18-24 червня 2006 року в Україні було проведено 13-у міжнародну конференцію “Банківські системи і мережі” (Конференція) , одним з організаторів якої був Національний банк України.
На Конференції було розглянуто значну кількість актуальних для банківської спільноти питань, пов’язаних з банківськими технологіями та інформаційно-комунікаційними системами.
Надаємо у Додатку з інформаційною метою Звіт про Конференцію.
ЗВІТ
про 13-у міжнародну конференцію “Банківські системи і мережі”
18-24 червня 2006 року, готельний комплекс “Ялта-Інтурист”
Організатори: Національний банк України, компанія “ЦЕБІТ” (www.cbit.com.ua).
Учасники: представники НБУ, центробанків країн СНД (Казахстану, Білорусі, Таджикистану), понад 40 комерційних банків України та близько 10 комерційних банків країн СНД, понад 80 вітчизняних та зарубіжних компаній, які працюють у галузі інформаційно-комунікаційних технологій.
Кількість доповідей: 65.
Тези найбільш релевантних доповідей для банків
НБУ: Система Електронних Платежів, 2 редакція
Основною поточною задачею НБУ є впровадження СЕП2 - 2-ї редакції Системи Електронних Платежів. Операційною системою СЕП2 буде сімейство Windows. MS DOS для СЕП2 у подальшому не використовуватиметься. Наразі здійснюється дослідна експлуатація СЕП2. У вересні 2006 року буде проведено два тестування за участю всіх банків. З 10.11.2006 планується розпочати промислову експлуатацію СЕП2 (всі комерційні банки одночасно). Інформаційні задачі будуть повністю відділені від платіжних (використовуватимуться два окремі інформаційний та платіжний АРМи). Будуть внесені зміни до відповідних нормативно-правових актів НБУ.
СЕП2 використовуватиме єдину централізовану базу даних (у регіонах АРМ2 вже не буде). Вся обробка інформації здійснюватиметься у центрі (банки підключатимуться до централізованої БД НБУ через найближчі регіональні розрахункові палати). Он-лайновий та оф-лайновий режим здійснення платежів працюватимуть паралельно і надалі. У НБУ бази даних СЕП2 розміщуватимуться на дискових масивах IBM. Передбачається «гаряче» резервування (вул.Інститутська, 9 та пр.Науки, 7). Вже апробовано сервери БД, сервери застосувань, у т.ч. і ті, які використовуватимуться для управління системою.
У НБУ розгорнуто стенд для апробування банками роботи з СЕП2 (без апаратного криптування). Банки вже можуть підключатися до цього стенду.
Апаратний захист передбачає використання смарт-карток та їх зчитувачів (голографічна наклейка зеленого кольору замість пломби).
Основний режим захисту платіжного АРМ НБУ – апаратний (програмний – резервний).
Генератор ключів не мінятиметься. Закритий ключ записуватиметься на смарт-картку і ніколи не виходитиме за її межі. Відкритий ключ сертифікуватиметься. Можна буде зробити резервну копію ключів. Довжина ключа ЕЦП 191 біт (стандарт РСТУ 4150).
Аппаратура захисту СЕП2 у 300 (високошвидкісна) та 10 (звичайна) разів швидша за теперішній АЗЕГО. Всі ЕЦП будуть перевірятися при прийомі файлів #A.
Між областями та Києвом НБУ має канали 448-512 Kbps. У якості резервних використовуються канали Utel та супутникові канали (сигнал кодується).
Державна податкова адміністрація (ДПА) ставить питання про розширення платіжних документів додатковим реквізитом, який має використовуватися при поверненні податку на додану вартість (ПДВ). Але для цього спочатку мають бути внесені зміни до Закону “Про платіжні системи і переказ грошей в Україні” та до Інструкції НБУ щодо безготівкового переказу коштів.
НБУ: інформаційні системи
У НБУ (всього 34 установи) використовуються дві основні інформаційні системи: БАРС-МІЛЛЕНІУМ та SAP R3 (у всіх територіальних управліннях). SAP R3 (наразі mySAP v.4.6, у 2007 р. буде здійснено перехід на ERP2005 – останню версію) використовується для підтримки господарських операцій (у майбутньому буде також контроллінг, планування тощо), BARS MILLENIUM – для платіжних. НБУ планує впровадити централізовану систему управління персоналом та нарахування зарплати (“Аваль”, наприклад, вже нараховує зарплату централізовано). Всього 560 користувачів SAP R3 у всіх територіальних управліннях. Обидві системі “спряжені” між собою. Основна система управління базами даних у НБУ – Oracle. Основні апаратні сервери – Dell (вирішується питання додатково до «гарячого» іще й «теплогого» та «холодного» резервування). На кінець року у НБУ буде створене єдине сховище даних (робота щодо цього триває вже близько 3-х років). Всі отримані від банків звітні дані зберігатимуться у цьому сховищі даних, розроблена спеціальна внутрішна мова для доступу до даних.
Вирішене питання технічної підтримки СУБД Oracle (відділена технічна підтримка від кількості ліцензій!).
19.07.2006 виповнюється 10 років Депозитарію державних цінних паперів (спеціалізоване програмне забезпечення розроблялося у НБУ). Планується реалізувати он-лайновий режим доступу до даних (“поставка проти платежу”).
02.09.2006 виповниться 10 років впровадження гривні. 94% грошової маси було замінено за 2 тижні. У НБУ роботу з готівкою автоматизовано. Є база даних фальшивих банкнот, функціонують потужні сортувальні комплекси банкнот. Ведеться робота щодо автоматизації робіт у сховищі банкнот: відвантаження ящиків з банкнотами тощо.
У НБУ на комп’ютерах, які містять інформацію, яка складає державну таємницю, використовується сертифікований ДСТСЗІ СБУ “Український національний антивірус”.
НБУ планує придбати ПЗ для обмеження прав системних адміністраторів. Альтернативний варіант – давати різним адміністраторам лише частину прав, а не всі кожному.
Центробанк Казахстану впроваджує рішення компанії Temenos (в Укрсоцбанку впроваджується вже протягом двох років).
НБУ вважає, що потрібно мати два різних облікових записи користувачів: один для роботи у локальній мережі, інший – для доступу до Інтернет (бази даних на серверах при цьому мають бути не доступними).
Потрібно розробити та запровадити гармонізовані з міжнародними загальнодержавні стандарти ІТ. До участі запрошуються
також представники провідних світових корпорацій, таких як HP, Microsoft, IBM та ін.
НБУ, інфраструктура ЕЦП
Порядок використання ЕЦП у банках визначається НБУ.
Необхідно створити єдину інфраструктуру електронного цифрового підпису (ЕЦП). Цій темі був присвячений окремий круглий стіл. У банківській сфері ключі ЕЦП використовуються у системах «Клієнт-Банк» вже досить довго (сертифікація таких ключів не є обов'язковою, бо вони використовуються лише двома сторонами, хоч лише ЕЦП, накладені з використанням сертифікованих ключів, прирівнюються до власноручних підписів). Водночас клієнти можуть мати рахунки у різних банках, використовуючи системи «Клієнт- Банк» різних розробників. При цьому кожен банк самостійно надає своїм клієнтам ключі ЕЦП, що призводить до використання одним клієнтом різних ключів на різних фізичних носіях (зафіксовано випадок, коли юридична особа використовувала 14 різних ключів ЕЦП на різних носіях для управління своїми рахунками у різних банках).
Така ситуація викликає занепокоєння у НБУ. Учасники круглого столу обговорили питання щодо створення єдиної інфраструктури ЕЦП для банків та їх клієнтів. Пропонується створити при НБУ єдиний Центр сертифікації ключів (ЦСК) банків [всіх фінансових установ?] та їх клієнтів. Єдиний ключ, за переконанням представників НБУ та банків-учасників круглого столу, дозволить банкам та їхнім контрагентам значною мірою спростити електронний документообіг. Адже тоді єдиний унікальний ключ може використовуватись не лише у системах «Клієнт-Банк», а й для надання банками та їх клієнтами юридично значимої електронної інформації державним органам (Держфінмоніторинг, ДПА, Державна митна служба, Держфінпослуг та ін.) тощо.
Створення єдиного ЦСК є найбільш актуальним для малих та середніх банків, які не зможуть дозволити собі створення власних центрів сертифікації, оскільки це потребує значних фінансових вливань. З іншого боку, уніфікація ключів ЕЦП може стати проривом для упровадження в Україні електронного документообігу, який має юридичну силу. Банківська система Польщі вже має подібний досвід.
В Україні вже акредитовано 4 ЦСК, зокрема, у Укрексімбанку. Процедура видачі сертифіката ключа ЕЦП іще не достатньо формалізована, а сам сертифікат не відповідає міжнародним вимогам X.509(йдеться про поля).
Максимальна вартість сертифіката ключа в Україні наразі не може перевищувати 150 грн. (було 750 грн.).
НБУ: моніторинг інформаційних систем
Інформаційні технології (ІТ) у банках перебувають у підлітковому віці (дитячий вже переросли).
Основні тенденції розвитку ІТ у банках:
- перехід від окремих задач до інтегрованих рішень;
- розширення інфраструктури призводить до втрати контролю за її керованістю;
- недостатня взаємодія між бізнес- та ІТ-підрозділами.
Основні функції системи моніторингу та управління інфраструктурою у НБУ:
управління мережевою інфраструктурою, інвентаризація, підтримка роботи сервісного центру, управління базами даних, резервне копіювання (дані та програмне забезпечення), контроль за прикладними задачами тощо.
НБУ має намір до кінця І кварталу 2007 року закінчити упровадження модульної системи моніторингу й управління своєю технічною та інформаційною інфраструктурою Тigеr, розробником якої є ізраїльська компанія Аvalon.net. Центробанк Росії використовує з цією метою HP Open View вже протягом 7 років, є проблеми.
НБУ: сховище даних
У НБУ підтримується корпоративне сховище даних, куди завантажуються всі первинні дані від банків протягом вже майже 4-х останніх років. Лише деякі користувачі наразі мають доступ до нього.
Проблемні питання:
1. Виникають неузгодженості у взаємовідносинах між бізнес- та ІТ-підрозділами. Для їх усунення розроблено спеціальну мову доступу до даних сховища для бізнес-підрозділів.
2. Має місце розрідженість OLAP-кубів, тому що банки надають НБУ лише 2-3% економічних показників.
У НБУ проходить тестування аналітичний пакет програм Macro Strategy, який вже використовується у багатьох [вітчизняних] банках. Пакет Macro Strategy працює з даними на порядок швидше, ніж інші подібні продукти.
Наразі у банках для формування звітності використовується, зокрема, АРМ “Newstat”, розроблений у НБУ. У подальшому від нього, певне, потрібно буде відмовитися.
ЦЕБІТ: міжнародні стандарти інформаційної безпеки
Є Стандарт ISO 27001:2005 (EC 17799)щодо управління інформаційною безпекою. НБУ планує запровадити цей стандарт безпеки (у першу чергу для СЕП2). Для розвитку банківських технологій потрібно використовувати кращі практики та стандарти.
Є серія стандартів ISO 2700x щодо ризиків.
Ризик = Pзагрози * Pвразливості * ціна втрати, де P - ймовірність.
Основний принцип захисту: ціна захисту має бути меншою ціни можливої втрати.
Аудит [безпеки] має проводитися не взагалі, а завжди конкретно щодо чогось. Аудит – процедура періодична. Є міжнародні структури, які можуть проводити такий аудит. Аудит має проводитися на базі затвердженого технічного завдання (ТЗ).
IBM: ІТ-стратегія у банку
Стратегія ІТ - це погоджений з бізнес-стратегією концептуальний план розвитку інформаційних технологій, реалізація якого має забезпечити:
- управління розвитком ІТ відповідно до перспективних цілей бізнесу (3-5 років);
- ефективність інвестицій у розвиток ІТ;
- ефективне використання ІТ користувачами;
- взаємодію вищого керівництва та менеджерів ІТ при розв’язанні задач бізнесу;
- розвиток ІТ з врахуванням територіального масштабу бізнесу.
Основною стратегічною задачею ІТ є підтримка досягнення довгострокових цілей та вирішення оперативних задач бізнесу за рахунок:
- реалізації проектів впровадження інформаційних систем та технологій для забезпечення досягнення конкурентних переваг та економічної вигоди;
- всебічної інформаційної підтримки бізнес-діяльності, забезпечення ефективного управління наданням банківських послуг, а також підтримки допоміжних процесів;
- постійного вдосконалення організації служб ІТ з точки зору ефективності, продуктивності та оптимізації витрат.
Стратегія ІТ має відповідати бізнес-стратегії компанії.
На розробку стратегії ІТ у банку достатньо 12 тижнів.
Вигоди від реалізації стратегії ІТ:
- координація та узгодженість стратегічних бізнес-цілей та напрямків розвитку ІТ та систем;
- використання нових технологічних можливостей, які забезпечують конкурентні переваги у бізнесі;
- наявність сучасних і надійних засобів ІТ та комунікацій, які виконують свою функцію у «потрібному місці і у належний час»;
- оптимізація витрат, підвищення якості та ефективності ІТ за рахунок удосконалення організації управління діяльністю служби ІТ;
- забезпечення належного рівня прозорості господарської діяльності;
- більш повне задоволення наявних та перспективних вимог бізнесу до ІТ;
- більш повна інтеграція, оптимізація та підтримка основних та допоміжних бізнес-процесів;
- підвищення ефективності ІТ за рахунок стандартизації та уніфікації процесів, даних, інформаційних систем та елементів технологічної інфраструктури;
- підвищення виробничої культури співробітників за рахунок використання сучасних ІТ та систем.
Microsoft: оптимізація ІТ-інфраструктури у банку
Проблеми ІТ-інфраструктури:
- неготовність до впровадження нових систем підтримки бізнесу («операційний день», філіальна структура);
- низький рівень повернення вкладених коштів (ROI);
- відсутність стратегії розвитку, динаміки росту організації;
- слабка автоматизація процесів управління та, як наслідок:
- високі витрати на обслуговування, висока сукупна вартість володіння (ТСО);
- значний час реакції на проблеми;
- низький рівень доступності сервісів;
- низький рівень безпеки.
У світі 70% витрат на ІТ йде на підтримку обладнання та програмного забезпечення, а 30% на її оновлення (в Україні відповідно 95% та 5%).
Модель оптимізації інфраструктури ІТ:
- визначення рівня «зрілості» ІТ інфраструктури за ключовими службами та процедурами;
- стандартизація служб та сервісів організації, спрощення інфраструктури;
- зниження сукупної вартості володіння (ТСО);
- підвищення рівня безпеки;
- підвищення рівня готовності до впровадження нових бізнес-застосувань;
- створення точного плану переходу від одного рівня до іншого.
Є 4 рівні інфраструктури ІТ: базовий, стандартний, раціональний, динамічний. До уваги беруться: авторизація доступу, безпека, адміністрування, моніторинг, живучість тощо. В Україні на 3-у та 4-у рівнях банки практично не представлені.
Компанія TCG: Впровадження у банках міжнародного стандарту якості ISO 9001:2000
Стандарт ISO 9001:2000:
- визначає вимоги до систем менеджменту;
- забезпечує надання послуг відповідно до вимог клієнтів та у відповідності з обов’язковими вимогами;
- спрямований на підвищення задоволеності клієнтів.
Принципи менеджменту відповідно до стандарту ISO 9001:2000:
1.Орієнтація на клієнта.
2.Лідерство керівника.
3. Залучення працівників.
4.Процесний підхід.
5.Системный підхід до менеджменту.
6.Постійне вдосконалення.
7.Прийняття рішень, базованих на фактах.
8.Взаємовигідні стосунки з клієнтами.
Чому потрібно впроваджувати:
- вимоги міжнародних органів;
- вимоги НБУ до рівня менеджменту кредитних установ, як до одного з критеріїв оцінки їх надійності;
- зростаючі вимоги клієнтів до рівня та якості надаваних фінансових послуг.
Є Постанова Кабміну про впровадження міжнародних стандартів управління у державних органах. Вступ до СОТ також вимагатиме впровадження міжнародних стандартів якості.
Лабораторія Касперського: антивірусне програмне забезпечення KAV
Кількість вірусів стрімко зростає. У 2005 р. у світі щодня фіксувалося близько 140 нових вірусів, у 1998 році – всього 15. Останнім часом зростає кількість вірусів для операційних систем Linux (всього вже близько 800), MacOS та інших.
KAV є одним з лідерів антивірусного ПЗ. Використовується, зокрема, у НБУ, Ощадбанку, Фонді держмайна, ТАС-Комерцбанку тощо. KAV for Windows Workstations 5.0 має сертифікат ДСТСЗІ СБУ. KAV розрізняє спам (російський - 98%, англійський – 95%). Покажчик розкриття вірусів складає для KAV – 99,98%. Підтримуються різні типи файлів та пакерів.
Оновлення антивірусних баз здійснюється 1 раз на годину, антиспам-баз – що 20 хвилин.
KAV не є найповільнішим антивірусом у світі (це міф).
Є багато різних рішень для різних платформ.
Автор: інфраструктура ключів ЕЦП (PKI)
Компанією створено ЦСК «CryptoKDC».
Основні функції ЦСК:
- ініціалізація ключових елементів захисту;
- генерація та сертифікація ключової інформації;
- розподіл сертифікатів, часових міток, списків відгуків;
- формування та перевірка ЕЦП;
- шифрування даних;
- підрахунок хеш-функції;
-авторизація користувачів у системі;
- взаємодія з прикладним ПЗ;
-аудит.
Носіями ключової інформації є смарт-картка або Secure Token.
Компанією розроблена система контролю доступу “CryptoGuard”, яка використовує смарт-картки для авторизації доступу до робочих станцій.
Розробили “УкрКОС” – карткову операційну систему для смарт-карток, яку, зокрема, використовує НСМЕП.
Система захисту компанії використовується у багатьох системах “Клієнт-Банк”.
Розробили програму підпису та шифрування електронних документів “CryptoSign”, основними функціями якої є:
- генерація таємного та відкритого ключів користувача;
- підписання/перевірка електронних документів;
- шифрування/розшифрування електронних документів;
- створення та передача запиту на формування сертифікату користувача;
-отримання та перевірка сертифікатів ;
- формування та передача запитів на блокування, відміну та поновлення дії
сертифікатів користувача.
Програма працює під ОС сімейства Windows 2000/XP/NT.
Компанія працює над проектом мобільних платежів для НСМЕП.
Експрес-Банк: соціальна картка
Реалізується на базі дуальної (з контактним та безконтактним інтерфейсами) смарт-картки НСМЕП. Безконтактний чіп картки використовується для ведення обліку на транспорті. Контактний чіп картки містить два застосування (додатки): банківський та соціальний.
Банківське застосування:
- зарахування грошової допомоги;
- безготівкові банківські розрахунки з можливістю отримання кредиту;
- нарахування відсотків на залишки на рахунках;
- високий рівень захисту – технологія чіп + PIN.
Соціальне застосування:
- облік наданих пільгових послуг;
- альтернатива посвідчення пільговика (візуальне та електронне – носій коду регіону-району, ідентифікаційного номеру, фото, ПІБ власника, коду категорії пільговика та різновиду пільги, коду банку, який здійснив емісію);
- технологія ДКВО - посилення контролю за цільовим використанням бюджетних коштів;
- повний державний контроль всіх виплат та розрахунків.
Впровадження соціальної картки на базі НСМЕП має забезпечити:
- удосконалення механізму надання адресної допомоги, покращання якості надання пільг, житлових субсидій та інших соціальних послуг;
- впровадження уніфікованих підходів до визначення розміру видатків державного, місцевих бюджетів та відшкодування витрат підприємствам, що надають пільгові послуги;
-можливість регіонального користуватися пільгами та іншими соціальними послугами в разі подорожі та тимчасового проживання громадян в інших областях, районах і містах України;
-підвищення ефективності контролю за цільовим використанням бюджетних коштів на реалізацію державних соціальних програм;
-моніторинг у сфері праці, зайнятості, загальнообов'язкового державного соціального страхування, пенсійного забезпечення, соціального захисту та обслуговування населення;
-аналіз та прогноз розвитку процесів у соціально-трудовій сфері у розрізі кожного населеного пункту району, міста та в цілому по області;
-забезпечення прозорості проходження коштів з бюджетів різних рівнів від громадянина - отримувача пільги до надавача послуг;
-впровадження автоматизованих технологій узагальнення оперативної та звітної інформації;
-створення системи контролю компенсаційних розрахунків за витратами підприємств надавачів пільгових послуг;
-економія та раціональне використання соціальних бюджетних коштів;
-збільшення надходжень податків до державних та місцевих бюджетів.
Інші: акцент - на роздріб
Взагалі 65 доповідей, які були зроблені за 5 днів конференції, відобразили тенденцію руху банків до ритейлу. Зокрема, чимало уваги було приділено картковим продуктам. Значна частина доповідей була присвячена вдосконаленню банківської інфраструктури ІТ: системам моніторингу й управління, інформаційної безпеки тощо.
Зокрема, компанія «BIFIT» презентувала сучасну багатоканальну платформу електронного банкінгу іВапк 2 UA для холдингів, яка дає можливість створити єдиний центр фінансового контролю, централізовано здійснювати корпоративне бюджетування та запровадити додаткові сервіси типу «корпоративний клієнт», «банківський асистент», а також підтримувати зарплатні проекти.
Новітні телекомунікаційні рішення були представлені такими компаніями, як Квазар-Мікро, Аlcatel, Nortel, Siemens, Cisco, ZyXEL та ін. Особливу увагу привертали доповіді стосовно забезпечення захисту критичної банківської інформації, мінімізації витрат від шахрайства, зокрема, з використанням платіжних карток.
Список скорочень:
АЗЕГО – апаратура захисту електронного грошового обігу
АРМ – автоматизоване робоче місце
БД – база даних
ДПА – Державна податкова адміністрація
ДСТСЗІ СБУ – Департамент спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України
EC – European Community (Європейський Союз)
ЕЦП – електронно-цифровий підпис
ІКТ – інформаційно-комунікаційні технології
ІТ – інформаційні технології
ISO – International Standard Organization – Міжнародна організація стандартів
KAV – антивірусні програми “Лабораторії Касперського”
MS DOS – операційна система компанії Microsoft - попередниця Windows
НБУ – Національний банк України
НСМЕП- Національна система масових електронних платежів
OLAP – On-line analytical processing (он-лайнова аналітична обробка інформації)
ОС – операційна система
PIN – Personal identification number (ПІН-код)
PKI – public key infrastructure (інфраструктура відкритих ключів ЕЦП)
ПЗ – програмне забезпечення
ROI – Return on investments (прибутковість інвестицій)
СЕП – система електронних платежів
СНД – Співдружність незалежних держав
СОТ – Світова організація торгівлі
СУБД – система управління базами даних
ТСО - Total cost of ownership (сукупна вартість володіння)
ЦСК – центр сертифікації ключів
Windows – сімейство операційних систем компанії Microsoft
Примітка: файли з презентаціями можуть бути, у разі потреби, отримані у Асоціації українських банків (контактна особа: В.Степаненко, Ця електронна адреса захищена від спам-ботів. Вам необхідно увімкнути JavaScript, щоб побачити її.) чи на cайті компанії “ЦЕБІТ”.
Укр 
Eng 
