Введение

С каждым годом в банковской сфере все больше внимания уделяется вопросам информационной безопасности, что вполне объяснимо: ведь банковский бизнес является одним из наиболее активных пользователей современных информационных технологий и ИТ-решений, а значит, возникает и проблема информационной защиты.

Очевидно, что клиенты любого банка должны быть уверены, что с банком можно работать в долгосрочной перспективе. Но отсюда возникает и другой вопрос: как оценить такую перспективу? Для таких оценок в мировом банковском сообществе существует общепринятое соглашение Basel II («Международная конвергенция измерения капитала и стандартов капитала: новые подходы»). Данный норматив определяет систему оценки рисков, с которыми банки сталкиваются в своей деятельности — кредитных, рыночных и операционных. Более того, под все эти риски необходимо резервировать капитал.

Одним из эффективных методов снижения кредитных рисков является система кредитных бюро. Которые могут действовать как частные или государственные. В РБ принят второй путь. Рассматриваемый в настоящее время закон о кредитных историях также показывает актуальность данной темы.

Реализация системы кредитных бюро невозможна без IT, при этом необходимо особое внимание уделить информационной безопасности, конфиденциальности сведений, хранимых в бюро.

Очень важно проанализировать опыт других стран, в частности опыт России. Имеется достаточно интересная система и концепция информационной безопасности, применяемая в этой стране.  

 При этом следует учитывать, что специфика банковской деятельности состоит в постоянной работе с информацией и данными. Другими словами, вопросы ИТ-безопасности напрямую связаны с операционной эффективностью и конкурентоспособностью банка. Все это позволяет утверждать, что угрозы ИТ-безопасности (прежде всего, действия инсайдеров) представляют собой самый весомый компонент операционных рисков.

Кроме того, банкам, особенно работающим в сфере обслуживания частных лиц, следует в своей деятельности исполнять требования Федерального Закона «О персональных данных», вступившего в силу в 2007 году. В соответствии с этим нормативным актом все юридические и физические лица, хранящие или обрабатывающие персональные данные других граждан, обязаны обеспечить конфиденциальность этой информации

Интересное решение представляет собой продукт DeviceLock, разработанный российской компанией ЗАО “Смарт Лайн Инк”, предназначенный для корпоративных пользователей; может быть средством исполнения требований стандартов.

Глава 1 (обзор литературы)

Одним из главных источников по информационной безопасности являются стандарты  информационной безопасности в банковской сфере и средства их исполнения. Среди них можно выделить достаточно специфичные и редкодоступные стандарты и инструкции

· Financial Data Formats. Спецификация SWIFT и Domestic (14:02 13/02/2009)

· SWIFT RUR. Форматы и правила использования. Версия 6 (09:59 16/02/2009)

· ГОСТ Р ИСО/МЭК 10116-93 ИТ. Режимы работы для алгоритма N-разрядного блочного шифрования (Ксерокопия оригинала) (11:14 23/07/2008)

·Инструкция по использованию международной информационной сети Интернет (11:32 31/05/2008)

Законодательные акты РБ и РФ дают представление об актуальных вопросах применения IT в банковской сфере.

· Федеральный закон об электронной цифровой подписи. №1-ФЗ от 10 января 2002г. (11:43 31/05/2008)

· ФЗ "О лицензировании отдельных видов деятельности" от 25 сентября 1998г N 158-ФЗ (10:17 11/06/2008)

·ФЗ РФ "О государственной тайне". 21 июля 1993 года N 5485-1 (16:55 09/06/2008)

· Преступления в сфере компьютерной информации. Выписка из УК РФ (17:28 09/06/2008)

· "О сертификации средств защиты информации". Постановление Правительства РФ от 26.06.1995 N 608 (ред. от 17.12.2004) (12:25 10/06/2008)

CNews.ru – интернет представительство органа, занимающегося экспертными оценками рыночных показателей банковской отрасли.

Владимир Гайкович, генеральный директор НИП "ИНФОРМЗАЩИТА", считает, что у банковских подразделений информационной безопасности пока слишком короткие руки

Многие банковские и финансовые структуры изначально имели собственные службы, контролирующие вопросы безопасности (в том числе и информационной). Насколько активно эти структуры сегодня готовы к аутсорсингу данного вида работ? Практически в каждом банке существует собственная служба безопасности. Эта служба, как правило, обеспечивает любую безопасность, за исключением информационной, - защиту помещений, хранилищ наличных денег, организацию пропускного режима, инкассацию, возврат кредитов и т.д. С информационной безопасностью (ИБ) все несколько сложнее. Отдельная служба по обеспечению ИБ есть далеко не у каждого банка или инвестиционной компании. Хотя в течение последних полутора лет мы наблюдаем отрадную тенденцию. Все больше и больше банков создают в своей структуре подразделение, отвечающее за обеспечение именно информационной безопасности (ИБ). Но, как любой новорожденный, такое подразделение имеет большую голову и короткие руки. То есть они могут думать об организации ИБ все что угодно, но своего бюджета на обеспечение ИБ у них, как правило, нет и ничего самостоятельно они сделать не могут. В большинстве случаев, им отводится роль исполнителей чужих распоряжений.

Сейчас уже очевидно, что создать квалифицированную службу информационной безопасности в любой структуре достаточно тяжело. И банки здесь не исключение. Поэтому банки стоят перед нелегким выбором - либо делать все самим, либо какую-то часть работ отдавать сторонним организациям (аутсорсинг). Здесь все зависит от целеполагания. Если интересует экономия средств - первый вариант имеет явные преимущества. Если же важнее сроки и результат - то второй вариант предпочтительнее.

В аутсорсинге явно прослеживаются две основные тенденции. Постепенно увеличивается спрос банков на консалтинговые услуги, особенно в части анализа состояния безопасности технологических процессов. Оно и понятно - слишком велика цена ошибки при построении системы информационной безопасности. Спрос же на удаленное управление средствами защиты, то, что на Западе именуется "Managed Security Services", пока незначителен. Банки пока не готовы отдать собственные средства защиты в руки представителей сторонних организаций.

Наибольшим и устойчивым спросом на протяжении последних лет пользуются решения в области ЭЦП (электронная цифровая подпись). В основном по причине широкого использования системы "Банк-Клиент" и ускорения оборота платежных документов. Пока еще потребность банков в оказании им услуг по ЭЦП полностью не удовлетворена и, скорее всего, в течение следующих нескольких лет эти решения будут наиболее популярны в банковском секторе.

Катализатором роста спроса на решения в области ЭЦП вполне может стать "Закон об ЭЦП". Во всяком случае, количество обращений к нам по поводу организации удостоверяющих центров возросло в разы, если не на порядок. Если эти обращения перерастут в реальные контракты - тогда можно будет говорить о явной тенденции.

Вполне устойчив спрос на решения по защите телекоммуникационной инфраструктуры : межсетевые экраны, средства организации VPN, системы обнаружения атак. Причинами этого являются появление услуг, предлагаемых банками через Internet, и расширение филиальной сети банков. Скорее всего, эта тенденция не изменится еще несколько лет.

Как я отмечал ранее, средним устойчивым спросом последние два года пользуются консалтинговые услуги, особенно в части проектирования подсистем информационной безопасности.

В фазе формирования находится спрос на решения по интегрированному управлению средствами защиты. Мы предполагаем его рост в следующие несколько лет.

По мнению начальника управления сопровождения LANDesk Management Suite современный банковский бизнес - это, прежде всего, качество обслуживания и обширный спектр услуг. Утверждение, что информация и есть бизнес, как нельзя лучше описывает его специфику. Практически любую банковскую операцию, за исключением механических, можно описать на языке программирования, поскольку открытие счёта, приход или расход, кредит или выпуск пластиковой карты – суть перемещение битов информации.

В силу такой специфики финансовые учреждения наиболее восприимчивы к технологическим новшествам в информационных технологиях, являясь наиболее требовательным заказчиком как для программных средств, так и для аппаратных платформ.

Какие требования выдвигают сегодня финансовые учреждения к качеству обслуживания своих клиентов?

Банк должен предлагать уникальные услуги или стоимость предоставления равнозначных услуг должна быть ниже – клиент должен понимать, что пользуется самым выгодным предложением на рынке.

Услуги банка должны быть «не зависимы от положения солнца» – предоставляться на максимально возможной территории и не зависеть от часового пояса, в котором находится потребитель услуг (клиент). Очень хорошим примером здесь может служить процессинг пластиковых карт – услуга, требующая мобилизации всего ИТ потенциала банка. Клиент банка (розничный, а все крупнейшие банки предоставляют розничные услуги, кроме того, розничный клиент - самый «сложный» клиент) рассчитывает получить обслуживание в любом банкомате, находящемся на минимальном удалении.

Банковские услуги должны предоставляться с постоянным качеством. Клиент начинает нервничать, если не получает отклика от системы слишком долго, и уходит к конкурентам, если не получает ожидаемую услугу совсем.

С точки зрения клиента, банк – это Интернет, который всегда есть, который везде есть и в котором всё есть.

Это очень серьёзные требования для ИТ инфраструктуры, поддерживающей работоспособность банка. Информационная система, способная к предоставлению услуг такого уровня должна обладать такими важнейшими свойствами как надёжность, масштабируемость и гибкость.

Компания «Ай-Теко» на протяжении всего своего существования очень тесно работает со многими российскими банками. В их числе, Центральный банк, Сберегательный Банк РФ, Газпромбанк и целый ряд других. За годы совместной работы у нас сформировалось твёрдое убеждение в том, что сегодня Заказчики отходят от практики покупок коробочных продуктов.

Все вышеперечисленные требования по существу являются бизнес-задачами, которые банк ставит перед своими ИТ специалистами и решение для которых мы, как системные интеграторы, должны предоставить. Решением для них могут служить только программно-аппаратные комплексы – совместный продукт интегратора, разработчика прикладного ПО и производителей системного ПО и аппаратной платформы. Решение находится здесь:  на стыке программной и аппаратной части.

Современная банковская информационная система должна обладать такими важнейшими качествами как:

· способность предоставлять свои услуги максимально возможное количество времени и с постоянным уровнем качества;

· способность быстро реагировать на изменяющуюся конъюнктуру рынка и генерировать новые услуги;

· быть готовой к приёму новых клиентов (иногда к взрывному количеству, если речь идёт, например, о слиянии нескольких филиальных сетей).

Основная задача современных информационных систем – максимально полно удовлетворить этим жёстким требованиям при этом, обеспечив минимальную стоимость владения решением. Существует несколько способов её снижения. Во-первых, это снижение затрат на приобретение решения. Во-вторых, снижение стоимости администрирования системы и повышении качества управления. В-третьих, снижение эксплуатационных расходов.

Общим (но не единственным) решением для всех трёх способов является использование для построения информационной системы стандартизированных блоков. Стандартизированные компоненты имеют набольшее распространение, всегда на рынке труда имеется в наличие достаточное количество квалифицированного обслуживающего персонала. В дополнении, они обладают повышенными эксплуатационными характеристиками и обладают высокой ремонтопригодностью – доступен обширный парк запасных частей.

Всеми этими свойствами в полной мере обладают продукты основанные на технологиях мировых лидеров ИТ индустрии – компаний Intel, HP и Microsoft. Intel – признанный мировой лидер в производстве процессоров, HP – ведущая компания по выпуску систем на основе процессоров Intel. Microsoft – крупнейший производитель программного обеспечения.

Однако эта команда не была бы полной без российских компаний разработчиков специализированного банковского прикладного программного обеспечения и системных интеграторов – поставщиков комплексных решений, отвечающих перед Заказчиком за конечный продукт. Эти компании образуют единую экосистему, взаимодействие между которыми порождает порой уникальные решения.

С какими проблемами сталкиваются сегодня наши заказчики из банковского сектора?

Проанализируем требования, которые современные банки предъявляют к своим информационным системам, о которых я упоминал ранее.

Способность предоставлять услуги максимально возможное количество времени и с постоянным уровнем качества. Здесь речь идёт об устойчивости прикладного и системного программного обеспечения и безотказной работе аппаратной платформы.

Способность быстро реагировать на изменяющуюся конъюнктуру рынка и способность генерировать новые услуги. Средство достижения этой цели кроется в модульности прикладного программного обеспечения, его способности быстро интегрировать новый функционал в существующую вычислительную среду.

И, наконец, быть готовой к приёму новых клиентов – система должна в идеале иметь способность к неограниченному расширению.

Можно ли решить эти задачи, используя лишь стандартные отраслевые компоненты? Опыт нашей компании подсказывает, что основе продуктов Microsoft можно строить надёжные, гибкие и масштабируемые информационно-вычислительные среды.

Одним из примеров построения такой среды является универсальная многоцелевая АБС «Гамма», разрабатываемая в Сбербанке РФ.

АБС «Гамма» является собственной разработкой Сбербанка РФ – имеет смешанную модульную архитектуру и построена с использованием стандартных технологий языка SQL на базе СУБД Microsoft SQL Server 2000. Система содержит более десятка полуавтономных модулей (Главная бухгалтерская книга (ГБК), центральная межбанковская расчётная система (ЦМБР), расчётно-кассовое обслуживание (РКО), система кредитования и др.), центральную базу данных SQL и проектируется на обработку 5 млн. документов в сутки. Взаимодействие этих модулей осуществляется через центральную базу данных. Такая модульная архитектура позволяет разрабатывать и подключать новые модули, обеспечивая необходимую функциональную гибкость.

АБС размещается на отказоустойчивой кластерной конфигурации, узлами которой являются серверы стандартной архитектуры, и разделяемой дисковой подсистеме, на которой разворачивается центральная база система. Комплекс работает под управлением Microsoft Windows Server 2003 Enterprise edition (конечный продукт будет работать под Datacenter edition) и СУБД SQL Server 2000. Кластерные службы, входящие в стандартный пакет поставки ОС защищают АБС от сбоя одного из узлов. Кластер может работать в двух режимах: active-active (с динамическим распределением нагрузки) и active-standby (один узел активный – второй резервный). Дисковая подсистема подключена к сети хранения данных, построенной на высокоскоростных и безопасных оптических протоколах FC, при этом обеспечивается множественные пути доступа данных к дискам. Аппаратная конфигурация построена так, что отсутствует единая точка отказа. При потере одного из узлов кластерная служба осуществляет перенос пользователей на оставшийся узел. Таким образом, достигается максимальное время доступности приложений и данных и обеспечивается безотказная работа всего комплекса.

Компания «Ай-Теко» проводила полномасштабные испытания сразу нескольких модулей АБС «Гамма». Основные цели, которые преследовало это тестирование: проверка функционала, определение потенциально узких мест, замеры производительности и выработка для разработчиков методик оптимизации исходного кода.

Тестирование проводилось на 2-х процессорных серверах производства HP линейки ProLiant с процессорами Intel Xeon. После завершения тестирования производительности этих системах были проведены испытания на 64-х разрядной платформе (к тому времени уже существовали тестовые версии для разработчиков приложений программных продуктов Windows.net Server и SQL Server2000 64-bit edition beta). Результат во многом был для нас неожиданным. Все ожидали увеличения производительности, но результаты оказались одинаковыми

Попытки устранить отставание, предпринятые командой специалистов компаний «Ай-Теко» и Microsoft не дали результатов. Однако решение пришло с неожиданной стороны – компания Microsoft выпустила SQL Server2000 64-bit edition RC. Эффект от установки последней версии ПО оказался впечатляющим. Производительность решения выросла в 15 раз, и результаты значительно превысили показатели, полученные на серверах ProLiant.

Большинство корпоративных заказчиков работают на 64-х разрядных платформах, поэтому 64-х разрядную архитектуру Intel оценивают как перспективную. Важнейшим преимуществом любой 64-х разрядной платформы является прямая адресация большого объёма оперативной памяти. Всё большее количество заказчиков эксплуатируют приложения, требующие для работы объём ОЗУ больший, чем 4 ГБ (максимально возможный объём, адресуемый 32-мя битами). Кроме этого, существуют ограничения не позволяющие использовать на 32-х битных системах большое число процессоров, а современные корпоративные банковские информационные среды требуют всё большую вычислительную мощность для приложений работающих под управлением ОС Windows.

Все эти проблемы на сегодняшний день успешно преодолены – существует Windows Server 2003 (в редакции Enterprise и Datacenter) и СУБД SQL Server 2000 для платформы IA-64. Эта операционная система позволяет напрямую адресовать не менее 512 ГБ памяти и поддерживать до 64-х процессоров Itanium2. Такая масштабируемость может предложить невиданную мощность для корпоративных Windows сред. Это открывает перед компаниями, использующими программные продукты Microsoft прекрасные возможности по консолидации серверов и приложений, предоставляя для решения этой важнейшей задачи необходимый уровень производительности.

Мы видим огромный интерес рынка к решениям на этой платформе. О серьёзности подхода мировых компаний производителей свидетельствуют тесты TPC-C. С середины мая до конца июля этот престижнейший список для некластеризованных систем возглавлял 64-х процессорный сервер Integrity Superdome производства компании HP. Все 64 процессора Itanium2 и 512 ГБ оперативной памяти этой мощнейшей системы работали под управлением 64-х разрядной операционной системы Microsoft Windows Server 2003 Datacenter Edition. В качестве СУБД использовался 64-х разрядный SQL Server 2000. Система впервые преодолела рубеж в 700 000 tpm и показала прекрасные показатели по соотношению цена/производительность – лучший на тот момент результат. Это хорошая новость. Впервые такой результат был получен с использованием «открытых» стандартных технологий.

На базе компании «Ай-Теко» действует Центр компетенции по решениям на основе продуктов Microsoft по двум направлениям: Центры обработки данных и Консолидация. Открытие центра компетенции – подтверждение опыта компании по этим направлениям. Центр компетенции обладает необходимым набором аппаратного и программного обеспечения необходимого для проведения представления решений, обеспечения пилотных проектов, проведения проектов proof-of-concept. Немалую надежду возлагают на разработчиков программного обеспечения, для которых предоставляются эти ресурсы бесплатно для проведения тестирования и оптимизации ПО.

Центр компетенции по передовым серверным платформам Intel, первый подобный центр открытый в России компаниями «Ай-Теко», HP и Intel ещё в ноябре 2001 года нуждается в представлении. Центром компетенции проведено более 20-ти проектов портирования программного обеспечения на аппаратную платформу IA-64 и оптимизации для использования на системах использующих процессоры, поддерживающе технологию Hyper-Threading. Специалистами центра компетенции разработаны уникальные методики миграции приложений, оптимизации программного кода, функционального и нагрузочного тестирования приложений. В лабораториях имеется необходимый набор аппаратных средств, которые готовы к использованию, в том числе и на удалённых площадках.

Примером может послужить портирование на платформу IA-64 пакета для процессинга пластиковых карт DUET компании BGS Smartcard. Этот программный продукт построен на основе СУБД SQL Server 2000 компании Microsoft. Миграция прошла успешно, и функциональное тестирование подтвердило идентичность версий для 32-х и 64-х разрядных версий.

В интересах Сбербанка РФ, совместно с компанией Технос-К, ведутся работы по портированию ПО филиала на платформу IA-64.

Мы всегда уделяли много внимания работе с разработчиками прикладного ПО. В середине сентября состоялось первое заседание Клуба российских разработчиков программного обеспечения, прошедшее при активном участии Центра компетенции компании «Ай-Теко». На клубном обсуждении были затронуты такие животрепещущие вопросы, как необходимость взаимодействия между поставщиком программной и аппаратной частей решения, предоставление разработчикам технической экспертизы по аппаратной части, тонкая настройка параметров среды для обеспечения максимальной производительности программного обеспечения и целый ряд других. Создание такого клуба стало ещё одним шагом на пути предложения нашим заказчикам оптимального со всех точек зрения решения.

До настоящего момента я касался только 2-х продуктов компании Microsoft: операционной системы и СУБД, и это не случайно. Связка ОС + СУБД традиционно считается основой для бизнес-среды. Однако, современная корпоративная (в том числе и банковская) информационная система это не только, так называемый back end – тяжёлые системы, на которых работают бизнес приложения. Microsoft предлагает мощный пакет программного обеспечения для решения широкого спектра задач. Это и всем известные офисные приложения, приложения для обмена электронными сообщениями, средства повышения эффективности бизнеса, организации безопасного доступа и многое другое. Все эти продукты так или иначе используют язык XML лежащий в основе технологии Microsoft.net. На базе этой технологии разработан пакет серверных продуктов надёжных и масштабируемых в той степени, которая необходима для использования в современных корпоративных средах.

В качестве основного метода исследования используется диалектический метод теории познания, который предполагает использование анализа и синтеза, индукции и дедукции и других аналогичных методов.

В качестве инструмента широко используется интернет, в частности Поисковые машины, среди которых Google, yandex и др.

Для поиска информации использовались информационные системы Национальной библиотеки, фундаментальной библиотеки Белорусского государственного университета.

В реальной работе все вышеназванные ресурсы показали высокую эффективность, доступность.

Глава 2 (основные результаты).