Интернет банкинг

     Во-вторых, развитие интернет-банкинга происходит либо в комплексе, либо параллельно с развитием теми же банками средств организации электронной коммерции – платежных и торговых интернет-систем. Примеры такой деятельности: совместный проект Автобанка и компании "АйТи" - платежная интернет-система "ЭлИТ-Карт"; платежная система CyberPlat; проект банка "БИН" и компании "АйТи" – система "КОРТИС", проект банка "МЕНАТЕП СПб". К этому следует добавить и то, что параллельно с услугами интернет-банкинга в банках и близких к ним компаниях, которые часто входят в одну финансовую группу, активно развиваются и другие интернет-услуги: интернет-трейдинг и интерет-страхование.

     В-третьих, развитие в банках одновременно с  интернет-банкингом и других направлений  удаленного банковского сервиса: телефонного  банкинга, PC-банкинга и новинки этого  года – WAP-банкинга (совместный проект Гута-банка и МТС). При этом различные формы удаленного обслуживания никоим образом не конкурируют между собой, а во многом дополняют друг друга, предоставляя клиентам широкий выбор каналов доступа к собственным банковским счетам.

     Таким образом, сегодня можно констатировать, что российский рынок интернет-банкинга постепенно увеличивает темпы своего развития, в том числе используя  возможности интеграции и развития других дополняющих услуг. В целом  российские потребители уже сейчас имеют возможность сравнивать, выбирать и пользоваться услугами интернет-банкинга, а также реальные перспективы получить в ближайшем будущем рост как количества банковских интернет-услуг, так и их качества.

     2.3. Качество услуг  интернет - банкинга  в России

      При том, что банки все активнее развивают свои сервисы в условиях постоянно ужесточающейся конкуренции, онлайновая поддержка клиентов пока не стала в этом секторе приоритетом №1. Более 40 из 100 крупнейших по активам российских банков сегодня вообще не используют системы интернет-банкинга. Впрочем, многие говорят о тестовой эксплуатации подобных решений, либо же о планах внедрения в ближайшей перспективе. Предполагаемый бум на этом рынке привлекает западных разработчиков, которые рассчитывают на «лакомый кусок» клиентов из числа крупнейших игроков, все пристальнее присматривающихся сегодня к иностранным продуктам.

     За  основу для рейтинга самых качественных интернет-банков были взяты 100 крупнейших российских банков 2006 года по версии РБК. Второй год подряд CNews Analytics отказывается от составления рейтинга интернет-банкинга для юридических лиц — в силу того, что функционал этих решений, выросший из систем типа «Банк-клиент», продолжает оставаться похожим. Граница сравнения лежала бы в разнице между продуктами основных разработчиков подобных решений. Удивить корпоративный сектор чем-то принципиально новым в области функциональности е-банкинга сегодня, пожалуй, трудно. Да и потребности этой группы заказчиков достаточно стандартны, хорошо изучены и в целом удовлетворены разработчиками. Тем не менее, информация по используемым решениям первой сотни российских банков приведена в таблице 2.1.

     Таблица 2.1 - Рейтинг качества используемых систем интернет-банкинга для физлиц

     Уровень ИБ в банках поднимется по мере повышения  уровня зрелости ИТВнедрение отечественных  и международных стандартов и  лучших практик в области ИБ по идее должно максимально «обезопасить»  информацию, которая является для  банков критически важным ресурсом. Однако пока эти стандарты являются в России не обязательными, а их внедрение в значительной мере зависит от уровня зрелости банковских ИТ. Последний же, в среднем, пока уступает общемировому. Но ясно, что только при повышении общего уровня зрелости ИТ можно будет говорить и об увеличении уровня ИБ в отрасли.

     Российский  финансовый рынок в последнее  время показывает немалый рост, и  до насыщения ему еще очень  далеко. Одним из самых быстрорастущих «денежных» сегментов при этом является кредитно-финансовая сфера. Тут активно внедряются ИТ, расширяются потребительские сервисы, и соответственно, усложняются  бизнес-процессы. Последнее в сегодняшних жестко конкурентных условиях, однако, не должно приводить к снижению эффективности, одним из гарантов которой является информационная безопасность.

     Утрата  всего 20% информации, составляющей коммерческую тайну, в 60 случаях из 100 приводит к  банкротству фирмы, а потери в  результате действий недобросовестных конкурентов составляют около 30% от всего экономического ущерба в мире. Эту формулу вывели эксперты Всемирного банка и, к сожалению, она почти всегда действует. Для организаций финансово-кредитной сферы утечка информации составляющей банковскую тайну может означать потерю репутации, клиентов, а в худшем случае — отзыв лицензии.

     Общемировой тенденцией сегодня является инсайдерская угроза. Отраслевое исследование проблемы внутренней ИТ-безопасности в российском банковском секторе, проведенное InfoWatch, показало, что наибольшую озабоченность  респондентов вызывают именно внутренние угрозы ИБ. Инсайдерские риски превалируют над внешними угрозами в соотношении 6:4. А наибольшей опасностью для банков 78% опрошенных назвали утечки персональных данных клиентов.

     Работа  по обеспечению информационной безопасности — есть часть общей работы по управлению рисками. Требования известных документов — «Новое базельское соглашение» («Базель II») и «Ключевые принципы для системнозначимых платежных систем» — в части управления операционными рисками во многом могут быть удовлетворены применением тех мер и средств, которые относятся к обеспечению информационной безопасности. В частности, выполнение многих рекомендаций известного стандарта Банка России СТО БР ИББС 1.0-2006 по информационной безопасности фактически будет являться мерой по снижению операционных рисков, предусматриваемой базельскими документами». Все это требует осознания менеджментом необходимости организации более полного взаимодействия различных служб, занимающихся управлением рисками.

     Новый подход как к защите информации, так и к проблемам качества, наметился практически одновременно. От создания систем качества, контролирующих отдельные параметры, игроки переходят к внедрению подсистем управления предприятием. Подобные изменения произошли и в области организации ИБ — на смену решениям, защищающим отдельные параметры информации, пришли системы по организации управления процессами безопасности в целом. В связи с этим появление такого стандарта, как СТО БР ИББС-1.0-2006 является как нельзя более актуальным. В нем сформулированы основные «процессные» положения управления ИБ. Следование этим положениям переводит последнее на совершенно новый качественный уровень.

     К сожалению, при попытках внедрения  стандарта ЦБ возникают серьезные  методологические проблемы, которые  на первый взгляд даже и не видны: внедрить отдельно этот стандарт невозможно, необходимо перестроить всю систему менеджмента кредитной организации (КО) на процессные рельсы. Пока таких КО в России не много. Можно подумать, что, формальное обозначение выполнения требований стандарта серьезно улучшит управление ИБ. Отнюдь. Это будет лишь формальная видимость какого-либо улучшения.

     Валерий Капитонов, начальник отдела ИБ «ТрансКредитБанка», наиболее сложными называет вопросы, связанные  с созданием системы менеджмента  информационной безопасности и, в частности,  вопросы анализа и оценки рисков, мониторинга и анализа системы менеджмента. Он уверен, что по этим вопросам целесообразно разработать методические рекомендации с примерами конкретного внедрения и анализом необходимых затрат.

     Отсутствие единой официально принятой  методики оценки соответствия информационной безопасности кредитных организаций требованиям Стандарта отрицательно влияет на точность оценок, снижает доверие к результатам работ и ведет к возникновению противоречивых мнений об уровне безопасности кредитных организаций. Такая ситуация инициировала соответствующие действия со стороны Центробанка.

     По  словам Валерия Харламова, начальника отдела Банка России, в планируемый  к выпуску первичный блок документов, развивающих стандарт СТО БР ИББС-1.0, включен стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям стандарта СТО БР ИББС-1.0».

     В данной ситуации для продвижения  благого начала необходим диалог, в ходе которого будут вырабатываться вспомогательные практические документы, расширится обмен опытом между банками, уже объявившими о внедрении  Стандарта и организациями, пока еще идущими путем проб и ошибок. Это формирует необходимость профессиональных площадок для обсуждений — например, таких, как выставка Infosecurity Russia, в конференционной программе которой, по словам организаторов, осенью текущего года планируется отраслевая секция для кредитно-финансовых организаций.

     А пока, несмотря на всю свою полезность, как светлого ориентира, Стандарт как  обязательный атрибут деятельности кредитных организаций еще «не  созрел». А значит, переходить к обязательной сертификации на соответствие его требованиям, видимо, рановато, хотя, несомненно, прогрессивная его суть — налицо. Внедрение отечественных и международных стандартов и лучших практик, включая российский банковский стандарт ИБ в деятельность кредитно-финансовой системы РФ, несомненно, окажет положительное воздействие на всю банковскую систему. Однако, это внедрение в значительной степени зависит от уровня зрелости банковских ИТ. А здесь есть проблемы. Если сравнить этот уровень с уровнем зрелости ИТ в телекоммуникационной сфере, то последняя выглядит более продвинутой. Я согласен, что нужно внедрять процессный подход. Причем не только процессный подход, но и все подходы, предусмотренные практиками ITIL. Только при поднятии общего уровня зрелости ИТ можно будет говорить и об увеличении этого уровня в ИБ».

     Что касается общего состояния области  обеспечения ИБ в банковской сфере, то, несмотря на явно заметное улучшение, возникает ряд вопросов, на которые  на текущем этапе сложно дать однозначный  ответ. С этими вопросами, рано или поздно, сталкивается каждый руководитель подразделения, ответственного за обеспечение ИБ в кредитно-финансовой организации.

     По  словам Александра Егоркина, начальника управления защиты информации, «Газпромбанка», сегодня отсутствует утвержденное и опубликованное нормативное подтверждение, представляющее собой набор юридических гарантий, подкрепленных материальными активами, сертификатов соответствия уровню безопасности по требованиям ФСТЭК. Кроме того, нет понимания (подкрепленного формальными принятыми нормативными документами) того, какой компетентный государственный орган несет юридически материальную ответственность в случае возникновения инцидентов по нарушении ИБ, в которых будут использованы уязвимости технических средств, получивших сертификаты соответствия по классу защищенности.