Операции коммерческого банка как информационный процесс
Информационные технологии в коммерческом банке: сущность, функции, принципы организации
Банковские информационные технологии лежат в основе российской банковской системы с самого начала ее формирования при переходе к рыночным отношениям. Их развитие в современных условиях идет по нескольким направлениям. Основой функционирования автоматизированных банковских технологий выступают технические принципы, которые связаны с такими научными дисциплинами, как кибернетика, теория алгоритмов, информатика, экономико-математическое моделирование, теория систем, принятие управленческих решений. Дальнейшее развитие процессов автоматизации приводит к появлению разнообразных банковских структур в современной российской экономике, что обуславливается не только множеством фирм, которые разрабатывают информационные продукты, но и разнообразием банков по направлениям банковского дела и по выполняемым ими функциям.
Сегодня информационные технологии коммерческих банков представляют собой различный набор функциональных подсистем и рабочие места. При этом отсутствие единого подхода к информатизации и недостаточная совместимость банковских подсистем толкают к частным, локальным, неинтегрированным решениям, которые имеют узкую направленность. Однако имеющийся опыт и комплексность подхода к информатизации деятельности банков, которые выходят на мировые финансовые рынки, показывают необходимость перехода от частных решений в области информатизации к системным, подразумевающим использование всего набора современных методов и технических средств информационных технологий.
Информационное обеспечение банковской деятельности определяется составом объектов предметной области, задач, данных и множеством информационных требований пользователей информационной системы. Информационное обеспечение банковской деятельности является средством для решения следующих задач:
- однозначного и экономичного представления информации в системе на основе кодирования объектов;
- проведения исследования и обработки информации на основе классификации объектов;
- организации взаимодействия пользователей с системой на основе экранных форм входящей и исходящей информации;
- наиболее эффективного использования информации на основе унифицированной системы документации.
К информационному банковскому программному обеспечению предъявляются следующие требования:
1) информационное банковское программное обеспечение должно поддерживать все автоматизируемые функции объектов;
2) для кодировки информации используются принятые у заказчика классификаторы;
3) для кодирования входной и выходной информации, которая используется на высшем уровне управления, должны быть использованы классификаторы этого уровня;
4) должна быть обеспечена совместимость с информационным обеспечением систем, которые взаимодействуют с разрабатываемой системой;
5) унифицированная система документации должна отвечать требованиям корпоративных стандартов заказчика;
6) структура документов и экранных форм должна соответствовать характеристикам терминалов на рабочих местах конечных пользователей;
7) используемые аббревиатуры должны быть общепринятыми в предметной банковской области и согласованы с заказчиком;
8) необходимы контроль входной и итоговой информации, обновление данных в информационных массивах, контроль целостности информационной базы, защита от несанкционированного доступа.
Информационное обеспечение банковской деятельности определяется как совокупность единой системы классификации, унифицированной системы документации и информационной базы.
Информационное обеспечение банковской деятельности включает в свой состав внемашинное и внутримашинное обеспечение, перечень информации на входе и выходе, информационные потоки банка. Его составными частями являются оперативная информация, нормативно-справочная информация, классификаторы технико-экономической информации, унифицированные и специальные системы документации, набор показателей, документов, файлов, баз данных, баз знаний, методов их использования в банковской работе, а также способы предоставления, преобразования, накопления, хранения, передачи информации, принятые в данной системе для удовлетворения ежедневных информационных потребностей пользователей в необходимой форме и в нужное времени.
Внемашинное информационное обеспечение включает:
- систему классификации и кодирования информации;
- системы управленческой документации;
- систему организации, учета изменений, хранения документации.
Внемашинная информационная база банковской деятельности представляет собой набор сигналов, сообщений и документов в форме для восприятия сотрудником непосредственно, без использования средств электронно-вычислительной техники. Во внемашинной сфере в процессе управления обмен информацией реализуется в виде движения потока документов между управляемой и управляющей системами: от органа управления к объекту следуют документы, содержащие директивную информацию; по линии обратной связи — от объекта к органу управления — следуют документы, содержащие учетно-отчетную информацию о состоянии объекта управления.
Внемашинное информационное банковское обеспечение позволяет провести идентификацию объекта управления, формализовать информацию, представить данные в виде документов.
Внутримашинное информационное обеспечение содержит массивы данных, которые формируют информационную базу системы на машинных носителях, а также систему программ банка, накопления, ведения и доступа к информации этих массивов. Основным элементом внутримашинного информационного банковского обеспечения является информационный массив данных, который представляет собой набор однородных записей. Структура массива, состав, а также порядок следования записей в массиве не зависят от типа машинного носителя, поэтому на логическом уровне оценивается структура информационного массива, а на физическом уровне осуществляется внедрение информационной базы с использованием современных технических средств.
Одним из основных направлений организации внутримашинного информационного банковского обеспечения является технология баз и банков данных. Так, внутримашинное информационное банковское обеспечение включает макеты (экранные формы) для ввода первичных данных в информационную систему или вывода результатов или отчетов, структуры информационной базы: входных, выходных файлов, базы данных.
Одними из главных требований к организации информационного обеспечения банковской деятельности являются:
- обеспечение многопользовательской работы с данными в режиме реального времени;
- возможности экспорта и импорта данных в различных форматах для обмена информацией между различными группами пользователей (например, xls, txt, xml);
- безопасность хранения, обработки и передачи информации;
- сохранение целостности информации при отказе аппаратуры.
Основой современных автоматизированных банковских систем для многопрофильных и многофилиальных банков с возможностями прогнозирования являются структурированные данные в базе, которая обеспечивает безопасное хранение, а также быстрый доступ к различным временным показателям по множеству объектов (документам, счетам, клиентам, филиалам и их группам). Для этого нужны многомерные структуры данных.
Банк данных — это автоматизированная система, которая представляет собой набор информационных, программных, технических средств и персонала, обеспечивающих хранение, накопление, обновление, поиск и выдачу данных. Важнейшими составляющими банка данных являются база данных и система управления базой данных.
Совершенствование теории и практики использования баз данных привело к возникновению такого понятия, как “хранилище данных”. Это может быть централизованная база данных, которая объединяет информацию из разных источников и систем и предоставляет собранные данные приложениям конечных пользователей.
Единое информационное пространство, созданное на основе технологий информационных хранилищ, служит основой для внедрения различных управленческих и аналитических приложений. Сюда можно отнести оценку страховых и кредитных рисков, прогнозирование на финансовых рынках, выявление махинаций с кредитными карточками и многое другое.
Информационное обеспечение современной автоматизированной банковской системы должно максимально полно отражать специфику предметной области банковского бизнеса. Нагляднее всего это проявляется в словаре информационной модели. Как правило, если пользовательский интерфейс в системе (меню, экранные формы, отчеты и т. д.) охватывает предметную область наиболее полно (по количеству и объему понятий, объектов, процессов), тогда это будет свидетельствовать о близости информационных технологий к реальным задачам банка. Подключенный к интерфейсу большой словарь профессиональных терминов, который отражает предметную область банковской деятельности, характерен для автоматизированных банковских систем высокого уровня и помогает сотрудникам банка и менеджерам принимать стратегические и тактические решения.
Информационная банковская модель отражает разнообразие понятий, их назначение, взаимосвязи, описывает характерные сущности, применяемые в банковской предметной области. Это такие понятия, как “документ”, “финансовый инструмент”, “банковский продукт”, “операция”, “счет”, “пользователь” и т. д. Для этого разрабатывается стандарт, который включает список реквизитов и алгоритмов по каждому понятию, а также форму описания бизнес-процессов как функциональных моделей банка. Стандарт содержит формализованное описание алгоритмов, которые используются при внешней и внутренней работе банка.
Новым направлением в реализации информационных банковских систем является объектно ориентированный подход. Он основывается на объединении данных и процедур в рамках понятия “объект” в отличие от распространенного структурного подхода, при котором данные и процедуры определяются и реализуются отдельно.
Современные подходы к проектированию информационного банковского обеспечения позволяют сотрудникам банка самим модифицировать и дополнять словарь информационной модели в терминах банковских продуктов или услуг, предоставляемых клиентам. Среди большого количества понятий первичным является, например, понятие “документ”. Определенный вид документа обусловливает цепочку действий, которые должны быть выполнены для его исполнения. Наряду с простыми операциями могут создаваться и сложные — действия, которые необходимо исполнять, а затем отражать их последовательность. Для расширения предметной области баз данных необходимым условием является использование механизма гибких классификаторов. Они позволяют присваивать объектам атрибуты и дополнять базы данных нестандартными свойствами объектов.
Информационные технологии в системе обеспечения информационной безопасности коммерческого банка
Ключевым вопросом должного обеспечения информационной безопасности является вопрос управления банковским риском в условии угроз нарушения информационной безопасности.
Обеспечение информационной безопасности в банковской сфере России включает применение широкого спектра мер защиты информации правового, организационного и технического характера; политику Банка России, направленную на выработку набора требований к мерам защиты информации, устанавливаемых в документах Банка России, в первую очередь в нормативных актах Банка России и документах в области стандартизации Банка России.
Методология обеспечения информационной безопасности основывается на ст. 9 Федерального закона от 27 июня 2011 г. № 161-ФЗ “О национальной платежной системе”, в соответствии с которой основные риски, связанные с несанкционированным переводом денежных средств, лежат на кредитных организациях.
Эксперты Центрально банка РФ определили основные направления совершенствования методологии обеспечения информационной безопасности с учетом риск-ориентированного подхода.
Способы реализации, состав мер и механизм защиты должны определяться кредитными и поднадзорными организациями самостоятельно, в первую очередь с учетом сопоставления величины риска нарушения информационной безопасности и затрат на реализацию установленных требований выбранными мерами и механизмами защиты. Критерием эффективности обеспечения информационной безопасности в организациях кредитно-финансовой сферы является соотношение ущерба кредитной организации от несанкционированных переводов денежных средств и предварительно оцененного риска нарушения информационной безопасности.
Также необходимо совершенствовать документы Банка России в области стандартизации с целью взаимной гармонизации документов Банка России с учетом требований законодательства РФ, в том числе в области персональных данных, включая формирование рекомендаций по отдельным направлениям обеспечения защиты информации, актуальным с точки зрения состава существующих угроз.
Текущее состояние дел в области информационной безопасности организаций кредитно-финансовой сферы характеризуется:
– ростом активности киберпреступности;
– увеличением масштабов хищения денежных средств с использованием уязвимостей в применяемых информационных технологиях;
– качественным изменением состава объектов атак киберпреступников, при котором атаки осуществляются непосредственно на кредитные организации;
– ростом количества инцидентов в области информационной безопасности (только за 2013 г. их количество увеличилось в два раза).
Перспективным направлением развития является более детальная проработка установленных в настоящее время требований и рекомендаций с точки зрения их адаптации к банковским технологическим процессам, соблюдения требований законодательства о персональных данных и обеспечения банковской тайны. Совершенствование механизмов обеспечения информационной безопасности может заключаться:
– в организации оперативного взаимодействия кредитных организаций, регуляторов, банковских ассоциаций и правоохранительных органов для обмена информацией о совершаемых инцидентах в области информационной безопасности и способами парирования новых угроз нарушения информационной безопасности;
– использовании обобщенной информации об инцидентах в области информационной безопасности для совершенствования законодательства РФ, нормативных актов регуляторов, оперативного и своевременного информирования кредитных организаций об эффективных мерах защиты информации;
– расширении области действия документов в области стандартизации в связи с передачей Банку России функций по регулированию финансовых рынков с целью их распространения на организации, действующие на финансовых рынках, с соответствующей детализацией и уточнением устанавливаемых требований и рекомендаций с привлечением всех заинтересованных сторон.
В последние годы в банковской деятельности назрела проблема обеспечения безопасности данных. Она включает несколько условий, которые можно назвать триадой безопасности:
1) конфиденциальность — регламентация ролей и полномочий пользователей, т. е. предотвращение несанкционированного доступа в режиме реального времени, в том числе к контролю управления процессами, изменяющими состояние данных;
2) целостность — способность технической системы выполнять свои функции при отказе части компонентов в результате воздействия дестабилизирующих факторов и возвращаться в исходное состояние;
3) устойчивость. Устойчивость по отношению к внутренним дестабилизирующим факторам определяется надежностью системы и ее компонентов (reliability), внешним дестабилизирующим факторам — живучестью системы и ее компонентов (resiliency).
Функционирование современных автоматизированных банковских систем связано с обработкой больших объемов данных в короткие сроки, что предъявляет особые требования к производительности систем управления базами данных, которые обеспечивают их передачу. Непременным атрибутом современной банковской системы является наличие сетевых функций, которые позволяют объединять разнообразные программные платформы.
Одним из перспективных направлений развития банковских информационных технологий является интернет-банкинг. Развитие систем дистанционного обслуживания привело к созданию различных по объему и формам предоставления банковских услуг систем: интернет-банк, интернет-клиент, домашний банк, телебанк, мобильный банк. С их помощью выполняются любые требования клиентов банка. На Западе и в России участники фондового рынка все больше работают через интернет-трейдинг, получая доступ к российским и международным валютным и фондовым рынкам.
К техническим мероприятиям по дистанционному банковскому обслуживанию можно отнести:
- внедрение методов разработки программного обеспечения;
- создание надежного банковского контура дистанционного банковского обслуживания;
- внедрение систем IPS/IDS, систем активной защиты от DDoS-атак;
- использование современных и сертифицированных механизмов защиты, обеспечивающих заданный политикой уровень доступности, целостности, конфиденциальности и надежности, создание дополнительных каналов управления и информирования;
- разработку и внедрение систем сбора и анализа информации об инцидентах в системах дистанционного банковского обслуживания;
- внедрение систем мониторинга и анализа трансакций на основе профилей клиентов, которые могут включать: среднее (максимальное) число операций в день; среднее (максимальное) число операций в месяц; среднюю (максимальную) операционную сумму; среднее (максимальное) число информационных запросов; основные типы платежей; основных корреспондентов; среднее (максимальное) число сделок на одном самом счете.
При разработке программных средств систем дистанционного банковского обслуживания необходимо:
- изучать способы и практические примеры противоправной деятельности с помощью банковских информационных технологий;
- создавать модели возможной противоправной деятельности с использованием таких технологий;
- тестировать программно-информационное обеспечение финансового мониторинга на предмет его адекватности указанным моделям;
- актуализировать и обновлять программно-информационное обеспечение финансового мониторинга.
К традиционным мерам безопасности для дистанционного банковского обслуживания относятся:
1) разработка и внедрение алгоритмов онлайн-анализа проведенных транзакций;
2) использование чиповых карточных продуктов, использование электронных кошельков или виртуальных карт для интернет-платежей;
3) использование традиционных активных и пассивных механизмов информационной безопасности компании;
4) разработка специальных инструкций для служб дистанционного банковского обслуживания по действиям в чрезвычайных обстоятельствах, проведение тренингов;
5) повышение осознания клиентами необходимости соблюдения безопасности, в том числе повышение осведомленности клиентов через интернет-сервисы о мерах безопасности, настоятельная рекомендация клиентам, работающим в системах дистанционного банковского обслуживания, применять антивирусное программное обеспечение с функциями антихакер и антишпион;
6) организация оперативного взаимодействия с правоохранительными органами.
Современная система электронной коммерции включает два основных направления: В2В (businеss-tо-businеss), где банки работают в качестве основного исполнителя и продавца финансовых услуг, и В2С (businеss-tо-custоmеr) — продажа товаров и услуг частным лицам, где кредитные организации выступают в роли финансового посредника.
Развитие информационных технологий позволяет не только увеличить скорость обработки документов и ведения кассовых операций, но и расширить число клиентов. Благодаря Интернету взаимосвязь клиент — банк становится более оперативной, а также позволяет дифференцированно работать с заказчиком в зависимости от индивидуальных предпочтений, склонности к риску и формирования портфеля клиента.
Развитие информационных технологий позволяет в значительной степени сократить дистанцию между производителем и потребителем банковских услуг, существенно обостряет межбанковскую конкуренцию, а следовательно, способствует развитию банковского обслуживания как в количественном, так и в качественном аспекте.
Таким образом, современная информационная банковская система позволяет вести быстрое и качественное обслуживание клиентов по широкому спектру услуг.
Очевидно, что современные информационные технологии в основном развиваются под воздействием бизнеса и для бизнеса, поэтому происходит постоянное влияние друг на друга экономики и банковских инновационных технологий. Их взаимосвязь помогает разработчикам технологий находить все новые и новые прогрессивные решения в области информационного обеспечения.