Банковское обозрение (Б.О принт, BestPractice-онлайн (40 кейсов в год) + доступ к архиву FinLegal-онлайн)
FinLegal ( FinLegal (раз в полугодие) принт и онлайн (60 кейсов в год) + доступ к архиву (БанкНадзор)
Бурное развитие информационных технологий в России все глубже проникает в такой закрытый сектор рынка, как банковский. Традиционные системы обслуживания сменяются инновационными. То, что еще вчера казалось невозможным и рискованным, сегодня функционирует даже в самых отдаленных банковских филиалах. Об интернет-банкинге уже говорят с уверенностью, однако ресурс Всемирной паутины по-прежнему не является безопасным для кредитно-финансовых организаций.
В последние годы удаленное банковское обслуживание уже практически стало стандартом «де факто». Активно применяются несколько способов дистанционного управления счетом. Примером могут служить традиционная система «Клиент-Банк», предполагающая, что главный бухгалтер общается с банком по общему или по выделенному каналу связи через модем, и интернет-банкинг.
Классический «Клиент-Банк» позволяет проводить практически любые операции с банковским счетом. Если же компьютер бухгалтера компании подключен к интернету, то сделки между банком и компанией-клиентом, осуществляемые ранее по традиционным каналам, могут быть перенесены в системы интернет-банкинга. Преимущество таких систем состоит в том, что нет необходимости устанавливать специальное программное обеспечение на клиентское место.
Рынок систем интернет-банкинга значительно моложе традиционного, однако уже сейчас очевидны его перспективы. По данным crime-research.ru, оплата услуг клиенту (физическому лицу) через Internet обходится в 0,01 доллара, с использованием автоматов — в 0,27 доллара. Предоставление услуг по телефону — 0,54 доллара, а предоставление услуг у кассового окна — 1,07 доллара. Стоимость услуг для юридических лиц в данном случае также ниже обычного.
В последние годы банки стали активно развивать розничный бизнес. Для взаимодействия и управления счетами клиентов многие из них предлагают воспользоваться теле-банкингом. Клиент заполняет «голосовую форму» ввода и для проведения банковской операции подтверждает требуемое или вносит необходимые корректировки. В мире распространены и другие схемы сотрудничества — SMS-банкинг, PDA-банкинг. Банковские терминалы самообслуживания можно найти на станциях метро, в магазинах, на вокзалах и в аэропортах.
Важнейший вопрос, касающийся удаленных способов работы банка с клиентом, — обеспечение безопасности. Уровни обеспечения могут быть разными, но система безопасности в целом состоит из нескольких составляющих. Во-первых, аутентификация и авторизация (подтверждение того, что пользователь системы действительно является тем, за кого себя выдает, и проверка прав пользователя на совершение каких-либо операций). Во-вторых, шифрование передаваемых данных. В-третьих, использование электронной цифровой подписи (ЭЦП) или иного аналога собственноручной подписи (подтверждение авторства транзакции и целостности ее данных, а также действий, совершенных конкретным пользователем). И, наконец, регистрация всех транзакций в специальных журналах банка и аудит.
Чтобы понять, кто пытается войти в систему, обычно используется некий уникальный признак (например пароль пользователя). Опознание пользователя на основе пароля — пример однофакторной аутентификации. Понятно, что проверка пароля не является гарантией надежности. Однако однофакторная аутентификация может осуществляться и на других основах. Пользователь имеет, например, таблетку iButton, и этот метод тоже активно используется в банках.
Современные методы аутентификации основываются на множественных факторах. Существует и широко применяется двухфакторная аутентификация, известны примеры трехфакторной аутентификации. Так, двухфакторная аутентификация пользователя проводится не только на основе того, что пользователь знает (пароль), но и того, что он имеет (какой-либо персональный идентификатор). В качестве такого идентификатора часто выступает так называемый «токен» — электронный ключ для доступа к корпоративным ресурсам. Данное средство аутентификации может выпускаться также и в виде смарт-карты (например широко распространенный на российском рынке eToken).
Консалтинговая компания Gartner Group назвала USB-токены лучшим инвестиционным вложением в обеспечение безопасного доступа к данным и осуществление безопасных транзакций в 2005 году. Это объясняется тем, что eToken используется не только для обеспечения строгой двухфакторной аутентификации пользователей при их подключении к защищенным информационным ресурсам. Он применяется для безопасного хранения ключевой информации, профилей пользователей и других конфиденциальных данных, для аппаратного выполнения криптографических вычислений и работы с асимметричными ключами и сертификатами Х.509.
Это устройство рекомендуется для использования в PKI-приложениях, приложениях, поддерживающих технологии смарт-карт, в банковских и корпоративных системах, требующих строгой аутентификации пользователей и безопасного хранения конфиденциальной информации.
eToken в форм-факторе смарт-карты может выступать в качестве единой корпоративной карточки, служащей для визуальной идентификации сотрудника (с печатью фото), для доступа в помещения, для входа в компьютер, в сеть, для доступа к защищенным данным, для защиты электронных документов (ЭЦП, шифрование), для установления защищенных соединений (VPN, SSL) и проведения финансовых транзакций. В 2004 году модель eToken PRO была названа лучшим продуктом в области информационной безопасности и получила национальную отраслевую премию «Зубр».
Если использовать USB-токен, то пароль надежно хранится в защищенной памяти устройства, а для начала работы необходимо ввести PIN-код (его длина практически не ограниченна). Чтобы воспользоваться правами для осуществления транзакции, злоумышленнику не достаточно завладеть токеном, необходимо еще и знание PIN-кода.
Применение USB-токенов обеспечивает надежное хранение паролей, цифровых сертификатов и ключей шифрования пользователя. Тот же упомянутый выше eToken PRO обеспечивает реализацию международных стандартов на шифрование и ЭЦП, а также поддержку российских стандартов. Устройства сертифицированы Гостехкомиссией РФ (сертификат № 925 —для защиты конфиденциальной информации и использования в АС до класса «Г» включительно).
Если банковская операция осуществляется вне офиса клиента, с чужого компьютера или PDA-устройства, то для строгой аутентификации пользователя можно использовать электронные ключи с системой генерации одноразовых паролей, например eToken NG OTP (One Time Password). Генератор одноразовых паролей синхронизирован с сервером аутентификации. Кроме обычных функций электронного ключа eToken NG OTP осуществляет генерацию одноразового пароля пользователя и отображает его на дисплее устройства. Вместе с OTP-PIN-кодом пароль вводится пользователем-владельцем с клавиатуры компьютера или PDA-устройства. При успешном сравнении значения с тем, что генерируется на сервере, считается, что аутентификация пользователя завершилась успешно.
Принятие Закона об ЭЦП выдвинуло новые требования к технологиям, в том числе и к банковским. Аутентификация субъектов при их дистанционном взаимодействии получила значительный импульс в результате принятия этого закона. Во многих реализациях банковского ПО аутентификация пользователя осуществляется по ЭЦП или с применением цифрового сертификата. Это означает, что появилась насущная необходимость в удостоверяющих центрах, которые замыкают цепочку сотрудничества.
Закон РФ «Об электронной цифровой подписи» вступил в силу три года назад, но публичные удостоверяющие центры так и не заработали. В результате суды столкнулись с исками, в которых истцы требовали признать использование ЭЦП не имеющим юридической силы.
Согласно принятому закону авторизация ЭЦП должна обязательно проводиться с помощью единой системы удостоверяющих центров. Вопросами лицензирования удостоверяющих центров займется Федеральное агентство по информационным технологиям (ФАИТ) при Мининформсвязи.
Ожидается, что один из трех удостоверяющих центров, которые вскоре появятся, будет корневым, то есть обеспечивающим работу всех других центров. Два других – региональными и откроются в Северо-Западном и Южном округах.
spravka BO
Новости информационных технологий в банках
Компания «Диасофт» реализует проект в российском представительстве банка Svenska Handelsbanken
Компания «Диасофт» реализует проект в московском офисе одного из крупнейших в Скандинавии банков — Svenska Handelsbanken. Контракт, подписанный в конце декабря 2004 года в результате победы компании «Диасофт» в закрытом тендере, включает покупку и внедрение в банке системы автоматизации банковской деятельности 5NT(e) BANK и интегрированной системы автоматизации работы на финансовых рынках 5NT(e) TREASURY. Запуск системы в промышленную эксплуатацию намечен на третий квартал 2005 года. В рамках проекта планируется автоматизация расчетно-кассового обслуживания, депозитов и кредитования корпоративных клиентов, а также операций на денежном и валютном рынках.
Вопрос об автоматизации деятельности банка возник одновременно с принятием решения об организации бизнеса в России. Изучив ситуацию на российском рынке банковских систем, банк провел закрытый тендер среди российских поставщиков банковского ПО. Основными требованиями в тендере стали интеграция московского офиса в единое информационное пространство Svenska Handelsbanken, наличие функционала, являющегося обязательным на российском банковском рынке, в частности, работа с рублевыми платежами и получение обязательной отчетности в соответствии с законодательством РФ, а также сжатые сроки запуска системы в промышленную эксплуатацию.
Комплекс «Нострадамус» получит универсальное хранилище данных
Компания «ПрограмБанк» объявляет о выходе в IV квартале 2005 года универсального финансового хранилища данных, предназначенного для оперативного решения таких задач, как сбор данных, планирование, получение отчетности и анализ информации. Новое хранилище разрабатывается на базе аналитического комплекса «Нострадамус» и обладает следующими возможностями:
По мнению разработчиков, одним из преимуществ нового хранилища данных, по сравнению с аналогичными решениями, станут и входящие в его состав механизмы. Первый из них предназначен для формирования экспресс-таблиц ручного и полуавтоматического ввода и проверки данных, второй — для оформления финансовых экспресс-отчетов, причем оба инструмента настраиваются силами конечных пользователей.
Как поясняет компания-разработчик, наличие версий данных позволяет отдельно хранить утвержденную и неутвержденную информацию, что повышает ее итоговое качество.
По замыслу разработчиков новое хранилище призвано значительно облегчить работу аналитиков, связанную с внесением изменений в правила составления отчетности, так как позволит хранить историю версий правил. Данное нововведение поможет пользователю впоследствии получать отчетность как по новым, так и по старым версиям правил. Кроме того, в хранилище сформированы общие правила для получения схожих стандартов международной отчетности, таких как GAAP и IAS.
Предлагаемые разработчиками экспресс-таблицы, ставшие частью нового хранилища, предназначены для организации процесса сбора данных из подразделений и позволяют аналитику самостоятельно настраивать формат собираемой информации. Особый упор был сделан на обеспечение качества данных, для чего и был предусмотрен механизм многократной выверки информации. Наличие механизма экспресс-таблиц в значительной степени сокращает рутинную работу IТ-специалистов и сотрудников, занимающихся интеграцией отчетности, связанную с контролем за процессом сбора информации.
Механизм для составления финансовых экспресс-отчетов, в качестве прототипа которых были выбраны возможности Excel, помогает пользователю разрабатывать стандартные формы отчетов, такие как примечания для отчетности по МСФО. Разработчики обращают внимание, что наличие в хранилище механизма для составления финансовых экспресс-отчетов позволяет пользователю самостоятельно, без обращения к IТ-специалисту, формировать около 70% банковской отчетности по МСФО.
Что изменит закон о крипте?
В новом подкасте «ПРО ЦФА» Инна Неминущая, старший юрист ALUMNI Partners, и Олег Ушаков, исполнительный директор «АРЦП», обсудили, почему именно сейчас остро встал вопрос о новом регулировании крипторынка и какие последствия принесет «судный день»
Клиенты продолжают выбирать офлайн-формат
Несмотря на то что банки всегда «в кармане клиентов», у них еще есть причины для посещения банковских отделений. Кредитные организации, в свою очередь, стремятся сделать этот офлайн-контакт максимально комфортным. О трансформации одной из крупнейших сетей банковских отделений «Б.О» рассказал Руслан Еременко, член правления ВТБ
В «АСТОРИУС» рассказали о важности интерьера для психоэмоционального здоровья
Аналитический центр корпорации недвижимости «АСТОРИУС» совместно с дизайнерским бюро компании провел масштабное исследование о влиянии архитектуры, интерьера и эргономики пространства на психоэмоциональное и физическое состояние человека