕЯТЕЛЬНОСТИ БАНКА ПРИ РАЗРАБОТКЕ МЕРОПРИЯТИЙ
МЕНЕДЖМЕНТА
Т.Г. Бондаренко
Для анализа эффективности работы кредитной организации предлагается использовать модель факторного анализа, которую можно использовать как инструмент выработки и планирования мероприятий по повышению рентабельности работы банка.
Ключевые слова: эффективность, факторный анализ, модель факторной системы, деятельность кредитных организаций.
Глубокий анализ деятельности коммерческого банка подразумевает не только анализ изменений числовых значений показателей баланса и отчета и прибылях и убытках, расчет основных показателей - рентабельности, ликвидности, оценки доходности, но и выявление факторов и значений их влияния на эти изменения. Таким образом, количественная оценка взаимосвязанных параметров, влияющих на размер доходов или расходов, позволяет находить решения по максимизации эффективности деятельности банка путем выбора необходимого инструментария.