|
|
Обзор подготовлен
Пожалуй, главными документами, влияющими на ИТ-ландшафт банков в 2011–2012 гг., стали следующие. Во-первых, в октябре 2010 г. вышла вторая версия стандарта защиты информации PCI DSS для компаний, которые обрабатывают, передают или хранят данные о владельцах банковских карт. Во-вторых, к 2014 г. российские банки обязаны выполнять требования Базель-II. В-третьих, 27 июня 2011 г. вышел закон №161-ФЗ "О национальной платежной системе". Хотя участники рынка называют его "сырым", однако закон не только формулирует новые понятия, но и обрастает новыми уточняющими документами. Весь этот набор венчает новая редакция закона №63-ФЗ "Об электронной подписи". Все вместе, по-видимому, это приведет к росту инвестиций в банковскую ИТ-инфраструктуру.
Среди всех перечисленных законодательных и регуляторных документов новая версия стандарта оказывает минимальное влияние на ИТ-инфраструктуру банков. Александр Колыбельников, продакт-менеджер по информационной безопасности компании "Микротест", поясняет, что правила носят характер уточнений и разъяснений, убирают двусмысленности в тексте. "Многие изменения направлены на упрощение жизни пользователей и не потребуют внедрения дополнительных средств защиты и изменения организационно-распорядительной документации. Максимальное воздействие, которые они могут оказать – это проведение переконфигурации ранее установленных средств защиты информации", – отмечает он.
В 2004 году Базельский комитет по банковскому надзору выпустил документ под названием "Международная конвергенция измерения капитала и стандартов капитала: уточненные рамочные подходы". Российские банки начали работу по переходу на описанные в Basel II новые стандарты в 2008 г. и должны завершить ее к 2014 г. Положения документа можно разбить на две группы: требования к нормативам и методики расчета капитала, кредитных и операционных рисков. Что касается нормативов, то, поскольку требования ЦБ РФ во многом более строгие, чем показатели Basel II, то российским банкам не требуются существенные нововведения.
"Рекомендации по количественным нормативам выглядят даже более либеральными, чем действующие российские. Например, достаточность капитала "по Базелю" – 8 %, в России – 10% или 11% в зависимости от размера капитала, – приводит пример руководитель практики BI компании "Астерос Консалтинг" Владимир Коровкин. – То есть количественные нормативы российская система в целом выдержит и не поморщится".
Но вот что касается методик расчета, то в Basel II они гораздо более детальные, чем те, что используют сегодня российские банки. На практике это означает, что организациям необходимо кардинально менять систему риск-менеджмента, что, в свою очередь, влечет необходимость внедрения сложнейших решений. "Чтобы был понятен масштаб бедствия, описание методики расчета кредитных и операционных рисков занимает и степень детализации – эта часть документа занимает более 150 стандартных принтерных страниц в русском переводе без приложений и таблиц, – говорит Владимир Коровкин. – Аналогичный документ российского образца от ЦБ РФ имеет в несколько раз меньший объем, потому что предусматривает гораздо более "грубое" управление рисками".
Все кредиты небанковским учреждениям по российским нормам попадают в одну группу риска – "прочие активы", приводит один из многих примеров детализации Владимир Коровкин. А Basel различает целых пять градаций требований: к корпорациям, к розничным портфелям, обеспеченные жилой недвижимостью, обеспеченные коммерческой недвижимостью, прочие активы. Важным аспектом является регулярная переоценка всех активов с точки зрения кредитных рисков. Заметное усложнение предусмотрено и для оценки резервов по операционным рискам, начиная с уровня "Стандартизованный подход".
Создание системы риск-менеджмента в соответствии с требования Basel II потребует от банков внести изменения в процессы учета и переоценки активов, а значит, и в алгоритмы учетных систем. Мало того, поскольку объемы данных и расчетов резко возрастают, соответственно увеличиваются требования к быстродействию. Для многих банков это означает модернизацию ИТ-инфраструктуры на уровне АПК. Конечно, перестройки ИТ-ландшафта вторична и отражает организационную перестройку процессов. "Очевидно, новый подход потребует новых штатных единиц, кроме того, надзор за соблюдением процедур и стратегическим планированием риск-менеджмента и достаточности капитала должен по Соглашению подниматься на уровень совета директоров банка", – добавляет Владимир Коровкин.
Федеральный закон от 27 июня 2011 г. №161"О национальной платежной системе" сформулировал требования к работе (ответственности) процессинговых центров за несоблюдение гарантий по качеству работы.
Но самым важным положением с точки зрения пользователей платежных банковских карт стала возможность отозвать платеж в течение дня. "Раньше держателю карты, несогласному со списанием средств, приходилось идти в банк, писать заявление об отзыве транзакции. Банк долго его рассматривал, проводил проверку и порой отказывал, – объясняет вице-президент, руководитель дирекции по работе с коммерческими банками компании "Ланит" Роман Латышев. – Теперь в течение суток клиент может оспорить любую операцию, и банк обязан вначале вернуть клиенту деньги, а потом разбираться, насколько правомерна была транзакция".
Новый порядок означает резкий рост нагрузки на службы работы с претензиями клиентов. Банкам придется или наращивать штат, или автоматизировать как можно больше процессов. В идеале весь процесс прохождения отзыва заявки должен быть прозрачен и оперативен. Только тогда он поддается полному контролю, а значит, банк сможет минимизировать потери по отозванным транзакциям. Ведь нельзя упускать из виду, что среди клиентов могут оказаться люди, склонные к мошенническим действиям. И новый порядок облегчит им жизнь.
Владимир Коровкин считает, что самым важным в этом законе стала расшифровка понятия "электронные денежные средства", о которых раньше говорилось только в привязке к банковским счетам. Фактически речь идет о правомерном существовании всевозможных электронных кошельков. "В перспективе это позволит придать любому портативному устройству с процессором и выходом в сеть функцию мобильного кошелька, – поясняет Владимир Коровкин.– Теоретически теперь нет законодательных преград тому, чтобы сделать умный холодильник, в который вводишь карточку, а он заказывает по ней продукты".
Кроме того, закон о национальной платежной системе сопровождается интересными документами. К примеру, 9 июня 2012 г. вышло указание ЦБ РФ№2831-У "Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств". И 14 августа банки должны были сдать первую такую отчетность.
Как рассказал управляющий директор компании Optima Infosecurity Неманья Никитович, сама по себе отчетность не требует дополнительно информатизации. Однако с ее помощью будет формироваться база данных по инцидентам. А значит, могут измениться требования к системам информационной безопасности. При этом, в рамках исполнения закона о национальной платежной системе, контроль за соблюдением ИБ ложится на ЦБ РФ. "Банку России в части защиты платежных систем становятся подконтрольны не только банки, но и все остальные участники национальной платежной системы: почта, биллинговые центры, расчетные центры, собственники платежных систем", – перечисляет Александр Колыбельников.
С 1 января 2010 г. вступило в силу указание ЦБ РФ от 25 ноября 2009 г. №2346-у "О хранении в кредитной организации в электронном виде отдельных документов, связанных с оформлением бухгалтерских, расчетных и кассовых операций при организации работ по ведению бухгалтерского учета". Документ позволяет банкам отказаться от части бумажного документооборота, перейдя на электронные архивы. "Указанием разрешается использовать современный подход – хранить в архиве маску документа, а не его графическую копию, что позволяет не копить гигабайты лишней графической информации. При необходимости система воспроизводит документ", – рассказывает вице-президент, руководитель дирекции по работе с коммерческими банками компании "Ланит" Роман Латышев. Указание открывает широкие возможности по оптимизации операционного документооборота, банки несомненно воспользуются ими, а значит, работы по внедрению электронных архивов будут оставаться актуальными ближайшие несколько лет.
Юридически значимый электронный документооборот немыслим без электронной подписи. Последняя версия закона, призванная устранить разночтения предыдущих положений, вышла с опережением возможностей. В соответствии с новыми требованиями к удостоверяющим центрам, с 1 июля 2012 г. они должны были получить право выдавать сертификаты электронной подписи нового образца, так называемые "квалифицированные" сертификаты ЭП. Однако аккредитацию Минкомсвязи к указанному сроку никто получить не смог. Пользователи (торговые площадки, системы документооборота и т.п.) также сегодня не готовы принимать "квалифицированные" сертификаты.
"Новые требования к удостоверяющим центрам (УЦ) входили в противоречие с существующим положением дел и могли в одночасье привести к тому, что все удостоверяющие центры страны потеряли бы на время возможность создания юридически значимых электронных подписей, – рассказывает Александр Колыбельников. – Разработчики программного обеспечения УЦ старались привести свои решения в соответствие с законодательными требованиям как можно скорее. Но им это не удалось, поскольку регуляторами рынка не были своевременно разработаны необходимые нормативные акты. Такая ситуация привела к переносу даты введения в действие закона об ЭЦП". В результате новый закон вступит в силу 1 июля 2013 г.
"На закуску" можно упомянуть рекомендацию Федерального совета по надзору за финансовыми учреждениями (The Federal Financial Institution Examination Council, FFIEC), вышедшую 10 июля этого года. Документ призывает с осторожностью относиться к ИТ-аутсорсерам, поскольку использование ИТ-аутсорсинга и облачных услуг может нанести серьезный ущерб бизнесу. По словам чиновников, банк должен позаботиться о дополнительных мерах контроля за сервис-провайдером, если тот не знаком со спецификой работы финансовой индустрии и не разбирается в юридических аспектах работы клиента. Если аутсорсер не сможет вовремя отреагировать на изменение законодательства, ответственность ляжет на руководство финансовой организации.
Кроме того, необходимо позаботиться о сохранности конфиденциальных данных. Сложности могут возникнуть, когда несколько компаний используют одну и ту же инфраструктуру провайдера облаков. В этом случае требуются дополнительные системы шифрования, чтобы информация случайно не попала в чужие руки. Наконец, в случае разрыва контракта с клиентом банк должен позаботиться об удалении пользовательских данных со всех площадок провайдера. Нельзя забывать и о необходимости обеспечивать непрерывность работы системы и создавать резервные копии данных.
В качестве вывода чиновники FFIEC рекомендуют финансовым организациям развивать собственные службы аудита, которые смогли бы оценить пригодность провайдера облаков. "Оценивая возможность аутсорсинга ИТ внешнему поставщику облаков, необходимо отодвинуть в сторону потенциальные выгоды и провести тщательную оценку рисков… Как и с другими предложениями сервис-провайдеров, облачное программирование может подойти не всем финансовым организациям", – приходят к выводу специалисты регулятора.
Заместитель председателя правления ГК ЦФТ Андрей Фомичев считает, что заявление FFIEC нельзя воспринимать как рекомендацию отказаться от ИТ-аутсорсинга. "Во-первых, в рекомендации говорится о рисках, сопряженных с аутсорсингом. Не следует воспринимать сообщение о рисках как рекомендацию не работать с аутсорсерами, – говорит Андрей Фомичев. – Во-вторых, авторы не учитывают всего масштаба аутсорсинга и его разновидностей. В самом широком, философском понимании происходящих процессов все ИТ-системы внешнего разработчика можно считать видом аутсорсинга. Поэтому сообщение FFIEC выглядит немного забавным".
Надо сказать, что российские банки гораздо более консервативны, чем банки США, Европы. Они крайне осторожно относятся к аутсорсингу, и подобные рекомендации, по крайней мере, в ближайшие годы, вряд ли сильно изменят их подходы.
Виктория Холина