Министерство образования и науки Российской Федерации
Федеральное агентство по образованию
Государственное образовательное учреждение профессионального высшего образования
Всероссийский заочный финансово – экономический институт
Филиал в г. Барнауле
Конспект лекций по дисциплине «Банковские электронные услуги»
Для студентов YI курса
Специальности 060400 «Финансы и кредит»
Специализации «Банковское дело»
Финансово – кредитный факультет
Региональная кафедра финансов и кредита
Барнаул - 2006
Материалы утверждены на заседании региональной кафедры финансов и кредита филиала ВЗФЭИ в г. Барнауле «__» ________ 200__ г.
Автор: к.т.н., доцент региональной кафедры финансов и кредита Никитин В.М. Введение в электронные банковские услуги
Этапы внедрения электронных технологий
Банковские электронные услуги - это услуги, оказываемые с использованием средств вычислительной техники и телекоммуникаций.
Впервые банковские компьютеры использовались в США в конце 50-х годов. В 1959г. в одном из отделений Bank of America начала работать первая в мире полностью автоматизированная электронная установка для обработки чеков и ведения текущих счетов ЭРМА, а в 1970 г. были введены первые автоматизированные теллерные машины. Однако первые попытки автоматизации банковских услуг потерпели неудачу. Причины этого:
=> существовавшие в то время ЭВМ по соотношению цена-производительность не могли устроить банки (создаваемые системы были не в состоянии себя окупить);
=> предлагаемые услуги не принимались клиентами (были неудобными);
=> существующий документооборот еще мог быть обслужен имеющимся штатом банковского персонала.
Коренной перелом наступил в 80-е годы. Это связано с резко возросшим документооборотом и с совершенствованием самих электронных средств обработки: появляются микропроцессоры и построенные на их основе микро-ЭВМ. Компьютеры становятся дешевле, компактнее, надежнее, для их работы не требуется специальных помещений. Появляется возможность установить компьютер на рабочем месте специалиста в банке. Изменяется подход и к созданию программного обеспечения. Теперь программные средства имеют "дружественный" интерфейс с пользователем, для работы не нужны специальные знания, и, следовательно, работать с ним может специалист предметной области.
В компьютеризации банки видят техническое средство, которое способствует сокращению издержек и повышению качества обслуживания клиентов. Наиболее крупные статьи издержек - это оплата труда банковского персонала и расходы на обработку платежных документов, причем издержки наиболее велики при обслуживании мелких вкладчиков.
Автоматизация позволяет банку сократить штат, уменьшить затраты на аренду зданий и помещений. Для сокращения издержек второго вида банки стали разрабатывать и применять новые технологии обслуживания клиентов:
=>использование безналичных расчетов на основе банковских карт;
=> применение устройств самообслуживания клиентов;
=> электронные системы расчетов в торговых точках, которые позволяют существенно сократить налично-денежный оборот;
=> обслуживание клиентов на дому и в офисе.
Технический прогресс способен удовлетворить растущие потребности клиентов в дистанционном общении с банком. С одной стороны, это в интересах клиентов, поскольку они сами смогут выбирать себе банк, не придерживаясь территориального принципа. С другой стороны, это выгодно и банкам, поскольку "виртуализация" в будущем позволит сократить затраты на зарплату и капитальное строительство.
Однако здесь существуют и проблемы:
=> обеспечение безопасности операций и их конфиденциальности;
=> значительная стоимость компьютерных технологий и оборудования, что требует от банка высоких первоначальных затрат, которые он перекладывает на клиентов. Чем реже клиент имеет возможность посещать банк, тем больше ему приходится за это платить.
Но, несмотря на множество проблем уже сейчас очевидно, что банки вступают в принципиально новый этап развития. Он отличается от предыдущих еще и тем, что российские и иностранные банки стартуют практически одновременно.
Систему банковских электронных услуг, оказываемых с помощью ЭВМ, сложившуюся в настоящее время подразделяют на три уровня:
=> розничные банковские электронные услуги;
=> оптовые банковские электронные услуги;
=>автоматические расчетные палаты.
К розничным электронным услугам относят:
=> использование банковских карт;
=>использование банкоматов и других устройств самообслуживания клиентов;
=> системы расчетов в торговых точках;
=> обслуживание клиентов на дому и в офисе;
=>услуги, связанные с обработкой и хранением денежных документов.
Оптовые банковские услуги предусматривают перевод денежных средств, управление денежными операциями и их контроль.
Автоматические расчетные палаты (АРП) - это специальные организации, создаваемые коммерческими банками для проведения сделок между клиентами с использованием электронных средств.
Банки всегда использовали последние достижения науки и техники для облегчения ручного труда и ускорения выполняемых операций. Однако просто автоматизировать ручную технологию работы теперь недостаточно. Победителями в конкурентной борьбе будут те банки, которые полностью перестроят свою деятельность в соответствии с современными технологиями. В этих условиях меняется роль персонала в банке, набор требуемых специальностей. Традиционных функций обработки становится меньше, некоторые исчезают совсем, но возрастает роль таких функций как маркетинг, продажа услуг и т.д. Большая роль в совершенствовании управления банковской деятельностью принадлежит системе автоматизации банка.
Автоматизация играет существенную роль в таких видах банковской деятельности, как:
=>разработка и внедрение новых банковских продуктов и услуг (банковские карточки, банкоматы, системы "Банк-клиент" и др.);
=>создание банковских технологий для выполнения операций (системы связи, программное обеспечение и др.);
=> повышение качества банковских продуктов и услуг;
=> повышение производительности труда: снижение затрат на единицу банковских продуктов и услуг, уменьшение затрат на одного банковского служащего.
Банки предполагают сделать упор на следующих направлениях:
^усовершенствованные сетевые технологии, включая скоростные протоколы передачи данных;
=> интеллектуальное программное обеспечение;
=> компрессия данных, что позволит банкам повысить эффективность вывода больших объемов информации;
=> электронная почта;
=> архитектура клиент/сервер усилит распространение новейших технологий по рабочим местам, предлагая возможность интегрировать голос, цифровые данные (в том числе изображения) при передаче через локальные и глобальные сети;
=> интегрированные сети позволят вести обмен приложениям между рабочими местами в сетях любой протяженности.
В своей работе банки начали активно использовать средства мультимедиа. Мультимедиа - это интерактивная технология, обеспечивающая работу с неподвижными изображениями, видеоизображениями, анимацией, текстом и звуковым рядом. Наиболее широкое применение в банках средства мультимедиа найдут в информационных киосках, устанавливаемых обычно в вестибюле, и в сфере обучения сотрудников.
Среди новейших банковских технологий выделяют следующие:
=> технология вычислений в архитектуре клиент/сервер, причем, по мнению специалистов наиболее привлекательной чертой этой архитектуры является не собственно увеличение производительности системы, а повышение уровня культуры, организации партнерства между сотрудниками подразделения информационных систем и внутренними клиентами;
=> интерактивные технологии и обслуживание на дому с помощью персонального компьютера, телефона с дисплеем или интерактивного телевидения;
=> интеллектуальные карточки (smart-card);
=> обработка изображений платежных чеков.
По мнению западных специалистов в недалеком будущем банковские учреждения ожидают революционные изменения. Развитие телекоммуникаций и средств вычислительной техники позволит миллионам служащих работать дома. Уменьшится необходимость в административных зданиях и служебных помещениях. Дом станет для служащего тем рабочим местом, где будет обрабатываться информация.
Первый шаг на этом пути уже сделан. В октябре 1995 года в США открылся первый в мире виртуальный банк (Security First Network Bank). Он предоставляет своим клиентам возможность оплачивать счета и проверять свой баланс через World Wide Web. Но клиенты не могут сходить в местное отделение банка, так как он функционирует в сетях INTERNET. Адрес этого банка HYPERLINK "http://www.sfnb.com" http://www.sfnb.com.
Информационное, техническое и программное обеспечение банковских электронных систем
Принципы информатизации банка.
Существуют принципы, которые позволяют оценить, правильно ли проводится информатизация в банке.
Принцип согласованности. Выполнение этого принципа обеспечивает выполнение информатизации таким образом, что частичное знание системы позволяет предсказать остальное, т.е. вся система должна создаваться "в одном ключе".
Принципы соответственности и ортогональности требуют, чтобы в систему включались только те функции, которые соответствуют существенным требованиям к системе, введенные функции должны быть независимы.
Принципы экономности и полноты означают, что в системе не должно быть дублирования функций, но введенные функции с учетом технологических и экономических ограничений должны максимально полно отвечать нуждам и пожеланиям пользователя.
Принцип открытости подразумевает необходимость следования стандартам открытых систем, что позволяет сократить издержки эксплуатации и модернизации систем, повысить качество разработок.
Требования, предъявляемые к банковским электронным системам
Прежде, чем формулировать требования к компьютерной системе необходимо определить, кто будет использовать систему, кто будет получать от этого пользу, какая информация будет обрабатываться в системе.
К факторам, влияющим на компьютерную систему, относятся:
=> предметная область;
=> характер обрабатываемой информации;
=> пользователь системы.
Учитывая факторы, влияющие на архитектуру компьютерной системы можно сформулировать главное требование:
1 .Архитектура банковской электронной системы должна выбираться таким образом, чтобы минимизировать вероятность нарушения штатного режима работы системы (выход системы из строя, разрушение информационной базы, потери или искажения информации) при случайных или сознательных некорректных действиях пользователя.
2.Территориальная распределенность работа в системе предполагает, что ее элементы, распределенные в пространстве, должны быть объединены информационно.
3.Информационная связность - обмен между элементами системы должен осуществляться в соответствии с информационными потоками. Соблюдение этого требования позволит обеспечить одноразовый ввод информации в систему.
4.Информационная достаточность - скорость, частота и объемы обмена информацией должны соответствовать интенсивности реально протекающих процессов.
5.Изменчивость, адаптируемость к внешним условиям.
6.Жизнеспособность. Это требование включает в себя технические возможности системы (в том числе производительность), надежность и ремонтопригодность.
Надежность - среднее время между двумя отказами, обычно измеряется в часах.
Ремонтопригодность - среднее время восстановления системы.
Проблема надежности банковских электронных систем имеет особое значение. Неполнота или недостоверность информации, несвоевременность или ошибки при обработке ведут не только к прямым финансовым потерям, но и утрате доверия к банку.
Структура системы должны выбираться такой, чтобы при отказе одного из элементов, работоспособность системы сохранялась, возможно, только со сниженной производительностью.
Рекомендации по повышению надежности банковских электронных систем:
=> подбор максимально надежных элементов (необходимо приобретать технику и программное обеспечение только у известных фирм-производителей, которые гарантируют качество работы);
=>до ввода системы в эксплуатацию необходимо провести полное и качественное тестирование в режимах предельных для элементов системы. В этот момент определяют критические элементы (критическим называют элемент системы, сбой в работе которого влияет на всю систему).
=> резервирование критических элементов (очень широко применяется в банковских электронных системах). Резервирование делят на "горячее" и "холодное". В первом случае переход с одного элемента на другой осуществляется практически мгновенно, а во втором - за определенное время.
Жизненный цикл информационной технологии
Компьютерная система, независимо от ее размеров и сложности состоит из трех компонент - информационного обеспечения, технического обеспечения и программного обеспечения. Можно считать, что совокупность этих трех определяет информационную технологию.
Под информационной технологией (ИТ) понимается система методов и способов сбора, накопления, хранения, поиска и обработки информации на основе применения средств вычислительной техники.
Информационная технология, так же, как и любой товар или жизненный фактор, который потребляется не сразу, а частями, имеет присущий ему жизненный цикл .
В течение жизненного цикла объем использования технологии и спрос на нее изменяются. Обычно выделяют пять периодов жизненного цикла. Первый период - зарождение данной технологии. Ее распространение невелико, но эффективность очевидна, поэтому масштабы использования увеличиваются. Во втором периоде спрос на технологию устойчив и опережает предложение.
Это фаза ускорения роста. Постепенно предложение начинает опережать спрос и наступает период замедления роста. В период зрелости насыщение спроса достигнуто, а в пятом периоде наступает спад, когда спрос на данную технологию снижается и ей на смену приходит другая, более эффективная, удовлетворяющая общественную потребность.
Таким образом, насыщение и спад спроса на некоторую технологию - это закономерность экономического развития. В этих фазах производители, придерживающиеся данной технологии должны принимать ответственные решения: переходить на новую технологию или "выжимать" все возможности из старой, добиваясь ее большей окупаемости. Создатели банковской электронной системы выступают в роли покупателей технологии и должны, в частности, выбрать какие-то типы и модели ЭВМ и другого оборудования. В случае создания масштабных систем перспективность используемой технологии должна быть на одном из первых мест.
Изучая опыт западных банков нужно не слепо копировать то, что есть в банках в данный момент. Следует знать, что с одной стороны в банках применяются наиболее передовые технологии, качественное техническое и программное обеспечение (это требование повышенной защищенности банковских систем), но банки не гонятся в погоне за модой. Смена технологий ( всех ее компонент) происходит лишь тогда, когда она перестает приносить банку прибыль.
Информационное обеспечение банковских электронных систем
Информационное обеспечение - это представление и хранение в системе всей информации, необходимой и достаточной для эффективной работы пользователей.
Состав информационного обеспечения.
Информационная модель.
Для успешной информатизации банка необходимо построить информационную модель банка и выполнить ее анализ.
Информационная модель - содержит описание следующих сущностей:
=> реальные объекты системы управления;
=> информационные связи между объектами и с внешней средой;
=> передаваемые в соответствии с информационными связями документы или массивы;
=> объемы передаваемой информации и частота сеансов обмена.
Формой представления информационной модели обычно служит граф, вершинами которого являются блоки информации, соответствующие объектам системы.
Вершины графа связаны между собой направленными дугами, соответствующими порядку обмена информацией. На дугах графа, или в прилагаемой спецификации указываются наименования передаваемых документов и массивов. Кроме того, должны быть приложены формы документов или описание содержащейся в них информации, а так же состав массивов.
При разработке информационной модели банка исходной информацией служат:
=>перечень операций, которые проводит банк;
=> перечень документов, которые циркулируют в банке;
=> административная схема банка;
^распределение операций по подразделениям.
Анализ информационных потоков в системе позволяет выявить "узкие места" (те узлы, на которые падает наибольшая нагрузка при обработке информации) и "тихие заводи" ( те узлы, где имеется переизбыток персонала, а информация является мало востребованной). На основе такого анализа можно дать рекомендации по оптимизации документооборота, загрузке операционных работников, техническому перевооружению, дать предложения по изменению форм носителей информации.
При разработке информационной модели важно смотреть в перспективу, но и представлять какое решение является минимально необходимым.
1) система классификации и кодирования.
2) базы данных.
Базы данных отличаются от других способов хранения информации в ЭВМ:
=>в базах данных интегрируется информация многих приложений и обеспечивается многоцелевое совместное ее использование;
=>базы данных существуют независимо от конкретных прикладных программ;
=> базы данных позволяют установить минимально необходимый уровень избыточности данных, т.е. данные не дублируются при их использовании разными пользователями;
=>в базах данных обеспечивается соблюдение стандартов представления данных, что упрощает ее создание и обслуживание;
=> в базах данных обеспечивается централизованное управление данными, включая языки запросов и средства защиты.
Программы, обеспечивающие реализацию всех перечисленных свойств баз данных, объединены в системы управления базами данных (СУБД). Они осуществляют также управление доступом и целостностью данных.
Системы управления базами данных ориентированы на определенные модели и структуры данных. Различают следующие модели:
=> иерархическую модель, при которой объекты более высокого уровня включают объекты нижележащего уровня;
=> сетевая модель, в которой подчиненный элемент связан не с одним элементом более высокого уровня, а с несколькими;
=> реляционная модель, в которой данные можно рассматривать как набор таблиц.
Современные технические средства позволили перейти к "безбумажной" технологии обработки информации. Это не означает полного отказа от бумажных носителей. Происходит смена акцентов. Основные данные обрабатываются в электронном виде. Преимущества безбумажной технологии:
=> практически мгновенная пересылка данных;
=> уникальность хранения;
=> улучшенная защищенность;
=> резкое снижение трудоемкости обработки документов.
Техническое обеспечение
Существующие системы автоматизации банковской деятельности можно отнести к одному из четырех поколений:
1) системы, построенные на основе персональных ЭВМ типа IBM PC, не связанных в локальную сеть. Данные хранятся в отдельных файлах, обмен данными осуществляется на уровне дискет;
2) системы персональных ЭВМ типа IBM PC, объединенных в локальную сеть, организованные по схеме "интеллектуальные рабочие станции - файл-сервер". ПЭВМ в режиме интеллектуального терминала обеспечивает все функции обычного терминала, но сохраняет способность обрабатывать информацию на месте и даже выходить в автономный режим работы (т.е. АРМ со своими ресурсами);
3) системы, построенные на основе специализированного сервера приложений, т.е. высокопроизводительной ЭВМ, которая работает под управлением многозадачной, многопользовательской системы и обслуживает рабочие станции в режиме "клиент-сервер";
4) системы, использующие распределенные базы данных, в которых, например, обработка информации в ЭВМ главной конторы и филиала ведется как в едином файле.
При выборе технической платформы для банковской электронной системы целесообразно руководствоваться следующими параметрами:
=> производительность ЭВМ в соответствии со стандартными тестами;
=> ресурсы оперативной и дисковой памяти;
=> возможность резервирования (зеркалирования) на уровне технической платформы;
=> наличие семейства подобных ЭВМ, основанных на едином процессоре;
=> наличие информации о закупках данной модели ЭВМ зарубежными и российскими банками в текущем году;
=> наличие данных о соотношении цена/производительность и количестве транзакций в секунду инструментального программного обеспечения для данной модели ЭВМ и данной операционной системы;
=> совместимость с уже закупленным программным обеспечением на уровне аппаратного и программного обеспечения;
=> наличие у фирмы производителя сервис-центра и условия обслуживания в нем;
=> наличие центров обучения и их доступность с организационной и с финансовой точек зрения;
=>стабильное техническое и финансовое состояние фирмы-производителя
Системы банковских телекоммуникаций
С целью повышения производительности и надежности автономные компьютеры объединяются в комплексы с помощью определенных технических и программных средств.
Сетью называются аппаратные средства, обеспечивающие взаимное соединение и передачу информации между абонентами. Сеть передачи данных используется для связи удаленных одна от другой вычислительных или терминальных систем. Сеть должна обеспечивать быстрый поиск и правильное соединение и разъединение абонентов, удержание связи на время сеанса, точность передачи информации.
Выделяют следующие типы сетей связи:
=> внутренняя сеть, использующая двухточечное соединение для прямой связи между ЭВМ и терминалами;
=>сеть, основанная на использовании модемов и выделенных аналоговых каналов - двухточечных или многоточечных телефонных каналов или многоточечных широкополосных каналов;
=>сеть, использующая модемы и коммутируемые аналоговые каналы - телефонная сеть общего пользования) и поддерживающая операции резервирования, автовызова и автоответа;
=>сеть, основанная на использовании выделенных цифровых каналов и сетевых оконечных устройств;
=> цифровая сеть интегрального обслуживания;
=>сеть на базе мультиплексоров, использующая аналоговые или цифровые каналы и модемы и сетевые оконечные устройства;
=> сеть коммутации пакетов;
=> локальная сеть.
Требования к оборудованию и программным средствам сетей определены Международным консультативным комитетом по телеграфии и телефонии (МККТТ), входящим в Международный союз по телесвязи (МСТ). Кроме того, действуют и национальные стандарты.
Требования относятся к следующим компонентам:
=> модемам;
=> совместимому на сквозном уровне набору символов (алфавиту), необходимому для обмена данными;
=>диалогу (протоколу), необходимому для координации передачи сообщений и данных по сети, а также защиты от ошибок, возникающих в линии связи вследствие помех;
=> аппаратному связному интерфейсу в каждой ЭВМ или терминале.
Модем (модулятор/демодулятор) - это устройство, которое преобразует последовательные цифровые сигналы в аналоговые и наоборот. Некоторые современные модемы имеют встроенные устройства сжатия данных, предназначенные для более полного использования пропускных возможностей линий связи, а также устройства обеспечивающие передачу растрового изображения факсимильной информации (факс-модемы).
При использовании телефонных линий общего пользования типовые модемы обеспечивают возможность передавать данные на фиксированных скоростях (как правило, скорость измеряется в Кбит/сек). Более производительными являются системы передачи данных, использующие мультиплексоры. Работа мультиплексорного канала состоит в том, что на одном конце линии с высокой пропускной способностью мультиплексор объединяет данные, поступающие по нескольким каналам, а на другом ее конце происходит обратный процесс - разделение каналов данных.
Для установления правил обмена в сетях разрабатываются соглашения, которые называют протоколами. В них устанавливаются физические сигналы, их последовательность во времени, алгоритмы приема, контроля и передачи сообщений, а также состав служебной информации самих сообщений. Принято множество международных стандартов, закрепляющих наиболее распространенные протоколы, для их использования производителями технических средств, операционных систем и пакетов телекоммуникаций.
Линии связи, используемые в сетях, можно разделить на две группы: проводные линии и радиолинии. К наиболее распространенным на сегодня типам линий связи, используемым для передачи данных, относят:
=>кабельные каналы. Кабельные каналы -это проводные линии, имеющие изоляционные покрытия и помещенные в специальные защитные оболочки. (Существуют воздушные проводные линии, но они имеют плохие характеристики и широкого применения не имеют). Основными типами кабельных линий являются симметричные пары и коаксиальный кабель. Симметричные пары - это скрученные пары медных проводников с изоляцией из бумаги или полиэтилена. Кабель может содержать от 20 до 2000 пар. Чем выше скорость передачи, тем больше затухание пары. Коаксиальный кабель состоит из пар, характерными параметрами которых являются внешний диаметр внутреннего проводника и внутренний диаметр внешнего проводника. По сравнению с симметричным кабелем коаксиальный обладает значительно более высокими частотными характеристиками и лучше защищен от внешних помех.
В настоящее время кабельные системы в России наиболее распространены, хотя будущее за оптическими системами. Удобство симметричного и коаксиального кабелей в том, что по ним можно вести как аналоговую так и цифровую передачу, а оптические предназначены исключительно для цифровой передачи.
=> спутниковые каналы. В спутниковых системах связи используются антенны СВЧ-диапазона для приема радиосигналов от передающих наземных станций и для ретрансляции этих сигналов обратно на наземные станции. Существует два основных режима работы спутниковых систем. При первом режиме сигналы передающей станции могут приниматься любой наземной станцией, находящейся в зоне приема спутника. Такой режим называется широковещательным. В основном он используется в телевизионных и радиовещательных системах, но также и для передачи данных. При втором режиме каждый спутниковый канал жестко закреплен между двумя наземными станциями. Остальные не могут принимать сигнал этого спутника.
Главной особенностью спутниковых каналов является большое время распространения сигнала при передаче. Значительная зона действия связи сопряжена с некоторыми проблемами обеспечения конфиденциальности, так как сигнал может быть перехвачен нелегальной станцией. Поэтому нужно применять специальные меры защиты информации. К достоинствам спутниковых каналов относят большую пропускную способность. В условиях России спутниковая связь часто остается единственно возможной для передачи информации в удаленные регионы. Стоимость передачи сигнала не зависит от расстояния между наземными станциями.
=> радиорелейные каналы. Средой передачи для радиорелейных линий (РРЛ) является свободное пространство. Суть РРЛ состоит в том, что на всем протяжении от передатчика до приемника устанавливаются ретрансляционные вышки таким образом, что две соседние вышки должны находится в зоне прямой радиовидимости. Соответственно, расстояния между ними зависят от конкретного рельефа местности и могут составлять от 30 до 50 километров.
Такая связь очень чувствительна к погодным условиям, поэтому при передаче вероятны сильные помехи и, как следствие, низкая скорость и неустойчивая работа.
=> оптоволоконные каналы. Создание и развитие оптических линий обусловлено не только их несомненными техническими преимуществами, но и резко возросшими потребностями в передаче информации. По оптическому волокну, представляющему собой световод из кварцевого стекла, передаются световые лучи инфракрасного диапазона. По сравнению с кабельными оптические системы имеют следующие преимущества:
=> малое затухание;
=> очень высокая пропускная способность (до 10 гбит/сек);
=> малые объемы и масса кабеля, его гибкость;
=> отсутствие электрической проводимости, следовательно не нужны меры по защите от наводок, молний и т.п.;
=> большая устойчивость к несанкционированному подключению.
На скоростях меньших 2 Мбит/сек, оптоволокно использовать невыгодно.
локальные вычислительные сети
Внутрибанковские информационные системы все чаще включают в свой состав локальные сети. Локальная сеть - это коммуникационная сеть, обеспечивающая в пределах некоторой ограниченной территории взаимосвязь для широкого круга применений:
=> связь между ЭВМ;
=> связь между терминалами;
=> связь между учрежденческим оборудованием;
=> доступ терминалов к ЭВМ;
=> совместное использование ресурсов.
Локальными они называются потому, что образующие сеть устройства локализованы в пределах одного здания, на не большом расстоянии (до 1 км) друг от друга.
Локальные сети различаются топологией (геометрической формой). Наиболее популярны следующие топологии:
=> звездообразная;
=> кольцевая;
=> магистральная (шинная);
=> иерархическая.
Для подключения устройств к ЛВС любого типа используются сетевые адаптеры, конструктивно оформленные виде отдельных плат, устанавливаемых в подключаемое устройство (например, ПЭВМ). Адаптер обеспечивает согласование внутренних цепей и сигналов устройств со стандартными, принятыми для сети.
Для поддержки коммуникаций в локальной сети используются сетевые операционные системы, которые или являются надстройкой над операционными системами ЭВМ, включенных в сеть, или сетевой программный интерфейс включается в операционную систему ЭВМ.
глобальные сети
Сети, которые охватывают площади в тысячи километров, получили название глобальных. В таких сетях, как правило, действует центр управления сетью, который отвечает за эффективное и надежное функционирование сети, за оптимальный выбор маршрутов прохождения сообщений от абонента к абоненту. В узлах сети устанавливаются коммутационные ЭВМ, которые связаны с центральным компьютером и с абонентскими пунктами.
Надежность сети повышается, если часть узлов будет связана с помощью каналов, минуя центр. В узлах сети находятся также вычислительные комплексы., на которых ведется обработка информации.
К услугам глобальной сети относят:
=> электронную почту;
=> доступ к информации с удаленного компьютера.
С помощью электронной почты выполняется не только переписка, но и распространение нормативных документов. На сегодняшний день электронная почта является самым экономичным средством связи: она в 5 раз дешевле факса, в 10 раз дешевле телефонной связи. Современные компьютерные глобальные сети распространяются на компьютеры блокнотного типа и могут подключать к себе локальные сети организаций. Поэтому с помощью глобальных сетей можно обращаться к удаленным объектам и, наоборот, находясь на значительном расстоянии от учреждения, обратиться в его локальную сеть.
Способы передачи данных.
Для передачи данных в сети используются следующие методы:
1)коммутация каналов (КК). Сеть коммутации каналов работает так, что она устанавливает весь путь из соединенных линий от посылающей стороны до места назначения вызова или требования; этот полный путь устанавливается с помощью специальных сообщений сигнализации, которые сами прокладывают себе путь по сети и занимают каналы на пути после их прохождения. После установления пути сигналы, посылаемые в обратном направлении, извещают источник, что можно начинать передачу данных, и все каналы этого пути затем используются одновременно. Весь путь остается связанным с этой передачей (независимо от того, используется ли он реально или нет) и только, когда один из абонентов освобождает цепь, все эти каналы освобождаются.
2)коммутация сообщений (КС) При КС в определенный момент времени используется только один канал для данной передачи (между двумя соседними узлами коммутации, а между следующими двумя узлами - другой канал).
Сообщение сначала передается от узла источника к другому узлу на его пути; после приема всего сообщения этим узлом выбирается следующий канал в направлении к получателю в соответствии с маршрутизацией. Если выбранный канал занят, то сообщение ожидает в очереди, передача возобновляется при освобождении канала. Таким образом, при передаче по сети с промежуточным хранением сообщение "прыгает" через участки сети от одного узла к другому, используя в каждый момент времени только один канал и, возможно, ожидая освобождения занятых каналов.
3)коммутация пакетов (КП). Метод возник с результате стремления упростить оборудование узлов коммутации и ускорить время доставки длинных сообщений. КП в целом напоминает коммутацию сообщений, за исключением того, что сообщения разбиваются на части, называемые пакетами, каждая из которых имеет установленную максимальную длину. Эти пакеты нумеруются и снабжаются адресом (как и при коммутации сообщений) и прокладывают себе путь по сети (методом передачи с промежуточным хранением), которая их коммутирует.
Таким образом, множество пакетов одного и того же сообщения может передаваться одновременно, что и является одним из главных преимуществ систем КП. Приемник в соответствии с заголовками пакетов выполняет сшивку пакетов в исходное сообщение и отправляет его получателю. Благодаря возможности не накапливать сообщение целиком в узлах сети не требуется внешних запоминающих устройств, и вполне можно ограничиться оперативной памятью, а в случае ее переполнения использовать различные механизмы "притормаживания" передаваемых пакетов в местах их генерации. Таким образом, главным отличием систем КП от систем КС состоит в том, что части одного и того же сообщения могут в одно и то же время находиться в различных каналах связи, более того, когда начало сообщения уже принято, его конец отправитель может даже еще не передать в канал. Метод КП лежит как бы посередине между КК и КС в смысле использования каналов, сочетает их достоинства и лишен их недостатков.
Исторически сложилось так, что в настоящее время широко применяются два протокола для сетей коммутации пакетов :
=> TCP/IP - используется сообществом сетей INTERNET;
=>Х.25. разработан международным консультационным комитетом по телеграфии и телефонии (МККТТ) в 1976 году.
Внедрение системы электронных расчетов в России сдерживается из-за неразвитости банковской системы телекоммуникаций. В этой связи ЦБ РФ разработал программу модернизации расчетов, предусматривающей создание в России Единой Телекоммуникационной Банковской Сети (ЕТКБС). ЕТКБС разрабатывается по двум основным направлениям:
=> региональные телекоммуникационные сети передачи конфиденциальной банковской информации;
=> единая межрегиональная банковская сеть ЦБ РФ.
Работы проводятся с 1993 года совместно с Федеральным Агентством Правительственной Связи и Информации (ФАПСИ) по согласованным планам. Одновременно с наземными сетями связи для увеличения возможностей региональных и межрегиональных сетей создается спутниковая система связи "Банкир", сейчас она базируется на спутниках-ретрансляторах Министерства обороны РФ.
Программное обеспечение
Под программным обеспечением (ПО) понимается совокупность программных средств для ЭВМ, обеспечивающих функционирование, диагностику и тестирование аппаратных средств, а также разработку, отладку и выполнение любых задач пользователя с соответствующим документированием. Все ПО подразделяют на:
=> системное ПО;
=> инструментальное ПО;
=> прикладное ПО.
системное программное обеспечение
Системное программное обеспечение (СПО) управляет всеми ресурсами ЭВМ, осуществляет общую организацию процесса обработки информации обеспечивает интерфейс ЭВМ с проблемной средой. СПО включает в свой состав:
=> операционные системы;
=>утилиты операционной системы;
=> средства тестирования и диагностики;
=> операционные оболочки.
Под операционной системой будем понимать множество согласованно работающих управляющих программ для выполнения вычислительного процесса.
Именно операционная система определяет режим работы вычислительной системы.
Различают следующие режимы:
=> однопрограммный - в любой момент времени в системе находится одно задание;
=>мультипрограммный - каждое устройство занято своим заданием;
=> режим разделения времени - время наиболее критического ресурса процессора делится на кванты и каждому пользователю последовательно предоставляется квант процессорного времени. Соотношение величины кванта времени, быстродействия компьютера, количества работающих в системе пользователей и сложности программы создает для каждого пользователя субъективное ощущение быстродействия его задачи. В то же время он имеет доступ ко всем ресурсам системы и замечает работу других пользователей только если это увеличивает время выполнения его программы по сравнению с ожидаемым;
=> диалоговый - пользователь может управлять ходом выполнения программы, предполагает отсутствие жестко закрепленной последовательности операций обработки данных;
=> пакетный - пользователь не может повлиять на процесс решения задачи;
=> режим реального масштаба времени -процедуры ввода, обработки, преобразования и вывода информации происходили в темпе соответствующего процесса.
Современные операционные системы имеют встроенные механизмы обработки транзакций. Транзакция - процесс, связанный с изменениями в одной или нескольких базах данных, которые не должны выполняться частично. Если в ходе выполнения процесса изменения не могут быть внесены в полном объеме из-за сбоя оборудования или каких-то других причин, то базы данных должны быть возвращены в исходное состояние. Всякое промежуточное состояние баз данных будет противоречивым.
Понятие транзакции особенно актуально для обработки финансовой информации. Производительность банковских и других подобных систем часто измеряют количеством транзакций в единицу времени.
В настоящее время наиболее распространенными являются следующие операционные системы для персональных компьютеров, рабочих станций и серверов: UNIX, MS DOS, OS/2, WINDOWS, MAC, VAX/VMS. Сетевые операционные системы служат для организации обслуживания пользователей локальных вычислительных сетей. Среди сетевых операционных систем наибольшей популярностью пользуется ОС NetWare разработчик фирма Novell.
Утилиты ОС - средства расширения функций ОС, могут быть реализованы как на уровне отдельных программ, так и в виде специальных пакетов (антивирусные пакеты, пакеты для сжатия/восстановления файлов и т.п.)и использоваться на одном из трех уровней:
=> резидентном (всегда находятся в памяти);
=> системном (работают под управлением ОС, как прикладная программа);
=> автономном (работают вне операционной среды).
Средства тестирования и диагностики -средства для технического обслуживания ЭВМ. Операционные оболочки расширяют функции ОС и повышают уровень интерфейса с ЭВМ.
инструментальное программное обеспечение
Инструментальное программное обеспечение (ИПО) предназначено для создания оригинальных программных средств в любой предметной области. Сюда входят:
=> интерпретаторы и компиляторы с языков программирования;
=> средства отладки, тестирования и редактирования;
=> библиотеки стандартных программ;
=> системы программирования (интегрированные инструментальные программные средства по разработке программ (Turbo-Pascal, turbo-C)
Прикладное программное обеспечение.
Прикладное программное обеспечение (ППО) составляют пакеты прикладных программ (ППП), предназначенные для решения определенного круга задач из различных предметных областей.
В состав ППО входят:
=>ППП общего назначения - текстовые процессоры, электронные таблицы, т.е. ориентированы на широкий круг пользователей, позволяя автоматизировать наиболее часто используемые функции и работы (WORD, Лексикон, EXCEL и т.д.);
=> проблемно-ориентированные ППП имеют достаточно узкое применение: графические редакторы, математические, статистические, ППП моделирования;
=> интегрированные ППП общего назначения
=> ПО пользователей.
Немногие банки разрабатывают автоматизированные системы собственными силами, обычно они используют пакеты прикладных программ, созданные специальными фирмами, специализирующимися на разработке программного обеспечения для автоматизации банковской деятельности, так как это удобно и не очень рискованно. При этом перед российскими банками возникает проблема выбора: какую выбрать систему западную или отечественную?
Экспертные системы.
В области финансов все шире используются экспертные системы - компьютерные программы, формализующие процесс принятия решений человеком.
В качестве достоинств экспертных систем можно отметить следующие:
=>их превосходство над человеком при решении чрезвычайно сложных проблем;
=> диалоговый режим работы;
=> работа с информацией содержащей символьные переменные;
=>одновременная обработка альтернативных версий;
=> объяснение шагов реализации программы;
=> обоснование решений.
Однако реальная эффективность экспертных систем не всегда соответствует возлагаемым на них надеждам по следующим причинам:
=> существует множество нерешенных теоретических проблем;
=> технически ограничены возможности современной вычислительной техники;
=> персонал банков не готов с работе с экспертными системами.
В банках экспертные системы можно применять в следующих областях:
=> программы для анализа инвестиционных проектов.
=> программы анализа состояния валютного, денежного и фондового рынков.
=> программы анализа кредитоспособности или финансового состояния предприятий и банков.
Международные банковские системы
Основные интернациональные банковские системы (ИБС) содержат миллионы программных строк, а на их разработку ушли сотни человеколет, установка же готовой системы занимает несколько месяцев. Интернациональными их называют потому, что эти системы используют банки разных стран мира.
Предлагаемые в настоящее время ИБС в основном проверены временем и некоторые из них имеют уже множество пользователей. Преимущества ИБС заключаются в следующем:
=> системы уже апробированы и протестированы, а значит уменьшается риск сделать неправильный выбор;
=> хорошо известный разработчик системы сможет предложить универсальные средства поддержки, кроме того, он имеет необходимые средства для модернизации программ в соответствии с требованиями пользователей и с учетом изменений на рынке технических средств;
=>эти системы интегрированные. На различных уровнях интеграция позволяет обезопасить процесс обработки данных, она гарантирует, что файлы не дублируются и сохраняют целостность баз данных. Интеграция позволяет предлагать всем клиентам во всех филиалах и отделениях одинаковые услуги, помогает отслеживать и анализировать деятельность банка.
Отечественные банки привлекают следующие достоинства систем:
=>их богатая функциональность. В системах уже заложены перспективные для России финансовые инструменты, интерфейсы специальных устройств (выход в SWIFT, в сети TELEX), проработанность связей с внешними устройствами;
=> возможность параметризации (настраи-ваемость систем);
=> поддержка многофилиальной среды, автономное и совместное функционирование филиалов и центрального офиса, межфилиальные платежи, обслуживание клиента в любом филиале, сведение единого баланса;
=> масштабирование систем (одно и тоже программное обеспечение используется для банков с сотнями и тысячами клиентов);
=> упрощение и сокращение по времени аудиторских проверок (так как эти системы хорошо известны западным специалистам);
=> престиж;
=>контроль за деятельностью подразделений банка в реальном времени.
Без зарубежных систем в отдельных случаях отечественные банки не смогут обойтись. У нас вообще пока нет современных дилинговых систем, систем управления рисками, систем поддержки документарных операций и систем ситуационного моделирования.
В отличии от зарубежных систем отечественные банковские системы значительно дешевле. На российском рынке закрепились фирмы, определяющие дальнейшее развитие российского рынка банковской автоматизации. В последнее время наблюдается устойчивое снижение количества собственных разработок банков, что свидетельствует о том, что отечественные банки в большинстве ориентируются на промышленные решения.
Розничные банковские услуги.
Пластиковые карты.
Смарт-карта - это новый вид носителя информации, построенный на базе микросхемы и предназначенный для хранения, обработки и защиты информации от несанкционированного доступа. Смарт-карты различаются типом встроенной микросхемы.
В зависимости от внутреннего устройства и выполняемых функций смарт-карты можно разделить на три типа:
карты-счетчики;
карты с памятью;
микропроцессорные карты.
Карты-счетчики.
Данный тип карточек применяется для такого типа расчетов, когда требуется вычитание фиксированной суммы за каждую платеж ную операцию. Такие карточки еще называются карточками с предварительно оплаченной суммой.
Примером таких расчетов может быть плата за телефонный разговор.
Первоначально использовались карты с однократно программируемой памятью. После полного использования карты ее приходилось выбрасывать. Современные карты такого типа позволяют после полного использования "восстанавливать" содержимое счетчика. Восстановление содержимого может быть выполнено только при знании определенного кода, разрешающего это действие. Помимо этого, карты содержат область, в которую записываются идентификационные данные. Эти данные не могут быть изменены впоследствии. Карты, позволяющие перезаписывать информацию, относятся к типу карт с энергонезависимой перепрограммируемой па мятью.
Карты с памятью
Название типа весьма условно - строго говоря, все смарт-карты имеют память. Этот тип карт выделен как промежуточный при переходе от карт-счетчиков к микропроцессорным картам. Обычно карты такого промежуточного типа используются для хранения ин формации. Существуют два подтипа подобных карт: с незащищенной и с защищенной па мятью. Карты второго подтипа отличаются от карт первого более высоким "интеллектом", направленным на предотвращение несанкционированного доступа к данным на карте. Однако той "интеллектуальности", которая характерна для карт с микропроцессорами, карты с защищенной памятью не имеют.
В картах с незащищенной памятью нет ограничений по чтению или записи данных.
Карты с незащищенной памятью использовать в качестве платежных крайне опасно. Достаточно легально приобрести такую карту, скопировать ее память на диск, а дальше после каждой покупки восстанавливать ее память копированием начального состояния данных с диска.
В карточках с защищенной памятью используется специальный механизм для разрешения чтения/записи или стирания информации. Что бы провести эти операции, надо предъявить карте специальный секретный код (а иногда и не один). Предъявление кода означает установление с ней связи и передачу кода "внутрь" карты - сравнение кода с ключом защиты чтения/записи (стирания) данных проведет сама карта и "сообщит" об этом устройству чтения/записи смарт-карт. Чтение записанных в память карты ключей защиты или копирование памяти карты невозможно. Как правило, карты с защищенной памятью содержат область, в которую записываются идентификационные данные. Эти данные не могут быть изменены впоследствии, что очень важно для обеспечения невозможности подлога карты. С этой целью идентификационные данные на карте "прожигаются".
Необходимо также, чтобы на платежной карте было по меньшей мере две защищенные области.
Микропроцессорные карты.
Эти карты представляют собой последние достижения в области смарт-карт. Применение из весьма обширно.
В карту встраивается специализированная операционная система, обеспечивающая большой набор сервисных операций и средств безопасности. Эти карты обычно обеспечивают следующие типичные функции.
1) Файловая система.
Операционная система карты поддерживает файловую систему, предусматривающую разграничение доступа к информации. Для информации, хранимой в любой записи (файла, группы файлов, каталога), могут быть установлены следующие режимы доступа:
Всегда доступна по чтению/записи. Этот режим разрешает чтение/запись информации без знания специальных секретных кодов.
Доступна по чтению, но требует специальных полномочий для записи. Этот режим разрешает свободное чтение информации, норазрешает запись только после предъявления специального секретного кода.
Специальные полномочия по чтению/записи. Этот режим разрешает доступ по чтению или записи после предъявления специального секретного кода, причем коды для чтения и записи могут быть различными.
Недоступна. Этот режим не разрешает читать или записывать информацию. Информация доступна только внутренним программам карточки. Обычно этот режим устанавливается для записей, содержащих криптографические ключи.
2) Криптографические средства.
Как правило, в такие карточки встроены криптографические средства, обеспечивающие шифрование информации и выработку "цифровой" подписи. Традиционно в карточках для этих целей применяется криптографический алгоритм DES. Кроме того, в карточке имеются средства ведения ключевой системы.
3) Сервисные команды.
Карты обеспечивают различный спектр сервисных команд. Для банковских целей наиболее интересные из них - это средства ведения электронных платежей.
Специальные средства.
К специальным средствам относятся возможность блокировки работы с карточкой. Различается два вида блокировки: при предъявлении неправильного транспортного кода и при несанкционированном доступе. Суть транспортной блокировки состоит в том, что доступ к карточке невозможен без предъявления специального "транспортного" кода. Этот механизм необходим для защиты от нелегального использования карточек при хищении во время пересылки карточки от производителя к потребителю. Карточка может быть активизирована только при предъявлении правильного "транспортного" кода.
Суть блокировки при несанкционированном доступе состоит в том, что если при доступе к информации несколько раз неправильно был предъявлен код доступа, то карта вообще перестает быть работоспособной. При этом, в зависимости от установленного режима, карта может быть впоследствии либо активизирована при предъявлении специального кода, либо нет. В последнем случае карточка становится непригодной для дальнейшего использования.
Преимущества использования смарт-карт.
Самое главное отличие смарт-карт от других видов пластиковых карт в том, что технологии их функционирования основаны на использовании программно управляемого дискретного автомата, встроенного в карту. При платежах по магнитным или штриховым картам применяется режим "on line". Разрешение на платеж дает, по-существу, компьютер банка или процессингового центра при связи с точкой платежа. Поэтому главная проблема, возникающая здесь, обеспечение надежной, защищенной и недорогой связи. В наших условиях хорошо решить эту проблему крайне трудно.
В случае смарт-карт применяется принципиально новый режим "off line" - разрешение на платеж дает сама карта (точнее - встроенная в нее микросхема) при "общении" с торговым терминалом непосредственно в торговой точке. Накладные расходы по обеспечению платежей чрезвычайно малы, проблемы связи не играют той роли, как в технологиях "on line".
Другая важная особенность смарт-карт заключается в их надежности и безопасности.
Смарт-карта должна быть достаточно "интеллектуальна", чтобы самостоятельно принять решение о проведении платежа, и при этом обладать развитой системой защиты от ее несанкционированного использования.
При несанкционированной попытке использования смарт-карта способна самостоятельно на время или навсегда прекратить свою работу. Для восстановления работоспособности карты необходим ее возврат на место выдачи (обычно это-банк). Если карта утеряна или украдена, то ее владелец сообщает о случившемся в банк, и программа банка вносит эту карту в список недействительных карт, рассылаемый на все терминалы продаж (POS). Любая попытка использовать потерянную или украденную карту будет немедленно пресечена.
Еще одним преимуществом смарт-карт над другими пластиковыми картами является их многофункциональность. Обладая встроенными возможностями осуществлять многие математические и логические операции, и превосходя другие пластиковые карты по объему хранимой на них информации, одни и те же смарт-карты могут использоваться в различных приложениях.
Смарт-карты по сравнению с другими пластиковыми картами обладают высокими эксплуатационными характеристиками.
Платежные системы на основе смарт-карт обладают рядом преимуществ перед система ми, использующими карты с магнитной полосой или со штриховым кодом.
Преимущества могут быть как общие, касающиеся всех пользователей системы, так и частные - для отдельных групп пользователей.
Общие преимущества:
=> Все существующие операции с наличностью могут быть с легкостью заменены на операции со смарт-картами.
=> Централизованный контроль за системой. => Незначительная стоимость оборудования торгового терминала, отсутствие необходимости затрат на дополнительные средства коммуникации и независимость обслуживания систе мы от средств коммуникации.
=> Отсутствие дополнительных затрат на эксплуатацию системы.
=> Надежность использования. После занесения на смарт-карту всех данных владельца, связь с базой данных происходит немедленно по предъявлению карты, что очень важно для городов, в которых отсутствуют современные телекоммуникационные средства.
=> Портативность и автономность торгового терминала, обеспечивающие его широкое применение, вплоть до мобильных пунктов обслуживания и торговых киосков.
=> Возможность принимать оплату с карт в различного типа автоматических устройствах: автоматы по продаже сигарет, прохладительных напитков, телефонные автоматы, автомобильные стоянки и мойки, автосервис и т.д.
=> Уменьшение административных расходов на каждом уровне и расходов на поддержание работы системы, осуществление транзакций, сокращение расходов на время обслуживания, линии связи.
=> Улучшение и упрощение процедур взаиморасчетов.
=> Существенное увеличение скорости всех операций.
=> Существенное уменьшение расходов всех пользователей системы: владельцев карт, торгующих организаций, головной фирмы - эмитента смарт-карт.
=> Система защищена на всех уровнях и исключает целый ряд рисков, присущих другим системам платежей (наличным, талонам, магнитным картам).
=> За счет более быстрой оборачиваемости денежных средств уменьшить инфляцию и сократить расходы на поддержание обращения наличности.
=> Снизить уровень криминальности.
=> Использовать платежные карты в других сферах (государственное страхование, медицинское обслуживание), как чисто идентификационные.
=> Защита карты. Смарт-карта может быть произведена только промышленным путем и содержит уникальный код производителя. Если на вторую карту будут нанесены те же данные, что и на оригинале, но различие во внутренних номерах дает возможность системе отличить одну карту от другой.
Перспективы использования смарт-карт.
Хотя мировые лидеры - фирмы VISA International и Europay International уже заявили о своем неизбежном переходе в ближайшем будущем на технологию смарт-карт, платежные системы на основе карт с магнитной полосой будут продолжать использоваться еще достаточно долгое время, так как развитая между народная инфраструктура для использования этих карт уже сформирована.
Смарт-карты будут внедряться, но весьма осторожно и постепенно.
Одной из причин длительного перехода на массовое использование смарт-карт в международных платежных системах является отсутствие международных стандартов на платежные системы на базе смарт-карт. Хотя оконча тельный стандарт на смарт-карты появится нескоро, практические работы по внедрению чиповой технологии начаты уже сейчас.
Еще одной из причин длительного перехода на массовое использование смарт-карт являет ся отсутствие если не совершенной, то, по крайней мере, очень надежной системы защиты данных не только непосредственно на самой смарт-карте, но и во всей платежной системе в целом, включая терминалы пункта продаж, центры обработки транзакций и т.п. Поэтому в настоящее время ни один банк не пойдет на отказ от авторизации в режиме "on-line" при оплате транзакций на крупные суммы. Скорее всего, по крайней мере еще несколько лет такое преимущество смарт-карты как авторизация в режиме "off-line", в финансовой сфере будет использоваться только при совершении небольших покупок, оплаты поездок в городском транспорте и телефонных разговоров, а также в корпоративных картах для безналичных расчетов в пределах одного предприятия. Большинство систем, использующих смарт-карты, являются локальными, ориентированными на достаточно узкий круг от 5 до 50000 владельцев карт.
В настоящее время в России эмитируются и имеют хождение в основном традиционные карты VISA, Europay, American Express и т. д. с магнитной полосой. Однако платежные системы с использованием этих карт ориентированы на социальные группы потребителей со сред ним достатком. Являясь международным платежным стандартом, системы с использованием магнитных карт будут развиваться и в России, но они, по-видимому, не получат (по крайней мере в ближайшем будущем) столь широкого распространения, как за рубежом. Зато, по мнению ведущих зарубежных специалистов, рынок России открыт для внедрения платежных систем с применением смарт-карт. Понимая преимущества, предоставляемые смарт-карта ми по сравнению с магнитными картами, многие банки России планируют либо полностью, либо частично заменить магнитные карты на смарт-карты. Так как в России практически отсутствует инфраструктура, поддерживающая магнитные карты, то затраты на разработку такой инфраструктуры безусловно более оправданы для технологии смарт-карт, чем для отживших свой век технологии магнитных карт.
Таким образом, есть несколько причин, которые могут предопределить успех смарт-карт и в России:
1. Смарт-карты могут устранить проблемы наличного денежного обращения. Из-за высокой инфляции многие города, банки и большие компании имеют проблемы с наличностью. Ежемесячно выплачивается огромное количество наличных денег в виде зарплаты, что вызывает проблемы, особенно в маленьких удаленных от центра городах и поселках. При использовании смарт-карт зарплата и другие ежемесячные выплаты будут производиться электронным способом со счета компании в банке на счет каждого работника, то нет нужды в большом количестве наличных денег, а значит нет проблемы безопасности при их транспортировке, обработке и распределении.
2. Смарт-карты - единственное безопасное решение при неинтерактивной (off-line) системе платежей. Вследствие того, что все данные владельца карты хранятся в самой карте, она идеальна при неинтерактивных транзакциях.
3. Смарт-карты имеют хорошую систему защиты.
4.Основной фактор, сдерживающий быстрый переход к смарт-картам в зарубежных странах - развитая инфраструктура для поддержки магнитных карт. Россия не имеет такой инфраструктуры. Поэтому более просто и менее дорого начинать с более перспективной системы, чем с системы, которая в ближайшие несколько лет сама себя изживет.
Магнитные карточки нельзя считать идеальным платежным средством, так как они имеют множество недостатков:
1.Плохие эксплуатационные характеристики (информацию на магнитном носителе легко можно разрушить).
2.Отсутствует возможность надежного обновления информации, что не позволяет хранить на карточке информацию о состоянии счета клиента.
3.Необходимость обслуживания карточки в режиме On-line, что повышает издержки эксплуатации подобной системы.
4.Слабая защита от мошенничества (эти карточки легко подделать).
Кредитные карты.
Кредитной назовем карту, которая позволяет клиенту при покупке товаров или услуг отсрочить их оплату. Кредитная карта связана с открытием кредитной линии в банке.
Банковская кредитная карточка не является юридическим свидетельством долга как вексель или чек. Это символ юридических отношений, возникающих между сторонами, заключившими карточные соглашения.
Права и обязанности сторон.
Держатель карточки:
- имеет право использовать карточку для оплаты товаров и услуг, а также для получения авансов в наличноденежной форме; при выдаче карточки банк устанавливает клиенту два вида ограничений:
1 - общий кредитный лимит суммы непогашенной задолженности по счету, действующий на протяжении всего срока действия карточки;
2 - разовый лимит на сумму одной покупки -та величина, оплата которой может быть произведена без авторизации;
имеет право вернуть свою задолженность банку в течение льготного периода без уплаты процентов (или с пониженным процентом); льготный период составляет от 15 до 30 дней; на ссуду, полученную наличными деньгами льготный период не распространяется: наличные деньги всегда выдаются за плату и на срок до 1 месяца;
имеет право воспользоваться продленным кредитом за пределами льготного периода, но уже с уплатой установленных процентов, при чем этот процент выше, чем процент по обычному потребительскому кредиту; процент может определять сам финансовый институт илибыть установленным законодательно (как, например, в некоторых штатах США);
обязан возвращать долг и процент в предусмотренных договором случаях;
обязан оповестить банк в случае утери карточки;
обязан производить ежемесячный обязательный платеж (определенный процент от суммы долга).
Предприятие торговли:
=> обязано принимать карточку в уплату за товары или услуги;
=> обязано проводить авторизацию в предусмотренных соглашением случаях;
=> обязано изъять карточку, если есть подозрение, что предъявитель не является ее держателем;
=> обязано хранить конфиденциальную информацию о клиенте;
=> имеет право предъявить в банк чеки для немедленной оплаты.
Банк:
=> имеет право не выдать карточку клиенту. Если его не устраивает его кредитная история; перед выдачей карточки клиент заполняет специальную анкету, на основе которой и проводится анализ кредитоспособности клиента. Дело в том, что кредит по банковской кар точке связан с большей степенью риска, чем обычный потребительский кредит:
=> во-первых- он относится к категории ссуд без обеспечения, гарантией служит лишь "доброе имя" держателя карточки;
=> во-вторых - риск по карточной ссуде всегда постоянный и равен общему лимиту суммы непогашенной задолженности по счету, а риск по обычному потребительскому кредиту по мере возврата ссуды уменьшается.
=> имеет право брать комиссии и процент в размерах, оговоренных в договоре;
=> обязан высылать клиенту выписку с указанием сумм и сроков погашения долга, причем законодательно регулируется промежуток времени между датой высылки выписки и датой наступления платежа;
=> имеет право оплачивать счета торгового предприятия, если были нарушены какие- либо условия договора (например, не была проведена авторизация);
=> обязан оплачивать счета торгового пред приятия по покупкам, оплаченным карточками за вычетом комиссионного сбора (дисконта) -2%-2.5% от суммы покупки.
В своем стремлении привлечь новых клиентов, банки постоянно расширяют и обновляют перечень предоставляемых услуг. Как уже было сказано ранее, одной из таких новых услуг стала эмиссия кредитных карточек и предоставление частному лицу кредита в виде отсрочки платежа. Феноменальный рост использования кредитных карточек за последние два десятилетия стал отличи тельной особенностью развития мирового потребительского рынка. К выпуску кредитных карточек банк побуждают следующие причины:
=> возможность оказывать дополнительные услуги уже имеющимся клиентам;
=> способность привлекать новую клиентуру - отдельных лиц, розничных торговцев;
=> возможность рекламы и продажи других услуг банка.
Процент по потребительскому кредиту имеет свои особенности. Для потребителя он является основой счета стоимости и разовых выплат. В качестве обоснования выгодности кредита по картам для потребителя в американской литературе выделяют следующие моменты:
=> Эффект инфляции. При покупке товаров а кредит потребитель может выиграть, если цены на товар вырастут к моменту достаточного накопления сбережений, т.к. этот прирост цены будет больше и равен стоимости потребительского кредита.
=> Психологический эффект. В большинстве случаев желание приобрести товары и услуги сегодня сильнее разумной возможности полу чить их завтра или через много лет. Кроме того, многие виды услуг необходимы именно сегодня, например медицинские услуги.
=> Эффект увеличения доходов. Поскольку номинальная заработная плата потребителей имеет тенденцию к росту, потребительский кредит позволяет расширить потребление сегодня без ущерба для будущего потребления.
=> Выигрыш при взимании налога с дохода. Поскольку налог с американского потребителя взимается после всех выплат, в том числе и процента по потребительскому кредиту, то он получает выигрыш при взимании подоходного налога. Например, с дохода потребителя (X) взимается налог 30%. Он платит за кредит 12%. Его доход за вычетом процента составит (Х--0.12Х), или 0.88Х. Таким образом, потребитель не платит налог с 12% дохода, который составляет 3.6%. Поэтому кредит обходится ему не в 12%, а в 8.4%.
=> Периоды жизни. Американские ученые пришли к выводу, что существуют периоды склонности людей к займам и сбережениям. Соответственно, существуют определенные группы людей, отдающие предпочтение кредиту. Так, в 66% семей, главы которых в возрасте 25-45 лет, предпочитают потребительский кредит. Аналогичный показатель в семьях, главы которых от 65-75 лет составляет 18%, а в семьях, главы которых старше 75 лет, - 8%.
Потребитель видит в проценте плату за положительные эффекты. Процентная политика должна быть увязана с ростом цен на потребительские товары, ростом заработной платы и изменением налоговой политики.
Оценка прибыльности операций с кредитными картами
Операции с кредитными карточками относятся к числу наиболее доходных видов банковской деятельности. Основной показатель для измерения прибыльности карточных операций - прибыль на единицу портфеля карточных ссуд ROA (return on assets). Расчет этого показателя позволяет сравнить доходность операций разных банков. Прибыль - это разница между доходами и расходами. Структура доходов и расходов у банка-эмитента и банка-эквайрера различны.
Основные источники доходы банка-эмитента следующие:
=> годовая процентная ставка по карточному кредиту;
=> годовой членский взнос;
=> комиссия по интерчейнджу (Interchange Fee) - это процент с каждого доллара продаж, который платит банк-эквайр банку-эмитенту (1.4%-1.5%) от суммы продаж по карточкам;
=> штрафные сборы за нарушение условий договора (комиссия за просрочку, комиссия за превышение лимита, комиссия за возврат чека, за утерю PIN-кода). Эти штрафы иногда называют "досадными" взысканиями.
Они приносят ничтожный доход, но раздражают держателей карточек, побуждая их соблюдать правила.
Расходы банка-эмитента по карточным операциям включают:
=> плату за ресурсы, которые банк использует для финансирования своего портфеля карточных ссуд (30%) - это процентная ставка, усредненная по различным видам денежных ресурсов, привлекаемых банком-эмитентом на поддержание суммы кредитов, предоставленных держателям карточек;
=> резервирование под кредитные риски - отчисления на создание резерва под выдаваемые клиентом ссуды. Резерв обуславливает необходимость привлечения дополнительных ресурсов;
=> потери от списания безнадежных долгов и несанкционированного использования карточек (20%);
=> расходы на осуществление процессинговых операций (30%);
=> расходы по обслуживанию клиентов (жалобы, возвраты);
=> расходы на маркетинг.
Основные источники дохода банка-эквайрер:
дисконт, уплачиваемый торговцем при депонировании торговых счетов в банке. Эта сумма списывается со счета торговца в банке в конце каждого месяца;
поступления от продажи или сдачи в аренду торговцу оборудования(импринтеров, электронных терминалов);
доход от при использовании средств, хранящихся на депозитном счете торговца.
Расходы банка-эквайрера:
комиссия за интерчейндж;
плата за эксплуатацию компьютерной системы;
- расходы на рекламу и маркетинг.
Анализируя недостатки кредитных карт на макроуровне, следует отметить, что использование кредитных карт в качестве платежного средства таит в себе возможность увеличения денежной массы в обращении (так как ежегодная эмиссия карточек увеличивается на 20%-25%), избыток которой ведет к инфляции. Помимо этого карточки "подстрекают" людей совершать "сверхтраты", делать перерасход собственных средств, увеличивая размер долга компаниям и банкам.
Они приносят ничтожный доход, но раздражают держателей карточек, побуждая их соблюдать правила.
Расходы банка-эмитента по карточным операциям включают:
=> плату за ресурсы, которые банк использует для финансирования своего портфеля карточных ссуд (30%) - это процентная ставка, усредненная по различным видам денежных ресурсов, привлекаемых банком-эмитентом на поддержание суммы кредитов, предоставленных держателям карточек;
=>резервирование под кредитные риски -отчисления на создание резерва под выдаваемые клиентом ссуды. Резерв обуславливает необходимость привлечения дополнительных ресурсов;
=> потери от списания безнадежных долгов и несанкционированного использования карточек (20%);
=> расходы на осуществление процессинговых операций (30%);
=> расходы по обслуживанию клиентов (жалобы, возвраты);
=> расходы на маркетинг.
Основные источники дохода банка-эквайрер:
дисконт, уплачиваемый торговцем при депонировании торговых счетов в банке. Эта сумма списывается со счета торговца в банке в конце каждого месяца;
поступления от продажи или сдачи в аренду торговцу оборудования(импринтеров, электронных терминалов);
-доход от при использовании средств, хранящихся на депозитном счете торговца. Расходы банка-эквайрера:
комиссия за интерчейндж;
плата за эксплуатацию компьютерной системы;
- расходы на рекламу и маркетинг.
Анализируя недостатки кредитных карт на макроуровне следует отметить, что использование кредитных карт в качестве платежного средства таит в себе возможность увеличения денежной массы в обращении (так как ежегодная эмиссия карточек увеличивается на 20%-25%), избыток которой ведет к инфляции. Помимо этого карточки "подстрекают" людей совершать "сверхтраты", делать перерасход собственных средств, увеличивая размер долга компаниям и банкам.
Системы безналичных электронных расчетов
Существует три пути, по которым может следовать банк, выбирая стратегию использования технологий безналичных электронных расчетов:
Создание и эксплуатация независимойсобственной сети обслуживания.
Участие в международных системах.
3. Участие на долевых началах в совместной системе обращения банковских карточек.
Недостаток создания собственной сети в том, что ее маркетинг требует больших затрат, объем ее операций ограничен, так как она способна обслуживать только операции владельцев карт определенного вида, проходящие через данное учреждение. В результате период окупаемости может оказаться длительным, а масштабы системы ограниченными. Этот проект под силу только самым крупным банкам. Участие в международных системах (VISA, American Express, Eurocard, Diners Club и др.) имеет следующие особенности:
=> значительный вступительный взнос;
=> необходимость держать большой объем страховых депозитов в зарубежных банках;
=> отсутствие и невозможность создания единого российского процессингового центра по международным картам, а следовательно необходимость осуществления всех платежей через зарубежные системы, комиссия которых может достигать 2%;
=> ограниченный рынок как клиентов, так и точек обслуживания (исключение составляет только Москва), делающие это мероприятие достаточно сложным и практически бесприбыльным в Российских условиях.
При создании совместной системы организационная структура и специфические детали функционирования сети определяются банками-участниками.
Технологии обмена информацией.
Перед каждым банком, находящимся на этапе выбора системы самообслуживания клиентов на основе пластиковых карточек, возникает комплекс технических и технологических проблем. Одной из наиболее важных в контексте разработки проекта является проблема выбора технологии обмена информацией как внутри банковской системы, так и между банком и процессинговым центром. Правила информационного обмена влияют на выбор аппаратно-программных средств, средств связи и коммуникаций, на систему обеспечения безопасности.
Проанализируем процедуры обработки магнитных и электронных карт. В расчетах участвуют следующие стороны:
=> держатель карточки (клиент);
=> банк-эмитент;
=> предприятие торговли;
=> банк-эквайрер;
=> процессинговый центр.
Клиент при оплате покупки использует магнитную карту. На карте не хранится информация о состоянии счета клиента, поэтому прежде чем принять ее в уплату за товары продавец проводит авторизацию, т.е. делает запрос в банк и проверяет состояние счета клиента. Авторизация может быть голосовая (звонок по телефону) или проводится с помощью специального терминала. Учреждение, от имени которого выдана карточка, соответствующим кодом одобряет или отклоняет сделку. Этот процесс происходит в режиме "on-line", т.е. клиент ждет. Терминал печатает три экземпляра чека, в которых расписывается клиент (для клиента, банка и предприятия торговли). При ручной технологии работы три копии (слипа) делает продавец, "прокатывая" карточку через специальное устройство (в этом случае информация, нанесенная методом эмбоссирования, считыва-ется с поверхности карточки). В конце каждого дня торговец собирает чеки и передает их в свой банк. Общая сумма выручки за вычетом комиссионных переводится на его текущий счет, как правило немедленно. Затем осуществляются межбанковские операции. Банк-эквайрер рассчитывается с банком-эмитентом по системе клиринговых расчетов. А затем банк-эмитент рассчитывается со своим клиентом.
К недостаткам этой схемы можно отнести следующее:
авторизация в режиме "On-line" (долго и повышается себестоимость операций);
сохранение промежуточного бумажного носителя информации (чеки, слипы);
реальное списание средств происходит позже оформления сделки ( существует возможность неправомерного использования карточек).
Однако режим "on-line" имеет и свои преимущества как для держателя карточки, так и для банка-эмитента. Банк-эмитент, обрабатывая транзакции в реальном времени имеет возможность управлять счетами держателей карточек; оперативно блокировать карточки и счета. Для держателя карточки сокращается промежуток времени между внесением средств на счет и поступлением их в базу данных банка; появляется возможность оперативной блокировки карточки при ее утери или хищении; существует возможность оплачивать покупки с конвертацией по курсу сети.
Электронные карточки обрабатываются несколько иначе. На такой карточке присутствует информация о состоянии счета клиента, т.е. в месте покупки известна та сумма денег, которой располагает клиент. Такая карточка обрабатывается в режиме "off-line". Карточка вставляется в специальное устройство (POS-терминал), клиент вводит свой PIN-код, а продавец сумму покупки. Терминал в считанные секунды проверяет подлинность "покупательную силу" карточки. Если средств достаточно, то выполняются операции по списанию средств со счета клиента на счет продавца. Средства на счет продавца перечисляются во время сеанса связи с банком. Но в этой схеме заложена возможность сбора информации с терминалов не только с помощью сеансов обмена по линиям связи, но и с помощью специальных технологических электронных карт или других носителей информации. В принципе эту информацию можно передать и с курьером. "Узким местом" в такой схеме является обновление информации "стоп-листов", в которых фиксируются карточки утерянные или запрещенные к приему по другим причинам. Таким образом, электронные карточки значительно упрощают, ускоряют процесс прохождения платежей, не требуют постоянного использования телекоммуникационных линий связи. Расчеты по карточкам не будут остановлены при неисправности центрального компьютера или других неполадках. недостатки подобной схемы с точки зрения клиента относят:
увеличение срока между внесением средствна счет и поступлением их в базу данных;
невозможно оперативно заблокироватькарточку.
При выборе технологии всегда следует учитывать специфику конкретных условий и тот факт, что обе технологии имеют свои области
применения.
Особенности российского рынка технологий пластиковых карт.
По оценкам экспертов большинство карточных программ, реализуемых коммерческими банками, в настоящее время реальной прибыли еще не приносят, однако многие банки проявляют к ним повышенный интерес. Реализация карточных проектов может давать огромные прибыли в результате массового привлечения денег физических лиц и последующего их вовлечения в оборот. Как механизм привлечения денежных средств населения, карточки гораздо эффективнее потому, что процентная ставка по карточному счету может быть значительно ниже, чем процентная ставка по банковскому депозиту. При этом население все равно сохраняет интерес к карточкам, так он обусловлен не столько начисляемыми процентами, сколько другими факторами, ради которых карточка и приобретается.
При всем очевидном удобстве пластиковой карточки ее внедрение в России сопряжено с рядом объективных трудностей:
Специфически российской особенностью можно считать признаваемую многими высокую степень недоверия между участниками расчетов: банками, их клиентами, торговыми предприятиями, центрами авторизации и т.д. Это накладывает дополнительные ограничения на развитие подобных систем и вызывает необходимость применения специальных методов обеспечения финансовой безопасности всех участников расчетов от ненадлежащего использования полномочий и средств доступа.
В западных странах основную прибыль "классическим" платежным системам приносят отчисления продавцов товаров или услуг, у нас же в качестве основного источника доходов рассматриваются, как правило, покупатели.
К сожалению, в России полностью отсутствует законодательная база для расчетов банковскими картами, и в спорных ситуациях банку проще самому взять на себя спорную сумму, чем заниматься судебным разбирательством,отнимающим уйму сил и времени.
Среди платежных систем существует по крайней мере два крупных сегмента рынка, которые между собой слабо пересекаются: локальные и глобальные системы.
Практически все фирмы, активно действующие на российском рынке, работают напрямую с конкретными зарубежными поставщиками техники и программно-аппаратных средств (являясь при этом их эксклюзивными дистрибьюторами). Поэтому даже выбор только оборудования и/или типа карточки практически однозначно определяет всю технологическую цепочку.
Одним из важнейших препятствий к широкому внедрению карт является укоренившаяся в сознании людей привычка к использованиюналичных денег, а также отсутствие у российских граждан знаний и навыков в области расчетов по пластиковым карточкам.
Платежная система, основанная на использовании банковских карточек, должна быть высокоавтоматизированной и функционировать в режиме реального времени. Это предъявляет высокие требования к системам телекоммуникаций, используемым ею. Качество же российских коммуникаций оставляет пока еще желать много лучшего. Поэтому для надежной работы необходимо создать и внедрить в эксплуатацию специализированные системы передачи информации. Это задача чрезвычайно сложная и дорогостоящая, что, несомненно, задерживает внедрение расчетов по пластиковым карточкам.
Создание системы расчетов банковскими картами требует колоссальных начальных капиталовложений. Следует отметить, что окупаемость системы происходит только по прошествии нескольких лет ее эксплуатации. Эти два обстоятельства, несмотря на высокую рентабельность системы в будущем, тормозят вложения коммерческих структур и государства в развитие этих систем.
Ассоциации банковских пластиковых карточек.
Ассоциации играют важную роль в организации и функционировании карточных расчетов. Они разрабатывают общие правила, обязательные для всех участников системы, проводят анализ операций и координируют деятельность системы. Они аккумулируют ресурсы для применения новейших технологий, и создания гигантских коммуникаций для быстрого и надежного обмена финансовой информацией.
Ассоциации выполняют следующие функции:
=> выдача лицензий на выпуск карточек с логотипом;
=> охрана патентов и прав;
=> разработка стандартов и правил ведения операций;
=>обеспечение функционирования национальных и международных систем авторизации и расчетов;
=>обмен финансовой информацией и перевод комиссионных выплат между участниками системы;
=> разработка новых платежных продуктов; => реклама и продвижение продукта на рынок.
В России созданы и функционируют межбанковские платежные системы. В отличии от других систем межбанковские системы объединяют несколько банков (иногда более сотни), условия вступления в них проработаны прежде всего с учетом интересов этих банков, самостоятельно ведут процессинг операций, они более крупные по числу держателей карточек и развитию приемной сети. Средним и мелким банкам, желающим начать бизнес на рынке пластиковых карт без существенных первоначальных затрат, наиболее эффективно заняться эмиссией или обслуживанием уже существующих карточек. По числу вступивших участников лидируют компании "STB Card", "Union Card" и "Золотая Корона".
В настоящее время обсуждается вопрос создания национальной платежной системы (НПС). Только в рамках НПС возможно качественное развитие и повышение доходности пластикового бизнеса в России - как за счет роста валового объема комиссионных от резкого роста транзакций, так и за счет отказа от их дележа с международными платежными системами.
Для создания НПС необходимо обеспечить выполнение следующих требования:
=> карточка должна обслуживаться на всей территории России, что требует больших инвестиций;
=> расчетным банком системы обязательно должен быть российский банк, т.к. это позволит снизить реальную себестоимость услуг за счет прибыли от работы с остатками;
=> продукты должны обеспечить рентабельность прохождения мелких платежей. Для мелких платежей в настоящее время планируется использовать смарт-карты, работающие в режиме "off-line". Это позволит разгрузить процессинговые центры и сэкономить на авторизации;
=> услуги и продукты НПС на территории России должны быть более дешевыми, чем услуги международных платежных систем;
=>НПС должна базироваться на стандарте совместимом с международным;
=>желательно, чтобы подавляющая часть оборудования производилась внутри страны, т.к. это существенно снизило капитальные затраты на систему.
Мировой показывает, что в каждой стране наряду с международными успешно действуют локальные платежные системы. Наиболее сильные из них успешно сотрудничают с международными. Банкомат (ATM - automated teller machine) -это многофункциональный банковский автомат, предназначенный для обслуживания клиентов в отсутствие банковского персонала. Чаще всего банкомат используется для выдачи наличных денег. Помимо этого, банкомат может выполнять следующие функции:
=> изменение параметров счета клиента (внесение денег на депозит);
=> сообщить баланс счета;
=> дать отчет о движении средств на счете за определенный период;
=> перевести средства со счета на счет;
=> выполнять периодические платежи;
=> предоставление информационно-справочных услуг.
Банкоматы делят на универсальные (полнофункциональные) и специализированные. Последние предназначены только для работы с наличными деньгами, но с высокой скоростью (не более 15 секунд на одну операцию). Банкоматы, предназначенные только для предоставления информационно-справочных услуг, получили название "информационных киосков" и "информационных принтеров". Последнее поколение банкоматов, выпущенных в США могут выполнять 125 различных функций.
По степени автономности действия банковские автоматы можно разделить на простые оконечные устройства, которые принимают заявки и оформляют результаты банковских операций, проводимых центральной ЭВМ, и аппараты с высокой степенью автоматизации и функциональной самостоятельности, получающие от центральной ЭВМ банка лишь санкцию на автоматическое выполнение операций. Применение банкоматов отражает стремление банков приблизить свои услуги клиентам, расширить временные и пространственные рамки, в которых клиент может осуществлять стандартные банковские операции по получению наличности и осуществлению вкладов. Использование банкоматов позволяет банку сократить персонал и снизить затраты на помещения.
Основное преимущество банкомата перед обычным кассиром - возможность круглосуточной работы. Понятно, что для этого банкомат должен быть установлен в таком месте, куда клиент платежной системы может попасть в любое время дня или ночи. На Западе банкоматы в таких местах и стоят: на вокзалах, в аэропортах, в вестибюлях общественных или просто посещаемых зданий, а то и просто на улицах.
Главной функцией банкомата остается снятие наличных денег с карточного счета. В этой операции содержится некое внутреннее противоречие: ведь достоинство банковских карточек заключается в возможности не иметь дела с наличными.
Для того, чтобы клиент получил наличные, должны быть выполнены как минимум следующие операции:
1) Клиент вставляет карточку в приемное устройство банкомата.
1) Банкомат выдает на экран приглашение ввести персональный идентификационный номер (PIN).
3)Клиент набирает свой PIN на клавиатуре банкомата.
4)Банкомат считывает информацию с карточки и проверяет, соответствует ли набранный PIN тому, который считан с карточки, а также, не состоит ли этот PIN в "стоп-листе" недействительных и аннулированных номеров карточек.
5)Если все в порядке, то банкомат выдает на экран приглашение ввести сумму, которую клиент намеревается получить наличными.
6)Клиент набирает нужную сумму.
7)Банкомат проверяет, не превышает ли запрошенная сумма лимит, который разрешается снимать наличными в данной платежной системе (вообще говоря, такой лимит может быть установлен даже индивидуально для каждого банкомата).
8)Если все в порядке, то банкомат отсчитывает нужную сумму банкнотами и выдает их через устройство выдачи наличных.
9)Банкомат возвращает карточку.
Разумеется, это лишь сокращенное и упрощенное перечисление тех действий, которые совершает банкомат при обслуживании клиента. Так например, при использовании дебетной карточки (что типично для нашей страны) банкомат должен еще проверить, не превышает ли запрошенная сумма остаток на карточном счете клиента. Многие банкоматы, кроме того, являются мультикарточными, то есть обслуживают карточки различных платежных систем. Это обстоятельство добавляет еще несколько шагов к вышеописанному алгоритму. Кроме того, по запросу клиента, банкомат печатает квитанцию, подтверждающую проведение транзакции. Некоторые модели обеспечивают печать не только квитанции (слипа), но и выписки по счету, и записей в сберегательной книжке клиента. Печать производится по запросу клиента, который должен выбрать соответствующий пункт из меню и нажать на соответствующую клавишу.
Некоторые из вышеперечисленных действий требуют обмена информацией между банкоматом и центром. В частности, это необходимо для проверки остатка на карточном счете клиента, соответствия между PIN и номером карточки, лимитов выдач по кредитной карточке и т.п. Связь необходима также для предоставления клиенту текущей информации о состоянии его счета и для выдачи таких данных на печать.
При выполнении перечисленных выше операций происходит обмен информацией между клиентом и платежной системой при посредстве банкомата. Вообще говоря, этот обмен может осуществляться в одном из трех режимов :
On-line (режим реального времени) - когда банкомат постоянно подключен к процессин-говому центру, и обмен информацией между банкоматом и процессинговым центром происходит непрерывно. В этом случае все необходимые данные о клиенте, движении средств и остатках, на его счете могут находиться в процессинговом центре, и все транзакции по карточному счету выполняются в реальном времени процессинговым центром;
Off-line (автономный режим)- когда банкомат не имеет связи с процессинговым центром, и обмен данными между ними осуществляется с продолжительными интервалами, путем переноса информации на магнитных носителях. В этом случае возникает необходимость хранить данные о клиенте, движении средств и остатках на его карточном счете в самом банкомате. Транзакции по карточному счету также регистрируются и накапливаются в банкомате, и лишь после переноса очередной "порции" информации (например, за сутки) в процессинговый центр, там производится пакетная обработка этих транзакций и корректируется состояние карточного счета клиента;
квази-On-line, когда банкомат связывается с процессинговым центром по каналам связи, но связь не поддерживается непрерывно, а осуществляется по некоторому расписанию. В зависимости от того, каким образом организована эта связь и как составлено расписание, можно различить системы с дозвоном от банкомата в процессинговый центр или с обзвоном банкоматов процессинговым центром, а также системы с обзвоном/дозвоном по расписанию (например, каждый час или каждые два часа) и системы с дозвоном по мере необходимости, то есть при осуществлении транзакции.
В режиме Off-line проверки производятся с использованием автономной базы данных банкомата. Это налагает естественные ограничения на диапазон возможных проверок. В частности, в сколько-нибудь развитой платежной системе технически невозможно хранение остатков по карточным счетам всех клиентов. В этом случае обычно устанавливается лимит суммы, которая может быть снята через банкомат (обычно суточный, в соответствии с продолжительностью цикла обслуживания банкомата). Если этот лимит не превышает величину обязательного неснижаемого остатка по карточному счету клиента, то вероятность существенного ущерба банку из-за выхода клиента на дебетовое сальдо считается невысокой (хотя, разумеется, в off-line системах у клиента остается возможность обойти за день, скажем, десять банкоматов и в каждом снять сумму, равную суточному лимиту - правда , в России пока не столько банкоматов, чтобы это составляло серьезную опасность).
При использовании smart-карт, в отличие от карт с магнитной полосой, режим off-line не накладывает столь серьезных ограничений, так как информация о текущем остатке и индивидуальных лимитах по карточному счету клиента размещена на самой карточке. Фактически при этом в банкомате необходимо хранить только стоп-лист, своевременность обновления которого не столь критична для безопасности системы, как своевременность обновления информации о состоянии карточного счета.
Преимуществами автономного режима является его относительная дешевизна и независимость от качества линий связи. Это особенно следует отметить в наших условиях. В тоже время низкая стоимость установки обуславливает высокую стоимость эксплуатации этих устройств. Ведь для того, чтобы информация "стоп-листов" была актуальной, необходимо хотя бы раз в сутки объезжать все точки и информацию обновлять. При значительном количестве банкоматов подобное обслуживание затруднительно. Отказ от ежедневного обслуживания банкоматов может нанести банку серьезный урон в случае неправомерного пользования карточкой или при расходовании денег. Так в качестве одной из причин краха программы POLISCARD специалисты приводят тот факт, что из-за работы банкоматов в режиме off-line вовремя не пополнялись наличные. В результате клиенты стали смотреть на банкомат как на металлическую кассу и стремились полностью снять со счета все деньги (клиентам представлялось более удобным хранить деньги в "банке"), а система не могла работать с остатками по счетам. Режим реального времени имеет большие преимущества по сравнению с автономным, хотя и более дорогой в установке. Этот режим позволяет клиенту не только получать наличные деньги, но и манипулировать счетом. Информация "стоп-листов" всегда актуальна. Однако возрастают требования к каналам связи.
Кроме одиночных банкоматов в настоящее время часто эксплуатируются сети банкоматов. Участники такой сети преследуют следующие цели:
=> разделение затрат и риска между участниками сети при внедрении новых услуг;
^уменьшение стоимости операций для участников;
=> предание услугам общенационального характера, повышение их субъективной ценности для клиентов. Так как банкомат - это средство самообслуживания, то он должен отвечать следующим требованиям. Это:
Простота и очевидность управления. Пользователь не должен проходить специальное обучение, чтобы успешно манипулировать сбанкоматом.
Надежность и безотказность. Пользователь не должен получать отказ в выполнении запрошенной операции из-за неисправностиили сбоев в технических средствах.
Безопасность и защищенность.
Во-первых, пользователь должен быть защищен от нарушения конфиденциальности его PIN-кода.
Во-вторых, банк должен быть защищен от всякого рода неприятностей: использования поддельных и недействительных карточек, мошенничества и некорректных транзакций (например, дебетования карточного счета отрицательной суммой) и т.п.
В-третьих, банкомат должен быть защищен от взлома, вандализма; желательно, чтобы он вообще был как можно более стоек к физическим воздействиям и обеспечивал сохранность размещенных в нем наличных даже в условиях аварий и стихийных бедствий. Низкая стоимость эксплуатации. Расходы на содержание и обслуживание банкомата не должны быть чрезмерными, иначе банку будет невыгодно поддерживать разветвленную сеть этих устройств (а для того, чтобы карточная платежная система была прибыльной, необходимо большое количество точек обслуживания, и в том числе банкоматов).
Отработанные в банкоматах технические решения послужили основой для других устройств из того же семейства машин для работы с наличными бумажными деньгами. Это так называемые Teller Cash Dispenser (TCD) - кассовые устройства типа "электронный кассир", автоматы обмена валюты, сортировщики банкнот. Важным направлением обслуживания клиентов банков с использованием новейших электронных средств является представление им электронных услуг в магазинах. Первые опыты по использованию систем ЭФТПОС (Electronic Funds Transfer at Point of Sale - EFTPOS - Система межбанковских электронных переводов денежных средств в организациях розничной торговли) относятся к 1980 году.
Цель внедрения таких систем - замена налично-денежных оборотов электронными перечислениями (в частности за покупки свыше 15$).
Финансовые услуги, оказываемые в торговых точках состоят в следующим:
=> проверка и гарантия чеков;
=> разрешение на свершение торговых операций с помощью кредитных карт;
=> обслуживание дебетовых карточек;
=> использование электронной системы расчетов. Существует два типа систем ЭФТПОС. Основной из них предполагает, что предприятие торговли и клиент имеют счета в одном банке. В более сложной системе участвуют два или более банков.
Основными компонентами системы ЭФТПОС с функциональной точки зрения являются: терминалы, устанавливаемые на предприятиях розничной торговли; устройства контроля терминалов; система связи; процессинговый центр; банковские системы ЭВМ.
Терминалы устанавливаются в местах обслуживания покупателей. Они используются служащими торговой фирмы для ввода и передачи информации о платежных операциях в банковскую систему и для обратного получения и чтения на экране монитора информации о реакции банка на платежные операции клиента. Терминалы могут быть предоставлены в распоряжение торговой фирмы банком, и в этом случае они считаются принадлежащими банку. Торговые фирмы могут приобретать и собственные терминалы. Терминалы бывают двух видов:
1)платежный терминал - специализированные микро-ЭВМ, выполненные на базе восьмиразрядного микропроцессора. Небольшой объем памяти не позволяет хранить большие списки "стоп-листов" карт и платежных транзакций. Такие терминалы предназначены для обслуживания карт одного эмитента (новый эмитент - новый терминал, определенные неудобства для работников предприятия торговли) и не позволяют осуществлять наличные платежи.
2)кассовые регистраторы - создаются на базе ПЭВМ. Позволяют принимать все виды платежей, иметь полные "стоп-листы". Такие терминалы могут быть объединены в локальную сеть с системой учета, складирования и базой данной штрих-кодов товаров магазина. Появление нового эмитента приводит лишь к изменению программного обеспечения. В этом случае возможна полная автоматизация операции оплаты покупки: клиент вставляет карточку и набирает PIN-код, продавец с помощью специального устройства считывает штрих-код товара. Далее все операции проводит электронная система расчетов: в базе данных по штрих-коду отыскивается товар и определяется его цена, проверяется возможность оплаты безналичным путем (состояние счета клиента) и происходят расчеты.
Спектр операций, выполняемых через ЭФТПОС расширяется в результате внедрения новейших банковских технологий, Последнее поколение терминалов может прогнозировать уровень торговой деятельности, анализировать имеющиеся данные, определять оптимальный уровень запасов, осуществлять автоматическую проверку пластиковых карт, выполнять другие операции, обусловленные потребностями самого магазина. При помощи систем ЭФТПОС осуществляется перечисление средств со счета покупателя на счет продавца в момент покупки или в отдельных случаях с отсрочкой платежа по желанию клиента. Пользование системами ЭФТПОС имеет ряд преимуществ для клиента:
=> быстрота совершения операций. Скорость свершения одной операции составляет 22 секунды, в то же время с использованием наличных - 30 секунд, кредитных карт - 75 секунд и чеков 90 секунд.
=> сокращение платы за услуги банку. Себестоимость операций, совершаемых с помощью ЭФТПОС ниже, чем операций, совершаемых с помощью наличных или других платежных бумажных документов.
=> более быстрое зачисление средств на счет продавца со счета покупателя , поскольку данная операция производится автоматически в момент покупки.
=> сокращение бумажного документооборота и издержек обращения.
=> гарантия платежа и надежная защита от несанкционированного доступа к счету клиента.
=> возможность приобрести товар, не имея при себе наличных.
Наряду с преимуществами использование систем ЭФТПОС вызывает ряд серьезных проблем:
=> банки и организации розничной торговли вложили крупные капиталы в мероприятия по оснащению своих учреждений ATM и другой техникой, а НТП ставит на повестку дня необходимость внедрения более современной, сложной, а значит и дорогостоящей техники;
=> нет полной гарантии в надежности оборудования. Несмотря на существующие системы защиты от сбоев полной гарантии в безотказной работе компьютерной сети дать нельзя;
=> возможность несанкционированного совершения операций в результате краж карточек, подделок и т.п.;
=>не наблюдается резкого сокращения бумажного документооборота, поскольку покупатели требуют оформления документа, подтверждающего платеж.
Банки, финансирующие создание систем ЭФТПОС расширяют список своих клиентов путем предоставления им больших удобств для покупок в магазинах с использованием удаленных устройств. Торговля также увеличивает количество клиентов, расширяет управление имуществом, сохраняет время клиентов и уменьшает риск потери наличных денег. Ведение банковских операций на дому ("home banking") представляет собой самостоятельную форму банковских услуг населению, основанных на использовании электронной вычислительной техники.
Впервые услуга начала применяться в 1983 году.
Популярность этих услуг резко выросла в 1994 году. В 1993 году банки стали делать крупные инвестиции в создание подобных систем обслуживания на дому с помощью персонального компьютера, цифрового телефона, телефона с дисплеем (screen-phone) и интерактивного телевидения.
Наиболее простой формой таких услуг является прямое обслуживание по телефону, которое позволяет частным вкладчикам проводить такие транзакции, как открытие счета и получение кредита. По мнению экспертов такой канал распространения банковских услуг оказался более эффективным, чем традиционная многофилиальная схема. Пользователи систем электронных банковских услуг на дому самостоятельно приобретают необходимое оборудование, а банк консультирует клиентов по вопросам оборудования домашних терминалов и приобретения необходимого программного обеспечения. Подобные системы позволяют клиенту банка, используя экран монитора или телевизора, персональный компьютер, подключиться по телекоммуникационным линиям связи к банковскому компьютеру. В данном случае клиент получает возможность осуществлять банковские операции круглосуточно без выходных и праздничных дней. Перед началом каждой операции владелец счета использует "ключ" в коде защиты от неправомочного подключения к системе. Пользование данной системой позволяет управлять текущим счетом, вкладом, расчетами клиента с бюджетом, счетами платежей, счетами платежей и сбережений. Среди операций можно выделить следующие:
=> получение баланса счета на текущий день;
=> ознакомление с деталями инструкций, правил, в соответствии с которыми могут вноситься изменения и т.д.;
=> возможность заказать чековую книжку и отчет о движении средств на счете за определенный период времени;
=> выполнить операции с ценными бумагами и т.п.
Главным сдерживающим моментом в использовании услуги для клиента остается ее стоимость, причем с повышением степени комфортности и сложности операций затраты со стороны клиента возрастают. С позиций бизнесмена важнейшим преимуществом этого вида электронных банковских услуг является возможность получения любой информации в любое время суток. Широкое внедрение подобных услуг позволит банку сократить персонал, снизить расходы на помещения. Однако главным недостатком такой услуги с точки зрения банка является возможность быстрого перевода клиентом денежных средств на доходные счета. Однако несмотря на постоянное беспокойство по поводу безопасности проведения операции стремительный рост использования INTERNET может дать дополнительный толчок и банковским услугам на дому.
В России подобные услуги осуществляются с помощью систем "Банк-Клиент", реализующих безбумажную технологию работы с банком. Разработкой систем занимаются многие фирмы, занимающиеся автоматизацией банковской деятельности. Систему закупает банк, а затем продает доступ к ней своим клиентом (некоторые банки не берут за это плату). Система автоматизирует осуществление платежей, банковских операций и обмен информацией, она исключает из технологической цепочки обработки документа процедуру передачи бумажного документа из рук клиента в руки операциониста и перевода его в электронную форму. Сопутствующие этому процессу операции идентификации и аутентификации документа тоже выполняются автоматически. В первое время наличие системы в банках было скорее атрибутом рекламной политики, но постепенно использование систем "Банк-Клиент" стало неотъемлемым элементом технической политики. Использование систем позволяет сократить операционные расходы банка, разгрузить операционные залы, позволяют проводить круглосуточную работу с клиентом.
Системы банковских коммуникаций
SWIFT(Society for World-Wide Interbank Financial Telecommunications) - "Сообщество всемирных межбанковских финансовых телекоммуниаций" является ведущей международной организацией в сфере финансовых телекоммуникаций. Основными направлениями деятельности SWIFT являются предоставление оперативного, надежного, эффективного, конфиденциального и защищенного от несанкционированного доступа телекоммуникационного обслуживания для банков и проведение работ по стандартизации форм и методов обмена финансовой информацией.
ГЛАВНЫЕ ЦЕЛИ СОЗДАНИЯ СЕТИ SWIFT И ОСНОВНЫЕ
ЭТАПЫ ЕЕ РАЗВИТИЯ
В мае 1973 г. 239 банков из 15 стран в соответствии с бельгийским законодательством учредили SWIFT с целью разработки формализованных методов обмена финансовой информацией и создания международной сети передачи данных с использованием стандартизованных сообщений. Последующие четыре года были посвящены решению организационных и технических вопросов, и 9 мая 1977 г. состоялось официальное открытие сети. К концу года число банков-членов увеличилось до 586 (против 513). Они обеспечивали ежедневный трафик до 500.000 сообщений.
В настоящее время SWIFT объединяет около 5000 банков и финансовых организаций, расположенных в 130 странах мира, у которых насчитывается более 20.000 терминалов Все они, независимо от их географического положения имеют возможность круглосуточного взаимодействия друг с другом 365 дней в году.
SWIFT не выполняет клиринговых функций, являясь лишь банковской коммуникационной сетью. Передаваемые поручения учитываются в виде перевода по соответствующим счетам "ностро" и "лоро" так же, как и при использовании традиционных платежных документов.
SWIFT - это акционерное общество, владельцами которого являются банки-члены. Зарегистрировано общество в Бельгии (штаб-квартира и постоянно действующие органы находятся в г. Ла-Ульп недалеко от Брюсселя) и действуют по бельгийским законам. Высший орган - общее собрание банков-членов или их представителей (Генеральная ассамблея).
Все решения принимаются большинством голосов участников ассамблеи в соответствии с принципом: одна акция - один голос. Количество акций распределяется пропорционально трафику передаваемых сообщений.
Членом SWIFT может стать любой банк, имеющий в соответствии с национальным законодательством право на осуществление международных банковских операций. Наряду с банками-членами имеются и две другие категории пользователей сети SWIFT - ассоциированные члены и участники. В качестве первых выступают филиалы и отделения банков-членов. Ассоциированные члены не являются акционерами и лишены права участия в управлении делами общества. Так называемые участники SWIFT - всевозможные финансовые институты (не банки): брокерские и дилерские конторы, клиринговые и страховые компании, инвестиционные компании, получившие доступ к сети с 1987 года.
Как показывает практика, затраты банков на участие в системе SWIFT (главным образом, на установку современного электронного оборудования) окупаются обычно в течение 5 лет. Первым из российских банков к SWIFT подключился Внешэкономбанк. Это произошло 4 декабря 1989 года.
Отечественные банки используют в основном SWIFT для платежей за рубеж, но большую долю составляют сообщения, имеющие в качестве конечного адресата Российские банки (от 20% до 30%). Серьезному прогрессу в этой области способствовало принятие летом 1995 года "Рекомендаций по формированию рублевых сообщений" ("SWIFT-RUR") для сети SWIFT. Российские банки, таким образом, получили возможность активно использовать сеть для проведения внутренних расчетов. Большие потенциальные возможности открывает и использование SWIFT для организации клиринговых расчетов, а также для работы на российском рынке ценных бумаг.
Членство в SWIFT создает возможности для более широких и интенсивных финансовых и экономических внешних контактов, в том числе в частности создания нормальных условий для функционирования иностранных инвестиций на территории России и других стран СНГ.
SWIFT организация бесприбыльная, вся получаемая прибыль идет на покрытие расходов и модернизацию системы.
преимущества и недостатки cetи
Работа в сети SWIFT дает пользователям следующие преимущества:
=> надежность передачи сообщений, обеспечиваемая построением сети, специальным порядком передачи и приема сообщений, за счет "горячего" резервирования каждого из элементов сети;
=>сеть гарантирует абсолютную безопасность многоуровневой комбинацией физических, технических и организационных методов защиты, обеспечивает полную сохранность и секретность передаваемых сведений;
=> сокращение операционных расходов по сравнению с телексной связью. Например, стоимость одного стандартного сообщения (до 325 байт) не зависит от расстояния, а высокая интенсивность обменов снижает стоимость настолько, что она оказывается ниже стоимости аналогичных передач по телексу телеграфу;
=> быстрый доступ доставки сообщений в любую точку мира; время доставки сообщения составляет 20 мин., его можно сократить до 1-5 мин. (срочное сообщение), что перекрывает показатели отдельных каналов связи. Сообщение достигает адресата значительно быстрее за счет сокращения промежуточных этапов в сети. Так, аналогичная передача по телеграфу занимает около 90 мин. В случае, когда отправитель скоммугирован с получателем (режим on-line) передача данных происходит менее чем за 20 секунд;
=>так как все платежные документы поступают в систему в стандартизированном виде, то это позволяет автоматизировать обработку данных и повысить, в конечном итоге, эффективность работы банка; фиксация выполненных транзакций дает возможность полного контроля (аудита) всех проходящих распоряжений и ежедневного автоматизированного формирования отчета по ним; кроме этого преодолеваются языковые барьеры и уменьшаются различия в практике проведения банковских операций;
=>в связи с тем, что международный и кредитный оборот все более концентрируется на пользователях SWIFT повышается конкурентоспособность банков-членов SWIFT;
=> SWIFT гарантирует своим членам финансовую защиту, т.е. если по вине сообщества в течение суток сообщение не достигло адресата, то SWIFT берет на себя все прямые и косвенные расходы. Которые понес клиент из-за этого опоздания.
Главным недостатком SWIFT с точки зрения пользователей является дороговизна вступления. Расходы банка по вступлению в SWIFT составляют 160-200 тыс.$. это создает определенные проблемы для крупных и мелких банков. В качестве недостатков можно назвать также в определенной степени сильную зависимость внутренней организации от очень сложной технической системы (опасность сбоев и другие технические проблемы). В качестве еще одного недостатка можно назвать сокращение возможностей по пользованию платежным кредитом (на время пробега документа), т.е. сокращается период между дебетом и кредитом счетов, на которых отражается данный перевод. СООБЩЕНИЯ SWIF
Одно из основных направлений деятельности общества заключается в разработке унифицированных средств обмена финансовой информацией. С этой целью создана и продолжает совершенствоваться структурированная система финансовых сообщений, с помощью которой возможно осуществить практически весь спектр банковских и других финансовых операций, включая операции, осуществляемые на валютных и фондовых биржах.
Форматы стандартизированных машинопечатаемых сообщений разработаны таким образом, чтобы сделать их наиболее независимыми от национальных особенностей банковской сферы в каждой конкретной стране. В то же время унифицированные форматы сообщений, используемые для передачи информации в сети SWIFT, наряду с присваиваемыми обществом банковскими идентификационными кодами (восьмизначный код, являющийся уникальным адресом банковских и других финансовых институтов), рекомендованы Международной организацией по стандартизации (ISO) в качестве международных стандартов. Стандарты SWIFT стали стандартами "де факто" для финансовых сообщений транзакций.
Унификация машиночитаемых форматов значительно облегчает контроль корректности отправляемых сообщений, что, с одной стороны обеспечивает защиту от случайных ошибок, и, с другой - повышает пропускную способность системы для правильно сформулированных сообщений. Процессы подготовки и обработки сообщений полностью поддаются автоматизации, что значительно повышает эффективность и рентабельность банковской деятельности.
В настоящее время используется 11 категорий, охватывающих более 130 типов сообщений (Message Transaction - МТ), построенных таким образом, чтобы обеспечивать выполнение финансовых операций с большой точностью (таблица 1).
Сообщения, как правило, передаются от одного пользователя к другому, но существует категория системных сообщений, которые позволяют пользователю взаимодействовать с сетью (0 категория). Системные сообщения используются для запроса определенных действий и получения специальных отчетов, поиска сообщений в базе данных, для учебных и тренировочных целей.Пользователь может получать от сети запросы, или она может информировать его о своем текущем состоянии, обновлениях, новых услугах и т.д.
Системные сообщения пользуются наивысшим приоритетом, поскольку они содержат информацию, касающуюся функционирования сети.
Банковские сообщения делят на срочные и обычные, причем за отправку срочных сообщений взимается специальный тариф.
Всем остальным типам сообщений, относящимся к категориям 1-9 и n, присвоены трехзначные цифровые коды, причем первая цифра соответствует категории операции.
Категория п - сообщения общей группы. Каждое сообщение из общей группы может использоваться в любой из категорий 1-9. Коды сообщений общей группы выглядят как п9М, где n - заменяется номером той категории, которое наилучшим образом соответствует цели сообщения, 9 указывает на особый характер сообщения в каждой из категорий, М определяет конкретный тип сообщения (например, 0 - уведомления, 2 - требования об аннулировании, 5и6 - соответственно, запросы и ответы).
Сообщения всех типов построены по общему принципу. Они состоят из начальной части, в которую входит метка начала сообщения (Start of Message), заголовок (Header), метка начала текста сообщения (Start of Text), текста сообщения (Text of Message) и окончания сообщения, в которое входят метка конца текста (End of Text), параметры (Trailer) и метка конца сообщения (End of Message).
Начальная часть и окончание образуют "конверт", в котором пересылаются сообщения и который содержит информацию необходимую для управлением движения сообщения в сети. Заголовок содержит одиннадцатизначный код-идентификатор получателя сообщения (Bank Identifier Codes, BIC, являющийся адресом в сети), код терминала отправителя, текущий пятизначный номер, выполняющий контрольную и защитную функции, трехзначный код сообщения и с двузначным кодом приоритета. В параметрах указывается код аутентификации и другие сообщения, например, предупреждение банка-получателя о возможности задержки в передаче сообщения, предупреждение о возможности двойного платежа и т.д. При передачи сообщения текст сообщения система "не видит".
Текст сообщения состоит из полей, обозначенных двузначным цифровым кодом. Например, код 57 обозначает банк, в котором ведется счет, 69- бенефициара, 71 - за чей счет производится платеж и сумма комиссии, поле 32 -сумма платежа. В текст сообщения информация вносится в строгой последовательности. Заполнение части полей является обязательным. Для каждого типа сообщения определен свой набор заполняемых полей. Обязательные поля содержат информацию, необходимую для правильной обработки сообщения.
Пример: Клиентский перевод (МТ100) - это платежное поручение, выставленное клиентом, которое должно быть передано другому банку в пользу его клиента. В сообщении должны присутствовать как обязательные поля, так и те, появление которых в сообщении не обязательно.
Рассмотрим в качестве примера следующий случай. "Данмакс Национальбанк" (Копенгаген) по распоряжению своего клиента "Ампако" осуществляет перевод в 60.000 марок на счет компании "Холланд и К", клиента "Вестдойче-ландбанка" (Дюссельдорф) с датой валютирования 15 марта 1997 года . Сообщение SWIFT будет выглядеть следующим образом (текст в скобках- пояснения и в сообщение не входят).
Необходимо иметь в виду, что хвостовик генерируется автоматически терминальным оборудованием подключения SWIFT. Текст и заголовок сообщения вводятся специалистами банка в соответствии с правилами заполнения полей.
СОВРЕМЕННАЯ АРХИТЕКТУРА СЕТИ SWIFT
Техническая инфраструктура SWIFT создавалась в 70-е годы и содержала компьютерные центры, расположенные по всему миру и соединенные высокоскоростными линиями передачи данных. SWIFT позволяет финансовым организациям из разных стран подключаться к ней, используя терминалы различных типов. Первоначально сеть SWIFT включала в себя :
=>два операционных центра в США и Ниделандах;
=>пять активных систем в США и Нидерландах;
=> региональные процессоры в различных странах;
=> каналы связи общего пользования и специального назначения.
В операционных центрах проводится круглосуточный контроль технических средств и программного обеспечения, работающих в сети, собирается диагностическая информация, контролируются диагностические восстановительные процессы после сбоев.
До некоторых пор SWIFT-1 успешно справлялась с возложенными на нее задачами. Однако рост числа пользователей, трафика по сети и мо ральное старение оборудования привели к необходимости разработки и внедрения новой сетевой архитектуры. Переход к SWIFT-2 начался в конце 1989 году и к 1995 году был полностью завершен, причем все работы велись таким образом, что пользователи сети не ощущали никакого отрицательного воздействия на свою работу.
В SWIFT-2 используются более производительные процессоры и сетевое оборудование, способные поддерживать увеличение трафика в течение ряда лет, а также более совершенное программное обеспечение. Как и в SWIFT-1 в SWIFT-2 используются два равноправных связанных между собой и работающих без участия человека Операционных центра (в Голландии и США). Для гарантии отказоустойчивости все их системы сдублированы. Кроме того, для дублирования самих систем в состоянии готовности поддерживаются еще два Операционных центра в головных центрах компании.
Сеть SWIFT-2 базируется на четырехуровневой архитектуре и управляется системным управляющим процессором (System Control Processor - SCP). Активные и резервные SCP находятся там же, где и операционные центры SWIFT-1 (США и Нидерланды). В SWIFT-2 выделяют следующие четыре уровня:
1.Терминал пользователя, позволяющий ему подключится к сети. На рынке имеется большой выбор терминалов подключения к SWIFT различных производителей. Однако, все они должны быть сертифицированы SWIFT.
2.Региональные процессоры, назначением которых является получение сообщений от пользователей с некоторой ограниченной территории и их проверка для первичной обработки на групповом процессоре (слайс-процессоре). Они обеспечивают поддержку протоколов прикладного уровня, контроль всех входящих сообщений на соответствие стандартам, осуществляют верификацию их контрольных сумм. Генерируют пользователям сообщения об успешности прохождения их финансовых сообщений. Региональные процессоры размещены в Операционных центрах, работают без участия человека и оборудованы компьютерами Unisys A Series, сдублированными в целях безопасности.
3.Групповые процессоры (слайс-процессоры), размещенные также в операционных центрах содержат по три компьютера А12 фирмы Unisys, одни из которых работает в режиме "горячего" резерва. В слайс-процессорах осуществляется основная маршрутизация сообщений и обработка системных сообщений, а также долгосрочное и краткосрочное архивирование сообщений, генерация системных отчетов, обработка возвращенных сообщений, генерация данных для расчетов с пользователями и др. В SWIFT-2 информация хранится в течение четырех месяцев. В сети заложены возможности по увеличению количества слайс-процессоров при необходимости.
4.Процессоры управления системой - это новый уровень, введенный в SWIFT-2. Они расположены в Операционных центрах и используют компьютеры фирмы Unisys. Это единственный архитектурный уровень не занятый обработкой сообщений, а предназначенный исключительно для управления системой.
Процессоры управления системой осуществляют мониторинг аппаратно-программного обеспечения, подключенного к сети, сбор информации о сбоях, управляют операциями по выходу из сбойных ситуаций, осуществляют динамическое управление ресурсами сети, контролируют санкционированность доступа к сети. Работают с базами данных.
Транспортная сеть SWIFT - это общемировая сеть высокоскоростных линий передачи данных высокой емкости, использующих коммуникационный протокол Х.25 для передачи данных между Пунктом доступа к сети и Операционными центрами. Пользовательские терминалы соединяются транспортной сетью SWIFT с помощью местных линий, которые подведены к работающим без участия людей в каждой стране Пунктам доступа, называемым точками доступа SWIFT.
ИНТЕРФЕЙСЫ SWIFT
Интерфейсный комплекс, называемый также "терминалом SWIFT" - это набор программно-аппаратных средств, служащих для передачи и приема сообщений стандартного формата из банка в сеть SWIFT и обратно. Фактически это почтовая станция, использующая для связи с сетью определенный протокол обмена. Особенностью этого протокола является отправка подтверждений на каждое полученное сообщение, что обеспечивает отказоустойчивость системы при сбоях аппаратуры и телекоммуникаций, и, в конечном счете, целостность банковских транзакций. Одновременно интерфейсный комплекс обеспечивает сохранение обработанных сообщений и истории операций в базе данных, а также выполняет ряд сервисных функций: маршрутизация сообщений из/в нужный почтовый ящик (рабочее место операциониста, соответствующий отдел банка, интерфейс к автоматизированной банковской системе и т.д.), генерацию отчетов, расследование операций и т.д. Фактически это первый элемент сети, и от грамотного выбора конкретного типа комплекса не в последнюю очередь зависит успешность работы банка в сети SWIFT.
В качестве технической платформы могут использоваться и микроЭВМ и суперЭВМ. Основная проблема, стоящая при выборе терминала - обеспечение эффективного использования в полном объеме возможностей и преимуществ, предоставляемых SWIFT, в рамках операционной среды банка.
При выборе терминального комплекса следует обращать внимание на:
=> достаточную универсальность и гибкость, которые будут способствовать развитию системы автоматизации банка, а также полная совместимость с будущими модификациями сетевых и сервисных услуг SWIFT;
=> экономическую оправданность.
Изначально область выбора определятся перечнем фирм, которые выпускают подобные комплексы и сертифицированы SWIFT. В настоящее время их насчитывается свыше 100.
ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ФУНКЦИОНИРОВАНИЯ SWIFT
В силу специфических требований, предъявляемых к конфиденциальности передаваемой финансовой информации, сеть SWIFT обеспечивает высокий уровень защиты сообщений. SWIFT использует широкий диапазон профилактических и надзорных мероприятий для обеспечения гарантий целостности и конфиденциальности ее сетевого трафика бесперебойного обеспечения доступности ее услуг пользователям.
Обеспечению безопасности способствует системный подход, в рамках которого для обеспечения интегральной безопасности системы уделяется внимание всем компонентам: программному обеспечению, терминалам, технической инфраструктуре, персоналу, помещениям. При этом учитывается полный спектр рисков - от защиты от мошенничества до минимизации уязвимости физических ресурсов от последствий неавторизованного доступа и даже природных и техногенных катастроф.
Разработкой и усилением мер безопасности в системе ведает Управление Генерального инспектора. Помимо этого периодически проводятся проверки внешними аудиторами безопасности.
В SWIFT существует строгое разделение ответственности между пользователями и компанией за поддержание безопасности. Пользователь отвечает за правильную эксплуатацию, за физическую защиту терминалов, модемов и линий связи до Пункта доступа и правильное оформление сообщений. Вся остальная ответственность лежит на SWIFT, которое отвечает за непрерывное функционирование сети, за защиту от несанкционированного доступа к ней, за защиту пересылаемых сообщений от всех видов воздействий после пункта доступа.
Один из важных элементов обеспечения безопасности - физическая безопасность помещений. Все здания SWIFT - объекты строгого контроля за доступом, В Операционных центрах персонал имеет право перемещаться только в определенных зонах. Разработаны специальные инструкции на случай вторжения, пожара, сбоев питания и т.д. Пункты доступа, работающие без участия персонала контролируются специальными системами, которые следят за входом в помещение, за состоянием окружающей среды и состоянием оборудования.
Для защиты терминалов предусмотрено разграничение доступа пользователей на основе паролей, а с 1993 года на основе смарт-карт. SWIFT предъявляет строгие требования процедуре подключения терминалов к сети. В целях обеспечения безопасности терминал может быть автоматически отключен самой системой в том случае, если обнаружена помеха. Прервана линия, обнаружены неоднократные ошибки при передаче, сообщение пронумеровано неправильным номером и др. Системой ведется файл, где автоматически фиксируются все отключения терминала. Для того, чтобы выявить линии низкого качества и неквалифицированное обслуживание терминалов.
Для защиты сообщений при их передаче по линиям связи до Пункта доступа рекомендуется использовать схему подключения с помощью специальных устройств шифрования, согласованных со SWIFT.
Безопасность коммуникаций SWIFT обеспечивается шифрованием всех сообщений, передаваемых по международным линиям связи, что делает их недоступными третьим лицам. Сообщения запоминаются также в зашифрованном виде, поэтому и персонал не может их прочитать без специального допуска.
К программно-техническим методам защиты относятся:
=>коды подтверждения подлинности сообщений;
=> контроль последовательности сообщений.
Защищенной является и сама архитектура системы (два Операционных центра), в системе широко используется резервирование аппаратных средств. Все каналы связи работают только с зашифрованной информацией, а доступ к телекоммуникационному оборудованию строго ограничен.
Передаваемые сообщения защищаются и от возможной утраты при сбое в работе оборудования, поскольку в центрах обработки информации хранятся копии всех передаваемых сообщений, а факт получения каждого из них подтверждается индивидуально. При возникновении каких-либо сомнений пользователь может запросить копию любого отправленного в адрес сообщения. Учитывая использование ряда дополнительных мер, включая аппаратные средства защиты каналов связи, сеть обеспечивает надежную защиту информации от несанкционированного доступа, утраты или искажения.
Беспрецедентные меры безопасности, используемые в сети SWIFT, и многократное резервирование технических средств позволили до настоящего времени избежать каких-либо серьезных аварийных ситуаций в сети SWIFT и результативных покушений на целостность содержимого сообщений, передаваемых по сети.
Электронные системы межбанковских операций.
Все ныне действующие электронные системы банковских операций подразделяются на системы банковских сообщений и системы расчетов. Различие между ними заключается в том, что в рамках первых осуществляется только оперативная пересылка и хранение расчетных документов, урегулирование платежей предоставлено банкам-участникам, функции же вторых непосредственно связаны с выполнением взаимных требований и обязательств членов. К первой группе относятся такие системы, как SWIFT и Bankwire - частнокапиталистическая электронная сеть банков США, ко второй - FedWire - сеть федеральной резервной системы (ФРС) США; Нью-Йоркская Международная платежная система расчетных палат CHIPS; Лондонская автоматическая система расчетных палат CHAPS. Электронные системы различаются по количеству сторон, участвующих в переводах и расчетах: SWIFT организует пересылку банковских сообщений на двух сторонней основе, т.е. между каждыми двумя участниками; системы ФРС, CHIPS, CHAPS регулируют платежные обязательства на многосторонней основе.
Существует определенная специализация, например, сетью ФРС полностью обслуживается рынок государственных ценных бумаг США.
В условиях перехода к двухуровневой банковской системе межбанковские расчеты организуются практически заново. Но демонополизация банковской системы осуществлялась без достаточно проработанной законодательной, нормативной и организационной базы, что послужило одним из факторов появления проблемы расчетов между хозяйствующими субъектами. Платежи посредством МФО стали проводиться только РКЦ. Наиболее уязвимым участком платежной системы с точки зрения скорости и надежности переводов оказались расчеты между банками, находящимися в различных регионах.
Вопросы, связанные с совершенствованием организации безналичных расчетов находятся в центре внимания Центрального банка РФ (Банка России). В "Стратегии развития платежной системы России", принятой Советом директоров банка России 1.04.1996 г., Банк России наметил основные среднесрочные пути дальнейшего совершенствования платежной системы России. Целью этого является создание современной автоматизированной системы расчетов, работающей в режиме реального времени. Для достижения этой цели банк России намерен предпринять решительные действия в области нормативно-правового регулирования платежей и расчетов, усиления надзора за деятельностью и рисками кредитных учреждений в этой сфере, создания современной телекоммуникационной и информатизационной среды.
Модернизация платежной системы России приведет к существенному ускорению оборачиваемости денежных средств, расширению временных рамок работы платежной системы до 16-20 часов. При этом платежная система будет проектироваться таким образом, чтобы иметь "расчетные окна", совпадающие по времени с функционированием различных сегментов финансового рынка, что позволит российским потребителям банковских услуг эффективно использовать денежные средства не только в расчетах внутри страны, но и в международных платежных системах.
В настоящее время разработаны концепции таких систем, которые являются основой для создания полной взаимосогласованной совокупности стандартов в данной сфере, так называемого стандартизированного профиля, а также для выработки методик сертификационных испытаний и аккредитации испытательных лабораторий и сертификационных центров.
Предполагается стандартизация правил осуществления расчетов, правил проведения банковских операций, бухгалтерского учета и отчетности для банковской системы, а также разработка единой банковской системы классификации и кодирования в соответствии с международными и общегосударственными классификаторами.
Информатизация учреждений Банка России осуществляется в соответствии с общей стратегией. Выработанной в 1993 году Департаментом информатизации ЦБ РФ и изложенной в Целевой программе информатизации ЦБ РФ. Главными целями информатизации Банка России являются следующие:
=> повышение гибкости и эффективности функционирования банковской системы в условиях рыночных отношений;
=> сокращение потерь от инфляционных процессов для основной массы средств, "замораживаемых" в расчетах;
=> обеспечение своевременности обработки платежей, имеющих повышенную для экономики значимость;
=> развитие международных связей банковских учреждений на базе взаимодействия их автоматизированных информационных систем и через международные (национальные) электронные системы с банками других государств.
Совершенствование платежной системы России неразрывно связано с созданием и развитием Электронной Системы Межбанковских Расчетов (ЭЛСИМЕР) ЦБ РФ, учитывающей и активно использующей возможности современной системно-технической среды, средств телекоммуникаций и защиты информации. Работы по созданию ЭЛСИМЕР ведутся на двух уровнях: внутри региональные межбанковские электронные расчеты и межрегиональные электронные расчеты. На первом этапе ЭЛСИМЕР рассматривается как средство совершения межбанковских расчетов, дополнительное к существующему почтовому и телеграфному авизованию.
В основу проекта закладываются следующие принципы:
=> участниками ЭЛСИМЕР являются учреждения ЦБР (ГРКЦ, РЦИ, РКЦ), отвечающие определенным требованиям - наличие программно-технических средств, соблюдение установленной технологии совершения электронных платежей. Гарантия обработки и передачи платежа любому другому участнику в течение суток;
=> пользователями системы могут быть коммерческие банки и другие учреждения и организации, имеющие корреспондентские или расчетные счета в РКЦ-участниках;
=>правила оформления, условия прохождения электронного платежа и ответственность сторон определяются в договоре между пользователями и участником ЭЛСИМЕР;
=> электронный платеж является гарантированным и безотзывным;
=> электронный платежный документ представляет собой электронный образ платежного поручения и содержит все реквизиты, предусмотренные положением о безналичных расчетах в РФ;
=> инициатором электронного платежа является клиент коммерческого банка;
=> информация о необходимости исполнить электронный платеж может быть направлена коммерческим банком в РКЦ одним из следующих способов: курьером или спецсвязью в РКЦ представляется платежное поручение банка на электронные платежи с приложением вторых экземпляров платежных документов своих клиентов, в РКЦ доставляется магнитный носитель с описью электронных платежей, средствами телекоммуникаций с применением специальных средств защиты передается электронный образ платежного поручения;
=> электронные платежи, поступившие в РКЦ до 13 часов, должны быть выполнены в тот же день, а остальные - на следующий рабочий день;
=> отправителем и получателем межрегиональных платежей являются ГРКЦ;
=>учет электронных платежей осуществляется в ГРКЦ.
Недостаток бюджетных ресурсов для развития государственной сети межбанковских расчетов привел к выходу на рынок межбанковских клиринговых услуг АО "Центральная расчетная палата"(ЦРП), действующего на коммерческой основе и имеющего:
=> электронный центр межбанковских расчетов;
=> сертифицированный ФАПСИ технический комплекс для обработки и передачи коммерческой информации;
=> систему многосторонних транзитных платежей;
=> сетевую маршрутизацию платежей;
^> возможности обеспечить принципы безотзывности, безусловности, гарантии исполнения;
=> возможности обрабатывать ежедневно более 100.000 электронных документов и проводить расчеты более чем с 400 банками. ЦРП использует как городскую телефонную сеть и спецсеть "Искра-2", так и специализированные сети протокола Х.25 Спринт, Роснет, Роспак, Инфотел.
Банки создают свои собственные клиринговые системы и межбанковские расчетные палаты. Они строятся на принципе зависимости от коммерческих банков (своих учредителей), которые готовы нести как юридическую, так и экономическую ответственность перед участниками расчетов.
Проблемы безопасности банковских электронных систем
Банковская информация всегда была объектом пристального интереса всякого рода злоумышленников. Прогресс в технике преступлений шел не менее быстрыми темпами, чем развитие банковских технологий. Особы опасны для банков так называемые компьютерные преступления. Открытый характер компьютерных систем, обслуживающих большое число пользователей с помощью средств связи в автоматическом режиме, наряду с высокой степенью концентрации и мобильности денежных средств способствовали появлению новой - компьютерной - формы преступности. По некоторым данным ежегодные потери США и Западной Европы от компьютерных преступлений в финансовой сфере достигает 100 млрд. и 35 млрд. долларов соответственно, причем сохраняется устойчивая тенденция к росту убытков, связанных с компьютерной преступностью. По оценкам экспертов нарушения безопасности банковских систем выявляются лишь в каждом десятом случае. Защита ИСБ банка — дорогостоящее и сложное мероприятие.
Средний европейский банк тратит на информационную защиту до 9% бюджета или примерно 25% средств, затрачиваемых банком на автоматизацию. Из этих средств 80% уходит на обеспечение структуры безопасности и 20% -на закупку технических средств. Японские банки до последнего времени тратили на эти цели всего 2% бюджета, а сейчас наверстывают упущенное и тратят 50% бюджета на информационную безопасность.
Потери несут и российские банки, недооценивающие вопросы информационной безопасности. По данным МВД еще в 1995 году в России было выявлено 185 хищений с использованием электронных средств, ущерб от которых составил 250 млрд. рублей. Известное "дело Левина" (г. Санкт-Петербург) относится к транснациональным сетевым компьютерным преступлениям и стало первым случаем такого типа в России. Левин с сообщниками через коммуникационные сети входил в систему управления наличными фондами Сити-банка (г.Нью-Йорк). В июне-октябре 1994 года преступники организовали около сорока переводов на общую сумму свыше 10 млн. долларов, из которых почти 400 тыс. долларов им удалось похитить.
География мошенничества помимо России и США охватывала Нидерланды, Швейцарию и Израиль.
Действия злоумышленников часто достигают цели. Это связано с тем, что в подавляющем большинстве банков эксплуатируются однотипные стандартные вычислительные средства (IBM-совместимые персональные компьютеры, локальные сети с программным обеспечением фирмы Novell, программы автоматизации банковской деятельности, написанные на стандартных языках программирования), которые хорошо документированы и в деталях известны профессионалам. Простейшие механизмы защиты таких изделий легко преодолимы. Проблемы создает и возрастающая компьютерная грамотность клиентов.
Последствия недооценки вопросов безопасности могут оказаться катастрофическими для банка. Известно, что коммерческие банки собственных денег не имеют: все имеющиеся у них деньги - это чужие деньги, которыми они пользуются только тогда, когда им доверяют. Поэтому так важно не подорвать доверия к банку. Но безопасность автоматизированной банковской системы - это не только защита от хищений.
Ведь отказ от обслуживания клиента или несвоевременное предоставление пользователю важной информации, хранящейся в системе, из-за неработоспособности этой системы по своим последствиям равноценны потери информации (несанкционированному ее уничтожению). Следовательно, при создании своих электронных систем банкам надо уделять пристальное внимание обеспечению их безопасности.
Современные технологии дают банкам преимущества в организации систем доставки товаров и услуг. Использование электронных средств связи позволяет реализовать:
электронные платежи и расчеты в точке продажи;
клиентские терминалы, осуществляющие прямую связь с банком;
•домашнее банковское обслуживание с помощью персонального компьютера или телефона;
обмен электронными данными в сети с расширенным набором услуг;
технологии электронных банковских карт, включая магнитные и интеллектуальные карты.
Реализация этих и других методов банковского обслуживания в конкретных системах требует разработки жестких мер защиты для предотвращения случайных и умышленных нарушений их функционирования.
Для противодействия компьютерным преступлениям или хотя бы уменьшения ущерба от них необходимо грамотно выбирать меры и средства обеспечения защиты информации от умышленного разрушения, кражи, порчи и несанкционированного доступа. Необходимо знание основных законодательных положений в этой области, организационных, экономических и иных мер обеспечения безопасности.
Под безопасностью банковской электронной системы будем понимать ее свойство, выражающееся в способности противодействовать попыткам нанесения ущерба владельцам и пользователям системы при различных возмущающих (умышленных и неумышленных) воздействиях на нее. Природа воздействия может быть различной: попытки проникновения злоумышленника, ошибки персонала, стихийные бедствия (ураган, пожар), выход из строя отдельных ресурсов.
Обычно различают внутреннюю и внешнюю безопасность. Внешняя включает защиту от стихийных бедствий, от проникновения злоумышленника извне с целями хищения, получения доступа к носителям информации или вывода системы из строя. Предметом внутренней безопасности является обеспечение надежной и корректной работы системы, целостности ее программ и данных.
В настоящее время сложилось два приема построения защиты для банковских систем: "фрагментарный" - противодействие строго определенным угрозам при определенных условиях (например, специализированные антивирусные средства, автономные средства шифрования и т.д.) и комплексный - создание защищенной среды обработки информации, объединяющий разнородные меры противодействия угрозам (правовые, организационные, программно-технические). Комплексный прием применяют для защиты крупных систем (например SWIFT) или небольших систем, обрабатывающих дорогостоящую информацию или выполняющих ответственные задачи.
При создании защищенных компьютерных систем используют три основных подхода:
1 "Административный" - подразумевает меры, принимаемые администрацией системы по обеспечению безопасности информации в организационном порядке согласно должностной инструкции и действующему законодательству в рамках наделенных полномочий.
2."Криптографический" - специальное преобразование информации с целью ее сокрытия от посторонних лиц. 3"Программно-технический" - использование для защиты специальных аппаратных и программных средств.
За годы применения в деятельности банков компьютерных систем накоплен достаточно большой опыт защиты этих систем. Поэтому типичная западная банковская система, платформа, на которой она базируется (СУБД, операционная система), содержат строенные средства предотвращения несанкционированного доступа. Но для обеспечения безопасности банковской системы этого недостаточно. Необходимо обеспечить выполнение следующих мер:
организационных мероприятий по контролю за персоналом, имеющим высокий уровень полномочий на действия в банковскойсистеме (программистам, администраторами баз данных и т.п.);
организационных и технических мероприятий по резервированию критически важной информации;
организационных мероприятий по восстановлению работоспособности системы в случае возникновения нештатных ситуаций;
организационных и технических мероприятий по управлению доступом в помещения, в которых находятся вычислительнаятехника и носители данных;
организационных и технических мероприятий по физической защите помещений, в которых находятся вычислительная техникаи носители данных от пожара, стихийных бедствий, массовых беспорядков, терроризма и т.п.
В 1985 году Национальным центром компьютерной безопасности Министерства обороны США была опубликована так называемая "Оранжевая книга" ("Критерии оценки достоверности вычислительных систем Министерства обороны"). В ней были приведены основные положения, по которым американское военное ведомство определяло степень защищенности информационно-вычислительных систем. В ней в систематизированном виде приведены основные понятие, классификация и рекомендации по видам угроз безопасности информационной системы и методам защиты от них. Впоследствии она превратилась в свод научно обоснованных норм и правил, описывающих применение системного подхода к обеспечению безопасности информационных систем и их элементов и стала настольной книгой для специалистов в области защиты информации. Предложенная в "Оранжевой книге" методология стала, по существу, общепринятой и вошла в той или иной форме в национальные стандарты различных государств.
Одно из основных понятий, введенных в Оранжевой книге - политика безопасности. Политика безопасности - это совокупность норм, правил и методик, на основе которых в дальнейшем строится деятельность информационной системы в области обращения, хранения и распределения критичной информации. При этом под "информационной системой" понимается не только аппаратно-программный комплекс, но и обслуживающий его персонал.
Политика безопасности формируется на основании анализа текущего состояния и перспективы развития информационной системы, возможных угроз и определяет:
цели, задачи и приоритеты системы безопасности;
области действия отдельных подсистем;
гарантированный минимальный уровень защиты;
обязанности персонала по обеспечению защиты;
спектр санкций за нарушения защиты.
Для банковских электронных систем центральной в ряду проблем защиты является защита информации. Все остальные виды защиты сводятся к ней.
Информация - это специфический продукт, поэтому необходимы четкие границы, определяющие информацию как объект права, которые позволят применять к ней законодательные нормы. Федеральный Закон "Об информации, информатизации и защите информации", направленный на регулирование взаимоотношений в информационной сфере совместно с Гражданским кодексом Российской Федерации, относит информацию к объектам права и дает ее определение: "Информация - сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления".
Существуют и другие определения понятия информация. При этом в настоящее время понятие информация выходит на уровень таких мировоззренческих понятий, как материя, энергия, сознание. В частности, в информатике информация - это совокупность знаний о фактических данных и зависимостях между ними. С этим определением чаще всего приходится работать специалистам в области компьютерных информационных систем (ИС), и именно такое определение (такой подход с точки зрения ИС) приводит к однобокому решению проблемы обеспечения безопасности в виртуальном мире. Однако существует более традиционное определение, связанное с бытовым пониманием информации. В частности, "Большой энциклопедический словарь" трактует понятие информации как "нечто, передаваемое устно или письменно"; латинское понятие Information - трактует как "передавать, владеть, сообщать"; на английском языке -"что-то переданное". Т.е. в целом можно сказать, что информация - это знания, которые могут существовать в различных видах или на различных носителях, т.е. это мысли человека, записи на бумаге, аудио- и видеозапись, электронные сигналы.
Ценность информации является критерием при принятии любого решения о ее защите. Хотя было предпринято много различных попыток формализовать этот процесс с использованием методов теории информации и анализа решений, процесс оценки до сих пор остается весьма субъективным. Для оценки требуется распределить информацию на категории не только в соответствии с ее ценностью, но и важностью. Известно следующее разделение информации по уровню важности:
жизненно важная незаменимая информация, наличие которой не-обходимо для функционирования организации;
важная информация — информация, которая может быть заменена или восстановлена, но процесс восстановления очень труден и связан с большими затратами;
полезная информация — информация, которую трудно восстано-вить, однако организация может эффективно функционировать и без нее;
несущественная информация — информация, которая больше не нужна организации.
На практике отнесение информации к одной из этих категорий может представлять собой очень трудную задачу, так как одна и та же информация может быть использована многими подразделениями организации, каждое из которых может отнести эту информацию к различным категориям важности. Информация может состоять из :
букв, символов, цифр;
слов;
текста;
рисунков;
схем;
формул;
алгоритмов и т. д.,
Объектом защиты должна являться информация в любом виде на любых носителях. Только определив информацию таким образом, мы можем говорить о комплексном, или интегрированном подходе к проблеме информационной безопасности.
Информационная безопасность является одним из важнейших аспектов совокупной безопасности, на каком бы уровне мы не рассматривали последнюю - национальном, отраслевом, корпоративном или персональном.
Под информационной безопасностью понимается защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуре.
Таким образом, более правильный подход к проблемам информационной безопасности начинается с выявления субъектов информационных отношений и интересов этих субъектов, связанных с использованием информационных систем. Угрозы информационной безопасности - это оборотная сторона использования информационных технологий. Из этого положения можно сделать два вывода:
трактовка проблем, связанных с информационной безопасностью, для разных категорий субъектов существенно различается, достаточно сопоставить режимные государственные организации и коммерческие структуры;
информационная безопасность не сводится исключительно к защите информации, это более широкое понятие. Субъект информационных отношений может пострадать (понести материальные и/или моральные убытки) не только от несанкционированного доступа к информации, но и от поломки системы, вызвавшей перерыв в работе. Более того, для многих открытых организаций (например, учебных) собственно защита информации стоит по важности отнюдь не на первом месте.
Информационная безопасность - многогранная, многомерная область деятельности, в которой успех может принести только систематический, комплексный подход.
ИС должны отвечать следующим требованиям:
доступность (возможность за приемлемое время получить требуемую информационную услугу);
целостность (актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения);
конфиденциальность (защита от несанкционированного ознакомления).
Информационные системы создаются для получения и предоставления определенных информационных услуг. Если по тем или иным причинам получение этих услуг пользователями становится невозможным, это, очевидно, наносит ущерб всем субъектам информационных отношений. Поэтому, не противопоставляя доступность остальным моментам, ее можно выделить как важнейший элемент информационной безопасности.
Целостность информационной безопасности можно подразделить на статическую (понимаемую как неизменность информационных объектов) и динамическую (относящуюся к корректному выполнению сложных действий -транзакций). Практически все нормативные документы и отечественные разработки относятся к статической целостности, хотя динамический аспект не менее важен. Пример динамической целостности - контроль потока финансовых сообщений на предмет выявления кражи, переупорядочения или дублирования отдельных сообщений.
Конфиденциальность - самый проработанный у нас в стране аспект информационной безопасности. На страже конфиденциальности стоят законы, нормативные акты, многолетний опыт соответствующих служб. Отечественные аппаратно-программные продукты позволяют закрыть практически все потенциальные каналы утечки информации.
Информационная безопасность должна обеспечиваться на законодательном, административном, процедурном, программно-техническом уровнях. Законодательный уровень является важнейшим.
К этому уровню относится весь комплекс мер, направленных на создание и поддержание в обществе негативного (в том числе карательного) отношения к нарушениям и нарушителям информационной безопасности. Большинство людей не совершают противоправных действий не потому, что это технически невозможно, а потому, что это осуждается и/или наказывается обществом. К законодательному уровню необходимо отнести и приведение российских стандартов в соответствие с международным уровнем информационных технологий вообще и информационной безопасности в частности. Есть много причин, по которым это должно быть сделано. Одна из них - необходимость взаимодействия с зарубежными компаниями и зарубежными филиалами российских компаний. Сейчас эта проблема решается путем получения разовых разрешений.
Основой мер административного уровня, то есть мер, предпринимаемых руководством организации, является политика безопасности. Под этим термином понимается совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов. Политика безопасности определяет стратегию организации в области информационной безопасности, а также меру внимания к ней и количество ресурсов, которые руководство считает целесообразным выделить для ее обеспечения.
К процедурному уровню относятся меры безопасности, реализуемые людьми. В отечественных организациях накоплен богатый опыт составления и реализации процедурных (организационных) мер, однако проблема состоит в том, что они пришли из докомпьютерного прошлого, поэтому нуждаются в существенном пересмотре.
Можно выделить следующие группы процедурных мер:
управление персоналом;
физическая защита;
поддержание работоспособности;
реагирование на нарушения режима безопасности;
• планирование восстановительных работ.Для каждой группы в каждой организации
должен существовать свой набор правил, определяющих действия персонала. В свою очередь исполнение этих правил следует отработать на практике.
Согласно современным представлениям, в рамках информационных систем должны быть доступны по крайней мере следующие механизмы безопасности:
идентификация и проверка подлинности пользователей;
управление доступом;
протоколирование и аудит;
криптография;
экранирование;
обеспечение высокой доступности.
Главная задача для коммерческих структур -усвоить современный подход к информационной безопасности, заполнить пробелы на административном и процедурном уровнях, осознать важность проблемы обеспечения высокой доступности информационных ресурсов.
Таким образом, информационная безопасность - понятие комплексное, и обеспечена она может быть только при комплексном подходе и конструктивном взаимодействии заинтересованных структур.
Если выполнение политики безопасности проводится не в полной мере или непоследовательно, то вероятность нарушения защиты информации резко возрастает.
Под защитой информацией понимается комплекс мероприятий, обеспечивающих:
• сохранение конфиденциальности информации - предотвращение ознакомление с информацией лиц, не уполномоченных на эти действия;
сохранность информации - информация может пострадать от сознательных действий злоумышленника, от ошибок персонала, от пожара, аварий и др. (например, пожар в Промстройбанке в 1995 году, похищение в ноябре 1996 года из информационного центра VISA Int. компьютера, хранящего базу данных о 314 тыс. карточных счетов клиентов VISA Int., MasterCard, American; Express, Diners Club, замена карточек обошлась VISA в 6.3 млн.долларов);
доступность, т.е. наличие системы безопасности не должно создавать помех нормальной работе системы.
Определение политики безопасности невозможно без анализа риска. Анализ риска улучшает осведомленность руководства и ответственных сотрудников банка о сильных и слабых сторонах системы защиты, создает базу для подготовки и принятия решений и оптимизирует размер затрат на защиту, поскольку большая часть ресурсов направляется на блокирование угроз, приносящих наибольший ущерб.
Основные этапы анализа риска:
1 .Описание состава системы:
аппаратные средства;
программное обеспечение;
данные;
документация;
персонал.
2.Определение уязвимых мест: выясняется уязвимость по каждому элементу системы с оценкой возможных источников угроз.
3.Оценка вероятностей реализации угроз.
4.Оценка ожидаемых размеров потерь. Этот этап сложен, поскольку не всегда возможна количественная оценка данного показателя (например, ущерба репутации банка при нарушении конфиденциальности информации о счетах и операциях клиентов).
5.Анализ возможных методов и средств защиты.
6.Оценка выигрыша от предлагаемых мер. Если ожидаемые потери больше допустимого уровня, необходимо усилить меры защиты.
Категорирование информации по важности существует объективно и не зависит от желаний руководства, поскольку определяется механизмом деятельности банка и характеризует опасность уничтожения либо модификации информации. Можно указать много вариантов такого категорирования. Здесь приводится наиболее простой.
1. Важная информация - незаменимая и необходимая для деятельности банка информация, процесс восстановления которой после уничтожения невозможен, либо очень трудоемок и связан с большими затратами, а ее ошибочное изменение или подделка приносит большой ущерб.
2. Полезная информация – необходимая информация, которая может быть восстановлена без больших затрат, причем ее модификация или уничтожение приносит относительно небольшие материальные потери.
Категорирование информации по конфиденциальности выполняется субъективно руководством или персоналом в соответствии с выделенными ему полномочиями в зависимости от риска ее разглашения. Для деятельности коммерческого банка достаточно двух градаций.
Конфиденциальная информация - информация, доступ к которой для части персонала или посторонних лиц нежелателен, т.к. может вызвать материальные и моральные потери.
Открытая информация - информация, доступ к которой посторонних не связан ни с какими потерями.
Руководство должно принять решение о том, кто и каким образом будет определять степень важности и конфиденциальности информации. Без такого решения невозможна никакая целесообразная работа по созданию банковской электронной системы.
Основным элементом при исследовании проблем защиты информации является анализ угроз, которым подвергается система.
Под угрозой будем понимать потенциально возможные воздействия на систему, которые прямо или косвенно могут нанести урон пользователю. Непосредственную реализацию угрозы называют атакой.
Угрозы реализуются на практике в результате стечения случайных обстоятельств (ошибки, пропуски, события, не зависящие от человека, например, природные бедствия), либо из-за преднамеренных действий злоумышленников.
Преднамеренные угрозы могут реализовать как внутренние для системы участники процесса обработки данных (персонал организации, сервисное звено и т.д.), так и люди, внешние по отношению к системе, так называемые "хакеры".
Не существует общепринятой классификации угроз безопасности. Один из вариантов классификации может быть выполнен по следующим признакам:
По цели реализации:
нарушение конфиденциальности;
нарушение целостности данных;
нарушение работоспособности системы.
По принципу воздействия на систему:
с использованием доступа субъекта к объектам системы (файлу данных, каналу связи);
с использованием скрытых каналов.
По характеру воздействия на систему:
активное воздействие - всегда связано с выполнением каких-либо действий (состояние системы изменяется);
пассивное - осуществляется путем наблюдения пользователем побочных эффектов и их последующим анализом (состояние системы не изменяется).
По причине появления используемой ошибки защиты:
неадекватность защиты системе (при разработке мер защиты угроза не учитывалась);
ошибки административного управления;
ошибки в алгоритмах программ.
По способу воздействия на систему:
в интерактивном режиме;
в пакетном режиме.
По используемым средствам атаки:
стандартное программное обеспечение;
специально разработанные программы.
Несанкционированный доступ.
Несанкционированный доступ (НСД) наиболее распространенный вид компьютерных нарушений. Он заключается в получении пользователем доступа к объекту, на который у него нет разрешения в соответствии с принятой в организации политикой безопасности. Обычно самая главная проблема определить, кто и к каким наборам данных должен иметь доступ, а кто нет.
Незаконное использование привилегий.
Злоумышленники, применяющие данный способ атаки, обычно используют штатное программное обеспечение, функционирующее в нештатном режиме. Незаконный захват привилегий возможен либо при наличии ошибок в самой системе защиты (что, например, оказалось возможным в одной из версий UNIX), либо в случае халатности при управлении системой и привилегиями в частности. Строгое соблюдение правил управления системой защиты, соблюдение принципа минимума привилегий позволяет избежать таких нарушений.
Атаки "салями"
Атаки "салями" (salami attack) более всего характерны для систем, обрабатывающих денежные счета и, следовательно, наибольшую опасность такие нарушения представляют для банков. При реализации расчетов вычисляются различного рода доли, которые округляются в большую или меньшую сторону. Атака "салями" состоит в накоплении на отдельном счете этих долей денежной единицы. Практика доказала, что эксплуатация такой программы обеспечивает накопление значительных сумм.
"Скрытые каналы"
Скрытые каналы — это программы, передающие информацию лицам, которые в обычных условиях эту информацию получать не должны. Злоумышленник не всегда имеет непосредственный доступ к компьютерной системе. Для скрытой передачи информации используют различные элементы, форматы "безобидных" отчетов, например, разную длину строк, пропуски между строками, наличие или отсутствие служебных заголовков, управляемый вывод незначащих цифр в выводимых величинах, количество пробелов или других символов в определенных местах отчета и т.д.;
При использовании скрытых каналов для получения относительно небольших объемов информации захватчик вынужден проделать достаточно большую работу. Поэтому скрытые каналы более приемлемы в ситуациях, когда нарушителя интересует не сама информация, а факт ее наличия.
Может возникнуть ситуация, когда скрытый канал сообщает о наличии в системе определенной информации, что в свою очередь служит признаком работы в системе определенного процесса, позволяющего провести атаку иного типа.
"Маскарад"
Под "маскарадом" понимается выполнение каких-либо действий одним пользователем банковской электронной системы от имени другого пользователя. При этом такие действия другому пользователю могут быть разрешены. Нарушение заключается в присвоении прав и привилегий. Наиболее опасен "маскарад" в банковских системах электронных платежей, где неправильная идентификация клиента может привести к огромным убыткам. Особенно это касается платежей с помощью электронных банковских карт.
Сам по себе метод идентификации с помощью персонального идентификатора (Personal Identification Number: PIN) достаточно надежен, нарушения могут происходить вследствие ошибок его использования. Это произойдет, например, в случае утери банковской карты, при использовании очевидного идентификатора (своего имени, ключевого слова и т.д.). Поэтому клиентам надо строго соблюдать все рекомендации банка по выполнению такого рода платежей.
"Сборка мусора"
После окончания работы обрабатываемая информация не всегда полностью удаляется из памяти. Данные хранятся на носителе до перезаписи или уничтожения; при выполнении этих действий на освободившемся пространстве диска находится их остатки. Хотя при искажении заголовка файла их прочитать трудно, однако, используя специальные программы и оборудование, все же возможно. Такой процесс принято называть "сборкой мусора". Он может привести к утечке важной информации. Для защиты используются специальные механизмы. Примерами таких механизмов являются стирающий образец и метка
"Взлом системы "
Под "взломом системы" понимают умышленное проникновение в систему с несанкционированными параметрами входа, то есть именем пользователя и его паролем. Основную нагрузку на защиту системы от "взлома" несет программа входа. Алгоритм ввода имени и пароля, их шифрование, правила хранения и смены паролей не должны содержать ошибок.
"Люки"
Люки или "trap door" — не описанные в документации возможности работы с программным продуктом. Сущность использования люков состоит в том, что при реализации пользователем не описанных в документации действий, он получает доступ к ресурсам и данным, которые в обычных условиях для него закрыты (в частности, вход в привилегированный режим обслуживания).
Люки могут появиться в программном продукте следующими путями:
• люки чаще всего являются результатом забывчивости разработчиков. В процессе разработки программы создаются временные механизмы, облегчающие ведение отладки за счет прямого доступа к продукту.
Одним из примеров использования забытых люков является инцидент с вирусом Морриса. Одной из причин обусловившей распространение этого вируса, являлась ошибка разработчика программы электронной почты, входящей в состав одной из версий ОС UNIX, приведшая к появлению малозаметного люка.
Люки могут образоваться также в результате часто практикуемой технологии разработки программных продуктов "сверху—вниз". При этом программист приступает к написанию управляющей программы, заменяя предполагаемые в будущем подпрограммы так называемыми "заглушками" — группами команд, имитирующими или обозначающими место присоединения будущих подпрограмм. В процессе работы эти заглушки заменяются реальными подпрограммами.
На момент замены последней заглушки реальной подпрограммой, программа считается законченной. Но на практике подобная замена выполняется не всегда. Во-первых, из-за нарушения сроков разработки и сдачи в эксплуатацию и, во-вторых, из-за невостребованности данной подпрограммы.
Таким образом, заглушка остается, представляя собой слабое место в системе информационной безопасности. Программист пишет программу, которой можно управлять с помощью определенных команд, или, например, путем ввода "Y" ("Да") или "N" ("Нет"). А что произойдет, если в ответ на запрос будет вводиться "А" или "В" и т. д.? Если программа написана правильно, то на экране должно появиться сообщение типа "Неправильный ввод" и повтор запроса. Однако может быть ситуация, когда программа не учитывает такое, предполагая, что пользователь будет действовать правильно. В таком случае реакция программы на неопределенный ввод может быть непредсказуемой. Такую ситуацию в программе можно специально создать для того, чтобы получить доступ к определенным ресурсам и данным.
В большинстве случаев обнаружение "люков" - результат случайного поиска.
Повторное использование объектов
Повторное использование объектов (object utilization) — состоит в восстановлении и повторном использовании удаленных объектов системы.
Примером реализации подобного злоупотребления служит удаление файлов операционной системой (ОС). Когда ОС выдает сообщение, что, некоторый файл удален, то это не означает, что информация, содержащаяся в данном файле уничтожена в прямом смысле слова. Данное сообщение означает, что система пометила блоки памяти, ранее составлявшие содержимое файла, специальным флажком, говорящим о том, что данный блок не входит в состав какого-либо файла и может быть использован для размещения в нем другой информации. Но информация, которая была в данном блоке, никуда не исчезает до момента записи на это место другой информации. Таким образом, если прочесть содержание блока, можно получить доступ к "удаленной" информации.
Запуск "воздушного змея".
Для реализации подобного программного злоупотребления используется такая последовательность действий. В двух или более банках открываются счета. Денежные средства переводятся из одного банка в другой с повышающимися размерами. Суть злоупотребления заключается в том, чтобы замаскировать необеспеченный денежными средствами перевод. Данный цикл повторяется многократно, пока на конкретном счете не осядет значительная сумма. После этого денежные средства снимаются и операции прекращаются. Следует отметить, что данное злоупотребление требует точного расчета и синхронизации последовательности действий нарушителей.
Работа между строк
Работа между строк (between lines) — подключение к линиям связи и внедрение в компьютерную систему с использованием промежутков в действиях законного пользователя. При интерактивной работе пользователя образуются своеобразные "окна" (например, отклик системы опережает действия пользователя, которому необходимо время для обдумывания последующих действий).
Эти "окна" вполне могут быть использованы нарушителем для работы с системой под маской пользователя.
Анализ трафика
Анализ трафика (trafic analysis) — специализированная программа анализирует проходящий по сети трафик и декодирует его, в результате чего можно получить большой объем информации: топологию сети, о пользователях работающих в настоящий момент в сети, пароли пользователей и т.д.
"Подкладывание свиньи"
"Подкладывание свиньи" (piggback) — нарушитель подключается к линиям связи и имитирует работу системы с целью осуществления незаконных манипуляций. Например, он может имитировать сеанс связи и получить данные под видом легального пользователя. Пользователь, не подозревая об этом, передает информацию и/или получает ее. Таким образом, может осуществляться не только шпионаж, но и дезинформация, что также отрицательно сказывается на работе АИС и объекта управления в целом.
Развитие средств связи и электронной почты выделило злоупотребление, которое относится к классу "компьютерного хулиганства" и в литературе получило название "пина-ние" (pinging) ( в среде специалистов это явление носит название spam ).Суть данного злоупотребления заключается в том, что, используя стандартные или специально разработанные программные средства, злоумышленник; может вывести из строя электронный адрес, бомбардируя его многочисленными почтовыми сообщениями. Следствием этого могут стать осложнения и возможность непреднамеренного игнорирования полученной электронной почты.
Вредоносные программы
В последнее время участились случаи воздействия на вычислительную систему при помощи специально созданных программ. Для обозначения всех программ такого рода был предложен термин "вредоносные программы". Эти программы прямо или косвенно дезорганизуют процесс обработки информации или способствуют утечке или искажению информации.
К самым распространенным видам подобных программ относятся:
"Троянский конь "(Trojan horses) - это программа, которая приводит к неожиданным (и обычно нежелательным) результатам. Особенностью этих программ является то, что пользователь обращается к этой программе, считая ее полезной. Троянские кони способны раскрыть, изменить или уничтожить данные или файлы. Их встраивают в программы широкого пользования, например в программы обслуживания сети, электронной почты. Реализация дополнительных функций выполняется скрытым от пользователя модулем, который может встраиваться в системное и прикладное программное обеспечение. При реализации пораженной программы троянский конь получает доступ к ресурсам вместе с пользователем. Компьютерные системы, использующий дескрипторные методы управления доступом (и том числе такие, как полномочия, списки управления доступом и др.), становятся практически беззащитными против программ типа троянский конь. Антивирусные средства не обнаруживают эти программы, но системы управления доступом в больших компьютерах обладают механизмами идентификации и ограничения их действия. В "Оранжевой книге" ведется постоянно обновляемый список известных программ этого рода.
"Червяки" (worms) - это программа, которая распространяется в системах и сетях по линиям связи. Такие программы подобно вирусам в том, что заражают другие программы, а отличаются от них тем, что не способны самовоспроизводиться.
Вирус (viruses)- это программа, которая способна заражать другие программы, модифицируя их так, чтобы они включали в себя копию вируса.
"Жадная" программа (greedy program) -программа, которая захватывает (монополизирует) отдельные ресурсы вычислительной системы, не давая другим программам возможности его использовать. Несанкционированное использование компьютерной системы в своих целях (например, для бесплатного решения своих задач), либо блокирование системы для отказа в обслуживании другим пользователям. Для реализации такого злоупотребления используются программы, способные захватить монопольно определенный ресурс системы (причем необязательно центральный процессор).
В последнее время большое распространение получили атаки класса "отказ в обслуживании", так называемые "распределенные атаки", приводящие к тому что Web серверы кредитно-финансовых учреждений оказываются перегруженными ложными запросами и не могут обслуживать клиентов. В связи с тем, что в последнее время эти атаки приобрели большую популярность, рассмотрим хронологию развития событий и механизм действия этой атаки:
7 и 8 февраля 2000 года было зафиксировано нарушение функционирования таких популярных и ведущих Internet-серверов, как Yahoo, eBay. Amazon, Buy, и CNN. 9 февраля аналогичная участь постигла и сервера ZDNet Datek и Е'Trade. Проведенное ФБР расследование показало, что указанные сервера вышли из строя из-за огромного числа направленных им запросов, что и привело к тому, что эти сервера не могли обработать трафик такого объема и вышли из строя. Например, организованный на сервер Buy трафик превысил средние показатели в 24 раза, и в 8 раз превысил максимально допустимую нагрузку на сервера, поддерживающие работоспособность Buy.
Одним из первых предупреждении о такого рода атаках было сделано в сентябре 1998 года. Распределенная атака строится следующим образом. Злоумышленник управляет небольшим числом т.н. "мастеров" (master), каждый из которых в свою очередь управляет большим числом "демонов" (daemon). Именно эти "демоны" и используются для непосредственной атаки на выбранную жертву.
В зафиксированных в 1998-2000 годах случаях распределенные атаки использовали несколько сотен "демонов". Согласно данным одного из потерпевших в февральском инциденте в распределенной атаке участвовало до 10 тысяч "демонов". Эти "демоны" устанавливаются путем использования на скомпрометированных узлах различных уязвимостей, в т.ч. и позволяющих получить права администратора (root) на узле с установленным "демоном". Как только "демон" установлен, он уведомляет об этом "мастера" (обычно трех или четырех). После получения определенных команд от злоумышленника "мастер" программирует "демона" на выполнение определенных действий против жертвы.
После получения от "мастера" команды "демон" начинает атаку и в дальнейшем ему не требуется осуществлять связь с "мастером". Можно заметить, что эти атаки не являются нечто совершенно новым. Все их отличие от известных атак - в механизме реализации. Они используют распределенную (клиент-серверную) технологию, на основе которой построено большинство современных приложений.
Особенность распределенных атак в том, что в отличие от "стандартных" атак с их помощью более эффективно достигаются следующие четыре цели:
Скрытость. Работа сразу из нескольких адресов существенно затрудняет обнаружение нападавших стандартными механизмами (межсетевыми экранами, системами обнаружения атак и т.д.)
"Огневая мощь". Координация атак сразу из нескольких точек сети позволяет за короткий промежуток времени реализовать более мощную атаку, чем это было бы возможно в случае реализации аналогичной атаки из одной точки. Наиболее опасными в этом случае являются атаки типа "отказ в обслуживании". Как и в предыдущем случае, существующие методы обнаружения и блокирования распределенных атак малоэффективны.
• Сложность блокирования. Обнаружение и блокирование одного или нескольких "мастеров" или "демонов" не приводит к окончанию действия атаки, поскольку каждый "демон" действует независимо от других и получив соответствующие команды от "мастера" уже не нуждается в дальнейшем поддержании связи с ним, т.е. "демон" работает автономно, что существенно затрудняет обнаружение и блокирование всех демонов, участвующих в распределенной атаке.
Злоумышленник может реализовать посылку большого объема данных сразу из всех узлов, которые задействованы в распределенной атаке. В этом случае атакуемый узел захлебнется огромным трафиком и не сможет обрабатывать запросы от нормальных пользователей.
"Захватчик паролей" (password grabber)-программы специально предназначены для получения идентификаторов и паролей пользователей. Программы открытия паролей последовательно генерируют все возможные варианты пароля и выдают их системе до тех пор, пока не будет определен необходимый пароль.
Пароли являются основным средством идентификации пользователей в многопользовательских компьютерных системах и открытие пароля и входного имени пользователя позволяет организовать доступ к конкретной информации. Программы захвата паролей имитируют различные события в ИС, например, системный сбой в работе компьютера (например, перезагрузку операционной системы, отключение сети и др.), и запрашивают у пользователя идентификатор и пароль, после чего передают управление рабочей программе, операционной системе или другим программам. Программные закладки — программы, которые сохраняют вводимую с клавиатуры информацию (в том числе и пароли) в некоторой зарезервированной для этого области. Данный тип программных злоупотреблений включает:
=>закладки, ассоциируемые с программно-аппаратной средой (BIOS);
=>закладки, ассоциируемые с программами первичной загрузки, находящимися в Master Boot Record или Root секторов активных разделов;
=> закладки, ассоциируемые с загрузкой драйверов DOS, командного интерпретатора, сетевых драйверов;
=> закладки, ассоциируемые с прикладным программным обеспечением общего назначения (встроенные в клавиатурные или экранные драйверы, программы тестирования, утилиты и оболочки типа Norton Commander);
=> исполняемые модули, содержащие только код закладки (как правило, внедряемые в пакетные файлы типа ВАТ);
=> модули-имитаторы, совпадающие по внешнему: виду с программами, требующими ввода конфиденциальной информации;
=>закладки, маскируемые под ПС (программные средства) оптимизационного назначения (архиваторы, ускорители и т.д.);
=> закладки, маскируемые под ПС игрового и развлекательного назначения.
"Бактерии" (bacteria) - программа, которая делает копии самой себя и становится паразитом. Перегружая память и процессор.
"Логические бомбы" (logic bombs) - программа, которая приводит к повреждению файлов или компьютеров (от искажения данных до полного уничтожения данных). Логическую бомбу вставляют, как правило, во время разработки программы, а срабатывает она при выполнении некоторого условия (время, дата, кодовое слово). Логические бомбы, в которых срабатывание скрытого модуля определяется временем (текущий датой), называют бомбами с часовым механизмом (time bomb). Подобные программы, реализующие свой механизм после конкретного числа исполнении, при наличии или, наоборот, отсутствии определенного файла, а также соответствующей записи в файле. В связи с тем, что подобные программы имеют ограниченный доступ к ресурсам системы, разрушительный эффект остается достаточно низким.
Опасность может значительно увеличиться, если логическая бомба будет встроена в системное программное обеспечение, что приведет к уничтожению файлов, переформатированию машинных носителей или к другим разрушающим последствиям. Основной целью функционирования программ типа логической бомбы следует считать нарушение нормальной работы компьютерной системы.
Репликаторы— могут создавать одну, или более своих копий в компьютерной системе. Это приводит к быстрому переполнению памяти компьютера, но данные действия могут быть обнаружены опытным пользователем и достаточно легко устранены. Устранение программы репликатора усложняется в тех случаях, когда репликация выполняется с модификацией исходного текста: программы, что затрудняет распознавание ее новых копий. Репликаторные программы становятся особенно опасными, когда к функции размножения будут добавлены другие разрушающие воздействие.
Необходимо отметить, что при планировании и разработке злоупотреблений нарушителями могут создаваться новые, не приведенные в данной классификации, а также применяться любые сочетания описанных злоупотреблений.
Анализ статистики позволяет сделать важный вывод: защита финансовых организаций (в том числе и банков) строится несколько иначе, чем обычных коммерческих и государственных организаций. Хотя для защиты ИСБ вполне возможно применять те же самые технические и организационные решения, которые были разработаны для стандартных ситуаций, только учитываю специфику конкретной финансовой организации. Нельзя бездумно копировать чужие системы — они разрабатывались для иных условий.