Л. Лямин - Применение технологий электронного банкинга: риск-ориентированный подход

1) оригинальный собственный комплекс кредитной организации;

2) заказная разработка специализированной компанией-вендором;

3) приобретение комплекса СЭБ, изготовленного «под ключ».

Различия в организации внутрибанковских процедур в связи с каждым из подходов приводят к вариациям в составах факторов возникновения и источников компонентов банковских рисков, что полезно учитывать при уточнении содержания связанных с применением ИТ внутрибанковских процессов, порядков и документарного обеспечения банковской деятельности прежде всего в плане обеспечения эффективного УБР. Здесь также возможны различия в решении вопросов контролируемости ИТ и компенсации зависимостей кредитной организации от сторонних компаний (если обобщенно рассматривать вендоров как разновидность провайдеров [137] В зарубежных материалах органов банковского регулирования и надзора различие между ними проводится на основе того, что продает компания: товары или услуги. ).

Естественно, в случае самостоятельной разработки БАС и СЭБ кредитная организация легче всего решает вопросы проектирования, основываясь на знании локальных условий персоналом, сопровождения, модернизации и во многом с ОИБ и контролем функционирования автоматизированных систем, а также их ПСИ. В то же время традиционные подходы к этим процессам часто связаны с тем, что происходит крайне нежелательное совмещение функций разработки и эксплуатации, управления и контроля, а также системного администрирования. С другой стороны, главной платой за этот подход являются расходы на содержание остаточно обширного штата специалистов высокой квалификации в области ИТ, что могут позволить себе далеко не все кредитные организации.

В случаях использования заказной разработки кредитная организация экономит на расходах на персонал, но попадает в известную зависимость от компании-разработчика, с которой ей приходится «выстраивать отношения», а значит, заботиться о подготовке исходных данных на разработку и согласование соответствующего технического задания, участвовать в обеспечении и организации ПСИ, а также в подготовке документации по их обеспечению и проведению (что является наиболее сложным после подготовки технического задания), равно как и решать вопросы модернизации автоматизированных систем или их замены по мере развития и усложнения бизнеса. К перечисленному добавляются организация и сопровождение договорных отношений, а также прогнозирование надежности вендора, поскольку в случае его ухода с рынка банковской автоматизации разработанная «под пожелания» заказчика АС останется без поддержки, а значит, и без развития и возможностей решения неотложных вопросов (например, разрешения чрезвычайных происшествий техногенного характера). Кстати сказать, все перечисленные функции требуют от персонала кредитной организации наличия и проявления достаточно высокой квалификации, хотя, конечно, далеко не в тех масштабах, что в предыдущем варианте.

Наконец, если АС приобретается кредитной организацией в готовом, «товарном» виде, то специалисты кредитной организации должны убедиться в том, что СЭБ точно соответствует потребностям банковской деятельности в варианте ДБО. Для этого необходимо не только наличие описания таких потребностей (что сродни подготовке исходных данных на разработку), но также изучение того, как были организованы и проводились ПСИ специалистами компании-разработчика, включая их программы и методики, протоколы и акты, контрольные примеры и тесты. Как и в предыдущем варианте, решать требуется и вопросы последующего сопровождения и модернизации СЭБ в процессе ее эксплуатации. Для того чтобы грамотно разобраться в этих вопросах, также требуется специальная квалификация. Кстати, для двух последних вариантов актуальной и очень сложной может оказаться задача подтверждения отсутствия в АС уже упоминавшихся ранее «недокументированных функций» («закладок»), хотя в отношении известной, зарекомендовавшей себя на рынке банковского АПО компании высказывание таких подозрений, скорее всего, окажется необоснованным.

Аналогичные вариации имеют место для размещения и сопровождения (ведения) web-сайтов, используемых в банковской деятельности (в широком смысле). Основные варианты включают:

подразделение информатизации кредитной организации;

аппаратный комплекс фирмы-разработчика web-сайта;

аппаратный комплекс компании-провайдера.

Имеются и другие варианты ДБО через компании-интеграторы, причем следует отметить, что отношения кредитной организации со сторонней компанией в каждом из них строится, как правило, индивидуальным образом, и специалисты ее подразделений — от ИТ, ОИБ, ВК до правового обеспечения — должны быть к этому готовы. Опять-таки размещение web-сайтов на средствах самой кредитной организации требует наличия квалифицированного персонала, владеющего web-технологиями, размещение на сторонних мощностях — детальной проработки текстов соответствующих контрактов.

В техническом плане надежность ДБО определяется прежде всего архитектурой и организацией резервирования компьютерных систем и каналов связи, входящих в ИКБД, в том числе находящихся вне кредитной организации. Не меньшее значение имеет применение средств сетевой и антивирусной защиты, а также так называемых систем «предотвращения вторжений» и систем «обнаружения вторжений», которые обозначаются преимущественно англоязычными аббревиатурами, соответственно, IPS и IDS [138] Intrusion Prevention System (IPS) и Intrusion Detection System (IDS). , которые могут использоваться как порознь, так и в комбинации. Последние являются больше прерогативой подразделения ОИБ, хотя во многих российских кредитных организациях значительное количество функций ОИБ «исторически» выполняется их подразделениями ИТ, что в подавляющем большинстве случаев чревато повышением уровней компонентов банковских рисков, поскольку даже если специалисты ИТ имеют основательную подготовку в части ОИБ (а это все-таки не всегда так), то происходит чрезмерная концентрация полномочий высокого уровня в одном подразделении кредитной организации.

Руководству высокотехнологичной кредитной организации целесообразно уделять внимание ряду основных аспектов применения в ней информационных технологий, а именно: проектированию, созданию, обеспечению надежности, внедрению, эксплуатации, модернизации, замене банковских автоматизированных систем и систем электронного банкинга, управлению и контролю в области ИТ, а также квалификации персонала, решающего задачи применения ИТ для автоматизации банковской деятельности. Решение всех этих вопросов предпочтительно осуществлять в рамках ИСУ кредитной организации, которая одновременно служит целям контроля эффективности использования ИТ и автоматизированных систем. В отношении электронного банкинга для этого можно воспользоваться обобщенным подходом, к примеру, упомянутой в разделе 3 универсальной рейтинговой системой для информационных технологий (УРСИТ), которая была разработана органами банковского регулирования и надзора США в 1978 г. и модернизировалась до 1999 г., после чего используется, как считается, в «законченном» виде.